Электронная подпись
Электро́нная по́дпись (ЭП), особый реквизит электронного документа, который позволяет установить отсутствие в нём искажения информации. Значение этого реквизита формируется (генерируется) в результате криптографического преобразования информации, содержащейся в электронном документе. ЭП даёт возможность подтвердить принадлежность электронного документа владельцу с момента формирования и позволяет обеспечить электронному документу юридическую силу [свойство официального документа, сообщаемое ему действующим законодательством, компетенцией издавшего его органа и установленным порядком оформления (ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения : государственный стандарт Российской Федерации : принят и введён в действие постановлением Госстандарта России от 27 февраля 1998 № 28)].
Правовое регулирование
Снабжённый ЭП электронный документ обладает юридической силой, если:
со стороны законодательства для него нет ограничений на существование документа данного вида только в бумажном виде;
документ оформлен в соответствии с требованиями законодательства или локальными нормативно-правовыми актами (например, наличие обязательных реквизитов и др.), в том числе подписан требуемым по законодательству видом ЭП;
документ подписан лицом, обладающим правом на его подписание.
ЭП решает, таким образом, для электронного документа задачу авторства подписи (позволяет однозначно установить автора документа), гарантирует целостность данных в документе (отсутствие искажений, правок данных после подписания автором) и их подлинность.
В 2011 г. в Российской Федерации был принят Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи». Согласно ст. 1, данный закон регулирует отношения в области использования ЭП при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий.
В качестве основополагающих принципов использования ЭП закон выделяет: право участников электронного взаимодействия использовать ЭП любого вида по своему усмотрению; возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии и/или технических средств, позволяющих выполнить требования закона применительно к использованию конкретных видов ЭП; недопустимость признания ЭП и/или подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая ЭП создана не собственноручно, а с использованием средств ЭП для автоматического создания и/или автоматической проверки ЭП в информационной системе (ст. 4 Закона «Об электронной подписи»).
В Законе «Об электронной подписи» также сформулировано понятие ЭП, под которой понимается информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию (п. 1 ст. 2 Закона «Об электронной подписи»). Данным законом также даётся понятие ключа ЭП, или уникальной последовательности символов, предназначенной для создания ЭП (п. 5 ст. 2).
Необходимо отметить, что понятие ЭП, сформулированное в законе, согласуется с определениями, данными в основополагающих правовых актах в обозначенной сфере: в частности, с определением ЭП, закреплённом в Типовом законе ЮНСИТРАЛ об электронных подписях от 5 июля 2001 г., согласно которому ЭП – это «данные в электронной форме, которые содержатся в сообщении данных, приложены к нему или логически ассоциируются с ним и которые могут быть использованы для идентификации подписавшего в связи с сообщением данных и указания на то, что подписавший согласен с информацией, содержащейся в сообщении данных» (п. а ст. 2).
Закон «Об электронной подписи» предлагает участникам электронного взаимодействия широкий арсенал видов ЭП – даже логин и пароль на сайте являются ЭП. При этом, как замечает С. В. Козловская, ЭП более не рассматривается как часть электронного документа, а представляет собой самостоятельное средство идентификации (Козловская. 2018. С. 195).
По мнению Т. С. Астаховой и Е. П. Чадаевой, использование электронной цифровой подписи позволяет обеспечить: контроль целостности документа; аутентичность, которая проявляется в невозможности отказа от авторства; защиту от подделки документа (Астахова. 2012. С. 154).
В 2012 г. был принят «ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи : национальный стандарт Российской Федерации : утверждён и введён в действие Приказом Росстандарта от 7 августа 2012 г. № 215-ст» («Об утверждении национального стандарта»). Данным стандартом определяется схема электронной цифровой подписи; процессы формирования и проверки цифровой подписи под заданным сообщением (документом), передаваемым по незащищённым телекоммуникационным каналам общего пользования в системах обработки информации различного назначения. Настоящий стандарт способствует повышению уровня защищённости передаваемых сообщений от подделок и искажений (по сравнению с ранее действовавшей схемой цифровой подписи). Его рекомендуется применять при создании, эксплуатации и модернизации систем обработки информации различного назначения.
