Jak stworzyć podpis elektroniczny?

Szybka komputeryzacja różnych sfer życia współczesnego człowieka determinuje poprawę systemów prawnych państw. Tak więc koncepcja podpisu elektronicznego została zapisana w prawie rosyjskim. W wielu przypadkach może być kompletnym analogiem zwykłego „papieru”. Jak stworzyć podpis elektroniczny, który spełnia wszystkie wymagania prawne?

Treść artykułu

  • Istota podpisu elektronicznego
  • Wymagania prawne dotyczące podpisu elektronicznego
  • Jak uzyskać podpis elektroniczny?

To pytanie jest interesujące w następujących aspektach:

  • badanie istoty podpisów elektronicznych, jej struktury technologicznej;
  • uwzględnienie wymagań dotyczących odpowiednich szczegółów zawartych w ustawodawstwie Federacji Rosyjskiej;
  • uzyskanie podpisu elektronicznego w praktyce.

Zwracamy się do każdego z zaznaczonych przedmiotów.

Istota podpisu elektronicznego

Pojęcie podpisu elektronicznego można interpretować na różne sposoby. Rozważ opcję zawartą w głównym rosyjskim akcie prawnym regulującym stosowanie odpowiedniego wymogu - ustawie federalnej nr 63 „Podpis elektroniczny”. Prawo stanowi, że termin ten należy rozumieć jako informację w formie cyfrowej, która jest dołączona do innej (podpisanej) lub w taki czy inny sposób z nią związanej i która jest używana do identyfikacji osoby, która określa odpowiednie szczegóły w dokumencie.

Ta definicja PE w ustawodawstwie jest raczej niejasna. Ale prawnikom ułatwiają niektóre dodatkowe przepisy ustawy federalnej nr 63 zawarte w sekcji 5 ustawy. Na ich podstawie w rosyjskim otoczeniu prawnym opracowano kilka podejść do interpretacji pojęcia podpisu elektronicznego. Eksperci uważają, że pod takimi rekwizytami możemy zrozumieć:

Reklama
  • unikalny kod cyfrowy umieszczony w dokumencie lub bezpośrednio z nim powiązany, który może umieścić tylko właściciel podpisu elektronicznego;
  • kanał (mechanizm) do przesyłania pliku, z którego może korzystać tylko określona osoba ze względu na obecność podpisu elektronicznego (z reguły jest to e-mail, a hasło faktycznie działa jako podpis elektroniczny);
  • cyfrowa kopia zwykłego podpisu za pomocą długopisu (innymi słowy „skan”), umieszczona w dokumencie lub dołączona do niego - na przykład poprzez zapisanie plików w jednym archiwum.

O jakich konkretnych przepisach art. 5 ustawy federalnej nr 63 mówimy? Tak więc w rozpatrywanej części prawa podpisy elektroniczne dzielą się na dwa typy: proste i ulepszone (w odniesieniu do drugiego prawa definiuje się również dwa podgatunki podpisu elektronicznego - kwalifikowane i niewykwalifikowane).

Jako prosty scenariusz narażenia można go używać, zgodnie z badanym prawem federalnym, „kod, hasło lub inne środki”. Co to znaczy Prawnicy interpretują słowa „kod, hasło” jako odpowiedni identyfikator podczas wysyłania wiadomości e-mail (czasami jako hasło do archiwum), „inne środki” jako „skan” zwykłego podpisu.

Z kolei ulepszony podpis elektroniczny należy rozumieć jako bardzo unikalny kod cyfrowy umieszczony w dokumencie lub do niego dołączony. W rzeczywistości taka interpretacja rozważanego pojęcia jest prawdopodobnie najbardziej rozpowszechniona w społeczności IT, a także w całym środowisku cywilnym. Poczta elektroniczna, archiwa i „skany” (znane wszystkim i używane od wielu lat) są w jakiś sposób niezbyt kojarzone z ludźmi o tak zaawansowanej technologii, wcześniej niedostępnymi dla zwykłych osób jako rekwizyty elektroniczne. Chociaż zgodnie z prawem mogą to być odmiany EP.

Ale tutaj zauważamy, że ustawodawca zajmuje dość solidną pozycję, klasyfikując odpowiednie typy szyfrowania jako „prosty podpis elektroniczny”. Oznacza to, że twórcy ustawy federalnej nr 63 było oczywiste, że obywatela, który „podpisuje” dokumenty i używa podobnych rodzajów podpisów elektronicznych, nie zawsze można jednoznacznie zidentyfikować. E-mail może zasadniczo wysyłać każdy, kto zna hasło z elektronicznej skrzynki pocztowej. To samo dotyczy archiwum. „Skanowanie” zwykłego podpisu można łatwo sfałszować w Photoshopie.

