Получить ключ электронной подписи: Получить электронную цифровую подпись (ЭЦП), Удостоверяющий центр (УЦ) — СКБ Контур

Содержание

Как получить ключ электронной подписи для налоговой

Как получить электронную подпись для налоговой?

Этот вопрос становится все более актуальным, особенно если учесть, какое распространение получает электронный документооборот.

Например, согласно сайту ФНС, сдавать электронную отчетность уже обязаны:

  • предприятия, где, согласно документации, штат за прошлый календарный год превысил численность 100 сотрудников;
  • организация, изначально зарегистрированная или прошедшая реорганизацию и указавшая количество сотрудников более 100;
  • плательщики НДС.

Сама по себе электронная подпись – это особый способ идентификации при помощи шифрования с помощью паролей, ключей или иных инструментов.

Электронная подпись в широком смысле делится на 2 типа: простая и усиленная. Чтобы получить простую подпись, достаточно пароля или кода – Вы просто регистрируетесь в системе, для которой она будет использована, и подтверждаете подлинность предоставленной Вами информации (по этому принципу работает онлайн-банкинг).

Но если мы говорим о подаче электронных отчетов и деклараций в ФНС, для этой цели подойдет только усиленная электронная подпись, она также имеет две разновидности:

  • квалифицированная;
  • неквалифицированная.

Их главное различие с простой подписью в том, что при их создании используется надежное шифрование информации при помощи криптографии, что позволяет обеспечить более высокую точность идентификации и защитить любой подписанный таким образом документ от последующих несанкционированных изменений.

Механизм получения неквалифицированной электронной подписи не отличается большой сложностью для физических лиц – нужно просто пройти процедуру идентификации в Вашем Личном кабинете на сайте налоговой службы. По итогам Вы бесплатно получите сертификат. Но обращаем Ваше внимание на то, что его можно будет использовать только при документообороте с налоговыми органами.

Если же Вас интересует более широкий спектр возможностей применения электронной подписи (например, участие в электронных торгах, взаимодействие с исполнительными органами власти, государственными порталами, коммерческими организациями и так далее), то Вам необходимо получить сертификат квалифицированной электронной подписи.

Выдают сертификаты квалифицированной электронной подписи удостоверяющие центры, прошедшие аккредитацию Минкомсвязи России. ООО «Информационный центр» успешно прошел аккредитацию и рад предложить Вам выгодные условия для оперативного получения сертификата электронной подписи:

Электронная цифровая подпись. Получение ЭЦП

3. Как получить ЭЦП

Процедура получения включает несколько этапов:

  1. Выбор типа подписи.

1.1. Простой вариант отличается самой низкой степенью защиты подходит предпринимателям и физическим лицам, которые хотят лишь подтвердить личность, например, при идентификации на сайтах государственных услуг. Такую подпись легко оформить самостоятельно с помощью специальных программных продуктов, например, «КриптоПро CSP» или «USB-токен». Она представляет собой одноразовый пароль для подтверждения операции.

1.2. Усиленный неквалифицированный вариант (УНЭП) — это своеобразный идентификатор контроля документооборота компании, позволяющий вносить какие-либо изменения. Такая подпись применяется при подаче отчётной документации в государственные учреждения. УНЭП выдаётся в удостоверяющими центрами (УЦ) без аттестации.

1.3. Усиленная квалифицированная подпись (УКЭП) — вариант с наибольшей степенью защиты. Одновременно с УКЭП выпускается крипто-ключ, а также оформляется сертификат. Всё это подтверждает подлинность подписи конкретного человека. Подпись имеет юридическую силу только при наличии двух этих элементов. Усиленная ЭЦП признаётся во всех государственных инстанциях: подходит для участия в торгах, тендерах по госзакупкам, аукционах и др.

2. Подбор удостоверяющего центра. Получить подробные сведения об УЦ можно на сайте Министерства связи.

3. Посещение выбранного удостоверяющего центра. Также можно позвонить по телефону, чтобы узнать, как действовать дальше. Специалисты центра расскажут о необходимых документах.

4. Оплата счёта любым удобным способом: по квитанции в отделении банка, банковской картой или с помощью платёжных онлайн-сервисов.

Стоимость услуги зависит от условий работы аккредитованного центра, типа и области применения электронной подписи.

5. В назначенный день принести пакет документов в УЦ. Перечень нужной документации зависит от того, какой тип сертификата электронной подписи вам требуется.

 Важно! Юридическим лицам требуется расширенный пакет документов. Полный список необходимых бумаг представлен на сайте Минсвязи.

Стандартный алгоритм получения предусматривает выдачу подписи, крипто-ключа, сертификата подлинности ЭЦП. Ключ чаще всего записывается на съёмный носитель (flash-карту). На нём также сохраняется утилита «КриптоПро CSP» с ключами: открытым или закрытыми ruToken, eToken.

АО Актив, ранее ИК ДОХОДЪ

Работа с электронной подписью

  1. Что такое электронная подпись?
  2. Как создать электронную подпись?
  3. Как изменить электронную подпись?
  4. Насколько безопасно использовать электронную подпись?
  5. Я забыл пароль ключа электронной подписи, что мне делать?
  6. Я забыл кодовое слово, что мне делать?
  7. Требования к компьютеру для подписания документов электронной подписью

1.

Что такое электронная подпись?

Электронная подпись (электронно-цифровая подпись) – это реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента его подписания и проверить принадлежность подписи владельцу сертификата ключа электронной подписи. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа подписи. Электронная подпись является аналогом собственноручной подписи. Использование электронной подписи в России регламентируется федеральным законом № 63-ФЗ от 6 апреля 2011 г.


2. Как создать электронную подпись?

Создать свою собственную электронную подпись Вы можете с помощью раздела «Управление ключами» главного меню системы при наличии у Вас кодового слова, которое Вы должны указать в Анкете клиента при личном посещении нашего офиса или в процессе открытия счета онлайн.

Чтобы создать и использовать ЭЦП в системе, Вы должны также подписать Соглашение об использовании документов в электронной форме в офисе компании или иным возможным способом.


3. Как изменить электронную подпись?

Электронную подпись нельзя изменить. Однако можно создать новый ключ электронной подписи с помощью раздела «Управление ключами» главного меню системы. Для этого Вам понадобится ввести Ваше кодовое слово. После создания нового ключа электронной подписи, Ваш старый ключ аннулируется.


4. Насколько безопасно использовать электронную подпись?

Электронную подпись практически невозможно подделать. Однако Вы должны соблюдать некоторые меры предосторожности. Храните ключ электронной подписи в местах, недоступных для посторонних лиц! Не передавайте никому файл ключа и пароль доступа к нему! Если у Вас есть подозрения, что Ваш ключ электронной подписи может быть использован другими лицами, немедленно сообщите об этом в Компанию по тел.: +7 812 635 68 65. Клиент несет полную ответственность за сохранность ключа электронной подписи и паролей.


5. Я забыл пароль ключа электронной подписи, что мне делать?

Пароль ключа электронной подписи невозможно восстановить. Если Вы забыли его, создайте новую электронную подпись с помощью раздела «Управление ключами» главного меню системы. Для этого Вам понадобиться ввести Ваше кодовое слово. После создания нового ключа электронной подписи, Ваш старый ключ аннулируется.

Если Вы подозреваете, что Ваши ключи электронной подписи могли быть изменены третьими лицами, немедленно сообщите об этом в отдел по работе с клиентами по тел. +7 812 635-68-65, чтобы заблокировать доступ к Вашему аккаунту и аннулировать ключ электронной подписи.


6. Я забыл кодовое слово, что мне делать?

Кодовое слово невозможно восстановить. Мы не можем выслать его на адрес Вашей электронной почте или сказать по телефону. Чтобы изменить кодовое слово, Вам необходимо лично прийти в один из наших офисов. Еще раз проверьте, как Вы вводите Ваше кодовое слово. Его необходимо ввести точно так, как Вы написали его в Анкете клиента. Проверьте регистр букв (маленькие или большие) и раскладку клавиатуры (язык ввода и прочее).


7. Требования к компьютеру для подписания документов электронной подписью

На Вашем компьютере должен быть установлен и включен в настройках обозревателя компонент – Java Virtual Machine (JVM, виртуальная Java-машина), который нужен для запуска и работы апплетов (загружаемых программных модулей) генерации ключей и электронной подписи под документами.

С обозревателем Microsoft Internet Explorer обычно поставляется Java-машина от компании Microsoft – Microsoft VM. Также можно установить аналогичный компонент от компании SUN (SUN Java Virtual Maсhine browser plug-in), который можно скачать с сайта компании SUN.

После загрузки файла двойным щелчком мыши запустите установку компонента. После того, как компонент установится, необходимо перезагрузить компьютер.

Сервис корректно работает с компонентами 3 Microsoft VM версии 5.0 и выше, а также Sun Java browser plug-in версии 1.4.2_03 и выше, 1.5.0 и выше, 1.6.0 и выше.

Просмотреть информацию об установленном компоненте Java VM (а также включить/отключить его) можно в меню обозревателя «Сервис»(Tools) –> «Свойства Обозревателя»(Internet Options) на вкладке «Дополнительно»(Advanced), в открывшемся окне ищите раздел о VM (Microsoft VM или Java (Sun)).

Версию компонента Microsoft VM можно посмотреть в меню «Вид»(View) –> «Окно языка Java» (Java console), если включена опция «Java console enabled» на вкладке «Дополнительно»(Advanced).

Если у Вас установлены и включены в обозревателе оба компонента: и Microsoft VM, и Sun Java plug-in, то один из них необходимо отключить.

Если Вы пользуетесь обозревателем, отличным от Microsoft Internet Explorer, рекомендуем выбирать установочный пакет обозревателя с Java либо дополнительно установить Java-машину от Sun.

Пользователям операционной системы Linux рекомендуем установить Java-машину от Sun версии не ниже 1.5.0, которую можно скачать с сайта компании SUN.

Бесплатное получение ЭЦП налогоплательщика – как получить

Бесплатное получение ЭЦП  – это реально

 

Как самостоятельно бесплатно сдавать декларацию в налоговую испекцию

Нужно зарегистрироваться в личном кабинете налогопалтельщика, и заказать электронную цифровую подпись.

 

Что такое ЭЦП налогоплательщика и что позволяет делать?

Электронная подпись для работы в личном кабинете налогоплательщика позволяет из любого места – из дома, из-за границы, находясь в отпуске – направлять документы, различного рода заявления, а также декларации по форме 3-НДФЛ. Такую подпись можно получить легко, быстро, а самое главное бесплатно.

 

Как зарегистрироваться в кабинете налогоплательщика?

Чтобы получить электронную подпись для работы в личном кабинете налогоплательщика, нужно быть там зарегистрированным. Нужно зайти на страницу «Налог на доходы физических лиц» и «Страховые взносы», выбрать первую строчку «Заполнить/отправить декларацию онлайн» и перейти по ней.

 

 

 

!

Справа видим ссылку – «Получение сертификаты ключа проверки электронной подписи». Нажимаем на нее и переходим на нужную нам страницу.

 

 

Информация!

Сайт налоговой обращает ваше внимание на то, что такая электронная подпись может быть использована только для физического лица, и только для работы через личный кабинет налогоплательщика. То есть на другом сайте – типа госуслуг – вы ее использовать не сможете.

 

Три шага для получения электронной подписи

 

1

 

Первый шаг – необходимо выбрать, где будет храниться ваша подпись – точнее, ключ к ней.

 

 

 

Если выбрать первый вариант – то есть хранение на вашей рабочей станции, то вы будете привязаны к одному единственному компьютеру, на который установлен ключ. Его, конечно, можно перенести, но этот процесс занимает если не длительное, то все же определенное время. Проще всего выбрать второй путь и хранить этот ключ (иначе говоря – ЭЦП) в защищенной системе федеральной налоговой службы. Тогда с любого устройства, в любом месте, зная свой пароль для входа, вы сможете использовать свою ЭЦП и подписывать документы.

 

2

 

Второй ваш шаг – вы сверяете свои персональные данные, которые у вас всплывают в окне, и придумываете пароль для доступа к электронной подписи.

 

 

 

Пароль должен отвечать определенным правилам, которые указаны в окне внизу справа. После введения пароля нужно нажать кнопку «Подтвердить данные и направить запрос».

 

3

Последний – третий шаг получения цифровой подписи – дождаться, когда вам выдадут ЭЦП. Этот процесс занимает обычно несколько минут. Когда придет ЭЦП, вы получите подтверждение: «Сертификат получен».

 

 

 

Срок действия ЭЦП сертификата и его использование

 

!

Ключ действителен в течение одного календарного года, если точнее – 1 год и пару месяцев. В ЛК налогоплательщика, можно точно посмотреть данные, до какого срока действителен ваш ключ.

 

 

Теперь вы можете бесплатно с любого места спокойно заполнять необходимые вам декларации, заявления, и отправлять в налоговую, не посещая сами структурные подразделения.

 

Если вы прикрепляете к декларации какие-то документы и подписываете их ЭЦП, вам их дублировать в бумажной форме, в структурное подразделение налоговой не требуется. Единственное, что нужно иметь в виду – если налоговая будет проводить камеральную проверку и усомнится в какой-либо подлинности или в еще каких-то нюансах, она у вас запросит весь комплект документов.

