Электронная подпись выполняет такую же функцию, как ваша обычная подпись, скрепленная печатью:

• Подтверждает подлинность документа: помогает убедиться, что документ не изменили, и что он дошел до получателя в первоначальном виде.
• Позволяет идентифицировать автора документа.

Электронная подпись состоит из открытого и закрытого ключей. Открытый ключ также называется публичным, он доступен всем и используется, чтобы проверить, действительна ли подпись, помогает определить владельца и подтвердить достоверность документа, под которым поставлена подпись. Закрытый ключ — секретный. С его помощью подписывают документ, он доступен только обладателю электронной подписи. С технической точки зрения электронная подпись — это набор символов, закодированных криптографическими средствами.

Ещё подпись защищает документы от несанкционированного доступа через шифрование . Документооборот с контролирующими органами обязательно происходит в зашифрованном виде.

Как работает электронная подпись?

Прежде чем отправить отчёты в налоговую при помощи криптографического средства и открытого ключа получателя, ваш отчет, подписывается, шифруется и передается по защищенным каналам связи. Расшифровать документ сможет только инспектор, получатель отчетности, если у него есть свой секретный закрытый ключ. Затем инспектор присылает вам ответные документы, они шифруются уже на рабочем месте инспектора с помощью вашего открытого ключа и криптографического средства, а расшифровываются на вашем рабочем месте с помощью вашего закрытого секретного ключа.

При расшифровке проверяется соответствие открытого ключа, на который зашифрован документ, и закрытого ключа пользователя.

Электронную подпись выпускает удостоверяющий центр — организация, которая имеет на это право и аккредитацию. После подписания договора и других документов УЦ выпускает сертификат для вашей фирмы.

Электронную подпись можно хранить на компьютере, флешке или рутокене. Рутокен — это usb-средство аутентификации с дополнительной защитой доступа к ключам. Тогда для того, чтобы электронная подпись работала, установите на компьютер криптографическое программное обеспечение.

Квалифицированная электронная подпись

1 июля 2013 года утратил силу Федеральный закон № 1-ФЗ «Об электронной цифровой подписи» от 10.01.2002. Ему на смену пришел закон № 63-ФЗ «Об электронной подписи» от 06.04.2011, который вводит понятие квалифицированной электронной подписи или КЭП.

В связи с изменениями законодательства электронная подпись для представления отчетности в КО действует до 31 декабря 2013 года, а с 1 января 2014 года её нужно заменить на квалифицированную.

С 1 июля 2013 года, все пользователи Контур.Эльбы начали получать квалифицированную электронную подпись. Если вы получали электронно-цифровую подпись до 1 июля, то сервис предложит заменить ЭЦП на КЭП. Процедуру можно пройти онлайн, без визита в сервисный центр, если на момент оформления заявки ваша подпись действительна, а реквизиты не менялись.

Чем электронная подпись отличается от квалифицированной электронной подписи?

Принципиальных отличий между ними нет. Есть несколько законодательных и технических моментов.

Например, по закону № 63-ФЗ электронный документ, подписанный КЭП равнозначен документу на бумажном носителе, подписанному собственноручной подписью. В законе №1-ФЗ равнозначными признавались подписи.

Технические преобразования электронной подписи не изменят вашу работу. Вы по-прежнему сможете отправлять отчетность с любого устройства и из любого места на карте мира.

Иван Пискунов

Тенденция нескольких последних лет говорит о том, что многие сервисы переходят из традиционных десктопных инстилляций в облака. Не стало исключением и электронная подпись . Однако миграция ЭП в облака воспринимается сообществом пользователей и экспертов пока еще весьма неоднозначно. Среди несомненных преимуществ новых облачных решений особняком стоят вопросы обеспечения информационной безопасности. Однако, ни технологии ни законодательство не стоят на месте, и вскоре можно ожидать нового витка развития электронной подписи с участием облачных вычислений

Электронная подпись как основа юридически значимого электронного документооборота

Электронная подпись (далее по тексту - ЭП) согласно Федерального закона №63-ФЗ от 06.04.2011 года является обязательным юридически значимыми реквизитом электронного документа. По мимо этого в законе так же сказано, что ЭП является абсолютным аналогом собственно ручной подписи поставленной на бумажном документе. В виду этого логично и вполне обосновано считать, что электронный документооборот является реальной альтернативой традиционному делопроизводству в целом и в частности отдельным процессам заключения и подтверждения различных сделок, соглашений, договоров, контрактов и т.п.

Согласно выше обозначенного федерального закона ЭП, как обязательный элемент ЭДО призвана обеспечить три ключевых задачи:

1. Обеспечить однозначную идентификацию лица, подписавшего

документ;

2. Обеспечить защиту от несанкционированного изменения документа;

3. Обеспечить юридическую силу электронного документа.

