Чем отличается квалифицированная электронная подпись от неквалифицированной
Принцип действия квалифицированной и неквалифицированной электронной подписи идентичен. Они определяют авторство электронного документа и факт внесения в него изменений после подписания.
Любое подписание документов усиленной квалифицированной электронной подписью выполняется программой криптошифрования и снабжается двумя ключами — открытым и закрытым. Отличие квалифицированной подписи от неквалифицированной заключается в том, что сертификат ключа проверки квалифицированной ЭП выдается только аккредитованным удостоверяющим центром, а для его создания используются программные средства, соответствующие требованиям № 63-ФЗ «Об электронной подписи» и сертифицированные ФСБ России и другими ведомствами. Усиленная квалифицированная электронная подпись — наиболее защищенный вид электронной подписи.
Виды электронной подписи
Существует два вида электронной подписи (ЭП) — простая и усиленная. Усиленная электронная подпись подразделяется на две подкатегории — неквалифицированную и квалифицированную ЭП. Для понимания, где и какую подпись применять, необходимо знать их различия и принципы действия.
Простая электронная подпись
Случается, что пользователь в течение дня несколько раз использует простую ЭП, не осознавая этого. Простая электронная подпись — это комбинация логина и пароля, которая применяется для входа на сайт, получения доступа к электронной почте, оплаты товаров или услуг в режиме онлайн. Она необходима для идентификации пользователя, совершившего те или иные действия. В зависимости от серьёзности операции выдвигаются требования к вводимому коду. Нередко при регистрации всплывает окно «Данный логин уже используется». Это говорит о том, что каждая простая электронная подпись на данном ресурсе уникальна и закреплена за определённым человеком. При совершении финансовых операций приходит уведомление, что логин и пароль пользователя являются секретной информацией, которую не рекомендуется хранить в свободном доступе и передавать третьим лицам.
Федеральный Закон № 63-ФЗ признает право подписывать электронный документ простой ЭП в том случае, когда стороны договорились о возможности признать данную подпись аналогичной собственноручной. Ограничения распространяются на документы, содержащие государственную тайну, а также в тех случаях, когда это противоречит действующему законодательству.
Усиленная электронная подпись
Усиленная неквалифицированная и квалифицированная ЭП создаются путем криптографического преобразования электронного документа. Усиленная неквалифицированная подпись позволяет аутентифицировать пользователя, подписавшего электронный документ. Также она подтверждает отсутствие изменений после подписания документа. Для её применения нет необходимости приобретать сертифицированный ключ проверки ЭП. Основная сфера действия — это документооборот между контрагентами и участие в электронных торгах, если это предусмотрено правилами самой площадки.
Усиленная квалифицированная электронная подпись обладает теми же возможностями, что и неквалифицированная ЭП. Для её приобретения необходимо обратиться в аккредитованный удостоверяющий центр. Владелец подписи получает на руки открытый и закрытый ключи и квалифицированный сертификат проверки ЭП, сведения о котором заносятся в соответствующий реестр. Усиленная квалифицированная электронная подпись имеет юридическую значимость наравне с бумажным собственноручно подписанным документом.
Как проверить ЭЦП на квалифицированность
С появлением и внедрением ЭЦП стало возможным отправлять документы с подписью по электронной почте, подписывать что-либо самостоятельно, но без личного присутствия. Но это не значит, что проставленная подпись всегда является квалифицированной.
Зачем проверять ЭЦП
Получив заверенный ЭЦП документ, нужно проверять её на аутентичность, чтобы убедиться в отсутствии мошеннических действий или обмана. Такая проверка даёт и другие возможности на случай, если в дальнейшем возникнут спорные моменты:
- Подтверждается достоверность документа и то, что подпись проставлена сознательно, а не случайно.
- Выявляется личность владельца ЭЦП, если она неизвестна. Если известна – проверяется.
- В случае отказа человека, подписавшего документ, от выполнения обязательств по нему или от несения ответственности, достоверная ЭЦП позволит доказать, что он действительно принимал решение, обозначенное на бумаге.
Как проверяют ЭЦП на квалифицированность
Существует несколько способов проверки. Выбрать можно любой, в зависимости от того, какой удобнее и каким методом проставлена подпись.
Самостоятельная проверка
Такой вариант потребует высокой мощности компьютера и специализированных программ. Для этого нужны определённые затраты на первоначальном этапе, поэтому большинство людей отказываются от данного метода.