Inną kwestią jest użycie ulepszonego EP. Jakie są jego cechy wyróżniające?

Kluczowym elementem jest „wzmocnienie” odpowiedniego rodzaju podpisu elektronicznego. Dosłownie jest to bardzo unikalny kod cyfrowy. Jeśli interpretujemy jego istotę nieco szerzej - jest to kombinacja oprogramowania i sprzętu do umieszczenia tego kodu w dokumencie (lub w dołączonym do niego pliku).

Oczywiste jest, że klucz (w znaczeniu „kod”) powinien być za każdym razem inny, w przeciwnym razie odbiorca dokumentu, po jego obejrzeniu i skopiowaniu, będzie mógł później „podpisać” inną osobę. Dlatego klucz (w znaczeniu „oprogramowanie i sprzęt”) za każdym razem generuje nową sekwencję liczb. Powstaje pytanie - jak upewnić się, że jest on przymocowany do dokumentu przez określonego nadawcę?

Jest to bardzo proste - również przy użyciu klucza (tym razem w jednoznacznej interpretacji - jako „oprogramowanie i sprzęt”), ale tylko inne - zaprojektowane do sprawdzania podpisu elektronicznego. Algorytmy weryfikacji kluczy (w znaczeniu „kodu”) zapisane na dokumentach z bazą danych właścicieli ES są w nim określone. Jeśli odpowiednia sekwencja cyfr zostanie uznana za poprawną, a także klucz (w znaczeniu „oprogramowanie i sprzęt”), który ją wygenerował, ma oficjalnego właściciela, wówczas podpis zostanie zdefiniowany jako poprawny i umieszczony na konkretnym obywatelu.

Klucz przeznaczony do umieszczania „kodu” na dokumencie (czasami nazywany prywatnym) powinien zawsze być przechowywany przez właściciela podpisu elektronicznego. On jest jego „wiecznym piórem”. Klucz do weryfikacji podpisu elektronicznego (zwany również otwartym) jest przekazywany z góry adresatowi, aby mógł on zweryfikować autentyczność podpisu elektronicznego na otrzymanych dokumentach.

Ten schemat jest znacznie bardziej niezawodny niż wysyłanie plików pocztą e-mail, w archiwach z hasłami lub „skanami” zwykłego podpisu. Tylko osoba, w której ręce klucz prywatny będzie w stanie umieścić odpowiednie rekwizyty. Z reguły jest to sprzętowy mechanizm szyfrowania zaimplementowany w postaci elektronicznego breloka typu eToken. Generowane przez niego kody są prawie niemożliwe do sfałszowania, a sam eToken jest bardzo trudny do skopiowania - zarówno przy pomocy zdalnego przechwytywania szyfrów, jak i jeśli haker ma oryginał w swoich rękach.

Właścicielem podpisu elektronicznego i właścicielem klucza publicznego jest zawsze ta sama osoba lub organizacja. Ale ten fakt - stosunek prawny podmiotu stosunków prawnych jednocześnie z kluczem weryfikacyjnym i podpisem elektronicznym - w niektórych przypadkach wymaga dowodów z dokumentu za pomocą specjalnego certyfikatu. Może to być źródło papierowe, które wskazuje dane osoby lub organizacji, która wydała podpis elektroniczny. Ale najczęściej jest to dokument elektroniczny, dane, z których program, który jest zawarty w strukturze klucza weryfikacyjnego, automatycznie odczytuje.

Certyfikat musi być ważny - pod względem i statusu. Dokument ten jest wydawany właścicielowi podpisu elektronicznego, zwykle na rok. Jeśli nie zostanie odnowiony, uzyska status anulowania, w wyniku czego utracone zostanie prawne powiązanie osoby podpisującej dokumenty elektroniczne z kluczem weryfikacyjnym. ES traci ważność. Status anulowanego certyfikatu można również uzyskać na wniosek jego właściciela. Na przykład, jeśli obywatel straci eToken.

Jeśli odbiorca dokumentu elektronicznego - nawet jeśli odbiorca go zna i wielokrotnie otrzymywał od niego pliki - stwierdzi, że certyfikat został unieważniony (program zawarty w strukturze klucza weryfikacyjnego zwykle wyświetla powiadomienia o tym), to w niektórych przypadkach nie jest uprawniony do uznania Podpis elektroniczny umieszczony na dokumencie jest autentyczny (prawnie równoważny z odpowiednim wymaganiem papierowym).