 

Усиленная квалифицированная электронная подпись, сертификат ключа УКЭП

ООО «Криптотелеком» предлагает услуги получения усиленной квалифицированной электронной подписи в Твери и Тверской области. УКЭП — разновидность усиленной электронной цифровой подписи, имеющая следующие свойства:

  • позволяет аутентифицировать человека, подписавшего электронный документ;
  • обеспечивает защиту и автоматизацию документооборота — подтверждает отсутствие правок, внесенных после проставления подписи;
  • выдается с проверочным сертификатом, открытым и закрытым квалифицированным ключом электронной подписи;
  • в отличие от усиленной неквалифицированной ЭЦП, в любых ситуациях придает электронному документу юридическую значимость наравне с бумажным документом, подписанным вручную и скрепленным печатью;
  • становится недействительной исключительно по решению суда.

УКЭП формируется в ходе криптопреобразования электронного документа с помощью технических средств, утвержденных ФСБ РФ. Для выполнения преобразования (создания ЭП) требуется закрытый квалифицированный ключ — защищенный паролем набор символов, хранящийся у владельца подписи. Провести проверку авторства и подлинности подписи позволяет открытый ключ — ряд символов, предоставленный пользователям системы для работы с подписанными УКЭП документами.

Заказать звонок

Сферы применения УКЭП

  • Работа на российских порталах госуслуг
  • Организация официального электронного документооборота, имеющего юридическую значимость:
    • Веб-пересылка банковских и финансовых документов, лицензий
    • Сдача деловых бумаг и отчетностей в налоговые органы
    • Дистанционное трудоустройство, получение нотариальных услуг (при необходимости)
  • Участие в электронных аукционах и торгах

 

Популярные УКЭП

Универсальная
КЭП

ЕГАИС
Росалкоголь

Отчётность

Росреестр

Преимущества усиленной КЭП

Усиленная электронная КЦП — универсальный тип электронной подписи, имеющий дополнительную защиту от незаконного применения. УКЭП применяется при работе с теми организациями и в тех сферах деятельности, которые отмечены в сертификате ключа данной квалифицированной электронной подписи, в продолжение срока действия сертификата (обычно — 1 год). Документы, подписанные усиленной КЭП с соблюдением этих условий, остаются действительными после истечения срока действия или замены сертификата.

Для сохранения конфиденциальности владельцу УКЭП дополнительно следует:

  • сменить пароль от носителя при получении закрытого ключа;
  • исключить возможность доступа к носителю посторонних лиц;
  • в случае компрометации ключа, утери носителя, аннулирования или завершения срока действия сертификата незамедлительно оповестить представителей удостоверяющего центра.

Право выдачи сертификатов усиленной цифровой КЭП предоставлено удостоверяющим центрам, аккредитованным Министерством цифрового развития, связи и массовых коммуникаций России. Выданный сертификат должен соответствовать форме, установленной Приказом ФСБ РФ № 795 от 27. 12.2011 г. и международным стандартом X.509. Сведения о сертификатах занесены в реестр, находящийся в ведении Минкомсвязи РФ. Самостоятельное изменение или дополнение информации, внесенной в сертификат, сторонними лицами невозможно.

Кто получает УКЭП

Владельцем усиленной квалифицированной ЭЦП может стать дееспособный гражданин РФ — физическое или юридическое лицо, работающее с сетевой документацией или в веб-системе, где содержится конфиденциальная информация (в том числе составляющая государственную тайну).

Юр.лица могут получить УКЭП, чтобы повысить уровень личной учетной записи на порталах mos.ru, gosuslugi.ru, сайте ФНС, Росреестра. Это открывает доступ к дистанционному получению ряда услуг, недоступных для лиц, пользующихся простой ЭП (имеющих стандартную учетную запись с комбинацией логина и пароля). Например, зарегистрировать онлайн-кассу через Интернет может только предприниматель, подтвердивший личность посредством приравнивания электронной подписи к проставленной собственноручно.

Получить консультацию

Стоимость получения УКЭП в компании «Криптотелеком»

Цена сертификата и ключа квалифицированной УЦП, физических носителей (токенов), лицензий на использование соответствующего программного обеспечения зависит от ряда факторов:

  • для какой деятельности требуется усиленная цифровая ЭП;
  • с какими организациями будет работать владелец подписи, на каких виртуальных площадках планирует вести торги;
  • каковы особенности лицензии — срок действия, тип ПО.

Ознакомиться с расценками можно в разделе Цены.

Дополнительные услуги

Настройка одного
рабочего места

Установка ПО

Установки ключа

Как получить электронную подпись ИП или юридическому лицу: инструкция по получению ЭЦП

Павел Стоянов

Занимается развитием продуктов для участников госзакупок в Тинькофф Бизнесе

Мир без электронной подписи: если нужно отправить договор и акты заказчику, придется идти на почту или вызывать курьера. В статье о том, как выглядит мир с электронной подписью и как с ней работать.

Что такое электронная подпись

Электронная подпись — это аналог собственноручной подписи на бумаге. По федеральному закону № 63-ФЗ «Об электронной подписи» это информация в электронно-цифровой форме, с помощью которой можно определить, кто подписал документ.

«Об электронной подписи» —в 63-ФЗ

Компаниям нужна электронная подпись, чтобы обмениваться документами с партнерами, сдавать отчетность через интернет, участвовать в электронных торгах, подать иск в суд.

Частные лица пользуются подписью, чтобы подать иск в суд или подписывать документы удаленно. Например, если продают квартиру и нужно подписать договор купли-продажи.

Виды электронных подписей и их различия

В законе описаны два вида подписей: простая и усиленная — неквалифицированная и квалифицированная.

Простая электронная подпись используется, чтобы авторизоваться на сайте, отправить заявку на услугу, провести банковскую операцию. Например, когда вы входите на сайт, используя логин и пароль, или подтверждаете платеж с помощью СМС-кода.

Простая ЭП — самая незащищенная, при подписании документов не используется шифрование информации. У нее появляется юридическая сила, только если участники электронного документооборота заключили об этом соглашение.

Соглашение об электронном документообороте — договор с условиями, на которых стороны будут обмениваться документами. Например, какие документы можно подписывать электронной подписью или как вносить в них изменения.

Простая подпись не защищает документ от подделки и не гарантирует, что кодом или паролем не воспользуется кто-то другой.

Например, к вашему аккаунту привязан телефон, а операцию вы подтверждаете с помощью СМС-кода. Всегда есть риск, что телефон могут украсть, чтобы получить доступ к коду.

Неквалифицированная электронная подпись (НЭП) — по сравнению с простой более защищенная, для ее создания используются средства шифрования. С ее помощью можно определить, кто подписал электронный документ и не менялся ли документ после подписания.

Чтобы признать неквалифицированную подпись равнозначной собственноручной подписи на бумаге, нужно заключить официальное соглашение с другими участниками документооборота, как для простой подписи.

Выдержка из соглашения об электронном документообороте. В соглашении стороны договариваются, что документы должны быть подписаны неквалифицированной электронной подписью

Неквалифицированную подпись можно использовать, например, для обмена документами с контрагентами или внутри своей компании. Эту подпись не обязательно получать в удостоверяющем центре. Если знаете программирование, ее можно сгенерировать самостоятельно.

Квалифицированная электронная подпись (КЭП) — самая надежная и защищенная. У нее такая же юридическая сила как у собственноручной подписи, причем без дополнительных соглашений. КЭП позволяет определить владельца подписи и подтверждает, что никто не менял документ перед отправкой.

КЭП выдается только аккредитованными удостоверяющими центрами (УЦ), которые прошли проверку в Минцифры, а программы для работы с КЭП должны быть сертифицированы ФСБ.

Список аккредитованных УЦ

Государственные органы доверяют документам, которые подписанны КЭП. Поэтому эту подпись можно использовать для любых операций: участия в торгах, сдачи налоговой отчетности, обращения в суд. Если компания или ИП хочет обмениваться документами с госорганами дистанционно, им нужна именно квалифицированная электронная подпись.

Какую подпись выбрать

КвалифицированнаяНеквалифицированнаяПростая
Для участия в госзакупкахДокументооборот внутри компанииДля авторизации на сайтах
Сдача отчетности в ФНС и фондыОбмен документами с партнерамиДля личного кабинета на портале госуслуг
Работа на портале госуслугДля личного кабинета налогоплательщика — физлица без статуса ИПДля работы в личном кабинете банка
Для личного кабинета налогоплательщика — ИП или юрлица
Электронный документооборот
Обращения в суд

Чаще всего компаниям и ИП нужна квалифицированная электронная подпись, чтобы обмениваться документами с госорганами и участвовать в торгах. Поэтому дальше будем говорить о КЭП.

Как работает квалифицированная электронная подпись

Технически КЭП — сгенерированный файл с уникальной последовательностью цифр, который прикрепляется к документу.

Электронная подпись состоит из трех компонентов:

  • закрытого ключа, который генерирует электронную подпись;
  • открытого ключа для проверки подлинности подписи;
  • сертификата ЭП с данными о владельце подписи и об удостоверяющем центре.

Закрытый ключ — набор символов, с помощью которого создается уникальная электронная подпись для документа. Закрытый ключ можно хранить на компьютере, диске, флешке, в облаке, но лучше всего использовать токен.

Токен — специальный USB-носитель для электронной подписи. Внешне он похож на обычную флешку. В токен встроена защищенная карта памяти, поэтому использовать его безопаснее: никто не сможет взломать или перехватить вашу подпись в интернете.

Открытый ключ содержит публичную информацию. По нему получатель документа может проверить подлинность подписи и целостность документа.

Для работы с подписью нужна специальная программа — СКЗИ, средство криптографической защиты информации. Она шифрует и дешифрует электронные документы. Есть разные СКЗИ: КриптоПро CSP, Signal-COM CSP, ЛИССИ-CSP, VipNet CSP. Когда пойдете получать подпись, в удостоверяющем центре расскажут, какую программу нужно будет использовать.

Подписание документа, по сути, процесс взаимодействия открытого и закрытого ключей. К примеру, вы хотите отправить договор партнеру через систему электронного документооборота (ЭДО). Упрощенно, процесс такой:

  1. Вы подписываете документ в системе. С помощью СКЗИ для договора создается хэш-сумма — уникальная последовательность цифр, которая генерируется на основе содержания документа.
  2. Хэш-сумма шифруется с помощью закрытого ключа. Это и есть уникальная подпись договора.
  3. Вы отправляете зашифрованный документ партнеру через систему ЭДО. Этот документ передается вместе с подписью и данными сертификата, где указан открытый ключ.
  4. Партнер получает документ. С помощью открытого ключа он расшифровывает документ. СКЗИ на стороне получателя тоже вычисляет хэш-сумму и сравнивает ее с той, которую вы зашифровали при подписании документа.

Если эти две последовательности чисел совпадают, подпись верна, договор подписан и имеет юридическую силу. Если не совпадают, значит, документ меняли после подписания: подпись признается недействительной, а договор не имеет юридической силы.

Как получить электронную подпись ИП или юридическому лицу

Чтобы получить КЭП, нужно собрать пакет документов и обратиться в удостоверяющий центр.

Выбрать удостоверяющий центр. Квалифицированную электронную подпись могут выдавать только аккредитованные государством УЦ. Удостоверяющим центром может быть не только специальная компания — право выдавать КЭП может получить, например, банк.

Проверить, аккредитован ли УЦ выдавать квалифицированные подписи, можно на сайте Минцифры РФ.

Собрать документы. В удостоверяющем центре придется заполнить заявление на выдачу электронной подписи. Юрлицу понадобятся такие документы:

  • паспорт руководителя компании;
  • его СНИЛС;
  • учредительные документы;
  • выписка из ЕГРЮЛ или ЕГРИП;
  • свидетельство о постановке на учет в налоговом органе.

Если подпись получает представитель, еще нужны:

  • доверенность на получение подписи от руководителя компании;
  • паспорт представителя.

Оплатить электронную подпись. Стоимость определяет удостоверяющий центр. В среднем — от 3000 ₽.

Получить подпись. После оплаты сертификат и ключ электронной подписи запишут на носитель. Лучше всего использовать токен. В среднем он стоит от 1000 ₽.

Как начать работать с электронной подписью

Для работы с электронной подписью нужно настроить рабочее место: установить СКЗИ, скачать и установить корневые сертификаты УЦ и Минцифры — они доказывают, что подпись вам выдал аккредитованный удостоверяющий центр.

Чтобы подписывать документы на электронных площадках, дополнительно придется настроить браузер: установить специальные расширения. Какие — расскажут в удостоверяющем центре при получении подписи.

У площадок тоже могут быть свои требования к настройкам. Чтобы узнать, нужна ли установка дополнительных плагинов, смотрите инструкции по работе с конкретной площадкой.

Чтобы подписывать документы в браузере в системе Контур.Экстерн, нужен специальный плагин

Как проверить подлинность подписи

Проверку подписи проводят, чтобы убедиться в юридической силе документа. Это нужно, если партнеры отправляют документы не через системы ЭДО. Например, заказчик принимает заявки от участников тендера не через торговую площадку, а обычной электронной почтой.

Проверить подлинность электронной подписи можно через специальные сервисы.

Сервис КриптоПро

Можно проверить достоверность самого сертификата подписи или подписанного документа

Контур. Крипто

В сервис нужно загрузить документ и сертификат, с помощью которого он был подписан

Сайт госуслуг

Для проверки подписи нужно загрузить файл сертификата и ввести код с картинки

Можно ли передать подпись другому лицу

По закону владелец подписи должен обеспечить ее конфиденциальность. Это значит, что передавая подпись кому-то другому, вы ее компрометируете. Если об этом узнает удостоверяющий центр, он должен отозвать сертификат, чтобы подпись перестала действовать.

Бывает, что руководитель поручает бухгалтеру подписывать отчетность и отдает ему свою подпись. Это рискованно: если кто-то отправляет договор или отчетность вместо руководителя, ответственность за подписанные документы будет нести владелец подписи. А для бухгалтера можно выпустить отдельную подпись.