В данном стандарте используется термин «электронная цифровая подпись» (ЭЦП), в то время как в Законе «Об электронной подписи» фигурирует термин «электронная подпись». Такое различие понятий несколько затрудняет с юридической точки зрения оперирование указанной категорией (Старчиков. 2018).
Технологии ЭП
Для работы с ЭП предназначены специальные средства ЭП (программное обеспечение), в наиболее распространённой ситуации использующие системы шифрования с открытым ключом (см. Криптография).
Функции средств ЭП:
создание ключа ЭП («закрытого», хранимого владельцем в секрете ключа) – уникальной последовательности символов (байт), предназначенной для генерации ЭП отдельных электронных документов отправителем;
создание ключа проверки ЭП («открытого» ключа) – уникальной последовательности символов (байт), связанной с ключом ЭП и предназначенной для проверки подлинности ЭП отправителя получателем;
создание (генерация) ЭП;
проверка ЭП.
Удостоверяющий центр – юридическое лицо, индивидуальный предприниматель либо государственный орган или орган местного самоуправления, осуществляющие функции по созданию и выдаче сертификатов ключей проверки ЭП. Удостоверяющие центры могут пройти аккредитацию Министерства цифрового развития РФ и получить статус аккредитованного.
Сертификат ключа проверки ЭП – электронный документ или документ на бумажном носителе, выданный удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающий принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП. Получили также распространение децентрализованные (основанные на технологиях блокчейн) системы сертификации, образующие т. н. сети доверия.
Обычный срок действия ЭП – 12 месяцев. Внеплановая замена ЭП требуется при изменении реквизитов владельца, указанных в сертификате ключа проверки ЭП, если ЭП оказалась скомпрометирована и др.
Выданная пользователю ЭП состоит из 3 компонентов:
Средство ЭП (необходимый для реализации набор криптографических алгоритмов и функций). Это может быть программное решение – криптопровайдер, устанавливаемый на компьютер пользователя (в России таким образом работает ЭП производителей: КриптоПро CSP, ViPNet CSP), или самостоятельный носитель, т. н. токен, на котором физически размещена ЭП, со встроенным криптопровайдером (производители – Рутокен ЭЦП 2.0, JaCarta Алладин Р. Д.).
Ключевая пара: ключ ЭП и ключ проверки ЭП – два набора байт, сформированных средством ЭП. Хранение ключа ЭП на компьютере крайне небезопасно (поскольку к нему относительно легко получить доступ), на токене – отчасти небезопасно, а в неизвлекаемом виде – наиболее безопасно. Ключ проверки ЭП должен быть известен получателям электронных документов для проверки корректности ЭП отправителя.
Сертификат ключа проверки ЭП, который выпускает удостоверяющий центр. Его назначение – связать обезличенный набор байт «открытого» ключа проверки ЭП с личностью владельца ЭП (человеком или организацией). Это необходимо, в частности, для предотвращения мошеннической схемы, посредством которой злоумышленник в процессе передачи ключа проверки ЭП по незащищённым каналам связи может перехватить его и подменить своим. Таким образом он получит возможность выдавать себя за подписанта-отправителя. В дальнейшем при передаче электронных документов он сможет вносить в документы изменения и подтверждать их своей ЭП. Именно поэтому роль сертификата ключа проверки ЭП крайне важна, и за его корректность удостоверяющий центр несёт финансовую и административную ответственность.
Схема использования ЭП
Технологически процедура передачи отправителем получателю электронного документа, подписанного ЭП, выглядит следующим образом:
На основе информации, содержащейся в документе, определяется его хеш. Вычисление хеша при помощи специальных криптографических хеш-функций гарантирует, что любые несанкционированные изменения в документе при проверке подписи будут выявлены.
После того как вычислен хеш документа, отправитель шифрует хеш при помощи своего ключа ЭП.
Электронный документ передаётся получателю вместе с зашифрованным хешем и сертификатом, содержащим ключ проверки ЭП отправителя. Пользуясь сертификатом, получатель может обратиться в удостоверяющий центр и проверить принадлежность ключа проверки ЭП. Сертификат в виде электронного документа, в свою очередь, снабжён ЭП удостоверяющего центра, благодаря чему сертификат нельзя подделать (а ключ проверки ЭП отправителя – подменить).