Юридическая значимость использования ЭП закреплена в ряде отечественных нормативных документов. Приведем несколько основных ссылок:

• · Ст. 160, 434, 847 ГК РФ, которые регламентируют практическое использование электронных подписей в документообороте.
• · Федеральный закон №63-ФЗ «Об электронной подписи» от 06.04.2011. Основной и рамочный закон описывающий общий смысл использования ЭП при совершении сделок различного характера и оказания услуг.
• · Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации от 27.07.2006. В настоящем документе конкретизируется понятие электронного документа и всех связанных с ним сегментов.
• · Федеральный закон 402-ФЗ «О бухгалтерском учете» от 06.12.2011. Законодательный акт предусматривает систематизацию требований к бухгалтерии и бухгалтерским документам в электронном виде.
• · Согласно п.3 ст.75 Арбитражного процессуального кодекса РФ , документы, полученные с использованием информационно-телекоммуникационной сети Интернет и подписанные электронной подписью, допускаются в качестве письменных доказательств в арбитражных спорах.

Все выше указанные факты и доводы означают, что, используя ЭП мы всегда можем чётко знать кем и когда был подписан документ, быть уверенным в том, что после подписания в документ не были внесены какие-либо изменения, и в случае разногласия сторон и последующих судебных разбирательств обеспечить неотказуемость факта свершения сделки (заключения контракта и т.д.).

В настоящее время законодательством установлена три варианта использования ЭП на территории Российской Федерации, это:

• · Простая ЭП;
• · Усиленная не квалифицированная ЭП;
• · Усиленная квалифицированная ЭП.

Чем же они отличаются и какую же ЭП можно и нужно использовать для совершения финансовых операций? Чуть ниже мы их разберем . И так, начнем (см. рисунок 1)

1. Простая электронная подпись

Простая подпись или как часто ее еще называют связка «логин-пароль» - это электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Классический пример, когда вы введёте пин-код вашей кредитной карты, скажите парольную фразу (метка голосом) в телефонном разговоре с кол-центром банка и тому подобное – всё это будет вашей Простой Электронной Подписью . Иными словами, единственная функция такой подписи - подтверждение авторства , идентификация личности. Простая ЭП обеспечивает базовый уровень защиты и аутентификации. К примеру. Она подпись применяется для получения доступа к возможностям Единого портала госуслуг . Простую электронную подпись категорически нельзя использовать при подписании электронных документов или в государственной информационной системе (ГИС), которые содержат гостайну.

2. ЭП является усиленной НЕквалифицированно й , если выполняются следующие условия:

• · получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

• · позволяет определить лицо, подписавшее электронный документ;

• · позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

• · создается с использованием средств электронной подписи.

Усилинная НЕквалифицированная ЭП позволяет определить автора подписанного документа и доказать неизменность содержащейся в нем информации. В неквалифицированную электронную подпись заложены криптографические алгоритмы, которые обеспечивают надежную защиту документов в соответствии с российскими ГОСТ по шифрованию. Такая подпись вполне подойдет для внутреннего документооборота в компании, а также для отправки электронных документов из одной компании в другую. Неквалифицированная электронная подпись также подходит для участия в электронных торгах.

3. Ну и, наконец третий вариант, когда ЭП является усиленной квалифицированной , если соответствует всем вышеперечисленным признакам неквалифицированной ЭП и двум следующим дополнительным признакам:

• · ключ проверки электронной подписи указан в квалифицированном сертификате;

• · для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом

Стоит отметить. что программное обеспечение, необходимое для работы с КЭП, должно быть сертифицировано Федеральной службой безопасности . Следовательно, квалифицированная электронная подпись наделяет документы полной юридической силой и соответствует всем требованиям о защите конфиденциальной информацию. Контролирующие органы, такие как ФНС, ПФР, ФСС, признают юридическую силу только тех документов, которые подписаны квалифицированной ЭП

Рисунок 1. Виды электронных подписей

Электронная подпись в облачных сервисах

За последние несколько лет в ИТ-индустрии прочно закрепились тренды перехода от эксплуатации собственной ИТ-инфраструктуры к использованию облачных вычислений. Это прежде всего замена традиционных ИТ-систем изначально разворачиваемых на материально-технической базе каждой отельной взятой компании на сервисы по требованию, т.к. SaaS,PaaS и IaaS. По данным свежего исследования «Облачные услуги в корпоративном секторе, Россия 2017». от компаний SAP и Forrester, облачные технологии в России будет расти быстрее, чем весь ИТ рынок взятый в целом: так при среднегодовом темпе в 21% рынок облаков вырастет в 3 раза по сравнению с показателями 2015 года. В докладе сообщается, что крупный бизнес в настоящее время максимально готов к использованию облачных услуг: в этом сегменте свыше 90% опрошенных знают про облачные услуги, в малом бизнесе – свыше 70%. В крупном бизнесе 54,5% опрошенных пользуется одновременно облачными услугами из двух и более категорий, в среднем бизнесе – 50%, в малом – 43%.