Если потеряли подпись

Если вы потеряли ключ электронной подписи или его украли, как можно скорее обратитесь в удостоверяющий центр, который выдал подпись. УЦ отзовет сертификат, чтобы им никто не мог воспользоваться.

Восстановить сертификат нельзя, его придется выпускать заново.

Как перевыпустить подпись

Сертификат электронной подписи выдают на год. Чтобы продлить сертификат, нужно заново подать заявление в удостоверяющий центр. Если какие-то данные вашей компании изменились, нужны будут оригиналы новых документов.

Если данные прежние, обычно подпись выпускают на основе сохранившихся документов, повторно их нести не нужно. На всякий случай уточните в УЦ: некоторые центры заново просят весь пакет документов.

Если у вас остался токен, новый сертификат и ключ электронной подписи можно перезаписать на него же.

Что изменится для бизнеса с 2021 года

С 2021 года меняются правила получения и использования электронной подписи. Вот главные изменения для бизнеса.

Изменения в законе об электронных подписях — в 476-ФЗ от 27.12.2019

Сотрудникам нужно будет получать личную подпись, чтобы подписывать документы в компании. Сейчас сотрудники компаний используют подписи юрлица, где указаны их имя и должность. С 1 января 2022 года подпись юрлица или ИП смогут получать только руководители компании и сам ИП.

Сотрудникам нужно будет получать личную подпись. При этом каждый документ при подписании нужно будет подкреплять машиночитаемой доверенностью в электронном формате, которая подтверждает полномочия сотрудника.

Количество удостоверяющих центров уменьшится. Требования к УЦ ужесточаются, поэтому, если УЦ не пройдет аккредитацию по новым правилам, он не сможет выдавать подписи после 1 июля 2021 года.

С 1 января 2022 года руководители компаний и ИП будут получать электронные подписи только в ФНС, руководители кредитных организаций — только в Центробанке, а руководители госорганов — в Федеральном казначействе.

Сотрудники компаний и ИП, которые подписывают документы по доверенности, по-прежнему смогут получать подписи в удостоверяющих центрах.

Получить подпись можно только лично, с помощью биометрии или действующего сертификата. Чтобы получить подпись впервые, с 1 июля 2020 года, нужно идти в удостоверяющий центр лично. Подтвердить личность дистанционно можно, если уже есть действующий сертификат электронной подписи либо с помощью биометрических данных из загранпаспорта или единой биометрической системы. Правда, последний способ пока не работает: для него еще разрабатывается нормативная база.

Удостоверяющие центры смогут хранить КЭП в облаке по поручению владельца подписи. Это значит, что скоро документы можно будет подписывать с любого компьютера, без настройки рабочего места. Такие удостоверяющие центры должны быть обеспечить защиту КЭП. Государство установит для них особые требования по технической оснащенности и страхованию ответственности.

Появится доверенная третья сторона. Задачей таких организаций будет проверка действительности ЭП, сертификатов и полномочий участников электронного взаимодействия. Так государство хочет обезопасить участников документооборота и исключить случаи мошенничества с электронной подписью.

Подписка на новое в Бизнес-секретах

Подборки материалов о том, как вести бизнес в России: советы юристов и бухгалтеров, опыт владельцев бизнеса, разборы нового в законах, приглашения на вебинары с экспертами.

Электронная подпись — Пенза. Удостоверяющий центр АО «ОЭП»

8 8412 23-11-28

[email protected]

г. Пенза

ул. Кирова 49, каб. 16

пн-чт: с 9:00 до 17:00, пт: с 9:00 до 16:00

Обед: с 13:00 до 14:00

Электронная подпись для юридических лиц позволяет участвовать в качестве поставщика в закупках по размещению государственных и муниципальных заказов в рамках Федерального закона № 44-ФЗ, проводить закупки по 223-ФЗ, выступать как в качестве поставщика, так и заказчика в коммерческих торгах,участвовать в торгах по реализации имущества банкротов, работать с государственными электронными порталами: Единый портал госуслуги, Общероссийский официальный сайт госзакупок РФ, Росфинмониторинг, ФСФР, ЕИАС ФСТ и другими.

2 500

для юридических лиц

Электронная подпись для физических лиц подходит для получения финансовых услуг, для работы на государственных электронных порталах, подачи заявления на поступление в ВУЗ и получения электронных услуг через портал госуслуг: получение загранпаспорта, запись к врачу, постановка автомобиля на учет и т д.

1 000

для физических лиц

Для каких площадок подходят наши электронные подписи?

а также в других системах, принимающих усиленные квалифицированные электронные подписи аккредитованных Удостоверяющих центров

Для работы электронной подписи требуются

Защищенный usb-носитель «Рутокен»

Ключи электронной подписи записываются на USB-носитель. Один из вариантов такого носителя — Рутокен, специально предназначенный для защищенного хранения ключей электронной подписи и сертификатов ключей проверки электронной подписи.

Криптопровайдер КриптоПро CSP

Для работы с электронной подписью на Вашем компьютере должно быть установлено программное обеспечение СКЗИ КриптоПро CSP Криптопровайдер КриптоПро CSP предназначен для формирования и проверки электронной подписи в соответствии со стандартами РФ.

Как получить квалифицированную электронную подпись?

Шаг 1. подготовить пакет документов

Документы для юридических лиц и ИП

Паспорт (оригинал или заверенная копия 1-ой страницы и прописки)

СНИЛС (оригинал или заверенная копия)

Каждая страница копии должна быть заверена нотариально или в организации.

Для правильного заполнения документов Вы можете заказть выписку из ЕГРЮЛ/ЕГРИП в электронном виде с электронной подписью налоговой с сайта nalog.ru.

Документы для физических лиц

Свидетельство ИНН

Паспорт

СНИЛС

Шаг 2. сформировать документы на портале

Для формирования пакета документов (заявлений, доверенностей, договоров, заказов и актов) заполните заявку на сайте: portal.oep-penza.ru Скачайте сформированные документы, распечатайте их в 2 экземплярах и подпишите (не забудьте подписать накладные). Документы подписываются руководителем организации (личной подписью, не факсимиле) и заверяются печатью организации.

Если документы под писываются иным лицом, необходимо предоставить копию документа, подтверждающего полномочия подписавшего лица. На договорах, заказах и актах даты и номера не ставьте.

Сформировать документы

Шаг 3. оплатить счет

Бюджетные организации оплачивают услуги после получения электронной подписи и акта выполненных работ в течение 30 календарных дней.

Оплатите счет, сформированный на сайте вместе с остальными документами.

Оплата может быть выполнена как безналичным расчетом, так и наличными при прибытии в Удостоверяющий центр. При оплате наличными, подготовьте необходимую к оплате сумму без сдачи.

Шаг 4. получить электронную подпись

Возьмите подготовленный комплект документов и приезжайте в Удостоверяющий центр АО «ОЭП» по адресу:

г. Пенза, ул. Кирова, д.49, 2 этаж, каб. №16

Для записи электронной подписи возьмите с собой защищенный носитель, например eToken или Рутокен (если Вы его не приобретаете).

Цифровые подписи

Электронная подпись — это юридическая концепция использования электронного символа для обозначения добровольного согласия человека на выполнение условий документа. Что вы должны достичь с помощью любого бизнес-процесса, для которого требуется обязательный документ, — это получить юридически действительную электронную подпись для этого документа с использованием надлежащих процессов. Для этого предназначен AlphaTrust e-Sign ™.

Цифровая подпись, с другой стороны, представляет собой техническую концепцию безопасности для процесса целостности данных с использованием криптографического хеширования и шифрования данных.Простое применение процесса цифровой подписи к данным документа, как правило, не приводит к принудительной электронной подписи. Цифровые подписи являются очень важным инструментом безопасности, и AlphaTrust e-Sign ™ использует технологию цифровой подписи в своих процессах электронной подписи с помощью набора криптографических ключей. AlphaTrust e-Sign ™ использует свой собственный закрытый ключ подписи для цифровой подписи (печати) документов и соответствующий цифровой сертификат этого ключа для проверки подписанных документов.

Для документа вычисляется цифровая подпись (информация, отображаемая для подписывающей стороны), а закрытый ключ подписывающей стороны используется для цифровой печати документа при его просмотре.Обычно подписывающие стороны не обладают ключом цифровой подписи на основе инфраструктуры открытого ключа (PKI) и цифровым сертификатом. В этом случае AlphaTrust e-Sign ™ использует свой ключ и сертификат для запечатывания документа. Транзакция AlphaTrust e-Sign ™ может быть дополнительно сконфигурирована для использования закрытого ключа на компьютере подписывающей стороны (поддерживаются программные ключи или ключи на основе смарт-карт). Набор ключей цифровой подписи PKI (цифровой сертификат плюс закрытый ключ) поставляется с каждым экземпляром программного обеспечения. При желании клиент может выбрать использование набора ключей, выданного любой системой PKI. AlphaTrust e-Sign ™ поддерживает стандартные цифровые сертификаты X.509v3 с надежными открытыми ключами. Операции криптографической цифровой подписи включают хеширование подписываемых данных (обычно байтов документов PDF) с использованием хэш-алгоритма SHA-256. Затем хэш шифруется с помощью алгоритма RSA или Elliptic Curve с использованием закрытого ключа из общедоступного и закрытого набора ключей, назначенного экземпляру программного обеспечения. Этот подписанный большой двоичный объект данных затем сохраняется как артефакт транзакции, поэтому его можно позже использовать для проверки подлинности (целостности данных) документа посредством стандартного процесса проверки цифровой подписи с использованием открытого ключа, содержащегося в цифровом сертификате, связанном с открытый ключ из набора общедоступных и закрытых ключей, назначенный экземпляру программного обеспечения.

AlphaTrust предоставляет самые экономичные и высокопроизводительные решения для автоматизации процессов электронной подписи. Позвоните нам по телефону +1.214.234.9200, вариант 1 или щелкните ссылку ниже и заполните краткую форму, указав несколько деталей, и мы покажем вам, как мы можем вам помочь.

Что такое сертифицированная цифровая подпись и как она работает?

Электронные подписи упрощают процесс создания, отправки и подписания договоров и деловых документов.С помощью подходящего программного обеспечения для электронной подписи вы можете создать новый контракт или предложение за считанные минуты, отправить его своему клиенту и отслеживать весь процесс на панели инструментов аналитики.

Вам может быть интересно, если ваш документ был отправлен и подписан в электронном виде, как вы можете быть уверены, что его содержимое не было изменено?

Если вы ищете способ подтвердить действительность своих контрактов и деловых документов, вам может помочь создание сертифицированной цифровой подписи.

Что такое сертифицированная цифровая подпись?

Сертифицированная цифровая подпись — это электронная подпись, соответствующая самым высоким юридическим стандартам. Это также гарантирует, что содержание документа не было изменено после его отправки.

С помощью цифровой подписи вы можете зашифровать свой документ с помощью открытого и закрытого ключей, доступ к которым есть только у вас. Этот закрытый ключ — это то, что гарантирует действительность этого документа, и он делает его более надежным, чем просто использование электронной подписи.

Затем вы отправите этот документ другой стороне, и этот человек создаст свою собственную зашифрованную (или хешированную) версию, используя тот же процесс.Если документ был изменен после того, как обе стороны подписали документ, открытый ключ не будет соответствовать зашифрованной версии.

Этот процесс делает сертифицированную цифровую подпись настолько безопасной, гарантирует, что документ не был изменен каким-либо образом, и гарантирует, что сертифицированная цифровая подпись будет юридически допустима в суде.

Вы можете добавлять цифровые подписи в документы, PDF-файлы и веб-приложения.

Каковы преимущества использования сертифицированной цифровой подписи?

Вот некоторые из самых больших преимуществ использования сертифицированной цифровой подписи по сравнению с простой электронной подписью:

  • Более безопасный и надежный: Сертификат цифровой подписи содержит как открытый, так и закрытый ключ.После того, как документ подписан и отправлен другому получателю, создается хешированная версия этого документа.
  • Если документ будет изменен позднее, то он не будет соответствовать хэшу в цифровой подписи. Это делает сертифицированную цифровую подпись более безопасной, чем использование простой электронной подписи.
  • Уникально для подписывающей стороны: Подобно тому, как собственноручная подпись содержит уникальные особенности, ваша сертифицированная цифровая подпись делает то же самое. Это потому, что он создает как цифровой сертификат с открытым, так и закрытым ключом.Закрытый ключ надежно хранится у подписывающей стороны.
  • Легче проверить: Сертифицированная цифровая подпись упрощает доказательство того, что вы отправили документ и что никто другой не подделал его после того, как он был отправлен. А если вам нужно юридически доказать, что документ не был изменен каким-либо образом, сертифицированная цифровая подпись может помочь вам в этом.

Сравнение электронных подписей и сертифицированных цифровых подписей

Технически цифровая подпись является разновидностью электронной подписи, но стандартная электронная подпись не обязательно является сертифицированной цифровой подписью.Электронная подпись — это просто цифровая версия собственноручной подписи.

Хотя электронные подписи позволяют вам подписывать документы эффективно и с минимальными затратами, они не обязательно дают вам возможность проверить документ или аутентифицировать подписавшего.

Это потому, что электронная подпись может относиться к любому изображению, составляющему подпись. В то время как цифровая подпись опирается на структуру, называемую инфраструктурой открытого ключа (PKI).

PKI создает как открытый, так и закрытый ключ, который надежно хранится подписывающей стороной.По этой причине сертифицированная цифровая подпись уникальна для каждого подписавшего, что упрощает проверку документа.

После того, как документ подписан, он хешируется или зашифровывается, поэтому можно легко определить, был ли документ каким-либо образом изменен. Также указывается время, когда вы подписываете документ.

