1 июля 2013 года утратил силу №1-ФЗ «Об электронной цифровой подписи». Новый закон, заменивший его, - №63-ФЗ «Об электронной подписи», внес юридические и технические коррективы, которые, как казалось, являлись преградой к широкому применению электронной подписи. Однако для большинства людей, привыкших к документам, зафиксированным на бумаге и подписанным синими чернилами, до сих остается непонятно, как можно к бумаге приравнять байтовый массив.
Если информация передается через Сеть, то она является электронным сообщением. Когда эта информация записывается на электронный носитель (съемный носитель, оперативная память вычислительного средства, жесткий диск), она становится электронным документом. Подпись, которая стоит под таким документом, называется электронной подписью. Она позволяет определить лицо, которому она принадлежит.
Чтобы поставить электронную подпись, нужно владеть ключом электронной подписи. Ключ электронной подписи называется закрытым ключом, а ключ проверки электронной подписи — открытым. Для создания электронной подписи используется специальный инструмент — средство электронной подписи.
Виды электронной подписи
Различают два вида электронной подписи:
- Простая электронная подпись (позволяет лишь установить авторство документа, требует наличия ключа электронной подписи).
- Усиленная электронная подпись (формируется с помощью специальных криптографических алгоритмов). Может быть неквалифицированной и квалифицированной.
Простая электронная подпись используется в случаях, когда на аналогичном бумажном документе не требуется наличие печати. Такая подпись может только подтвердить личность подписанта.
Для усиленной неквалифицированной электронной подписи характерен ряд принципиальных качеств:
1) получается в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) благодаря средству электронной подписи и ключу проверки помогает определить авторство электронного документа и установить, что что-то изменилось в документе после его подписания;
3) создается с использованием средств электронной подписи.
Если к этим качествам добавить еще два, то получится усиленная квалифицированная электронная подпись. При этом будет ошибкой считать, что усиленная квалифицированная электронная подпись является в то же время усиленной неквалифицированной электронной подписью.
О каких двух дополнительных признаках идет речь?
1) ключ проверки электронной подписи должен содержаться в квалифицированном сертификате ключа проверки электронной подписи;
2) средство электронной подписи, которое используется для создания и проверки, должно получить подтверждение соответствия требованиям, предусмотренным законом и ФСБ для средств электронной подписи.
Усиленная квалифицированная электронная подпись предоставляет ее владельцу максимум возможностей с правовой точки зрения. В то же время к ней предъявляются высокие требования.
Сертификат ключа проверки электронной подписи
В №63-ФЗ «Об электронной подписи» говорится о том, что для подтверждения принадлежности ключа проверки электронной подписи автору документа сертификат ключа проверки электронной подписи может не использоваться. Ранее сертификат был обязателен для всех видов электронных цифровых подписей. Теперь же сертификат требуется только для квалифицированной электронной подписи.
Квалифицированный сертификат включает следующую информацию:
1) уникальный номер квалифицированного сертификата, даты начала и окончания его действия;
2) для физлица: ФИО и СНИЛС владельца сертификата; для юрлица: наименование, место нахождения, ИНН и ОГРН владельца сертификата;
3) ключ проверки электронной подписи;
4) наименования средств электронной подписи и средств удостоверяющего центра, с помощью которых созданы ключ электронной подписи, ключ проверки электронной подписи удостоверяющего центра, квалифицированный сертификат;
6) наименование и место нахождения удостоверяющего центра, номер квалифицированного сертификата, выданного удостоверяющему центру Минкомсвязь;
7) ограничения использования квалифицированного сертификата. Ниже мы приводим пример ограничения использования;
8) иную информацию о владельце квалифицированного сертификата.
Требования к форме квалифицированного сертификата установлены приказом ФСБ №795. Для целей ограничения использования сертификата используется, например, дополнение keyUsage, содержащее серию флагов: если флаг не поднят, ключ проверки электронной подписи не может применяться для соответствующих целей. Флаг keyCertSign (пятый в дополнении) означает, что область использования ключа включает проверку подписей под квалифицированными сертификатами. Этот флаг не поднимается в квалифицированных сертификатах клиентов удостоверяющего центра. А вот в квалифицированном сертификате, выданном удостоверяющему центру Минкомсвязью, этот флаг поднимается, что позволяет удостоверяющему центру создавать свою квалифицированную электронную подпись в сертификатах своих клиентов.
Аккредитованный удостоверяющий центр
Как уже было сказано выше, сертификат ключа проверки электронной подписи выдает удостоверяющий центр в электронном или бумажном виде. Удостоверяющий центр, подтвердивший соответствие требованиям закона в Минкомсвязи, становится аккредитованным удостоверяющим центром и получает право выдавать квалифицированные сертификаты.
При выдаче квалифицированного сертификата аккредитованный удостоверяющий центр должен не только установить личность обратившегося лица, но и внести в специальную базу данных (реестр сертификатов) серию, номер и дату выдачи документа, использовавшегося для установления личности.
Аккредитованный удостоверяющий центр должен регулярно (по закону — ежедневно) публиковать специальную выписку из реестра сертификатов (список отозванных сертификатов), содержащую номера квалифицированных сертификатов, которые прекратили действие по решению суда или по обращению владельца сертификата. В соответствии с информацией в реестре аккредитованных удостоверяющих центров, который ведет Минкомсвязь, далеко не все аккредитованные удостоверяющие центры обеспечивают доступность таких выписок.
Следует сказать, что аккредитованные удостоверяющие центры могут также выдавать сертификаты, которые не являются квалифицированными. Например, сертификаты для участия в электронных аукционах по №44-ФЗ не могут и не должны быть квалифицированными, так как в противном случае основанная на них электронная подпись будет квалифицированной, а в №44-ФЗ явно говорится о том, что используется неквалифицированная электронная подпись.
Лев Плинер, менеджер разработки «СКБ Контур»