Текущая ситуация с использованием облачной ЭП в России

Совсем недавно, в июне 2017 года стало известно о том, что ФСБ совместно с «Ростелекомом» создают электронную подпись, которая «взорвет и перевернет рынок» . Идея все та же, создать ЭП не требующую использования токена (носителя на флешке). Об этом рассказал директор по электронному правительству в «Ростелекоме» Михаил Бондаренко. «У меня есть данные от коллег с Лубянки о том что до конца года должно выйти некое решение, которое позволит делать доверенные ЭЦП облачными, - сказал он, не приведя каких-либо подробностей, но противопоставляя это решение распространенным сегодня электронным подписям на токенах. - На наш взгляд это взорвет и перевернет рынок доверенной авторизации и идентификации», - добавил он. Но есть нюанс, по мимо использования «облаков» предполагается еще и задействовать биометрию, т.е. индивидуальные биометрические характеристики каждого человека как параметры для его уникальной аутентификации.

Как сообщает тот же источник со слов Бондаренко - «Предполагается, что «Ростелеком» станет оператором этой платформы и два года будет проводить пилотный эксперимент с банками, в точение этого времени услуги по биометрической идентификации будут предоставляться им бесплатно» , отметив, что в уже стартовавшем пилоте участвует порядка десяти банков, включая Сбербанк, ВТБ и Газпромбанк.

При этом закончить создание платформы оператор намерен до конца 2017 г. К тому же только с 1 января 2018 г. предположительно вступят в силу поправки в 115 федеральный закон, разрешающие использовать биометрическую идентификацию в финансовом секторе - для открытия-закрытия счетов, размещения и снятия вкладов, переводов и т. д. Таким образом, по словам топ-менеджера, уже рассматривается идея создания на базе национальной биометрической платформы «национального банка идентификации и авторизации» жителей России.

Комментарии экспертов:

«По нашим оценкам, общее число пользователей электронной подписи в России превышает два миллиона. Технология «облачной» электронной подписи, появившаяся несколько лет назад, делает этот инструмент доступнее для бизнеса. Подтверждение этому – несколько десятков тысяч клиентов «СКБ Контур», сделавших выбор в ее пользу», – рассказывает эксперт Казаков.

«Облачная» электронная подпись обладает всеми свойствами, что и обычная, только хранится не на флешке или компьютере, а в интернете – на специальном защищенном сервере, «в облаке», – рассказывает Игорь Чепкасов, основатель и президент Национального фонда развития криптова­лют. - Там же происходит подписание и шифрование документа, потому такая ЭП не требует установки на компьютер специального ПО». Чепкасов отмечает , что одно из ключевых преимуществ «облачной» подписи – это возможность подписания документов и их отправки из любой точки мира и с любого устройства.

Антон Еликов (проект Мерката) отмечает, что электронная подпись «в облаке» – это то, чем многие из нас пользуются ежедневно, даже не замечая. «Самый яркий пример – это механизм авторизации в мобильных и интернет-банках, когда после ввода пароля вам присылают по СМС одноразовый пин-код. Такая двухуровневая авторизация по сути своей уже может быть электронной подписью», – рассказывает эксперт.

Игорь Чепкасов рассказывает о возможностях использования ЭП в новых сервисах и услугах, к примеру, построенных на технологии Blockchain , а именно – умные контракты. «Децентрализация – фундаментальный принцип работы технологии – обеспечивает абсолютную защиту от компро­метации и несанкционированного доступа к любому документу и самой подписи, поскольку каждый такой элемент-блок (подпись, документ, архив и т. д.) находится в прочной цепочке пронумерованных блоков, защищенных сложнейшим криптографическим кодом» , – рассказывает он. Так по мнению эксперта, внести изменения в уже введенный в обращение блок невозможно; умный контракт – это электронный алгоритм, описывающий набор условий, выполнение которых влечет за собой определенные события. «Его работа основывается на создании и применении так называемых протоколов с низким доверием, где алгоритм протокола использует только программные средства, а человеческий фактор из цепочки принятия решений максимально исключен – человек здесь выступает исключительно в роли одной из сторон, участву­ющей в реализации контракта. Например, при отправке платежей исполнение контракта невозможно без получения оговоренного в договоре числа электронных подписей» , – отмечает он.

В настоящее время сертификаты ключей проверки электронной подписи (СКП) выпускаются на специальных носителях, рассказал замглавы Минкомсвязи Михаил Евраев. При этом средняя стоимость такого СКП составляет около 5 тыс. рублей. «Система облачной электронной подписи позволит создавать подпись без материального носителя, что значительно снизит стоимость ее использования и повысит безопасность применения», - пояснил замминистра.

Ситуацию так же прокомментировал интернет-омбудсмен Дмитрий Мариничев, который уверен, что в технологиях ЭП произойдет настоящая революция, как это уже случилось несколько лет назад с накопителями информации. Например, еще в 90-х фильмы продавались на VHS-кассетах, в 2000-х они появились на CD, затем на DVD, и через десять лет в конце концов распространяются на флеш-накопителях и в интернете.