Как создать сертифицированную цифровую подпись с помощью PandaDoc

Важно понимать, что безопасность ваших электронных подписей и документов зависит от используемого вами программного обеспечения.Чтобы обеспечить безопасность ваших документов, вы всегда должны выбирать центр сертификации (CA), такой как PandaDoc.

ЦС — это сторонняя организация, которая всегда обеспечивает соблюдение важных мер безопасности. Это гарантирует действительность обоих подписывающих лиц и гарантирует надежное шифрование документа.

Вы можете использовать программное обеспечение PandaDoc для легкого создания защищенных, имеющих обязательную юридическую силу контрактов и деловых документов. И легко начать работу с простым, трехэтапным процессом PandaDoc.

Вы начнете с входа в свою учетную запись PandaDoc и загрузки PDF-документа или обычного документа, который необходимо подписать. Оттуда вы перейдете в меню справа и выберите поле, которое хотите использовать.

Затем перетащите нужное поле в то место документа, которое необходимо подписать. Если вы планируете переслать документ другому подписывающему лицу, вы можете добавить дополнительное поле и назначить его им.

Когда вы подписываете документ, вы можете напечатать, нарисовать или загрузить свою подпись.Оттуда вы можете следовать подсказкам, чтобы переслать подписанный документ вашему клиенту для подписи.

Начало работы с PandaDoc

PandaDoc — один из самых простых и безопасных способов создания сертифицированных цифровых подписей. И он предлагает множество вариантов, в зависимости от ваших потребностей и того, что вы ищете в решении для электронной подписи.

Если вы еще не являетесь клиентом PandaDoc, вы можете начать работу двумя способами. Если все, что вам нужно, это электронные подписи, вам обязательно стоит попробовать наш план бесплатной электронной подписи.

Этот полностью бесплатный план дает вам и всей вашей команде неограниченный доступ к юридически обязательным электронным подписям. Вы также можете загрузить и отправить любое количество документов на подпись.

Если вы ищете более комплексную систему управления документами, вы можете попробовать один из других наших планов. Вы можете начать использовать нашу бесплатную 14-дневную пробную версию на любом из наших премиальных планов.

Что такое цифровая подпись и как ее создать?

Это один из наиболее частых вопросов, которые нам задают.Однако существует явная разница между электронными подписями и цифровыми подписями, и, как ни странно, цифровые подписи могут называться электронными подписями, что не помогает.

Так в чем разница?

Цифровые подписи должны обеспечивать способ аутентификации личности подписывающего лица.

Это достигается за счет использования уникального ключа подписи PKI для каждого пользователя (PKI — это инфраструктура открытых ключей, техническая структура шифрования и кибербезопасности) и связанного цифрового сертификата, который действует как цифровая идентификация, встроенная в каждую подпись.

Каждый раз, когда вы создаете новую цифровую подпись, эти технологии работают, чтобы надежно привязать вашу личность к документу. Ключ подписи является частным и остается под исключительным контролем владельца, доступным только после соответствующих проверок аутентификации и авторизации.

Одной из наиболее часто используемых цифровых подписей являются квалифицированные подписи.

Согласно регламенту ЕС, касающемуся eIDAS (сокращение для электронной идентификации и услуг доверия), квалифицированные цифровые подписи должны быть:

  • Однозначно связана с подписавшим;
  • Способен идентифицировать подписавшего;
  • Создано с использованием средств, которые подписывающее лицо может поддерживать под своим исключительным контролем;
  • Связан с данными, к которым он относится, таким образом, что любое последующее изменение данных можно обнаружить;
  • Требовать использования квалифицированного устройства создания подписи (QSCD) и квалифицированного цифрового сертификата, выданного доверенным квалифицированным центром сертификации (CA).

Эти требования кажутся сложными, но по сути они представляют собой серию требований, которые делают квалифицированные цифровые подписи одним из самых безопасных способов цифровой подписи документа в ЕС — вот почему они так широко используются в отраслях с высоким уровнем доверия, таких как банковское дело и правительство.

Как поставить цифровую подпись на документе?

Во-первых, для цифровой подписи документа вам нужен закрытый ключ подписи — он должен оставаться под вашим единственным контролем и иметь возможность подтвердить вашу личность.

Самым распространенным способом создания цифровой подписи является использование криптографии с открытым ключом (PKC). Системы, используемые для доставки PKC, как упоминалось ранее, являются инфраструктурами открытых ключей (PKI).

На базовом уровне решения для цифровой подписи требуют, чтобы у каждого пользователя была пара открытого и закрытого ключей, которые математически связаны. Закрытый ключ остается под исключительным контролем владельца и используется для подписи. При цифровой подписи документа создается криптографический код, который встраивается в документ.

В процессе проверки документа открытый ключ подписывающей стороны используется для разворачивания кода цифровой подписи и сравнения его с документом, чтобы гарантировать соответствие.

Открытый ключ создается центром сертификации (CA) — эти независимые организации обеспечивают независимую авторизацию цифровых подписей.

Краткая версия для непрофессионала: когда вы подписываете документ цифровой подписью, ваша цифровая личность (ваш закрытый ключ) и уникальный код встраиваются в документ, а открытый ключ сравнивает эти коды, чтобы подтвердить, что вы являетесь тем, кем себя называете.

Как только он сможет это проверить, ваша цифровая подпись будет создана и встроена в документ, и любые дальнейшие изменения будут распознаваться в коде.

Как поставить цифровую подпись на PDF-документ?

PDF по-прежнему является наиболее распространенным выходным форматом для документов с цифровой подписью, поскольку это один из наиболее доступных форматов документов, а PDF-файлы могут отображать детали проверки цифровых подписей — в основном, контрольный журнал.

Это означает, что в PDF-документах отображается, кто подписал документ, когда он был подписан и были ли в документ внесены изменения с тех пор — всю важную информацию для обеспечения действительности вашей цифровой подписи.

Для архивирования и долгосрочной проверки электронных документов требуется PDF / A. Это гарантирует, что вся информация, необходимая для отображения документа, содержится в фактическом PDF-файле, гарантируя, что документ можно будет просматривать в том же формате в будущем (годы и годы), даже если произойдут такие вещи, как шрифты или другие изменения форматирования, или если они больше не доступны.

Для обеспечения совместимости с eIDAS рекомендуется использовать ETSI PAdES (расширенные электронные подписи PDF), чтобы гарантировать, что документы PDF имеют обязательную юридическую силу и могут быть проверены в долгосрочной перспективе (долгосрочный архив или LTA ) — это может быть от нескольких лет до десятилетий, а LTV может быть продлен, чтобы документы действовали в течение сотен лет.

Какое решение для цифровой подписи предлагает SigningHub?

SigningHub предлагает совместимые с eIDAS расширенные и квалифицированные подписи и работает с квалифицированными поставщиками услуг доверия (QTSP) и центрами сертификации (CA) по всему миру для выдачи сертификатов и ключей подписи для пользователей.

SigningHub также поддерживает удаленную подпись с помощью Ascertia ADSS SAM Appliance — первого квалифицированного устройства для создания подписи (QSCD), получившего сертификат Common Criteria EN 419 241-2.

SigningHub использует ряд стандартных цифровых подписей — ISO 32000, ISO 18500, ETSI PAdES, XAdES и CAdES.

Хотите узнать больше о цифровых подписях? Мы углубимся в подробности на нашей странице цифровой подписи, и вы также можете узнать больше об электронных подписях.


Как создать цифровую подпись в Word?

Чтобы подписывать документы в Word без необходимости конвертировать файлы в PDF, ваши файлы должны быть в формате OpenXML.

Приложение SigningHub for Word позволяет создавать проверяемые долгосрочные цифровые подписи (в формате XAdES-X-Long), которые полностью совместимы с Microsoft Word 2013 и 2016.

В зависимости от того, какую версию Word вы используете, Приложение SigningHub для Word отображается либо на главной странице, либо в разделе «Мои приложения». Затем в документе открывается окно SigningHub для Word, чтобы вы могли вставить поля подписи для подписывающих лиц или вставить цифровую подпись в поле подписи.

Посмотрите видео о том, как войти в Word:

Руководство правительства Канады по использованию электронных подписей

Из Казначейства Секретариата Канады

1.0 — Первоначальная публикация —

Уведомление

В сентябре 2017 года TBS предоставила инструкции по электронной подписи всем сотрудникам службы безопасности департамента по электронной почте. Это руководство по-прежнему применяется и должно считаться неотъемлемой частью этого документа. Этот документ дополняет и расширяет это руководство. Руководство, выпущенное в сентябре 2017 года, представлено в Приложении D для удобства пользования. Этот руководящий документ предназначен для отделов и агентств GC, рассматривающих возможность использования электронных подписей для поддержки своей повседневной деловой активности.Это «живой» документ, который со временем будет развиваться в ответ на извлеченные уроки, изменения в соответствующих законодательных требованиях или будущие технологические достижения в области электронной подписи. Следует отметить, что ничто, указанное в этом документе, не предназначено для замены или отмены существующего законодательства или политики. Любые такие несоответствия должны быть доведены до сведения Управления Главного информационного директора Министерства финансов Канады по адресу zztbscybers @ tbs-sct. gc.ca.

На этой странице

1. Введение

1.1. Фон

В соответствии с целями инициативы правительства Канады ( GC ’s) в области цифрового правительства, GC продолжает:

  • Оптимизировать внутренние и внешние бизнес-процессы
  • улучшить качество обслуживания канадцев

GC может достичь этих целей отчасти за счет замены бумажных процессов на более современные, быстрые и простые в использовании электронные методы.

В концепции ведения бизнеса в электронном виде нет ничего нового. Ряд юрисдикций, включая ГК и провинции и территории Канады, с середины 1990-х годов разработали законы, политику и стандарты для электронных документов и электронных подписей (электронных подписей). Эти законы:

  • полагаться на международно признанные правила для создания более определенной правовой среды для электронных коммуникаций и электронной коммерции
  • признает, что электронные сообщения не должны лишаться юридической силы только потому, что они находятся в электронной форме.

Независимо от того, является ли подпись бумажной или электронной, основное назначение подписи одинаково.Подпись связывает человека с документом (или транзакцией) и обычно свидетельствует о намерении этого лица утвердить или быть юридически связанными его содержанием. Основная функция подписи — предоставить свидетельство подписавшего:

  • идентификация
  • намерение подписать
  • согласие на обязательность содержания документа

Требование подписи может быть:

  • наложено актом парламента
  • наложено политикой
  • обычная практика

Подпись может быть подписью государственного служащего или представителя общественности (физического лица или представителя бизнеса).

В контексте федерального правительства подпись может потребоваться для:

  • явное согласие, одобрение, согласие, принятие или разрешение повседневной деловой активности (например, для утверждения запроса на отпуск или официального согласия с условиями контракта)
  • подчеркивать важность транзакции или события или подтверждать, что транзакция или событие имели место, например, подтверждение того, что предложение подрядчика было получено к крайнему сроку
  • обеспечивает аутентификацию источника и целостность данных, например подтверждение того, что уведомление, связанное с общественным здравоохранением, было отправлено Министерством здравоохранения Канады и не было изменено.
  • удостоверяет содержание документа (то есть, документ соответствует определенным требованиям или был соблюден определенный процесс)
  • подтверждают, что информация, содержащаяся в документе, является достоверной или точной
  • поддерживает стороннюю аттестацию, например, для функции электронного нотариуса
  • поддерживает подотчетность, например, возможность отслеживать действия людей

В некоторых случаях требуется возможность поддержки электронных подписей более чем одного человека.Это требование может быть выполнено несколькими способами, в том числе с помощью электронной почты или системы управления рабочим процессом.

1.2. Назначение и сфера применения

В этом документе содержится руководство по использованию электронной подписи для поддержки повседневной деятельности GC. Он призван уточнить:

  • что такое электронная подпись
  • какие формы электронной подписи подходят в контексте деловой активности

Этот документ — , а не , предназначенный для:

  • замена юридической консультации (владельцы бизнеса всегда должны консультироваться со своим юрисконсультом)
  • основа для защиты конфиденциальной информации от несанкционированного раскрытия (в этом документе не рассматриваются требования конфиденциальности)

1.

3. Предполагаемая аудитория

Это руководство предназначено для отделов GC. Footnote 1 , которые изучают возможность использования электронных подписей для поддержки своей повседневной деловой активности.

2. Контекст электронной подписи

2.1. Законы об электронной подписи

Юрисдикции по всему миру приняли законы, признающие действительность электронных документов и электронных подписей. Хотя рамки и определения различаются в зависимости от юрисдикции, их принципы в основном одинаковы.В Приложении А перечислены некоторые из этих источников и связанные с ними определения.

