Электронная подпись (ЭП) – это средство защиты электронной информации: документов, электронных писем и других форм. ЭП позволяет однозначно подтвердить авторство данных, защищает их от подделок и изменений. Подделать ее нельзя, но можно украсть секретный ключ – шифр-идентификатор. Тогда мошенник сможет проводить финансовые операции от имени реального владельца. А ведь электронная подпись все чаще требуется не только предпринимателям, но и обычным гражданам. Поэтому важно знать, как её правильно получать и как пользоваться.
История появления ЭП в России
Чтобы узнать подробнее о том, как электронная подпись появилась в России, "Мошеловка" пообщалась со специалистом-исследователем лаборатории криптографии НПК "Криптонит" Викторией Высоцкой.
Кстати, в декабре 2021 года, при поддержке НПК «Криптонит», в Москве откроется первый в России Музей криптографии. Широкой аудитории будет представлено прошлое, настоящее и будущее криптографии, математики и смежных дисциплин.
Несмотря на то, что первый стандарт электронной подписи появился в России еще в 1994 году (ГОСТ Р 34.10-94), первый закон, призванный регулировать ее использование, появился лишь в 2002 году (1-ФЗ «Об электронной цифровой подписи»), уже после обновления стандарта до ГОСТ Р 34.10-2001 (в последствии стандарт незначительно обновлялся еще несколько раз).
Однако закон содержал слишком серьезные требования к ЭП и сильно ограничивал возможности по применению электронных документов. Более широкое распространение подписи получили после выхода в 2011 году нового закона об ЭП (63-ФЗ «Об электронной подписи»). Тогда уже начались разговоры о переходе на безбумажный документооборот. Но действительно широкое применения подписи получили совсем недавно.
Так, в 2018 году электронная подпись стала использоваться на портале «Госуслуги», а в 2020 было разрешено получить ключи электронной подписи через МФЦ, в том числе для электронной сдачи отчетности.
Кроме того, с 2019 года стало возможно использовать облачную подпись, которую можно оформить удаленно, что еще больше упрощает работу с подписью.
Кому и зачем нужна ЭП?
Без электронной подписи (ЭП) в условиях глобализации пришлось бы нелегко: порой организации, заключающие договор, находятся в противоположных точках Земного шара. Да и в пределах одного города личное присутствие на подписании всех необходимых документов отнимает слишком много времени. В ряде случаев использование ЭП стало уже обязательным требованием.
С началом пандемии деловые отношения в большинстве отраслей без ЭП стали бы попросту невозможны. Поэтому количество людей, использующих этот способ защиты информации, постоянно растет. Например, в 2020 году сертификатов квалифицированной ЭП было получено в 2 раза больше, чем в 2019.
Все чаще ЭП требуется обычным гражданам, которые не занимаются бизнесом. Она нужна для сделок с криптовалютой, для участия в дистанционных заседаниях судов, для подачи документов в официальные организации, включая налоговую службу. Сфера применения ЭП постоянно расширяется. Она уже затронула большинство граждан, просто мы об этом зачастую не догадываемся.
Казалось бы, ура! Вот способ надежно защитить свои документы и никуда не ходить! Но есть один нюанс: если кто-то украдет секретный ключ, которым подписываются документы, он сможет от имени владельца подписывать что угодно.
Что такое электронная подпись
Квалифицированная электронная подпись – это цифровой идентификатор, который имеет юридическую силу собственноручной подписи. Она не только удостоверяет, что данные подписал конкретный человек, но и гарантирует, что после подписания в документ не вносились изменения.
Для создания электронной подписи нужна ключевая пара. Она состоит из секретного ключа и парного к нему открытого ключа.
Секретный ключ нужно беречь от посторонних. Он позволяет:
- подписать данные;
- расшифровать данные, зашифрованные с помощью открытого ключа.
Открытый ключ можно давать всем, кому нужно подтвердить вашу ЭП. Его функции:
- проверка данных, подписанных парным секретным ключом;
- шифрование данных, которые затем можно будет прочитать только с помощью парного секретного ключа.
Из ключевой пары состоит любая усиленная ЭП. Статус и юридическую силу квалифицированной ей придает сертификат. Он подтверждает, что подпись принадлежит конкретному человеку.
Зачем воруют ключи
Украв секретный ключ, мошенник может подделывать любые документы настоящего владельца подписи. Доказать факт подделки будет непросто, да и на то, чтобы обнаружить проблемы, потребуется время. Мошенники за это время, скорее всего, успеют вывести украденное так, что деньги будет не вернуть.
Чаще всего с помощью ЭП злоумышленникам удается:
- вывести деньги со счетов компании;
- оформить на владельца ЭП кредит;
- зарегистрировать фирму-однодневку по отмыванию средств;
- заключить договор дарения или купли-продажи дорогостоящего имущества от имени человека или компании;
- провернуть изменения в компании жертвы: это может быть полная смена руководства (рейдерский захват), помехи работе организации (например, ее исключение из числа участников торгов) и даже ликвидация предприятия.
Преступник, завладевший чужим секретным ключом, может сделать буквально всё. Единственное, чего он не сможет – это продать или подарить квартиру владельца подписи – с 2019 года сделки с использованием ЭП возможны только если владелец подал заявление о том, что разрешает проводить их в таком формате.