Перспективы использования облачной ЭП для банковской отрасли

Электронная подпись задумывалось как универсальное средство подтверждения юридической силы совершаемых операций, и в виду этого имеет широкий спектр применения, от пользования порталом гос услуг до обеспечения электронного документооборота между организациями и государственными контролирующими органами. Для банковской отрасли ЭП физическими и юридическими лицами чаще всего используется для совершения финансовых операций через сервисы ДБО. Это включает в себя и онлайн доступ в личный кабинет посредством web-технологий и мобильный банк, т.е. управление счетом через социализированное приложение со смартфонов и планшетов.

К примеру, ЭП для физических лиц в крупнейшем федеральном банке - Сбербанке дает возможность банковской организации уменьшить оборот бумаги и увеличить скорость обслуживания посетителей. То есть во время открытия депозита вместо установки подписи на 4-х разных документах посетителю нужно будет 1 раз набрать свой ПИН (пароль к ЭП). Данный вид технологии сможет обеспечить проведение двойной клиентской идентификации с использованием паспорта и при помощи карточки с ПИН-кодом, который сможет знать лишь владелец. Благодаря этому можно также будет предотвратить вероятные факты мошенничества. Так по внутренним данным Сбербанка актуальных на 2014 год, в течении двенадцати месяцев после запуска такого сервиса, только жителями Москвы было совершено больше трёх миллионов операций с применением подписи в электронном виде.

Процедура получения соответствующего ключа электронной подписи банка России довольна проста, необходимо пройти онлайн-регистрацию на специализированном сайте «Сбер ключ». Так право на электронную подпись банк даёт любому его владельцу принимать участие в торгах и делать размещение на необходимых электронных ресурсах личные заявления.

Еще одним наглядным вариантом массового использования облачной ЭП может послужить , доступный в интернет-банке «Сбербанк Бизнес Онлайн», который стал официальным инструментом Сбербанка для электронного подписания многосторонних и двусторонних договоров между любыми юридическими лицами и индивидуальными предпринимателями (ИП) – так называемый межкорпоративный ЭДО. Как пояснил , благодаря этой системе трудозатраты на обработку одного документа сокращаются с 2-3 минут до 10-15 секунд. Кроме того, отказавшись от бумажного документооборота, компания может значительно снизить расходы на канцелярские товары, аренду складских помещений, замену расходных материалов для офисного оборудования и т.п.

Проблемы безопасности облачной ЭП

Не смотря на все ощутимые плюсы от использования ЭП в облаках, данная концепция не нашла широкой поддержки у экспертов по информационной безопасности. Так, по мнению некоторых специалистов использование средств ЭП в мобильном телефоне тает в себе существенную угрозу безопасности. Не нужно быть специалистом, что бы разглядеть удручающую статистику роста числа мобильных вредоносных программ, перехватывающих СМС-сообщения пользователя, маскирующимся под официальные приложения мобильного банкинга и выполняющие другие несанкционированные действия без ведома пользователя.

В виду этого гарантировать информационную безопасность использования ЭП может только доверенная среда (изолированная), в которой пользователь и технические средства в момент взаимодействия защищены от посторонних вмешательств. Мобильный телефон такой доверенной средой назвать сложно - пользователь может устанавливать любые приложения на свое усмотрение. Хуже ситуация, если только если операционная система устройства «рутована». Однако, выход есть – как уже описывалось ранее это использование специальной SIM-карты, интегрированной с ЭП.

При использовании сервисов ДБО злоумышленники нередко проводят атаку типа «человек в браузере », являющееся частной реализацией атаки «человек-по-середине», когда, подменяя реквизиты легального платежа, показывая пользователю правильные данные, а в банк отправляя свои, подмененные. С новой функцией безопасности такой трюк злоумышленника уже не пройдет - получив реквизиты, специальный апплет на сим-карте выведет их на экран телефона и запросит ПИН-код. Визуально проверив корректность реквизитов, пользователь для подтверждении вводит ПИН-код своей электронной подписи, подписывает их и после отправляет обратно на шлюз, который передает информацию банку.

Сергей Груздев, генеральный директор компании-разработчика отечественных систем криптографической защиты «Аладдин Р. Д» выделяет еще один способ применения данной технологии - «Помимо аутентификации и подписания документов, разработанная система может использоваться для уведомления клиента банка об операциях с его счетом, что стало особенно актуальным в свете вступления в действие девятой статьи 163-ФЗ «О национальной платежной системе» . В отличие от самого популярного на данный момент способа - СМС-информирования, в этом случае гарантируется банковская тайна (никто не сможет прочитать уведомления, ни заразив смартфон вирусом, ни даже подменив базовую станцию), и исключена подмена сообщений злоумышленниками».

Остается другая проблема, когда например, в случае утери и умышленной кражи телефона и сохраненным ПИН-кодом в заметках или иной внутренней памяти телефона. В этом случае злоумышленник, сможет потратить все деньги как минимум с мобильного счета владельца, и, например, подписать обязывающие абонента документы, скажем, оплатить покупки в кредит на одном и популярных онлайн-магазинов. Однако, и эти риски достаточно уверенно предотвращаются примерно так же, как и с платежными и кредитными картами. Владелец счета (карты) может ограничить ежедневный объем и содержание сделок, допустимых с данной SIM-карты, так же использовать опцию отключения своей ЭП на временной период, пока он ею не пользуется.