Ustawodawca zezwala obywatelom i organizacjom na stosowanie prostego podpisu elektronicznego według własnego uznania, przy założeniu chęci wzięcia odpowiedzialności za ewentualne incydenty. Jednak podczas pracy z „poważnymi” strukturami - w szczególności organami państwowymi - wymagany jest wzmocniony podpis elektroniczny. Jest wysoce pożądane, aby była „wykwalifikowana”. Dlaczego i co to za atrybut??

do treści ↑

Wymagania prawne dotyczące podpisu elektronicznego

Głównym kryterium ulepszonego podpisu elektronicznego jest to, że jednoznacznie pozwala ustalić tożsamość osoby, która podpisała ten lub inny dokument. Mechanizmy, za pomocą których ta procedura jest wdrażana, rozważaliśmy powyżej. Przepisy określają, że w ich strukturze powinny znajdować się następujące elementy:

  • stosowanie szyfrowania („konwersja informacji kryptograficznych” - art. 5 ust. 3 akapit pierwszy ustawy federalnej nr 63);
  • przetwarzanie dokumentu za pomocą specjalnego programu („przy użyciu środków podpisu elektronicznego” - art. 5 ust. 3 akapit czwarty ustawy federalnej nr 63);
  • stosowanie mechanizmów sprawdzania dokumentu pod kątem zmian w drodze do odbiorcy (ust. 3 ust. 3 artykułu 5 ustawy federalnej nr 63).

Podczas korzystania z kluczy - prywatnego i publicznego - wszystkie te kryteria są spełnione.

Jeśli PE spełni określone wymagania, przynajmniej zostanie uznany za wzmocniony bez zastrzeżeń. Ten status podpisu elektronicznego sugeruje, że w dokumentach można go w niektórych przypadkach legalnie zrównać z odpowiednim atrybutem „papier”. Jeżeli jednak podpis elektroniczny otrzyma znak „kwalifikacji”, wówczas umieszczenie go we wszystkich przypadkach jest prawnie równoważne zwykłemu autografowi i pieczęci organizacji.

Tak więc odpowiedni typ scenariusza narażenia jest uważany przez ustawodawcę za najbardziej chroniony. Oprócz określonych kryteriów dla niekwalifikowanego podpisu powinien on być zgodny z takimi znakami, jak:

  • wskazanie klucza do weryfikacji scenariusza narażenia w certyfikacie;
  • używać jako programu do przetwarzania dokumentów tylko tych środków, które spełniają wymagania ustawy federalnej nr 63.

Tak więc wspomniany wyżej certyfikat jest jednym z głównych kryteriów „kwalifikacji” podpisu elektronicznego. Jeśli jest ważny, podpis elektroniczny zostanie w pełni rozpoznany jako prawnie identyczny z odpowiednimi papierowymi rekwizytami..

Ważne jest jednak spełnienie jednego warunku. Wymagany certyfikat (wraz z innymi elementami podpisu elektronicznego) jest wydawany tylko przez wyspecjalizowane organizacje - akredytowane przez państwo urzędy certyfikacji. Wiele firm stara się uzyskać dokładnie najbardziej wykwalifikowany ES - jako najbezpieczniejszy i kieruje się głównie tylko do tych struktur. Rozważmy bardziej szczegółowo specyfikę interakcji obywateli i organizacji z centrami certyfikacji wystawiającymi podpisy elektroniczne.

do treści ↑

Jak uzyskać podpis elektroniczny?

Mówiąc o mechanizmach uzyskiwania podpisów elektronicznych, należy pamiętać o jednym ważnym niuansie, a raczej o charakterystycznej charakterystyce podpisu elektronicznego, który sprawia, że ​​jest on nieco niepodobny do tradycyjnych artykułów papierniczych, a nawet do drukowania.

Z reguły autograf osoby w większości przypadków jest taki sam dla wszystkich dokumentów. Podobnie jest z pieczęcią: z reguły umieszcza się ją wszędzie - na dokumentach dla urzędu skarbowego, w podstawowej dokumentacji, na umowach z partnerami, w książkach pracy pracowników itp..

Równie uniwersalne podpisy elektroniczne w Rosji nie zostały jeszcze opracowane. Teoretycznie może się to wydawać, ale w tym celu władze i struktury informatyczne, które im przekazują, muszą stworzyć określone środowisko programowe i specjalne komponenty sprzętowe, przy pomocy których każdy obywatel lub organizacja będzie w stanie zagwarantować weryfikację autentyczności czyjegoś podpisu. Będzie to prawdopodobnie wymagało również pewnych zmian legislacyjnych. Ale podczas gdy ten schemat nie jest zaimplementowany.

Istnieje kilka mechanizmów zbliżonych do tego, na przykład wydawanie przez obywateli uniwersalnej karty elektronicznej. To narzędzie łączy środki płatności, a także identyfikator osoby - w tym za pomocą podpisu elektronicznego, z którego można korzystać w porozumieniu z organami.