Удостоверяющий центр: зачем он нужен
Удостоверяющий центр – это организация, которая подтверждает: конкретная ЭП принадлежит конкретному человеку. Такое подтверждение называется сертификатом. УЦ ставит свою подпись в открытый ключ заказчика. Дополнительно клиенту могут выдать бумажный документ.
Все УЦ предлагают клиентам кроме подписания сертификата (для которого они и существуют) услугу по созданию ключевой пары – уже подписанной и готовой к использованию. Но это нарушает главный принцип информационной безопасности: секретный ключ никогда не должен оказываться в чужих руках. А УЦ – это именно чужие руки. Это частные организации, а до 2020 года вообще ИП.
В 2020 году государство резко повысило требования к УЦ вообще и к аккредитованным в частности. Это было необходимо, чтобы отсечь мошеннические организации, созданные для кражи ключевых пар. В результате из сотен таких организаций выжили десятки.
С 1 января 2022 года вводится новое ограничение: руководители предприятий, ИП и нотариусы смогут получать сертификаты только в УЦ, аккредитованных Федеральной налоговой службой. Это не отменяет, а дополняет аккредитацию в Минкомсвязи. Такие ограничения введены для дополнительной защиты особо уязвимых клиентов от кражи ключевых пар. Но стоит озаботиться безопасностью и самим клиентам: если предоставить в УЦ открытый ключ, для получения сертификата этого хватит, а секретный ключ при этом останется в безопасности.
Важные услуги УЦ – это приостановка действия и отзыв сертификата по заявлению владельца. Приостанавливать или отзывать сертификат нужно немедленно после того, как возникнет малейшее подозрение, что секретный ключ был «засвечен». Чем быстрее это сделано, тем меньше шансов, что злоумышленники успеют им воспользоваться.
Лайфхак: сам себе УЦ
В идеальном случае ключевую пару в УЦ генерируют сразу внутри токена. К ней никто не должен иметь доступа, но насколько это точно? Проверять ценой своего имущества или предприятия вам вряд ли захочется. Поэтому сгенерировать ключевую пару можно самостоятельно. Справиться с этим должен любой профпригодный админ. Потребуется немного почитать, немного поработать, возможно – проконсультироваться со специалистами по кибербезопасности. Уверены, многим поможет наш пост на «Пикабу», там мы подробно рассказали на опыте дружественной компании, как сделать себе ключевую пару. Е-токены для этого есть в свободной продаже.
Чтобы подпись стала квалифицированной, без услуг УЦ не обойтись. Туда нужно предоставить открытый ключ и необходимые документы (для физического лица – просто паспорт). Пока что самое сложное – объяснить сотрудникам УЦ, что вам нужна не ключевая пара (спасибо, она есть), а просто подписать открытый ключ. ФЗ-63 «Об электронной подписи» не требует, чтобы УЦ выпускали ключевые пары, он требует от этих организаций только подписания сертификата. Поэтому требование подписать существующую подпись совершенно законно.
Хранить бережно!
Теоретически ключи ЭП можно хранить на любом устройстве для записи цифровых данных. На практике специалисты по информационной безопасности рекомендуют использовать для этого только рутокен или е-токен. Это устройства, внешне похожие на обычную USB-флешку. Но «начинка» отличается принципиально. Флешка – это накопитель, на нее можно записать данные, а можно прочитать их. Е-токен – криптопроцессор. Он сохраняет секретные ключи (их нельзя оттуда извлечь обычными способами) и выполняет все необходимые криптопреобразования внутри себя.
Украсть секретный ключ можно двумя способами: физически похитить е-токен и с помощью вредоносных программ (вирусов) скопировать секретный ключ.
Защита от человека
- Самостоятельная генерация ключевой пары убережет от утечек на уровне УЦ.
- Если вы приняли решение получить ключевую пару в удостоверяющем центре, выбирайте надежные организации, аккредитованные госструктурами.
- Секретный ключ нельзя передавать другим людям. Чтобы подписать документ таким способом, не обязательно находиться в офисе. Всем сотрудникам, которые вправе подписывать документы от имени организации, необходимо сделать персональные ключи.
- !!! Важно! Отзывать сертификаты подписей сотрудников при их увольнении нужно сразу, как только они подали заявление или как только вы сообщаете им о прекращении трудовых отношений.
- Токен необходимо хранить при себе или в сейфе, все дубликаты ключей которого находятся у одного и того же человека.
- Бережно храните паспортные данные: их хватит недобросовестному УЦ, чтобы сгенерировать принадлежащую якобы вам ключевую пару без вашего личного присутствия.
- Обязательно защитите токен и компьютер, с которого вы работаете подписью, паролем. Используйте сложные, но запоминающиеся комбинации (passphrase), ведь пароль нужно выучить. Если он записан на бумажке, уровень защиты значительно падает. Пример фразы-пароля: 1k:Cn0cОб0в//3a{}it`+toкen(_).
Защита от вирусов
- Каждый, кто может подойти к вашему компьютеру, должен знать, что такое фишинг, вирусы, антивирусы и что делать, если зашел на подозрительный сайт.
- Не экономьте на антивирусах! Эти программы стоят недорого, но могут уберечь от больших убытков, ведь существуют программы для кражи секретных ключей.
- Не храните секретный ключ на диске компьютера и тем более в облачном хранилище.
- Нельзя использовать токен на устройстве, в безопасности которого вы не уверены.
- Не стоит оставлять токен в USB-порте дольше, чем это нужно для работы: в таком состоянии он уязвим для вирусов.