Использовать этот метод стоит лишь тем, кто слишком трепетно относится к вопросам безопасности, не доверяет онлайн-сервисам, старается проверять каждый сайт и документ. Но таких людей довольно мало, особенно среди бизнесменов.
Проверка через Word и PDF
Проверить ЭЦП можно прямо в документе PDF или Microsoft Word. Нужно учитывать, что таким способом выявляется только корректность подписи.
Онлайн-сервисы
Существуют программы на сайтах, с помощью которых можно проверить подпись. Например, Контур.Крипто и КриптоАРМ. В специальном разделе потребуется загрузить документ, содержащий ЭЦП, либо сертификат. После этого будет получена наиболее полная информация о владельце и квалифицированности подписи.
Что можно узнать таким способом:
- является ли сертификат действующим;
- считается ли надёжным центр, его выдавший;
- соответствует ли подпись загруженному документу.
Портал Госуслуги
Данный способ простой и доступный, им пользуются многие люди. Чтобы проверить ЭЦП на квалифицированность, документ загружают на сайт Госуслуг по адресу gosuslugi.ru/pgu/eds. Доступна загрузка разных видов документов или сертификата.
Но при использовании такого метода полученные данные не могут являться доказательствами, если их, например, понадобится использовать в суде. Веб-ресурс сразу об этом предупреждает, и пользователю нужно учитывать такую особенность.
На портале госуслуг также можно скачать специальную программу, с помощью которой можно будет проверять подписи, не заходя на сайт, по значению хештегов. Освоить этот способ можно за короткий срок.
Какой метод проверки выбрать?
При выборе метода стоит ориентироваться на то, каковы цели проверки. Если нужно только удостовериться в подлинности документа, заверенного подписью, подойдёт любой способ. Если есть основания обвинить в чём-то человека, проставившего свою ЭЦП, то нужно выбрать сервис, результаты проверки по которому могут быть учтены в суде.
Если по работе часто необходимо досконально удостоверяться в квалифицированности подписи, имеет смысл установить специальные программы или использовать один и тот же надёжный сервис. Возможно, стоит применить пакет платных услуг, который предлагают некоторые сайты.
Проверку ЭЦП следует проводить всегда, независимо от того, есть ли доверие к источнику. Несмотря на высокий уровень защиты, ещё остаются некоторые незаконные способы применения чужой подписи. Чтобы обезопасить себя от подобных неприятностей, нужны постоянные проверки.
Как выглядит электронная подпись
Электронная подпись — это набор данных, поэтому ее увидеть невозможно. Однако файлы, из которых создается ЭП, а также их носители, например флешку, мы можем представить и описать. В статье расскажем, как они выглядят, и объясним, как понять, что на электронном документе стоит подпись.
В этой статье:
- Что такое электронная подпись
- Как выглядит ЭП на электронных документах
- Усиленная квалифицированная подпись
- Какие виды физической оболочки есть у ЭП
Контур поможет выпустить универсальный сертификат электронной подписи, который подойдет для любой задачи руководителя: отчетности в госорганы, обмена документами или работы на торговых площадках.
Что такое электронная подпись
Электронная подпись (ЭП, или ЭЦП — устаревшее название) — это реквизит электронного документа. Она подтверждает, кто автор подписанного файла, что там нет изменений, а также дает документам юридическую силу при определенных условиях.
В 63-ФЗ описаны три вида электронной подписи: простая (ПЭП), усиленная неквалифицированная (НЭП) и усиленная квалифицированная (КЭП). Отличаются ли они внешне, расскажем далее в статье.
Мы упрощаем термины в статье. Например, говорим «получить квалифицированную электронную подпись», хотя фактически получают не подпись, а сертификат, участвующий в подписании документов.
Как выглядит ЭП на электронных документах
По сути электронную подпись на документах никак не увидеть, так как это набор данных: информация, которая присоединяется к другой информации. Можно только проверить сам факт того, что документ подписан. Для этого есть специальные программы, например на портале Госуслуг или же Контур.Крипто.
Пример. Директор Аркадий получил электронный документ. Чтобы убедиться, что его подписал нужный сотрудник и файл не менялся, Аркадий решил проверить документ с ЭП в сервисе Контур.Крипто.