Электронная подпись применяется повсеместно. Для этого в удостоверяющем центре приобретается квалифицированный сертификат электронной подписи , на рабочий компьютер устанавливается требуемое программное обеспечение, после чего владельцу становятся доступны блага электронного документооборота. При всем удобстве такого обмена информацией есть и минусы: ЭП требует бережного хранения закрытого ключа и привязывает к конкретному рабочему месту, не позволяя воспользоваться подписью с другого компьютера.

Что такое облачная электронная подпись
Эти проблемы с успехом решает облачная электронная подпись - мобильная, удобная и простая в применении. Ее суть сводится к тому, что закрытый ключ хранится не у пользователя, а на сервере удостоверяющего центра, где и происходит визирование документа. Ответственность за хранение ключа при использовании облачной ЭП также несет удостоверяющий центр. Личность пользователя при этом подтверждается посредством SMS авторизации. Очевидно, что применение такой электронной подписи дает пользователю много преимуществ.

Облачная ЭП: плюсы

• Самое главное и неоспоримое достоинство облачной электронной подписи в том, что воспользоваться ею можно в любом месте, с любого компьютера. Единственное необходимое условие - доступ к интернету.
• Облачная ЭП не нуждается в специальном программном обеспечении: пользователю не придется устанавливать на компьютер ни сертификат ключа подписи , ни вспомогательные программы.
• Использование облачной электронной подписи обходится на порядок дешевле по сравнению с традиционной за счет того, что нет нужды приобретать дорогие средства криптозащиты.
• Пользоваться облачной электронной подписью можно с любых мобильных устройств, будь то планшет, нетбук или даже смартфон - независимо от платформы, на которой работает девайс.
• И наконец, облачная технология позволяет подписывать документы не только простой, но и усиленной квалифицированной ЭП, обладающей самой высокой степенью защищенности.

Может показаться, что эта технология состоит из одних достоинств, но это не совсем так.

Облачная ЭП: минусы

• Некоторые компании из тех, с которыми пользователь взаимодействует посредством электронного документооборота, могут возражать против использования облачной ЭП по причине недостаточно высокой степени безопасности. Ведь фактически право подписи серьезных документов при такой технологии передается третьему лицу.
• Не всех пользователей устраивает, что закрытый ключ ЭП хранится не у них, а на сервере удостоверяющего центра. Несмотря на надежную защиту серверов, многих пользователей беспокоит степень конфиденциальности данных, которые они вынуждены передавать УЦ для подписания.
• Не все сервисы поддерживают ПО удостоверяющего центра, поэтому облачная технология применима только для тех из них, интеграция которых с программным обеспечением УЦ возможна.

Облачная электронная подпись будет незаменима для тех, кому часто приходится подписывать и отправлять электронные документы вне стен офиса, - аудиторам, бизнесменам, юристам, руководителям предприятий. Тем сотрудникам, которые редко покидают рабочие кабинеты, больше подойдет «стационарный» вариант ЭП.

В облако могут быть перенесены только крипто ключи выпущенные с СКЗИ КриптоПро.

Перенос производится в 2 этапа, они описаны ниже.

Проверка ЭЦП на соответствие предъявляемым требованиям

Откройте панель управления средства криптографической защиты информации (СКЗИ) КриптоПро CSP («Пуск» – «Панель управления» – «КриптоПро CSP») от имени администратора (Вкладка «Общие» - «Запустить от имени администратора») и перейдите на вкладку «Оборудование» (Рисунок 1).

Рисунок 1 – Настройка считывателей

Нажмите кнопку «Настроить считыватели …». Считыватель USB флеш-накопителя и дискет устанавливается по умолчанию при установке КриптоПро CSP. Проверьте, что на закладке «Считыватели» присутствует пункт «Все съемные диски ». В случае, если пункт «Все съемные диски» отсутствует, его необходимо добавить через кнопку «Добавить …» (Рисунок 2).



Рисунок 2 – Управление считывателями

Убедитесь, что чистый USB флеш-накопитель подключен и доступен.


Перейдите на вкладку «Сервис» и нажмите кнопку «Скопировать ».




Рисунок 3 - Вкладка «Сервис» кнопка «Скопировать»


Откроется окно «Копирование контейнера закрытого ключа».

1. В окне «» (Рисунок 3) заполните поле «Имя ключевого контейнера». Оно может быть найдено в списках контейнеров (кнопка «Обзор ») или сертификатов (кнопка «По сертификату »).

После того, как ключевой контейнер будет найден, нажмите кнопку «Далее ». Если на доступ к закрытому ключу установлен пароль, то он будет запрошен.

Введите пароль и нажмите кнопку «ОК ». Откроется окно ввода параметров нового контейнера закрытого ключа (Рисунок 4).




Рисунок 4 - Окно ввода параметров нового контейнера закрытого ключа

Откроется окно «Копирование контейнера закрытого ключа » (Рисунок 5).




Рисунок 5 - Окно «Копирование контейнера закрытого ключа»

Введите имя нового ключевого контейнера и установите переключатель «Введенное имя задает ключевой контейнер » в положение «Пользователь ».


