Квалифицированная электронная подпись является аналогом печати юридического лица, собственноручной подписи ответственного физического лица или индивидуального предпринимателя.
Квалифицированная электронная подпись (КЭП) - это усиленная электронная подпись, которая создана с использованием средств электронной подписи и получена в результате криптографического преобразования информации с использованием ключа электронной подписи, и дополнительно содержит ключ проверки электронной подписи в квалифицированном сертификате, который выдается аккредитованным удостоверяющим центром.
Средства криптографической защиты информации, используемые при создании и проверке электронной подписи сертифицированы ФСБ РФ.
Правила выпуска КЭП и описание её структуры регламентировано Федеральном законе №63-ФЗ «Об электронной подписи» от 06 апреля 2011 года с изменениями и дополнениями на текущую дату (далее 63-ФЗ «Об электронной подписи»). Поэтому, её можно использовать в информационных системах не описывая её применение в регламенте или соглашении сторон.
Выпускать квалифицированную электронную подпись с повышенной защитой и особым квалифицированным ключом вправе только удостоверяющие центры, аккредитованные государством.
Удостоверяющий центр (далее УЦ) — организация (юридическое лицо или индивидуальный предприниматель), осуществляющее функции по созданию и выдаче сертификатов ключей проверки электронных подписей.
Деятельность УЦ, выпускающих ЭП, контролируется в соответствии с законом 63-ФЗ «Об электронной подписи». За исполнение обязанностей аккредитованными УЦ отвечает уполномоченный федеральный орган, который определяется Правительством РФ. Он проводит аккредитацию удостоверяющих центров, а также публикует списки и адреса как действующих центров, так и приостановивших или прекративших свою деятельность.
Документ, подписанный электронной подписью, полученной в аккредитованном удостоверяющем центре, защищён от подделок, что гарантирует получение документа конечным пользователем в неизменном виде.
Понять, как устроена квалифицированная электронная подпись, поможет детальное рассмотрение следующих понятий:
Квалифицированный сертификат (квалифицированный сертификат ключа проверки электронной подписи, далее КСКПЭП) — электронный документ, подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата.
КСКПЭП выдаётся аккредитованным УЦ или доверенным лицом УЦ и содержит:
КСКПЭП хранится у владельца на любом удобном носителе: на компьютере, внешнем диске или токене — специальном защищённом флеш-носителе, который можно носить с собой.
УЦ вправе выдавать КСКПЭП как в форме электронных документов, так и в форме документов на бумажном носителе. Владелец КСКПЭП, выданного в форме электронного документа, вправе получить также копию КСКПЭП на бумажном носителе, заверенную УЦ.
Владельцем квалифицированного сертификата ключа проверки электронной подписи является лицо, которому в установленном законом 63-ФЗ «Об электронной подписи» порядке, выдан квалифицированный сертификат ключа проверки ЭП. Таким образом, владелец электронной подписи и владелец сертификата — это одно и то же лицо.
Срок действия КСКПЭП устанавливается УЦ в момент его изготовления. Срок действия КСКПЭП может быть от нескольких часов до нескольких месяцев. В УЦ «Калуга Астрал» срок действия выпускаемых КСКПЭП в большинстве случаев равен одному году.
Согласно ст.14 п.6 закона 63-ФЗ «Об электронной подписи» окончание срока действия сертификата может быть связано со следующими событиями:
Закрытый ключ электронной подписи (далее ключ ЭП) — это уникальная последовательность символов, предназначенная для создания электронной подписи. С помощью закрытого ключа происходит подписание и расшифровка документов.
Владелец КСКПЭП обязан хранить ключ ЭП в тайне. В случае утраты ключа ЭП его восстановление невозможно. Закрытый ключ электронной подписи хранится в ключевом контейнере.
Ключевой контейнер представляет собой специальным образом организованный электронный каталог. Ключевой контейнер записывается на носитель. Для предотвращения возможности несанкционированного использования закрытого (секретного) ключа посторонними лицами ключевой контейнер защищают паролем.
Открытый ключ электронной подписи (далее ключ проверки ЭП) — это уникальная последовательность символов, связанная с закрытым ключом с помощью особого математического соотношения.
Открытый ключ известен всем другим пользователям системы и предназначен для шифрования, но не позволяет вычислить закрытый ключ. На основе каждого открытого ключа ЭП Удостоверяющим центром формируется квалифицированный сертификат открытого ключа (квалифицированный сертификат ключа проверки ЭП).
Создание Ключей ЭП и Ключей проверки ЭП осуществляется одним из следующих способов:
Использование квалифицированного сертификата невозможно без средств криптографической защиты информации (СКЗИ).
СКЗИ — это аппаратные, программные и аппаратно–программные средства, системы и комплексы, реализующие алгоритмы криптографического (шифровального) преобразования информации. СКЗИ предназначены для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при её обработке и хранении.
Криптопровайдер — вид СКЗИ, специальный программный (иногда программно-аппаратный) модуль, который осуществляет криптографические функции при работе с электронной подписью. Проще говоря, криптопровайдер позволяет формировать и проверять электронную подпись, зашифровывать, расшифровывать и защищать данные. При отсутствии криптопровайдера ЭП формироваться не будет.
Криптографические функции, выполняемые криптопровайдером, называются хэш-функцией. Это математический алгоритм, преобразовывающий произвольный массив данных (например, электронный документ) в уникальную строку фиксированной длины, состоящую из букв и цифр. Получившиеся в результате таких преобразований данные называются хэш-значением.
Существует два типа криптопровайдеров: устанавливаемые отдельно (на рабочее место) и встроенные в носитель.
Криптопровайдер, устанавливаемый на рабочее место представляет собой модуль, который устанавливается на любое компьютерное устройство.
Этот вариант криптопровайдера наиболее распространен. Однако имеет место недостаток: жёсткая привязка к одному рабочему месту. То есть можно работать с любым количеством электронных подписей, но только на том компьютере или ноутбуке, на котором установлен криптопровайдер.
Криптопровайдер, встроенный в носитель — это модуль, «вшитый» в носитель для хранения электронной подписи.
При использовании такого модуля не нужно устанавливать дополнительное ПО для работы с ЭП. Процессы шифрования и расшифрования данных производятся внутри носителя.
Существует множество компаний-производителей криптопровайдеров. КриптоПро CSP — ведущий криптопровайдер в России. Также в работе с ЭП используются и другие криптопровайдеры: Signal-COM CSP, LISSI-CSP, VipNet CSP. Все перечисленные криптопровайдеры сертифицированы ФСБ и ФСТЭК, соответствуют стандартам безопасности, принятым в России.
УЦ «Калуга Астрал» производит выпуск электронных подписей под использование с криптопровайдерами КриптоПро CSP и VipNet CSP.
Для полноценной работы криптопровайдера необходимо приобретать лицензию (право использования криптопровайдера) у производителя или представителя производителя. Лицензия чаще всего предоставляется на 1 год, но также производители предлагают для покупки и бессрочные лицензии. Бессрочные лицензии особенно удобны для пользователей, которые используют ЭП на постоянной долговременной основе. На каждое рабочее место (ПК) необходимо использовать отдельную лицензию на криптопровайдер.
«Калуга Астрал», как и другие компании, предлагающие услуги по выпуску ЭП, предоставляют лицензии на использование криптопровайдера сразу в составе КСКПЭП. При этом срок действия КСКПЭП равен сроку действия лицензии на право использования криптопровайдера. Для пользователя это удобно тем, что всё приобретается в одном месте и нет необходимости покупать отдельно услугу по выпуску ЭП в одной организации, а лицензию на криптопровайдер — в другой.