В Канаде часть 2 Закона о защите личной информации и электронных документах ( PIPEDA ) предусматривает режим, устанавливающий электронные эквиваленты бумажных документов и подписей на федеральном уровне. Часть 2 PIPEDA определяет электронную подпись как «подпись, которая состоит из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенных в электронный документ, прикрепленных к нему или связанных с ним. По сути, электронная подпись может представлять собой практически любую форму электронного представления, которая может быть связана или прикреплена к электронному документу или транзакции, включая:

  • аутентификация пользователя во внутреннем приложении для утверждения чего-либо, например, когда супервизор входит в приложение для утверждения запроса на отпуск
  • с помощью стилуса на сенсорном экране планшета написать подпись от руки и записать ее в электронном виде
  • набранное имя или блок подписи в электронном письме
  • аутентификация пользователя для доступа к веб-сайту, в сочетании с щелчком мыши на какой-либо кнопке подтверждения для фиксации намерения
  • отсканированная рукописная подпись на электронном документе
  • звук, например записанная голосовая команда (например, словесное подтверждение в ответ на вопрос)

Есть также некоторые случаи, когда часть 2 PIPEDA требует использования определенного класса электронных подписей, называемых «безопасной электронной подписью». «Безопасная электронная подпись — это форма электронной подписи, основанная на асимметричной криптографии. Конкретные случаи использования, когда часть 2 PIPEDA требует безопасной электронной подписи:

  • документы, используемые в качестве доказательства или доказательства (см. PIPEDA Часть 2, раздел 36)
  • уплотнения (см. PIPEDA Часть 2, раздел 39)
  • оригиналов документов (см. PIPEDA Часть 2, раздел 42)
  • заявлений, сделанных под присягой (см. PIPEDA Часть 2, раздел 44)
  • утверждений, объявляющих истину (см. PIPEDA Часть 2, раздел 45)
  • подписей свидетелей (см. PIPEDA Часть 2, раздел 46)

Хотя часть 2 PIPEDA устанавливает пункты для общего применения, многие из электронных эквивалентов, описываемых в ней, основаны на структуре «согласия».Следовательно, такие положения не применяются к департаментам и агентствам, если они не решат принять участие и перечислить федеральный закон или положение, которое включает подпись (или другое применимое требование) в Приложении 2 или Приложении 3 PIPEDA. Сноска 2

За прошедшие годы, вместо того, чтобы выбрать PIPEDA, несколько департаментов и агентств внесли поправки в свои собственные уставы, чтобы внести ясность в отношении электронных подписей и электронных документов в целом. Например, Министерство занятости и социального развития Канады решило эту проблему через:

Соответствующие федеральные постановления (которые были приняты до вступления в силу PIPEDA):

Оба эти правила устанавливают требование поддержки цифровых подписей в связи с онлайн-электронными переводами.Правила о безопасной электронной подписи Сноска 4 также использует термин «цифровая подпись» в своем определении безопасной электронной подписи. Таким образом, с технической точки зрения цифровая подпись и безопасная электронная подпись по сути одинаковы, поскольку обе:

  • — это форма электронной подписи на основе асимметричной криптографии
  • полагается на инфраструктуру открытых ключей ( PKI ) для управления соответствующими закрытыми ключами подписи и общедоступными сертификатами проверки

Однако Правила о безопасной электронной подписи ( SES Rules) идут дальше в нескольких отношениях, в том числе:

  • раздел 2 Регламента SES предписывает особый асимметричный алгоритм для поддержки цифровых подписей
  • Раздел 4
  • Регламента SES указывает, что выдающий удостоверяющий центр (CA) должен быть признан Министерством финансов Канады, подтверждая, что CA «имеет возможность выпускать сертификаты цифровой подписи безопасным и надежным способом. Сноска 5
  • Раздел 5 Регламента SES
  • включает презумпцию того, что при отсутствии доказательств обратного электронные данные были подписаны лицом, которое указано в сертификате электронной подписи или которое может быть идентифицировано с помощью этого сертификата.

2.2. Определение того, когда следует использовать электронную подпись

Как уже упоминалось, есть случаи, когда закон (или политика) определяет:

  • Требование электронной подписи
  • тип необходимой электронной подписи

Также есть случаи, когда:

  • требование закона только подразумевается
  • необходимость подписи установлена ​​по иной, не законодательной причине
  • в любом случае тип электронной подписи может быть неопределенным или неясным

На рис. 1 показаны шаги по определению того, требуется ли электронная подпись, и если да, то какой тип электронной подписи требуется.Хотя на Рисунке 1 подчеркивается важность получения юридической консультации на протяжении всего процесса, обратите внимание, что различные шаги, показанные на Рисунке 1, необходимо будет выполнять в сотрудничестве с другим ключевым персоналом, где это необходимо, как указано в Приложении D. Кроме того, этот документ предлагает руководство по оценка уровней доверия (см. подраздел 2.3), которые можно использовать:

  • при отсутствии указанных требований законодательства или политики
  • , если требования к внедрению электронной подписи не указаны или неясны
Рисунок 1: шаги для определения требования к электронной подписи Рисунок 1 — Текстовая версия

На рисунке 1 показаны шаги для определения того, требуется ли электронная подпись, и если да, то какой тип электронной подписи требуется.На рисунке представлена ​​блок-схема процесса, представляющая следующие этапы:

  • Шаг 1. Определите бизнес-требования
  • Шаг 2: проинформированный юрисконсультом, определите, определено ли требование подписи в существующем законодательстве или политике, и если да, перейдите к Шагу 3; если нет, переходите к шагу 4
  • Шаг 3: проинформированный юрисконсультом, определите, идентифицируется ли также тип электронной подписи, и если да, перейдите к Шагу 6; если нет, переходите к шагу 5.
  • Шаг 4: проинформированный юрисконсультом и данным инструктивным документом, определите, есть ли неявное требование или другая законная деловая причина для подписи, и если да, перейдите к шагу 5; в противном случае нет необходимости внедрять электронную подпись для идентифицированного бизнес-требования
  • Шаг 5: определите тип электронной подписи, необходимой для информирования юрисконсульта, оценки уровня уверенности и настоящего руководства, и перейдите к Шагу 6
  • Шаг 6: внедрить идентифицированное решение электронной подписи с последующей повторной оценкой со временем

2.3. Оценка уровней доверия

Руководство по определению требований к аутентификации описывает методологию определения минимального уровня доверия Сноска 6 , необходимого для достижения целей программы, предоставления услуги или надлежащего выполнения транзакции.

Эта методология может применяться в контексте электронных подписей. Сноска 7 При оценке уровней доверия следует учитывать влияние угроз, например:

  • выдача себя за другое лицо (подписывающее лицо не является тем, за кого себя выдает)
  • отказ от авторства (подписавшая сторона пытается отрицать, что она создала электронную подпись)
  • потеря целостности данных (электронные данные были изменены с момента подписания)
  • превышение полномочий (подписывающая сторона не уполномочена подписывать связанные электронные данные)

После завершения оценки и определения требований к уровню доверия можно выбрать и внедрить процедурные и технические средства контроля.Руководство по внедрению, основанное на каждом уровне гарантии, представлено в Разделе 3: Руководство по внедрению электронных подписей.

3. Руководство по внедрению электронной подписи

Как упоминалось в Разделе 2, особенности внедрения электронных подписей могут:

  • требуется законом или политикой
  • быть определено в результате оценки уровня доверия и других инструментов

В зависимости от контекста деловой активности или транзакции, вопросы реализации могут включать следующее:

  • причина или контекст для электронной подписи ясны (подпись предназначена для утверждения, согласия, согласия, авторизации, подтверждения, подтверждения, свидетельства, нотариального заверения, подтверждения или другой цели)
  • очевидно, что физические лица понимают, что они подписывают электронные данные (указание на намерение подписать)
  • уровень аутентификации соизмерим с соответствующим уровнем доверия
  • физическое лицо (лица) имеет право подписывать электронные данные
  • метод, используемый для установления электронной подписи, соизмерим с соответствующим уровнем доверия
  • При необходимости фиксируется следующая вспомогательная информация
  • :
    • дата и время подписания электронных данных
    • свидетельство того, что подпись действительна на момент ее подписания
  • , электронная подпись и вспомогательная информация связаны с подписанными электронными данными, и целостность этой информации поддерживается с использованием методов, соизмеримых с соответствующим уровнем гарантии
  • возможность проверки электронной подписи поддерживается с течением времени

Обратите внимание, что требования, связанные с каждой из этих областей, будут варьироваться в зависимости от уровня гарантии, необходимого для электронной подписи, как обсуждается в следующих подразделах.

3.1. Соображения по аутентификации пользователя

Как отмечалось ранее, привязка лиц к подписанной электронной записи является одним из основных требований для электронной подписи, и поэтому уровень гарантии процесса аутентификации и электронной подписи тесно связаны. Текущее руководство GC по аутентификации пользователей включает следующее:

По сути, уровень доверия, необходимый для электронной подписи, диктует уровень доверия, необходимый для аутентификации пользователя, который, в свою очередь, диктует уровень доверия, необходимый для подтверждения идентичности и подтверждения учетных данных.Перечисленные выше руководящие документы следует использовать для определения конкретных требований на каждом уровне доверия на основе следующих рекомендаций:

  • при Уровень доверия 1 :
  • на уровне доверия 2 :
    • должны соблюдаться минимальные требования к удостоверению личности, изложенные в Руководстве по обеспечению удостоверения личности для уровня доверия 2
    • любой из типов токенов, указанных в ITSP. 030.31 для уровня доверия 2 или выше может использоваться для аутентификации
  • при Уровне уверенности 3 :
    • должны соблюдаться минимальные требования к удостоверению личности, изложенные в Руководстве по обеспечению удостоверения личности для уровня доверия 3
    • требуется двухфакторная аутентификация (дополнительную информацию см. В Приложении B)
  • при уровне доверия 4 :
    • должны соблюдаться минимальные требования к удостоверению личности, изложенные в Руководстве по обеспечению удостоверения личности для уровня доверия 4
    • необходимо использовать многофакторное криптографическое аппаратное устройство, такое как смарт-карта

Дополнительная информация о факторах аутентификации и типах токенов, связанных с аутентификацией пользователя, представлена ​​в Приложении B.

3.2. Определение метода, который будет использоваться для реализации электронных подписей

В разделе 2 обсуждались различные формы электронных подписей. В этом разделе указывается тип электронной подписи, рекомендуемый на каждом уровне доверия.

Рекомендации по электронным подписям на каждом уровне доверия следующие:

  • на уровне доверия 1, допустимы любые типы электронной подписи
  • на уровне гарантии 2, любой тип электронной подписи может использоваться в сочетании с требованиями аутентификации для уровня гарантии 2 или выше
  • на уровне гарантии 3, некриптографическая электронная подпись может использоваться в сочетании с приемлемой двухфакторной аутентификацией, или цифровая подпись или безопасная электронная подпись может быть предпочтительнее в некоторых обстоятельствах, в зависимости от целевой среды и мер безопасности. которые на месте
  • с уровнем гарантии 4, требуется безопасная электронная подпись в сочетании с аппаратным устройством с многофакторным шифрованием

С технической точки зрения, электронная подпись на более высоком уровне доверия может также использоваться на более низких уровнях доверия (например, электронная подпись уровня 3 может также использоваться для поддержки требований к электронной подписи уровня 1 и 2. ).Однако другие факторы, такие как стоимость, удобство использования и эксплуатационные требования, также должны быть приняты во внимание, чтобы определить наиболее разумный подход.

3.3. Подтверждающая информация

Как обсуждалось в подразделе 2.1, электронная подпись — это любое электронное представление, где:

  • личность человека, подписывающего данные, может быть связана с подписываемыми электронными данными
  • намерение физического лица при подписании электронной записи передано каким-либо образом
  • причина подписания электронных данных передается каким-либо образом

Могут быть требования о включении другой вспомогательной информации, например, времени подписания электронных данных.

Дополнительная информация, рекомендуемая на каждом уровне доверия, следующая:

  • при Уровне уверенности 1 , вспомогательная информация должна включать:
    • электронная подпись
    • подписанные электронные данные
    Обратите внимание, что эта информация может быть неявно идентифицирована в зависимости от типа электронной транзакции.
  • при Уровне доверия 2 , вспомогательная информация должна включать:
    • метод аутентификации
    • электронная подпись
    • подписанные электронные данные
    • метка времени, основанная на стандартном локальном системном времени, которая указывает время, когда электронные данные были подписаны
    Обратите внимание, что часть этой информации может быть неявно идентифицирована, в зависимости от типа электронной транзакции
  • при Уровне доверия 3 вспомогательная информация будет зависеть от типа электронной подписи:
    • для электронной подписи, не основанной на криптографии, вспомогательная информация должна включать ту же информацию, что и для уровня доверия 2
    • для цифровых подписей или защищенных электронных подписей вспомогательная информация должна включать:
    • Свидетельство о поверке
    • путь сертификации
    • связанная информация об отзыве или статус на момент подписания электронных данных
  • на уровне доверия 4 , подтверждающая информация:
    • — это то же самое, что цифровая подпись или безопасная электронная подпись на уровне гарантии 3
    • также должен включать безопасную метку времени Сноска 8

Другая вспомогательная информация также может потребоваться для удовлетворения конкретных потребностей бизнеса.

3.4. Системная и информационная целостность

Целостность системы и информации — еще один ключевой фактор, относящийся к:

  • исходные подписанные электронные данные
  • электронная подпись
  • любая другая подтверждающая информация, которая может быть связана с электронной транзакцией (обсуждается в подразделе 3.3 настоящего документа)

Кроме того, целостность связи между всеми этими элементами должна оставаться неизменной с течением времени.Некоторые из этих элементов могут быть захвачены и защищены различными способами, включая использование журналов системного аудита и или как часть цифровой подписи или безопасной электронной подписи. Вся вспомогательная информация, независимо от того, где и как она хранится, в совокупности называется записью транзакции.