Нажмите кнопку «Готово». Откроется окно, в котором необходимо выбрать USB флеш-накопитель для размещения скопированного контейнера (Рисунок 6).





Рисунок 6 - Окно выбора носителя

Нажмите кнопку «ОК ». Откроется окно создания пароля на доступ к контейнеру закрытого ключа (Рисунок 7).





Рисунок 7 - Окно ввода пароля

На данном шаге следует создать пароль для нового контейнера закрытого ключа и подтвердите его. Этим паролем будет защищена цифровая подпись , его понадобится вводить при каждом обращении к ней. После ввода необходимых данных нажмите кнопку «ОК». Средство криптографической защиты информации (СКЗИ) «КриптоПро CSP» осуществит копирование контейнера закрытого ключа на USB флеш-накопитель.


Для копирования открытого ключа ЭЦП запустите панель настройки Internet Explorer («Пуск » – «Панель управления » – «Свойства браузера » (Рисунок 8)) и перейдите на вкладку «Содержание » (Рисунок 9).


Рисунок 8 - «Панель управления » – «Свойства браузера »





Рисунок 9 - «Свойства браузера » - «Содержание » - «Сертификаты »;

На вкладке «Содержание» нажмите на кнопку «Сертификаты». В окне «Сертификаты» выберете связанный с закрытым ключом сертификат ЭЦП и нажмите кнопку «Экспорт…» (Рисунок 10).




Рисунок 10 – Оснастка «Сертификаты»

Откроется окно «Мастер экспорта сертификатов » (Рисунок 11).




Рисунок 11 – Мастер экспорта сертификатов

В открывшемся окне мастера экспорта сертификатов нажмите кнопку «Далее ». На следующем шаге откажитесь от экспорта закрытого ключа, установив флажок «Нет, не экспортировать закрытый ключ » (Рисунок 12) и нажмите кнопку «Далее».




Рисунок 12 – Выбор типа ключей для экспорта

На следующем шаге выберете формат файла сертификата ЭЦП, установив переключатель в поле «Файлы X.509 (.CER) в кодировке DER», и нажмите кнопку «Далее » (Рисунок 13).





Рисунок 13 – Выбор формата файла сертификата ЭЦП

На завершающем этапе укажите имя и расположение файла и нажмите кнопку «Далее ». На последнем шаге мастера проверьте выбранные параметры и нажмите кнопку «Готово » (Рисунки 14 и 15).




Рисунок 14 – Указание пути сохранения и наименования сертификата




Рисунок 15 – Сохранение сертификата ЭЦП

Файлы полученные в результате вышеописанных манипуляций следует поместить в папку и скопировать в облако по пути «W:\ЭЦП ». Данная папка доступна только основному пользователю .

В результате должно получиться примерно следующее «W:\ЭЦП\ООО Тест» (рисунок 16).




Рисунок 16 - ЭЦП скопирован в облако.

Установка производится специалистами по информационной безопасности, они работают по будням с 9 до 18 по Мск. В заявке следует указать название папки, в которую вы сохранили ЭЦП.

Если Ваши ключи выпущены с помощью СКЗИ VipNet, то работать на терминальной ферме (через удаленный рабочий стол или RemoteApp) они не будут. В таком случае работа может производиться на локальном ПК с использованием тонкого клиента, подробнее об установке и работе в .

Если вариант работы в тонком клиенте Вам не подходит, то ЭЦП следует перевыпустить через КриптоПро, по вопросу одобрения заявки на переиздание сертификата следует обращаться в свою обслуживающую организацию.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

хорошую работу на сайт">

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://allbest.ru

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Тамбовский государственный университет имени Г.Р. Державина»

Облачная электронная подпись: преимущества, недостатки и пути развития

Кириллова Владлена Олеговна

специалист учебно-методического отдела

Введение

Вместе с активной информатизацией всех сфер жизни современного общества реализуется переход к облачным вычислениям и сервисам.

Государственные услуги уже функционируют в облачных сервисах ввиду их высокой производительности для массового использования гражданами. облачный подпись безопасность логин банкинг

Перенос документооборота в облачные хранилища так же актуален и для малого динамически развивающегося бизнеса.

В процессе такого переноса и возникает вопрос безопасности и целесообразности использования облачной подписи.

Облачная подпись активно может использоваться в таких сферах деятельности, как:

· системы Интернет-банкинга или мобильного банкинга, в которых необходимо использование квалифицированной электронной подписи;

· порталы госуслуг, системы сдачи электронной отчетности;

· системы электронной коммерции;

· системы электронного документооборота.

Актуальность. Электронная подпись в облаке (облачная электронная подпись) - это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем.

Облачная электронная подпись обладает всеми свойствами ЭП, только хранится не на токене или компьютере, а в Интернете - на специализированном защищенном сервере, в облаке.