Przeniesienie kluczy prywatnych podpisu elektronicznego przez właściciela UEC odbywa się za pomocą czytnika kart, a także programu CryptoARM UEC. Formalnie nie ma ograniczeń co do rodzajów dokumentów podpisywanych przez obywatela - jeśli z kolei odbiorca może je zweryfikować za pomocą określonego oprogramowania (mając w ten sposób do dyspozycji klucz publiczny). Ale chociaż stosunkowo niewiele organizacji pracuje z tym programem.

Dlatego dla każdej dziedziny elektronicznego zarządzania dokumentami - interakcji obywateli i organizacji z kontrahentami, bankami, agencjami rządowymi i innymi podmiotami stosunków prawnych - powinien istnieć osobny podpis elektroniczny.

Zauważyliśmy powyżej, że jako klasyczny podpis elektroniczny w Federacji Rosyjskiej bierze się pod uwagę szyfrowanie kryptograficzne. Ustaliliśmy również, że przedsiębiorstwa chcą widzieć tę właściwość ES uzupełnioną o „kwalifikacje”, a wyspecjalizowane centra certyfikacji są gotowe sprostać podobnym wymaganiom rynku. To tam ES.

Należy podkreślić, że ustawodawstwo nie zezwala jeszcze na tworzenie podpisu elektronicznego w Internecie (jeśli mówimy o jego ulepszonej odmianie kwalifikowanej). W każdym razie musisz udać się do jednego z urzędów certyfikacji i jednocześnie mieć przy sobie niezbędne dokumenty.

Urząd certyfikacji jest zwykle prywatnym przedsiębiorstwem, które ma techniczne możliwości wydawania podpisów elektronicznych obywatelom lub organizacjom spełniającym wymagania prawa. To znaczy te PE, które:

  • pozwalają dokładnie zidentyfikować nadawcę;
  • ustawiane podczas korzystania ze specjalnych programów;
  • bezpiecznie zaszyfrowane;
  • łatwo sprawdzane pod kątem zmian w sposobie dokumentu do odbiorcy;
  • posiadać klucze odpowiadające świadectwu kwalifikacji.

Ten lub inny rodzaj podpisu elektronicznego zostanie dostosowany do określonego obszaru przepływu pracy.

Jakie centrum certyfikacji jest potrzebne, aby otrzymać kwalifikowany podpis elektroniczny? Po pierwsze, właściwy organ powinien znaleźć się na liście organizacji, które otrzymały akredytację od Ministerstwa Łączności. Współrzędne takich centrów certyfikacji są tutaj - http://minsvyaz.ru/uploaded/files/perechenauz-new.xls. Można zauważyć, że funkcję CA w procesie wydawania obywateli UEC najczęściej wykonują wielofunkcyjne centra świadczenia usług publicznych.

Po znalezieniu najbliższego akredytowanego urzędu certyfikacji należy do niego zadzwonić i zapytać, czy produkuje podpisy elektroniczne w tych obszarach działalności, w których firma zarządza dokumentami. Może to być na przykład wysyłanie raportów podatkowych, składanie ofert lub interakcja z kontrahentami.

Jakie dokumenty należy przesłać do centrum certyfikacji w celu uzyskania podpisu elektronicznego? Zależy to od statusu prawnego wnioskodawcy. Jeśli jest to organizacja, specjaliści CA zapytają:

  • świeży wyciąg z rejestru;
  • zaświadczenie o rejestracji państwowej podmiotów prawnych, rejestracja w Federalnej Służbie Podatkowej.

Jeśli EP jest sporządzony dla szefa, będziesz również potrzebować kopii postanowienia o jego powołaniu na stanowisko, jeśli dla pracownika - kopia odpowiedniego dokumentu dotyczącego zatrudnienia, w razie potrzeby - pełnomocnictwa od pracodawcy. W obu przypadkach wymagane będą paszporty i SNILS urzędników.

Jeżeli indywidualny przedsiębiorca sporządzi podpis elektroniczny, będzie musiał dostarczyć mu CA:

  • świeży ekstrakt z USRIP;
  • zaświadczenia o rejestracji państwowej jako IP, po rejestracji w Federalnej Służbie Podatkowej;
  • paszport
  • ŚNIEGI.

Jeśli wnioskodawca jest osobą fizyczną, musi dostarczyć do centrum certyfikacji paszport, SNILS, a także certyfikat z NIP..

Zwykle praca urzędu certyfikacji nie pociąga za sobą specjalnych formalności, aw większości przypadków dokumenty te są wystarczające. Jednak niektóre urzędy certyfikacji czasem proszą o dodatkowe dokumenty, dlatego należy z góry określić, co dokładnie należy przygotować do wydania podpisu elektronicznego.