Ожидается, что будут внедрены определенные меры безопасности системы и целостности информации для защиты целостности:

  • электронные операции
  • записи транзакции

ITSG-33, Приложение 1, определяет три уровня целостности: низкий, средний и высокий.В этом документе предполагается, что системы и информация ГХ будут защищены на среднем уровне целостности. Профиль Protected B, средняя целостность и средняя доступность, определенный в ITSG-33, приложение 4A, профиль 1, следует использовать для определения минимальных мер безопасности, которые должны быть в наличии, особенно в отношении следующих семейств мер безопасности:

  • контроль доступа (AC)
  • Аудит и отчетность (AU)
  • идентификация и аутентификация (IA)
  • целостность системы и информации (SI)

Рекомендации по требованиям целостности на каждом уровне доверия следующие:

  • при уровне доверия 1 , применяется средний уровень целостности; однако нет необходимости вести или хранить записи транзакций
  • при Уровень доверия 2 :
    • средняя целостность применяется к электронной транзакции и записи транзакции
    • , запись транзакции должна быть сохранена в соответствии с требованиями уровня доверия 2 в ITSP.30.031 (см. Таблицу 9, столбец «Хранение записей») или применимым законодательством, политикой или бизнес-требованиями
  • при Уровне уверенности 3 :
    • Средняя целостность применяется к электронной транзакции и записи транзакции
    • при использовании цифровой подписи или безопасной электронной подписи, по крайней мере, некоторые из требований целостности будут поддерживаться самой подписью, включая целостность подписанных электронных данных
    • Алгоритмы
    • и связанные с ними длины ключей, утвержденные канадским ведомством безопасности ( CSE ), должны использоваться в соответствии с требованиями ITSP.40.111
    • любые вспомогательные элементы, целостность которых явно не защищена цифровой подписью или безопасной электронной подписью, должны регистрироваться в журнале аудита
    • Записи транзакций
    • должны храниться в соответствии с требованиями Уровня гарантии 3 в ITSP.30.031 (см. Таблицу 9, столбец «Хранение записей») или в соответствии с применимым законодательством, политикой или бизнес-требованиями
  • при уровне доверия 4 :
    • безопасная электронная подпись, применяемая лицом, подписывающим электронные данные, защищает подписываемые электронные данные, а сочетание факторов защищает сам процесс подписи
    • требуется безопасная метка времени, которая может быть предоставлена ​​доверенной третьей стороной
    • Утвержденные CSE алгоритмы и соответствующие длины ключей должны использоваться в соответствии с требованиями ITSP.40.111
    • Записи транзакций
    • должны храниться в соответствии с требованиями Уровня уверенности 4 в ITSP.30.031 (см. Таблицу 9, столбец «Хранение записей») или в соответствии с применимым законодательством, политикой или бизнес-требованиями

3.5. Соображения по поводу долгосрочной валидации

Для некриптографических электронных подписей ожидается, что вся информация, необходимая для проверки подлинности подписи, будет доступна до тех пор, пока запись должна храниться.Электронная подпись должна быть проверена и подтверждена с течением времени.

Для цифровой подписи или безопасной электронной подписи существует ряд шагов, чтобы гарантировать, что операция подписания выполняется с законными учетными данными во время подписания электронной записи. Эти шаги включают проверку того, что сертификат открытого ключа соответствует закрытому ключу подписи:

  • находится в пределах указанного срока действия
  • не отозван
  • успешно соединяется с признанным якорем доверия

Однако со временем некоторые аспекты проверки, которые были на месте, когда была подписана электронная запись, могут измениться.Например, срок действия сертификата открытого ключа может истечь или он может быть отозван. Кроме того, развитие криптографии и вычислительных возможностей может сделать криптографический алгоритм (или соответствующую длину ключа), используемый для выполнения операции подписи, уязвимым в какой-то момент в будущем.

Именно здесь концепция долгосрочной проверки ( LTV ) становится важной. Поскольку обстоятельства со временем изменятся, важно криптографически привязать определенную информацию к первоначально подписанному электронному документу или записи.К такой информации относятся:

  • время подписания электронного документа или записи
  • сертификаты открытого ключа, необходимые для проверки подписи
  • связанная информация о статусе отзыва сертификата на момент подписания электронной записи

Процедура LTV может быть рекурсивной, чтобы учитывать изменения обстоятельств в течение длительного периода, так что первоначально подписанный электронный документ или запись могут быть проверены в течение многих лет или даже десятилетий.Технические спецификации были разработаны для поддержки LTV на основе следующего формата или синтаксиса электронного документа или записи:

  • Стандарт расширенной электронной подписи формата переносимого документа ( PAdES )
  • Стандарты расширенной электронной подписи расширяемого языка разметки ( XAdES )
  • Стандарты расширенной электронной подписи синтаксиса криптографических сообщений ( CAdES )

Еще одно соображение — это изменение формата исходного электронного документа или записи с данными, например, когда он конвертируется для долгосрочного архивирования.Изменение формата сделает исходную цифровую подпись или безопасную электронную подпись недействительной, поскольку проверка целостности встроенных данных не удастся. На самом деле подпись может быть вообще удалена из-за конвертации. В некоторых случаях можно создать новую цифровую подпись или безопасную электронную подпись (например, используя надежный источник для проверки того, что преобразованный контент был первоначально подписан определенным лицом в определенное время). Другое возможное решение — принять стандарты, специально разработанные для решения проблем LTV, например PDF / A-2.Однако такие варианты могут быть возможны не при всех обстоятельствах, и может потребоваться другое решение, такое как сохранение метаданных, которые указывают обстоятельства, при которых исходный контент был подписан (например, кто его подписал, когда он был подписан и т. Д.) .

Хотя ожидается, что это будет крайне редко, могут быть случаи, когда сертификат открытого ключа отзывается с датой и временем недействительности, установленными на какое-то время в прошлом. Это могло быть связано с несколькими причинами, включая обнаружение того, что закрытый ключ подписи был скомпрометирован, но компрометация не была обнаружена до определенного момента в будущем.Это может означать, что цифровая подпись или безопасная электронная подпись, которая считалась действительной на момент ее создания, на самом деле недействительна, поскольку статус сертификата должен был быть отозван во время подписания электронного документа или записи. В этом случае необходимо предпринять процедурные шаги (которые выходят за рамки этого документа), чтобы определить, была ли подпись создана заявленным лицом и при соответствующих обстоятельствах.

3.6. Использование сторонних поставщиков услуг

Сторонние поставщики услуг предлагают различные формы услуг электронной подписи, которые GC может использовать при соответствующих обстоятельствах.Владельцы бизнеса должны оценить, можно ли использовать сторонние сервисы на основании:

  • особые бизнес-требования
  • связанные минимальные уровни доверия

Кроме того, сторонние решения должны основываться на принятых в отрасли стандартах. По возможности следует избегать проприетарных решений, чтобы предотвратить привязку к поставщику и способствовать взаимодействию.

Есть ряд причин, по которым могут быть рассмотрены услуги, предоставляемые третьими сторонами.Например, сторонний поставщик может предложить подходящий продукт рабочего процесса, который отвечает потребностям отдела (то есть поддерживает заданное бизнес-требование и соответствует требованиям к электронной подписи и аудиту). Другой пример — поставщик облачных услуг предлагает приемлемые возможности электронной подписи для поддержки приложения GC, размещенного в облаке.

Еще одно соображение — когда GC взаимодействует с внешними организациями и частными лицами. Цифровые подписи, созданные GC, должны быть проверены этими внешними объектами, и поэтому необходимо будет использовать сертификаты, выпущенные CA, которые распознаются внешними по отношению к GC. Footnote 9 Также могут быть обстоятельства, когда цифровая подпись создается внешним объектом, который также должен быть распознан GC.

4. Резюме

Этот документ направлен на разъяснение практики интерпретации и реализации использования электронных подписей. Его цель — предоставить экономичные и разумные решения, которые улучшат взаимодействие с пользователем и сократят время, необходимое для выполнения повседневных деловых операций, когда электронные подписи могут применяться вместо бумажных подходов.

Таблица 2 суммирует рекомендации, представленные в разделе 3 этого документа на каждом уровне доверия для:

  • минимум допустимый тип электронной подписи
  • уровней аутентификации
  • требования к отметке времени
  • вспомогательная информация, рекомендуемая на каждом уровне доверия
  • Требования к целостности системы и информации
  • период хранения записей о транзакциях
Таблица 2: рекомендации по внедрению электронной подписи
Тип электронной подписи Уровень аутентификации Требование отметки времени Вспомогательная информация Целостность системы и информации Срок хранения записи транзакции

Таблица 2 Примечания

Таблица 2 Примечание 1

Выбор конкретного метода электронной подписи и связанных требований к реализации, предлагаемых на этом уровне (как указано в этой строке), должен определять владелец бизнеса.Дополнительные меры по снижению риска могут потребоваться для некриптографических электронных подписей на уровне гарантии 3. Если программный токен на основе PKI используется для поддержки требования электронной подписи, процесс аутентификации должен быть дополнен соответствующим вторым токеном аутентификации.

Вернуться к таблице 2 примечание 1 реферер

Таблица 2 Примечание 2

На этом уровне гарантии должно использоваться многофакторное аппаратное криптографическое устройство.Хотя устройство с многофакторным одноразовым паролем соответствует требованиям аутентификации для уровня надежности 4, оно не имеет необходимых функций для поддержки безопасной электронной подписи.

Вернуться к таблице 2 примечание 2 реферер

Уровень доверия 1 Электронная подпись Любая форма аутентификации Нет условий электронная подпись, подписанные данные Средняя целостность Нет условий
Уровень доверия 2 Электронная подпись Уровень доверия 2 или выше Дата и время локальной системы Метод аутентификации, электронная подпись, подписанные данные, отметка времени Средняя целостность Как предусмотрено для Уровня доверия 2 в ITSP.30.031 или применимым законодательством, политикой или бизнес-требованием
Уровень доверия 3 таблица 2 примечание 1 Электронная подпись Уровень доверия 3 или выше
(двухфакторная аутентификация обязательна)
Дата и время в локальной системе

Определяется по типу:

  • для некриптографической электронной подписи, включая метод аутентификации, ES, подписанные электронные данные, отметку времени
  • для криптографической электронной подписи, добавьте сертификат проверки и путь сертификации, а также связанную информацию об отзыве
Средняя целостность; для криптографической электронной подписи части будут иметь цифровую подпись Как предусмотрено для Уровня доверия 3 в ITSP.30.031 или применимым законодательством, политикой или бизнес-требованием
Уровень доверия 4 Безопасная электронная подпись Только уровень доверия 4 таблица 2 примечание 2 Безопасная отметка времени SES, подписанные электронные данные, сертификат проверки и путь сертификации, а также соответствующая информация об отзыве, безопасная отметка времени Цифровая подпись Как предусмотрено для уровня доверия 4 в ITSP.30.031 или применимым законодательством, политикой или бизнес-требованием

Приложение A: источники и определения, связанные с электронными подписями

В этом приложении перечислены источники информации из национальных и международных юрисдикций, касающиеся электронных подписей. Также приведены определения терминов, используемых в этих источниках.

Эта информация используется для определения основных концепций электронных подписей, изложенных в этом документе.Источники из неканадских юрисдикций включены для того, чтобы:

  • демонстрируют широту охвата
  • выделяет терминологию, используемую в других юрисдикциях, что особенно полезно там, где может потребоваться совместимость с другими юрисдикциями.

Канадские федеральные законы и постановления, касающиеся электронных подписей, включают:

Кроме того, на веб-сайте Министерства юстиции Канады есть более 20 федеральных законов и почти 30 нормативных актов, которые содержат ссылки на «электронную подпись.” Сноска 10

Большинство канадских провинциальных и территориальных юрисдикций приняли законы об электронной торговле и транзакциях, которые предоставляют электронные эквиваленты бумажных подписей, наряду с другими требованиями, путем принятия принципов, установленных в Типовом законе Канадской конференции по единообразному праву (Закон о единой электронной торговле ( UECA )). Footnote 11 UECA является технологически нейтральным и определяет «электронную подпись» как электронную информацию, которую лицо создает или принимает для подписания записи и которая прикреплена к записи или связана с ней.Электронная подпись, определенная таким образом, действует как подпись в законе. Как указано в руководстве УЕКА, сам закон не устанавливает никаких технических стандартов для изготовления действующей подписи. В результате электронные подписи могут быть созданы разными способами, если иное не предусмотрено правилами. Сноска 12

Неканадские источники интереса, которые касаются терминов и понятий, связанных с электронными подписями, включают:

Конкретные термины, определенные в этих источниках, включают следующее (см. Таблицу A1):

  • электронная подпись
  • безопасная электронная подпись
  • цифровая подпись
  • расширенная электронная подпись ( AdES )
  • квалифицированная электронная подпись ( QES )
Таблица A1: термины и определения, относящиеся к электронным подписям
Срок Источник Определение
электронная подпись PIPEDA, Часть 2 «подпись, состоящая из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенная в электронный документ, прикрепленная к нему или связанная с ним»
УЕКА «информация в электронной форме, которую лицо создало или приняло для подписания документа и которая находится в документе, прикреплена к нему или связана с ним»
UETA «электронный звук, символ или процесс, прикрепленный к записи или логически связанный с ней и выполняемый или принятый лицом с намерением подписать запись»
ЭЛЕКТРОННЫЙ ЗНАК «Электронный звук, символ или процесс, прикрепленный или логически связанный с контрактом или другой записью и исполняемый или принятый лицом с намерением подписать запись»
eIDAS «данные в электронной форме, которые прикреплены к другим данным в электронной форме или логически связаны с ними и которые используются подписавшим лицом для подписи»
Типовой закон ЮНСИТРАЛ об электронных подписях «данные в электронной форме в сообщении данных, прикрепленные к нему или логически связанные с ним, которые могут использоваться для идентификации подписавшего в отношении сообщения данных и для обозначения согласия подписавшего с информацией, содержащейся в сообщении данных»
безопасная электронная подпись PIPEDA Часть 2

PIPEDA Часть 2, разделы 31 (1), 48 (1) и 48 (2) в совокупности определяют «безопасную электронную подпись» как «электронную подпись, которая является результатом применения технологии или процесса…» со следующими характеристиками :