Облачная ЭП подразумевает, что ваш закрытый ключ ЭП хранится на сервере удостоверяющего центра, и подписание документов происходит там же. С одной стороны факт того, что ключ и подписание документов происходят на стороне сервера удешевляет всю систему ЭП, с другой стороны ключ закрытый и должен храниться только у его владельца, что создает массу вопросов к безопасности данного сервиса.

Цели, задачи, материалы и методы. Целью данной работы является анализ научных публикаций и законодательства в сфере электронной подписи и ее подвида - облачной электронной подписи.

Реализация данной цели осуществляется с помощью решения следующих задач:

Провести анализ научной и учебной литературы по теме «Облачная электронная подпись»;

Изучить различные подходы к решению неотчуждаемости ключа электронной подписи пользователя;

Рассмотреть подробнее такие разработки как «Digital Signature Server» и «Hardware Security Module».

Методы исследования:

Анализ документов, федеральных законов;

Анализ данных периодической печати, учебной литературы, практических пособий.

Научная новизна. Новизна данной работы заключается в новом для ИТ индустрии РФ понятии Облачная подпись. Облачная подпись имеет свои достоинства и недостатки.

Облачная ЭП обычно дешевле обычной ЭП, это связано с отсутствием необходимости приобретения средства криптографической защиты информации и токена с сертификатом.

Для людей далеких от информационных технологий немаловажен факт простоты использования облачной подписи: не нужно устанавливать на АРМ сертификат ЭП и специальные средства работы с ней. Работать с облачной ЭП можно из любой точки мира, с любого устройства имеющего подключение к сети Интернет.

Однако существуют и недостатки, такие как передача и хранение ключа на сервере.

Серверы надежно защищены, но факт нарушения конфиденциальности ключа и отчуждения его от владельца делает облачную ЭП неквалифицированной, т.е. не подтвержденной сертификатом, выданным аккредитованным удостоверяющим центром.

Ориентированность облачной ЭП на одну конкретную систему, т.е. сервис облачной ЭП созданный для одной информационной системы, как правило, не применим для другой. Иначе говоря, пользователь обременен необходимостью обладания ключом подписи для каждой из систем.

Изложение основного материала

Облачная подпись в сегодняшнем понимании относится к категории усиленная неквалифицированная подпись. Большинство задач, выполняемых ею, соответствуют понятию, законодательно закрепленному как усиленная подпись. Но в то же время эта подпись не сертифицирована ФСБ как регулятором, отвечающим за безопасность подписей, основанных на криптографических методах. В настоящее время схема подписания документа в облаке выгладит так: подписание документов происходит на сервере DSS (Digital Signature Server) с использованием ключей, хранящихся в HSM (Hardware Security Module). При этом, доступ пользователей к HSM основан на использовании, как правило, некриптографических систем аутентификации, таких как:

* классическая однофакторная аутентификация по логину и паролю;

* двухфакторная аутентификация с дополнительным вводом одноразового пароля, доставляемого пользователю посредством SMS (OTP-via-SMS).

Основная проблема - идентификация личности пользователя - сохраняется и для облачной подписи. Выходя на облачный сервис, человек использует логин-пароль. Этого, конечно, мало. Нужно точно знать, кто вошел под этим логином-паролем. Можно использовать отпечаток пальца отправляя его по нешифруемому соединению серверу. Ключевым фактором останется «нешифруемое соединение», ведь мы не имеем средства криптографической защиты информации.

В таком случае нивелируется одно из основных назначений ЭП? надежный криптографический способ определения автора электронного документа. Такой подход может быть оправдан только для систем межкорпоративного электронного документооборота в которых решение на базе DSS/HSM реализуется на уровне участвующих в них корпораций. В этом случае исходящие документы в общей системе обрабатываются по обычным правилам, а хранение ключей в защищённом облаке, реализуется для удобства сотрудников.

Федеральным законом от 06-04-2011 № 63-ФЗ «Об электронной подписи» установлено, что для создания и проверки квалифицированной электронной подписи должны использоваться средства электронной подписи, получившие подтверждение соответствия требованиям этого закона, то есть прошедшие сертификацию на соответствие требованиям 63-ФЗ у регулятора . Более простой проверки, контроля встраивания СКЗИ в конкретную информационную систему, где используется облачная электронная подпись, может оказаться недостаточно .

В настоящее время компании разработки средств защиты информации озабочены повышением безопасности аутентификации пользователя при подтверждении подписания документа облачной ЭП и шифрованием данных при передачи посредством сети Интернет. Компании КРИПТО-ПРО и SafeTech представили совместную разработку КриптоПро myDSS на базе программно-аппаратного комплекса облачной электронной подписи (ЭП) КриптоПро DSS и системы подтверждения электронных транзакций PayControl .

Однако на данный момент решение находится на сертификации в ФСБ России, и подпись является квалифицированной только, по словам разработчиков. Контур.Диадок так же предлагает квалифицированную усиленную облачную ЭП с относительно низкой стоимостью и аутентификацией через логин+пароль и sms-сообщение с одноразовым паролем . Сертификата ФСБ России на сайте на обнаружено. Таким образом, безопасность использования напрямую связана с доступом к телефону пользователя. На сегодняшний день этот риск постепенно снижается, так как установка примитивной парольной защиты на телефон - все более распространенная практика у пользователей.

Заключение, результаты, выводы

Применение облачной подписи это один из шагов по развитию новейших информационных технологий, наше приближение к удобному цифровому будущему. Однако в этой области еще есть над чем работать.

Необходимы гарантии со стороны государства в виде сертификата соответствия требованиям по безопасности информации средств облачной электронной подписи. Целесообразна разработка и внедрение стандарта на применение облачной электронной подписи.

Библиографический список

1. Федеральный закон "Об электронной подписи" от 06.04.2011 N 63-ФЗ (последняя редакция) [Электронный ресурс]. - Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_112701/ (дата обращения: 07.06.2017)

2. Облачная подпись: сближение практики и законодательства [Электронный ресурс]. - Режим доступа: http://roseu.org/article/32 (дата обращения: 07.06.2017)

3. КриптоПро myDSS [Электронный ресурс]. - Режим доступа: https://www.cryptopro.ru/products/mydss (дата обращения: 07.06.2017)

4. Что такое облачная электронная подпись?[Электронный ресурс]. - Режим доступа: http://www.diadoc.ru/lp-instruction (дата обращения: 07.06.2017)

Аннотация

УДК 004.056.53

Облачная электронная подпись: преимущества, недостатки и пути развития. Кириллова Владлена Олеговна, специалист учебно-методического отдела. Федеральное государственное бюджетное образовательное учреждение высшего образования «Тамбовский государственный университет имени Г.Р. Державина»

В статье рассматривается проблема использования облачной электронной подписи с точки зрения законности и безопасности. Освещены различные подходы к изучению проблемы, приведены примеры российских разработок.

Ключевые слова: электронная подпись, облако, безопасность, информационные технологии, облачные технологии

Annotation

Cloud electronic signature: advantages, disadvantages and ways of development. Kirillova Vladlena Olegovna, a specialist in the teaching and methodical department. Federal State Budget Educational Institution of Higher Education "Tambov State University named G.R. Derzhavin »

The article discusses the problem of using cloud electronic signature from the point of view of legality and security. Various approaches to the study of the problem are highlighted, examples of Russian developments are given.

Keywords: electronic signature, cloud, security, Information Technology, cloud technologies

Размещено на Allbest.ru

Подобные документы

Закон "Об электронной подписи". Определение, технологии применения и принципы формирования электронной подписи. Стандартные криптографические алгоритмы. Понятие сертификата ключа подписи и проверка его подлинности. Системы электронного документооборота.

презентация , добавлен 19.01.2014


Назначение электронной цифровой подписи. Использование хеш-функций. Симметричная и асимметричная схема. Виды асимметричных алгоритмов электронной подписи. Создание закрытого ключа и получение сертификата. Особенности электронного документооборота.

реферат , добавлен 20.12.2011


Схема формирования электронной цифровой подписи, её виды, методы построения и функции. Атаки на электронную цифровую подпись и правовое регулирование в России. Средства работы с электронной цифровой подписью, наиболее известные пакеты и их преимущества.

реферат , добавлен 13.09.2011


Общая схема цифровой подписи. Особенности криптографической системы с открытым ключом, этапы шифровки. Основные функции электронной цифровой подписи, ее преимущества и недостатки. Управление ключами от ЭЦП. Использование ЭЦП в России и других странах.

курсовая работа , добавлен 27.02.2011


Правовое регулирование отношений в области использования электронной цифровой подписи. Понятие и сущность электронной цифровой подписи как электронного аналога собственноручной подписи, условия ее использования. Признаки и функции электронного документа.

контрольная работа , добавлен 30.09.2013


Назначение и применение электронной цифровой подписи, история ее возникновения и основные признаки. Виды электронных подписей в Российской Федерации. Перечень алгоритмов электронной подписи. Подделка подписей, управление открытыми и закрытыми ключами.

курсовая работа , добавлен 13.12.2012


Организационно-правовое обеспечение электронной цифровой подписи. Закон "Об электронной цифровой подписи". Функционирование ЭЦП: открытый и закрытый ключи, формирование подписи и отправка сообщения. Проверка (верификация) и сфера применения ЭЦП.

курсовая работа , добавлен 14.12.2011


Понятие, история создания электронной цифровой подписи. Ее разновидности и сфера применения. Использование ЭЦП в России и в других странах, ее алгоритмы и управление ключами. Способы ее подделки. Модели атак и их возможные результаты. Социальные атаки.

реферат , добавлен 15.12.2013


Общая характеристика электронной подписи, ее признаки и составляющие, основные принципы и преимущества применения. Использование электронной цифровой подписи в России и за рубежом. Правовое признание ее действительности. Сертификат ключа проверки ЭЦП.

курсовая работа , добавлен 11.12.2014


Электронная цифровая подпись: понятие, составляющие, назначение и преимущества ее использования. Использование ЭЦП в мире. Правовые основы и особенности использования ЭЦП в Украине. Функция вычисления подписи на основе документа и секретного ключа.