Получатель документа, как и отправитель, вычисляет его хеш. Затем он расшифровывает присланный в зашифрованном виде хеш, пользуясь известным ему ключом проверки ЭП отправителя. Если они совпадают, ЭП верна, т. е. документ действительно был подписан отправителем и позже не изменялся.
Виды ЭП
В соответствии с Законом «Об электронной подписи» существует простая ЭП и усиленная ЭП. Усиленная ЭП может быть квалифицированной и неквалифицированной (ч. 1 ст. 5).
Простая ЭП – это ЭП, которая посредством использования кодов, паролей или иных средств (например, СМС) подтверждает факт её формирования определённым лицом с набором признаков, присущих только этому человеку.
Согласно ст. 9 Федерального закона «Об электронной подписи», электронный документ считается подписанным простой ЭП при выполнении одного из следующих условий:
простая ЭП содержится в самом электронном документе;
ключ простой ЭП применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и/или отправка электронного документа, и в созданном и/или отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и/или отправлен электронный документ.
Усиленная неквалифицированная ЭП (УНЭП):
получена в результате криптографического преобразования информации с использованием ключа ЭП;
позволяет определить лицо, подписавшее электронный документ;
позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
создаётся с использованием средств ЭП.
Усиленная квалифицированная ЭП (УКЭП) – ЭП, которая соответствует всем признакам неквалифицированной ЭП и дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном сертификате;
2) для создания и проверки ЭП используются средства ЭП, имеющие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом (ч. 3–4 ст. 5).
Если сертификат ключа проверки ЭП был выдан аккредитованным удостоверяющим центром, то он является квалифицированным.
Основные особенности применения ЭП
Информация в электронной форме, подписанная УКЭП, признаётся электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством РФ (за некоторыми исключениями, установленными законом).
Информация в электронной форме, подписанная простой ЭП или неквалифицированной ЭП, признаётся электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия.
Применение ЭП получило наибольшее распространение в межкопоративном (внешнем) электронном документообороте (обмене юридически значимыми электронными документами между компаниями, например счетами и счетами-фактурами, который реализуется с помощью сервисов электронного обмена Synerdocs, Контур. Диадок, СБИС, 1С:Такском), межведомственном документообороте (федеральная система межведомственного электронного документооборота, предназначенная для организации взаимодействия систем электронного документооборота участников межведомственного электронного документооборота органов исполнительной власти, министерств и ведомств), а также при взаимодействии государства и граждан посредством государственных услуг, предоставляемых в электронном виде.
Электронный документооборот имеет по меньшей мере два существенно важных преимущества перед традиционной бумажной формой:
скорость доставки документов: доставка почтой или курьером бумажных экземпляров потребует от 3 дней до нескольких недель, а электронный обмен занимает несколько минут;
стоимость отправки электронных документов ниже, чем бумажных экземпляров: отсутствуют затраты на работу с бумагой, оплату услуг почты или курьерской службы.
При долговременном хранении документов под сомнение может быть поставлено признание ЭП. Согласно Федеральному закону № 63-ФЗ «Об электронной подписи», одним из условий является возможность проверки действительности сертификата ЭП на момент подписания или на момент проверки. Срок действия сертификата, как правило, 1 год, поэтому, в случае более длительного хранения документов на момент проверки, срок действия сертификата уже истечёт.
Для решения данного вопроса используют, например, формат УКЭП, который предусматривает обязательное включение в реквизиты подписанного документа доказательства момента создания подписи (штамп времени) и действительности сертификата в момент создания подписи. Таким образом, УКЭП позволяет избежать необходимости собирать доказательства действительности сертификата на момент подписания.
Таким образом, ЭП рассматривается в качестве особого реквизита юридического документа, позволяющего идентифицировать лицо, подписавшее документ. Предусмотренные в российском законодательстве нормы об ЭЦП подтверждают, что её применение позволяет обеспечить безопасность электронного документооборота. Поскольку новейшие законодательные преобразования свидетельствуют об усложнении правовых конструкций электронного документа и о признании электронного документооборота в качестве предпочтительного способа юридического взаимодействия в сфере предпринимательства, ЭП становится универсальным инструментом установления связи подписавшего документ лица с содержанием документа, инструментом подтверждения намерения стороны сделки нести правовые последствия, а также подтверждения авторства документа.