  1. «электронная подпись, возникающая в результате использования человеком технологии или процесса, уникальна для этого человека;
  2. использование технологии или процесса лицом для включения, прикрепления или связывания электронной подписи лица с электронным документом находится под исключительным контролем этого лица;
  3. технология или процесс могут быть использованы для идентификации человека, использующего технологию или процесс; и
  4. , электронная подпись может быть связана с электронным документом таким образом, что ее можно использовать для определения того, был ли электронный документ изменен с тех пор, как электронная подпись была включена, прикреплена или связана с электронным документом.”
Регламент СЭС

«безопасная электронная подпись в отношении данных, содержащихся в электронном документе, — это цифровая подпись, которая возникает в результате выполнения следующих друг за другом операций:

  1. применение хэш-функции к данным для создания дайджеста сообщения;
  2. применение закрытого ключа для шифрования дайджеста сообщения;
  3. включение в зашифрованный дайджест сообщения, прикрепление к электронному документу или связь с ним;
  4. передача электронного документа и зашифрованного дайджеста сообщения вместе с
  5. сертификат электронной подписи или
  6. средство доступа к сертификату электронной подписи; и
  7. после получения электронного документа, зашифрованного дайджеста сообщения и сертификата цифровой подписи или средства доступа к сертификату электронной подписи,
  8. применение открытого ключа, содержащегося в сертификате цифровой подписи, для расшифровки зашифрованного профиля сообщения и создания профиля сообщения, указанного в параграфе (а),
  9. применение хеш-функции к данным, содержащимся в электронном документе, для создания дайджеста нового сообщения,
  10. проверка того, что при сравнении дайджесты сообщений, упомянутые в параграфе (a) и подпункте (ii), идентичны, а
  11. проверка того, что сертификат электронной подписи действителен в соответствии с разделом 3 (Регламента SES).”
цифровая подпись Правила электронных платежей и Правила проведения платежей и расчетов

«результат преобразования сообщения с помощью криптосистемы с использованием таких ключей, что лицо, имеющее исходное сообщение, может определить:

  1. , было ли преобразование создано с использованием ключа, соответствующего ключу подписавшего, и
  2. , было ли сообщение изменено с момента преобразования.”
ITSP.40.111 «криптографическое преобразование данных, обеспечивающее аутентификацию, целостность данных и неотказуемость подписывающего лица».
AdES eIDAS «электронная подпись, которая однозначно связана с подписавшим, способна идентифицировать подписавшего, создается с использованием данных для создания электронной подписи, которые подписавший может с высокой степенью уверенности использовать под своим единственным контролем, и связана с данные, подписанные таким образом, чтобы можно было обнаружить любое последующее изменение данных.”
QES eIDAS «усовершенствованная электронная подпись, которая создается квалифицированным устройством для создания электронной подписи и основана на квалифицированном сертификате для электронных подписей».

Хотя Типовой закон ЮНСИТРАЛ об электронных подписях ( PDF , 249 КБ) не дает четкого определения, в нем также используется термин «цифровая подпись» в соответствии с определением части 2 PIPEDA.

Определения, приведенные в таблице A1, приводят к следующим наблюдениям:

  • Хотя существует множество определений «электронной подписи», цель каждого из них, по сути, одинакова.
  • С технической точки зрения термины «безопасная электронная подпись», «цифровая подпись», «AdES» и «QES» ar e по существу эквивалентны. Все они основаны на асимметричной криптографии и полагаются на инфраструктуру открытых ключей (PKI) для управления связанными ключами и сертификатами.Тем не мение:
    • В Регламенте SES есть особые требования, которые применяются к термину «безопасная электронная подпись»
    • есть также более строгие требования к реализации, связанные с QES

Следует также отметить, что описание, приведенное в Регламенте SES, настолько детально, что фактически предписывает конкретный алгоритм цифровой подписи. Footnote 13 Было ли это намеренно (для обеспечения взаимодействия) или нет (в то время предполагалось, что все алгоритмы цифровой подписи имеют одинаковые математические свойства), неясно.В любом случае следует проконсультироваться с ITSP.40.111 для утвержденных алгоритмов и связанных длин ключей.

Приложение B: факторы аутентификации пользователей и типы токенов

Цель этого Приложения — помочь прояснить, какие типы маркеров аутентификации, описанные в ITSP.30.031, могут использоваться на каждом уровне гарантии. Хотя для получения дополнительных сведений следует обращаться к ITSP.30.031, некоторые из основных концепций, связанных с факторами аутентификации и токенами, представлены здесь для удобства читателя.

По сути, факторы аутентификации описываются как:

  • то, что знает пользователь
  • то, что есть у пользователя
  • что-то у пользователя

Типы токенов для «чего-то, что знает пользователь»:

  • запомненных секретных токенов (пароль, связанный с учетной записью или идентификатором пользователя)
  • предварительно зарегистрированных токенов знаний (например, заранее заданные ответы на набор контрольных вопросов)

Типы токенов для «чего-то, что есть у пользователя»:

  • поисковые секретные жетоны (статическая сетка или карты «бинго»)
  • дополнительных токенов (push-уведомление на внешнее устройство, такое как смартфон)
  • устройств с однофакторным одноразовым паролем (OTP) (токен открытой аутентификации (OATH))
  • однофакторное криптографическое устройство (USB-ключ со встроенными криптографическими возможностями и безопасным хранилищем ключей)

Типы маркеров «Что-то вы есть» включают биометрические данные, такие как отпечаток пальца, сканирование сетчатки глаза и распознавание лиц.Однако в соответствии с ITSP.30.031 биометрия может использоваться только в сценарии многофакторной аутентификации, например при использовании сканирования отпечатка пальца для разблокировки аппаратного токена. Сноска 14

Многофакторные токены включают:

  • многофакторные устройства OTP, такие как устройство OTP, для которого требуется локальная аутентификация пользователя перед отображением кода доступа
  • многофакторные аппаратные криптографические устройства, такие как смарт-карта Footnote 15

Многофакторная аутентификация (или, более конкретно, двухфакторная аутентификация) также может быть достигнута путем объединения соответствующего токена «что-то, что вы знаете» с соответствующим токеном «что-то у вас есть».Рекомендации по приемлемым двухфакторным решениям представлены в Рекомендациях по двухфакторной аутентификации пользователей в корпоративном домене правительства Канады.

В таблице B1 приведены допустимые типы маркеров на каждом уровне доверия.

Таблица B1: электронные подписи и методы аутентификации
Запомненный секретный токен таблица B1 примечание 1 Предварительно зарегистрированный токен знаний Поисковый секретный токен Внеполосный токен Однофакторное устройство OTP Однофакторное криптографическое устройство Многофакторный программный криптографический токен Многофакторное устройство OTP Многофакторное криптографическое устройство

Таблица B1 Примечания

Таблица B1 Примечание 1

Запомненный секрет обычно представляет собой пароль, связанный с определенным идентификатором пользователя.Разница между запомненным секретом уровня доверия 1 и запомненным секретом уровня доверия 2 заключается в надежности пароля. Пароль должен соответствовать минимальным требованиям к стойкости и энтропии, прежде чем его можно будет считать достаточным для запомненного секрета уровня доверия 2. Дополнительную информацию см. В Приложении B к ITSP.30.031.

Вернуться к таблице B1 примечание 1 реферер

Таблица B1 Примечание 2

Как отмечалось выше, соответствующая комбинация двух токенов уровня доверия 2 также может использоваться для достижения эквивалента токена уровня доверия 3, как указано в ITSP.30.031. Например, запомненный секретный маркер уровня гарантии 2, используемый в сочетании с соответствующим внеполосным маркером (например, «push-уведомление» на смартфон, управляемый сборщиком мусора), эквивалентен маркеру уровня гарантии 3 и, следовательно, может быть используется в тандеме для поддержки электронных подписей на уровне доверия 3.

Вернуться к таблице B1 примечание 2 реферер

Таблица B1 Примечание 3

Многофакторного устройства OTP достаточно для аутентификации уровня надежности 4; тем не менее, он не имеет необходимых функций для создания цифровой подписи или безопасной электронной подписи, что является обязательным на уровне доверия 4.

Вернуться к таблице B1 примечание 3 реферер

Уровень доверия 1 Есть Есть Есть Есть Есть Есть Есть Есть Есть
Уровень доверия 2 Есть Есть Есть Есть Есть Есть Есть Есть Есть
Уровень доверия 3 таблица B1 примечание 2 Есть Есть
Уровень доверия 4 таблица B1 примечание 3 Есть

Приложение C: примеры хозяйственной деятельности

Цель этого Приложения — предоставить примеры видов деловой активности, которые могут соответствовать каждому уровню доверия.В общем, по мере того, как возрастает важность и / или ценность деловой активности, увеличивается и соответствующий уровень доверия. Тем не менее, следует отметить, что примеры деловой активности, представленные здесь, предназначены только для иллюстративных целей и никоим образом не предназначены для предписания .

Отдельные отделы должны проводить свои собственные оценки в контексте своих бизнес-потребностей и требований. Общей целью должно быть:

  • использовать существующие инвестиции там, где это возможно (отделы должны использовать то, что у них уже есть, где это имеет смысл)
  • улучшить пользовательский опыт
  • внедрять рентабельные, разумные решения, соизмеримые с оцененным уровнем гарантии
Таблица C1: примеры хозяйственной деятельности
Уровень гарантии Деловые операции (только примеры)
Уровень доверия 4
  • Финансовые операции в Интернете, где действующее законодательство требует цифровой подписи или безопасной электронной подписи (например, Положения об электронных платежах и Положения о требованиях к платежам и расчетам )
  • Сценарии использования PIPEDA, часть 2 (если применимо)
  • Обязательные контракты с внешними организациями, стоимость которых превышает определенную долларовую стоимость (на основе допуска к риску, определяемого оценкой отдела)
Уровень доверия 3
  • Утверждение руководством финансовых операций, не требующих цифровой подписи или безопасной электронной подписи (например, утверждение требований о расходах сотрудников)
  • Обязательные контракты с внешними организациями, стоимость которых ниже определенной долларовой стоимости (на основе допуска к риску, определяемого оценкой департамента)
  • Здесь может применяться один или несколько примеров деловой активности, приведенных ниже в рамках Уровня гарантии 2 (допуск к риску зависит от отдела; некоторые отделы могут принять решение о внедрении более строгих мер безопасности для некоторых видов деятельности, указанных ниже в рамках Уровня гарантии 2)
Уровень доверия 2
  • Оставить заявку и согласовать
  • Запросы и разрешения на поездки
  • Подача и согласование табелей учета рабочего времени
  • Подача претензий по расходам (но не утверждения)
  • Подача онлайн определенных заявок или форм от внешних пользователей
  • Межведомственные меморандумы о взаимопонимании
Уровень доверия 1
  • Ежедневная переписка практически без подразумеваемых обязательств от имени отправителя или GC

Приложение D: руководство отправлено DSO по электронной почте

(Обратите внимание, что заголовки и ссылки на некоторые ссылки на исходную документацию были обновлены, чтобы отразить самые последние доступные версии.)

Кому: DSO

Следующее руководство по использованию электронных подписей для проверки безопасности предоставляется в ответ на обсуждения в Совете безопасности правительства Канады (GCSC), и было сочтено, что это будет полезно для всех DSO.

Целью получения подписи человека на формах проверки безопасности является подтверждение того, что они подтверждают, что они были проинформированы о том, что их личная информация будет собрана, и получить их согласие на то, что их личная информация будет раскрыта для целей проверки безопасности (как указано в Положения о конфиденциальности и согласии), а также в соответствии с разделами 7 и 8 Закона о конфиденциальности .Также важно продемонстрировать, что лицо намеревается быть связанным обязательствами, прилагаемыми к этой подписи.

В форме проверки безопасности подпись не обязательно должна быть в определенной форме, чтобы иметь юридическую силу, и служит той же цели, независимо от того, является ли она «мокрой» или электронной. Мокрая подпись создается, когда человек маркирует документ своим именем чернилами, которым требуется время для высыхания. Электронная подпись определяется в Законе о защите личной информации и электронных документах (PIPEDA) как «состоящая из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенная в электронный документ, прикрепленная к нему или связанная с ним. .”

Департаменты и агентства, желающие продолжить использование электронных подписей в качестве альтернативы традиционной мокрой подписи, должны учитывать следующее, чтобы определить, является ли такой шаг жизнеспособным в их операционной среде, и иметь возможность снизить любой потенциальный правовой риск, который может возникнуть .

  • Внедрение электронных подписей в отделе или агентстве должно осуществляться в сотрудничестве с заинтересованными сторонами в области ИТ и бизнеса (при необходимости), и, при необходимости, можно проконсультироваться с юрисконсультом отдела
  • Тип используемой технологии и подход к ее внедрению должны соответствовать Стратегическому плану правительства Канады по управлению информацией и информационным технологиям на 2017–2021 годы.
  • Положения о конфиденциальности и согласии должны быть такими же, как и в бумажных формах, чтобы гарантировать отсутствие расхождений между двумя форматами.
  • Базовый процесс и стандартные рабочие процедуры, связанные со сбором, получением и хранением электронных документов и соответствующих подписей, должны быть задокументированы и последовательно реализованы.
  • Если использование электронной подписи когда-либо будет оспорено в суде, департамент или агентство должны будут иметь возможность продемонстрировать надежность системы / технологии и лежащих в основе процессов и процедур и предоставить доказательства того, что во всех существенных случаях ИТ-система (системы) ) / используемое (ые) устройство (а) работали должным образом или, в противном случае, нет других разумных оснований сомневаться в целостности электронной подписи.