Руководитель зашел на сайт Контур.Крипто, загрузил оригинал документа и файл с подписью. Сервис проверил документ, а Аркадий увидел отчет о проверке и красный знак — в документ внесли изменения, поэтому подпись в файле недействительна.
Из отчета Аркадий узнал, что сотрудник исправил дату в документе уже после того, как поставил подпись. Директор еще раз проверил содержимое файла и вернул документ сотруднику на подпись.
Когда документ подписан, его, например, можно отличить по наличию в папке нового файла с тем же названием, но расширением «.sig». А иногда внутри самого документа стоит штамп либо специальный знак.
Видна подпись или нет, зависит от вида ЭП, программы и сервиса, где подписывают документ. Далее расскажем, как выглядят разные подписи на электронных документах.
Поможем выпустить электронную подпись для личных и рабочих задач. Проконсультируем, если возникнут вопросы по ее работе.
Усиленная квалифицированная подпись
КЭП — самая универсальная подпись. Она равнозначна собственноручной подписи и по умолчанию придает подписанному документу юридическую значимость. По этой причине бизнес часто использует ее в работе: чтобы участвовать в торгах, сдавать отчетность и обмениваться документами с контрагентами.
Представим, что вы подписали КЭП документ Microsoft Word. В зависимости от способа присоединения подписи к документу он станет выглядеть так:
Если подпись открепленная
Когда документ подписали электронной подписью, создается отдельный файл с ЭП. У него такое же название, но другое расширение — sig, sgn или p7s.
Чтобы проверить автора и неизменность подписанного документа, в программу, например Контур.Крипто, надо передать сразу два файла: оригинал «Файл.docx» и файл с подписью «Файл.sig».
Если подпись прикрепленная
Когда документ подписали электронной подписью, в тот же файл добавляется расширение «Файл.docx.sig». То есть ЭП находится внутри исходного документа. Чтобы проверить такой документ, например в сервисе от Госуслуг, в программу надо загрузить именно этот файл — «Файл.docx.sig».
Если подпись встроенная
Когда файл подписали ЭП, его формат остался прежним, но в самом документе появляется штамп или специальный знак с информацией о подписи. Если изменить документ после подписания, электронная подпись станет недействительной.
Встроенную подпись создают внутри документов Word, Excel или PDF с помощью дополнительного ПО: например, КриптоПро Office Signature и КриптоПро PDF. Часто такой способ визуализации подписи используют государственные структуры: ФНС, Росреестр и другие. Внизу их документов стоят подобные штампы:
Как выглядит штамп, зависит от настроек программы, где он создан, или сервиса. Например, в Контур.Экстерне появляется галочка «Документ подписан», а в подписанном документе Microsoft Word на панели внизу — красный ярлык:
Также в Microsoft Word можно создать поле с графическим изображением подписи. Юридической силы оно не имеет, а служит просто для наглядности.
Посмотреть, есть ли в документе подпись, можно и на вкладке «Свойства». В пункте «Подпись» будут сведения о подписанте.
Если в документе стоит отметка «Подписано ЭП» и подобные, это не значит, что файл на самом деле подписан и не изменен. Чтобы проверить подлинность документа и верность ЭП, надо загрузить электронный оригинал документа в специальный сервис (например, Контур.Крипто).
Если документ с ЭП распечатать, подпись не будет иметь юридическую силу. Ведь электронная подпись заверяет именно электронные файлы.
Усиленная неквалифицированная подпись
Визуально НЭП не отличается от КЭП. Между собой эти два вида подписи отличаются требованиями к программному обеспечению, структурой сертификата, который подтверждает личность владельца подписи, а также процедурой получения.
Из-за того, что КЭП по умолчанию придают документам юридическую силу, к получению таких сертификатов больше требований. Так, сертификаты КЭП выдают только специально отобранные организации — аккредитованные удостоверяющие центры (УЦ). Чтобы выпустить КЭП, нужно прийти туда и удостоверить личность.
НЭП же дает файлам юридическую значимость не по умолчанию, а когда стороны, которые обмениваются документами, заключили допсоглашение об этом.
Отличаются и сферы применения КЭП и НЭП. КЭП универсальна — с ней можно работать одновременно в нескольких системах: зарегистрировать квартиру в Росреестре и при этом отчитаться в Честном ЗНАКе. А НЭП используется только на одной конкретной площадке.
Например, неквалифицированную подпись можно выпустить онлайн на сайте ФНС, если есть аккаунт на Госуслугах. Сделать это может физлицо, но не ИП или представитель юрлица. Такая НЭП будет работать только на сайте налоговой — по внутреннему регламенту ФНС. Или другой пример — кадровый электронный документооборот (ЭДО) в компании. Сотрудник с НЭП подписывает приказы, трудовые договоры, должностные инструкции и другие кадровые документы только в системе ЭДО организации. Подпись обеспечивает их юридическую значимость, так как работник и компания заключили соглашение об этом.
Простая электронная подпись
Простая ЭП — это комбинация цифр и символов, с помощью которой можно узнать автора документа или подтвердить совершенное действие. Например, это логин и пароль при входе на Госуслуги или смс-код, который банк отправляет на телефон, когда вы оплачиваете товары в интернете. Таким образом вы подтверждаете, что именно вы входите на портал или совершаете покупку.
В зависимости от площадки и сервиса, где используют ПЭП, может стоять тот или иной знак, что документ подписан. Например, галочка или штамп «Платеж отправлен», «Подписано ПЭП».
ПЭП также не будет давать документам юридическую силу, если стороны документооборота не заключат между собой соглашение. Такие соглашения обычно включены в договор обслуживания (например, между банком и клиентом) или заключаются во время обслуживания (например, анкета-согласие на использование электронной подписи на Почте России).
Какие виды физической оболочки есть у ЭП
На физических носителях хранят не саму электронную подпись, а ее компоненты — файлы, с помощью которых человек формирует подпись, когда подписывает документ. Это сертификат, подтверждающий личность владельца подписи, а также закрытый и открытый ключи — длинные наборы символов.
Сертификат и ключи можно записать на съемные носители или хранить только в памяти компьютера. Далее перечислим, на каких устройствах хранят элементы ЭП, и покажем, как выглядят такие носители.
Ключи для создания ЭП руководитель формирует самостоятельно на компьютере, а вот за сертификатом подписи надо идти в ФНС. Получите сертификат у доверенного лица налоговой без визита в инспекцию
Токен
Токен — это устройство, которое внешне очень похоже на обычную флешку. Но в отличие от флешки токен предназначен для защиты информации, поэтому на его карте памяти есть восьмизначный пароль.
На токене также может быть установлено средство криптографической защиты информации (СКЗИ). Оно не позволяет переносить файлы с токена на другие устройства.
Использовать обычную флешку для хранения подписи опасно. Ведь она не защитит данные.
Smart-карта
Smart-карта — это пластиковая карта с микросхемой, похожая на банковскую карту. Она выполняет ту же функцию, что и токен, то есть защищает информацию: на ней есть пароль и СКЗИ. Однако возможности карты в отличие от токена шире. Например, иногда компании делают из smart-карт электронные удостоверения сотрудников.
Для считывания информации с карты обычно нужно специальное устройство. Некоторые карты работают бесконтактно.
SIM-карта
SIM-карта — устройство от мобильного оператора с чипом, где установлено специальное приложение для работы электронной подписи. Внешне это обыкновенная «симка».
Такой носитель необходим, чтобы работать с мобильной электронной подписью: подписывать документы через приложение в телефоне. В мобильном формате используют только НЭП. Возможность применения КЭП пока рассматривается контролирующими органами.
Flash
Flash, или флешка, — это небольшое устройство для хранения информации, где есть карта памяти и разъем USB. Она не предназначена для защиты и шифрования данных в отличие от токена, поэтому на ней нет пароля и СКЗИ. Из этого следует, что хранить ЭП на флешке не стоит, так как информация легко может попасть не в те руки.
Подробнее про электронную подпись на флешке мы рассказывали в статье.
Итак, на носителях хранят не электронные подписи, а файлы, из которых формируются ЭП. Самые безопасные устройства для этого — токен и smart-карта: они защищены паролями, а некоторые — СКЗИ.
Чтобы сохранить подпись в безопасности, не стоит передавать носитель с ЭП другим людям. Так, сотрудники не должны иметь доступ к подписям руководителя и друг друга. Иначе они могут подписать документ самовольно, а доказать, что подпись поставил не ее владелец, трудно.
Сотрудники и уполномоченные лица организаций могут выполнить любую рабочую задачу с универсальной электронной подписью от Контура. Участвуйте в торгах, сдавайте отчетность и обменивайтесь документами с помощью одного сертификата ЭП.