Для получения дополнительных указаний вы можете обратиться к стандарту Канадского совета по общим стандартам, озаглавленному «Электронные записи как документальные доказательства», который предоставляет информацию и рекомендации по разработке политик, процедур, процессов и документации, подтверждающих надежность, точность и подлинность электронных записей. Кроме того, Директива по управлению идентификацией и Стандарт по удостоверению личности и удостоверению личности содержат указания относительно проверки личности физических лиц, которые в равной степени применимы к использованию электронных подписей.

Мы надеемся, что это поможет. С любыми вопросами обращайтесь по адресу [email protected]

С уважением,
Рита Уиттл
Генеральный директор по политике безопасности и управления идентификационной информацией, главный информационный директор, филиал
Казначейство Секретариата Канады / Правительство Канады
[email protected] / Тел: 613-369-9683 / TTY: 613-369-9371

Сноски

Сноска 1

В этом документе «департаменты» обозначают федеральные департаменты и агентства.

Вернуться к сноске 1 реферер

Сноска 2

Исключением из требования о включении является раздел 36 PIPEDA.

Вернуться к сноске 2 реферер

Сноска 3

В настоящее время существует более 20 федеральных законов и почти 30 нормативных актов, перечисленных на веб-сайте Министерства юстиции Канады, которые содержат ссылки на «электронную подпись» (на основе поиска термина «электронная подпись» с использованием инструмента расширенного поиска Министерства юстиции Канады. ).

Вернуться к сноске 3 реферер

Сноска 4

Правила о безопасной электронной подписи прилагаются как к PIPEDA, так и к Закону Канады о доказательствах .

Вернуться к сноске 4 реферер

Сноска 5

В настоящее время рассматривается как описание алгоритма, так и процесс распознавания.

Вернуться к сноске 5 реферер

Сноска 6

Обратите внимание, что уровни доверия не следует путать с уровнями полномочий.

Вернуться к сноске 6 реферер

Сноска 7

Обратите внимание, что другие инструменты, такие как ITSG 33: Руководство по категоризации безопасности , также могут использоваться для помощи в процессе оценки.

Вернуться к сноске 7 реферер

Сноска 8

Безопасная метка времени получена из надежного источника. Целостность безопасной отметки времени защищена криптографически.

Вернуться к сноске 8 реферер

Сноска 9

Обратите внимание, что электронные подписи, созданные с использованием сертификатов, выпущенных внутренними центрами сертификации GC, такими как CA Internal Credential Management (ICM), обычно не способны поддерживать взаимодействие с внешними объектами, поскольку выдающий CA не является признанным якорем доверия за пределами GC. (Существует ограниченное количество исключений, когда ICM выдает сертификаты внешним объектам, но такие исключения не предлагают жизнеспособного долгосрочного решения.)

Вернуться к сноске 9 реферер

Сноска 10

На основе поиска по запросу «электронная подпись» с помощью инструмента расширенного поиска Министерства юстиции Канады.

Вернуться к сноске 10 реферер

Сноска 11

Электронные эквиваленты подписи, содержащиеся в провинциальных и территориальных законах об электронных транзакциях, не применяются к GC.

Вернуться к сноске 11 реферер

Сноска 12

УЕКА заявляет, что органы, ответственные за требование о юридической подписи, могут принимать постановления, если считается, что ситуация предполагает определенную степень надежности идентификации или связи с документом, который нужно подписать. Точно так же подписи, представленные правительству (провинциальному и территориальному), должны соответствовать требованиям информационных технологий и любым правилам, касающимся метода их создания или их надежности.См. Обсуждение Канадской конференцией по единообразному праву Единого закона об электронной торговле № .

Вернуться к сноске 12 реферер

Сноска 13

Свойства, указанные в Регламенте SES, описывают цифровую подпись, основанную на алгоритме Rivet, Shamir, Adleman (RSA). Другие алгоритмы цифровой подписи, такие как алгоритм цифровой подписи с эллиптической кривой (ECDSA), также действительны, но имеют другие математические свойства, которые не полностью соответствуют описанию в Правилах SES.

Вернуться к сноске 13 реферер

Сноска 14

По мере развития биометрических технологий это ограничение может быть пересмотрено.

Вернуться к сноске 14 реферер

Сноска 15

Обратите внимание, что многофакторный программный криптографический токен (например, программный токен на основе PKI, такой как программный токен myKEY) здесь намеренно опущен, поскольку он не считается адекватным многофакторным решением в соответствии с инструкциями, приведенными в ITSP. .30.031. Кроме того, программных токенов на основе PKI недостаточно на уровне гарантии 3, если процесс аутентификации не связан с другим подходящим токеном уровня гарантии 2 (который обычно не поддерживается в существующих развертываниях GC).

Вернуться к сноске 15 реферер

Как создать цифровую подпись

Цифровая подпись — это электронный штамп с шифрованием и аутентификацией в различных типах электронной информации, например в электронных письмах или электронных документах.Цифровая подпись служит подтверждением того, что информация была получена от подписавшего и не изменилась.

Как добавить цифровую подпись с DigiSigner?

Для добавления цифровой подписи к документу вы можете использовать сервис DigiSigner. Он работает с расширенным шифрованием данных и конфиденциальностью информации.

Чтобы начать работу с сервисом, авторизуйтесь с помощью электронной почты. После этого открывается личный кабинет. Следуйте этому алгоритму, чтобы поставить свою цифровую подпись:

  • Загрузите документ с устройства с помощью кнопки «Загрузить» или нажмите «Получить из облака», чтобы загрузить его из Dropbox или Google Диска;
  • Дождитесь загрузки в списке в вашей учетной записи, а затем нажмите «Подписать»;
  • На открывшейся странице кликните по сайту, где вам нужна электронная подпись;
  • Щелкните левой кнопкой мыши и выберите формат цифровой подписи: рисование с помощью мыши или сенсорной панели, загрузка отсканированного изображения, снимок на веб-камеру или текстовое поле;
  • Установить положение и размер подписи в документе;
  • Щелкните Готово в правом верхнем углу.

Подписано отображается в вашем аккаунте под этим документом. Ваша цифровая подпись больше не может быть удалена. Если вы сначала хотите отправить других участников для подписания, нажмите «Отправить на подписание». После этого документ вернется к вам в папку «В ожидании меня».

Если вам нужно часто использовать цифровую подпись, используйте доступные в сервисе шаблоны, это сэкономит время при регистрации. Введите свое полное имя, заголовок и другие повторяющиеся данные, а затем одним щелчком мыши добавьте шаблон с цифровой подписью в любой документ.

Как создать электронную подпись?

Для создания цифровой подписи необходим сертификат, подтверждающий вашу личность. Когда вы отправляете макрос или документ с цифровой подписью, вы также отправляете этот сертификат и открытый ключ шифрования. Сертификат выдается Удостоверяющим центром и бывает нескольких типов. Срок его действия составляет год, после чего владелец должен его продлить или получить новый.

Удостоверяющий центр — это нотариальное лицо. Он выдает цифровой сертификат, подписывает его для проверки действительности и отслеживает отозванные сертификаты и срок их давности.

Что гарантирует цифровая подпись?

Цифровая подпись дает подписавшим несколько гарантий:

  • Подлинность — личность подписавшего подтверждается аутентификацией;
  • Целостность — содержимое не изменилось с момента установки цифровой подписи;
  • Надежность — доказывает любой из сторон происхождение документа, предотвращает отказ подписавшего от ответственности за подписанные данные.

Чтобы цифровая подпись имела полную силу, подписывающее лицо должно соблюдать следующие требования:

  1. Срок действия цифровой подписи на момент подписания не истек;
  2. Сертификат, связанный с подписью, действителен;
  3. Подписавшая сторона или организация пользуются доверием как издатель;
  4. Сертификат, связанный с цифровой подписью, выданный авторитетным центром сертификации.

Если все эти требования соблюдены, цифровая подпись считается действительной.

Как получить ЭЦП?

Сертификат цифровой подписи — это защищенный цифровой ключ, который идентифицирует личность владельца, выданный удостоверяющим центром. Многие компании предоставляют такие услуги. Вы можете подать заявку на сайтах этих компаний или купить подпись в органах местного самоуправления.

Типы сертификатов, которые можно заказать в зависимости от вида использования и личности:

  • Класс I — для физических лиц, которые могут проверить идентификационную информацию по электронной почте, когда риск невелик, а подпись хранится в программном обеспечении.
  • Class II — для коммерческих организаций или частных лиц для проверки информации, представленной в приложении, на основе базы данных и в ситуациях, когда риск утечки информации умеренный.
  • Класс III — выдается непосредственно органом сертификации, обязательное требование — лицо должно присутствовать во время выдачи и подтвердить свою личность, для хранения используется криптографическое устройство.

Цифровые подписи Введение

Процесс и валидность технологии цифровой подписи

Инфраструктура открытых ключей

— PKI

Криптографическая система, использующая два ключа, открытый ключ, известный всем, и закрытый ключ, закрытый ключ имеет полный контроль над владельцем ключа и должен храниться в защищенной среде.Уникальный элемент открытого ключа система состоит в том, что открытый и закрытый ключи связаны таким образом, что только открытый ключ может использоваться для шифровать сообщения, и только соответствующий закрытый ключ может использоваться для их расшифровки. Более того, это практически невозможно вывести закрытый ключ, если вы знаете открытый ключ.

Когда Дэвид хочет отправить Донне защищенное сообщение, он использует открытый ключ Донны, чтобы зашифровать сообщение.Донна тогда использует свой закрытый ключ для его расшифровки.

Криптография с открытым ключом была изобретена в 1976 году Уитфилдом Диффи и Мартином Хеллманом. Его еще называют асимметричным. шифрование, потому что оно использует два ключа вместо одного ключа (симметричное шифрование).


Разница между электронной и цифровой подписью

Процесс цифровой подписи

Используя Дэвида и Донну, мы можем продемонстрировать, как работают цифровые подписи.

С точки зрения Дэвида, процесс подписания прост. Но пока процесс подписания начинается, происходит несколько шагов. :

Создание закрытого и открытого ключей

Для документов с цифровой подписью Дэвиду необходимо получить закрытый и открытый ключи — одноразовый процесс, это делается Защищенная служба подписи при регистрации пользователя. Закрытый ключ не передается и используется только для подписи документов Дэвидом.Открытый ключ доступен для всех и используется для проверки цифровой подписи подписавшего.

Документ с цифровой подписью

Создание цифровой подписи

Уникальный хэш документа, представляющий документ, создается с использованием математической схемы (например, SHA-1).

Добавил подпись к документу

Результат хеширования и цифровой сертификат пользователя, включающий открытый ключ пользователя, смешиваются в цифровой подписи; это делается с помощью закрытого ключа пользователя для шифрования хэша документа.Полученная подпись уникальна как для документ и пользователь. Наконец, в документ встроена цифровая подпись.

Дэвид отправляет подписанный документ Донне. Донна использует открытый ключ Дэвида (который включен в подпись в Цифровой сертификат), чтобы подтвердить подпись Дэвида и гарантировать, что документ не изменился после его подписания.

Донна:

  1. Начинается процесс проверки документа
  2. Расшифровывает цифровую подпись Дэвида с помощью его открытого ключа и получает документ
  3. .
  4. Сравнивает хеш-код документа Дэвида с вычисленным Донной Has — Донна вычисляет хеш-код полученного документа и сравнивает его с хеш-кодом в цифровой подписи.Если оба хэша совпадают, подписанный документ не был изменен.

Подпись под документом:

Проверить подписанный документ:


Как узнать, кто стоит за клавиатурой?

Центр сертификации (CA)

ЦС выдал сертификаты, чтобы гарантировать подлинность подписантов. Сертификаты аналогичны документам, удостоверяющим личность. Когда ты хотите идентифицировать пользователя в системе вы проверяете его сертификат.Этот сертификат выдается в процессе регистрации один раз требуется заполнение информации. В мире PKI ЦС использует сертификат ЦС для аутентификации личности пользователя.


Сравнение цифровой подписи и электронной подписи

Что такое цифровая подпись?

Цифровая подпись — это технический термин, обозначающий подлинность цифрового сообщения из надежного источника. Цифровые подписи используются в самых разных условиях, от проверки финансовых транзакций до аутентификации веб-страницы или распространения нового программного обеспечения.

Цифровая подпись использует биты данных в качестве ключа для проверки подлинности сообщения в три этапа:

  1. Подтверждение личности отправителя
  2. Подтверждение того, что отправитель отправил рассматриваемое сообщение
  3. Подтверждение того, что сообщение было получено точно в том виде, в котором оно было отправлено, без изменений при передаче.

Цифровые подписи — важная часть многих процессов сетевой безопасности. Однако, если ваша компания хочет подписывать контракты или другие документы в Интернете, вам нужен инструмент для электронной подписи.

Электронные подписи и цифровые подписи

В отличие от более абстрактного технического термина «цифровые подписи», электронные подписи намного проще. Электронная подпись, которую иногда называют электронной подписью, совпадает с вашей собственноручной подписью на бумажном документе, за исключением электронной — отметки в электронном договоре или документе, который вы делаете, чтобы продемонстрировать свое намерение согласиться с условиями этого документа.

Электронные подписи доступны и просты в использовании, и поэтому с гораздо большей вероятностью столкнетесь с вами или вашим бизнесом.Возможно, вы уже используете сенсорный экран в местном кафе, чтобы подписать квитанцию ​​за утреннюю чашку кофе. В бизнес-приложении электронные подписи позволяют легко заполнить и подписать важные контракты за гораздо меньшее время, чем на управление бумажными документами.

Между прочим, электронные подписи относятся к числу многих технологий, которые могут использовать факторы аутентификации, предоставляемые технологией цифровой подписи.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *