Установка сертификата ЭЦП

Перевыпуск сертификата ЭЦП

Иногда возникают ситуации, когда владелец электронной подписи теряет USB-носитель, меняет свои личные или юридические реквизиты или же законодательство вносит изменения в требования к электронным подписям. В таких случаях понадобится перевыпуск сертификата. В большинстве случаев эта услуга предоставляется удостоверяющими центрами на платной основе. И лишний раз менять реквизиты или терять USB-ключи финансово невыгодно. Правда, некоторые удостоверяющие центры предлагают услугу «Сопровождение сертификата», которая позволяет до определенного числа за период действия сертификата перевыпускать его за более низкую стоимость.

В случае перевыпуска сертификата ЭЦП просто обновить его не получится — придется устанавливать заново. Для установки нового сертификата понадобится программа КриптоПро CSP, находящаяся в меню «Пуск» — «Настройки» — «Панель управления». В этой программе на вкладке «Сервис» установить новый сертификат можно либо через кнопку «Просмотреть сертификаты в контейнере…», либо через кнопку «Установить личный сертификат…». Далее нужно следовать указаниям программы. Дополнительно можно воспользоваться подробными инструкциями, предоставляемыми сайтами аккредитованных центров.

Как удалить старые сертификаты ЭЦП

Удалить старые сертификаты ЭЦП будет намного проще, чем установить или обновить новые. Для этого нужно зайти в программу «Сертификаты» через меню «Пуск» — «Программы» — «Крипто-Про», открыть подпапку «Личное», выбрать старый сертификат, нажать правой клавишей мыши и из появившегося меню выбрать функцию «Удалить». Сертификат будет удален.

Но специалисты не рекомендуют этого делать, так как устаревшие сертификаты могут понадобиться для просмотра ранее подписанных документов и отчетов. Например, при удалении старых сертификатов просмотреть отчеты и письма, переданные с их помощью через ТКС, уже будет нельзя. И придется обращаться в аккредитованные центры с просьбой предоставить удаленные сертификаты.

Чтобы старые сертификаты сохранились в электронном виде, но и не появлялись в списке действующих сертификатов, достаточно вместо удаления сертификата открыть его двойным щелчком левой клавиши мыши и в появившемся окне на вкладке «Состав» нажать на кнопку «Свойства». В новом окошке переставить точечку на «Разрешить только следующие назначения» и убрать галочку «Проверка подлинности клиента». Таким образом старый сертификат сохранится, но и мешать при использовании действующих сертификатов уже не будет.

Как долго надо хранить сертификат ЭЦП

Нужно ли владельцу электронной подписи хранить сертификаты ЭЦП после истечения срока их действия? Да, желательно сохранить их у себя в электронном или бумажном виде, так как они могут пригодиться в любой момент для подтверждения юридической значимости ранее подписанных с помощью них документов. При определении срока хранения сертификата ЭЦП можно ориентироваться на установленные законодательством сроки хранения документов в бумажном виде. Ознакомиться с ними вы можете в нашей статье .

Но еще раз напомним, что это лишь рекомендация для владельцев ЭЦП. Обязанность хранить сертификаты законодательно закреплена за выдавшими их аккредитованными удостоверяющими центрами (п. 1 ст. 15 закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ). Период хранения выданных сертификатов ограничен только сроком деятельности аккредитованного центра. То есть пока аккредитованный цент работает — можно в любой момент запросить у него информацию о ранее выданных сертификатах. Но как только удостоверяющий центр прекращает свою деятельность — обязанность по хранению сертификатов с него снимается.

В будущем планируется перевести хранение всех выданных сертификатов под контроль единой государственной базы, чтобы минимизировать риск их утери в случае прекращения деятельности аккредитованных центров. Но пока такой системы хранения нет, поэтому негласно ответственность за сохранность сертификата полностью лежит на его владельце.

Итоги

Таким образом, сертификат является неотъемлемой частью ключа электронной подписи, подтверждает подлинность и достоверность этого ключа, выступает в качестве его юридически значимого документального сопровождения. При отсутствии сертификата ключ ЭЦП будет считаться недействительным.

Эта документация перемещена в архив и не поддерживается.

Обновлено: Сентябрь 2014 г.

При развертывании службы восстановления сайтов Azure требуется сертификат для регистрации серверов диспетчера виртуальных машин (VMM) в хранилищах службы восстановления сайтов Azure и для проверки подлинности серверов VMM в службе восстановления сайтов Azure.

Перед началом развертывания подготовьте сертификаты следующим образом.

Затем при настройке хранилища вы передадите CER-сертификат. При регистрации сервера VMM в хранилище во время установки поставщика службы восстановления сайтов Azure выбирается PFX-файл сертификата, соответствующий CER-файлу сертификата, загруженному в хранилище.

Следующие компоненты являются обязательными для сервера управления.

  • Можно использовать любой действительный SSL-сертификат, выданный центром сертификации Microsoft Enterprise либо другим центром сертификации, который является доверенным для Майкрософт (корневые сертификаты которого распространяются по программе корневых сертификатов Майкрософт). Дополнительные сведения об этой программе см. в статье Участники программы корневых сертификатов Майкрософт . Вместо этого для тестирования можно использовать самозаверяющий сертификат, созданный с помощью средства Makecert.exe.
  • Сертификат должен иметь вид x.509 v3.
  • Длина ключа должна быть не менее 2048 бит.
  • Сертификат должен иметь действительную подпись ClientAuthentification EKU.
  • Сертификат должен быть действителен в настоящее время, а его период действия не должен превышать 3 года.
  • Сертификат должен находиться в личном хранилище сертификатов на локальном компьютере.
  • Чтобы можно было передать сертификат в хранилище, он должен иметь формат CER и содержать открытый ключ.
  • CER-сертификат необходимо экспортировать в PFX-файл (содержащий закрытый ключ). Этот PFX-файл должен быть помещен на каждый сервер VMM, который требуется зарегистрировать в хранилище.

Обратите внимание, что в любой момент времени с каждым хранилищем связан только один сертификат. При необходимости можно передать сертификат, чтобы заменить им текущий сертификат, связанный с хранилищем.

Вы можете использовать любой сертификат, соответствующий . Также с помощью средства MakeCert можно создать CER-сертификат, который будет соответствовать этим требованиям.

  1. На компьютер, на котором будет работать средство MakeCert, загрузите последнюю версию пакета средств разработки программного обеспечения Windows (SDK). Обратите внимание, что команда makecert.exe входит в базовый пакет SDK Windows, поэтому загружать и устанавливать весь пакет SDK не требуется.
  2. На странице Указание расположения выберите Установить пакет средств разработки программного обеспечения Windows для Windows 8.1 на этот компьютер.
  3. На странице Участие в программе улучшения качества программного обеспечения (CEIP) выберите нужный вам параметр.
  4. На странице Выбор компонентов для установки снимите все флажки, кроме пакета средств разработки программного обеспечения Windows .
  5. После завершения установки проверьте наличие файла makecert.exe в папке C:\ProgramFiles (x86)\Windows Kits\\bin\x64.
  6. Откройте командную строку (cmd.exe) с правами доступа администратора и перейдите в папку с программой makecert.exe.
  7. Для создания самозаверяющего сертификата выполните следующую команду. Замените CertificateName именем, которое будет назначено сертификату, а после -e укажите дату истечения срока действия сертификата.

    makecert.exe -r -pe -n CN=CertificateName -ss my -sr localmachine -eku 1.3.6.1.5.5.7.3.2 -len 2048 -e 01/01/2016 CertificateName.cer

Сертификат будет создан и сохранен в ту же папку, в которой находится программа. Для экспорта его можно переместить в более доступное расположение.

На сервере, на котором была запущена программа makecert.exe, выполните шаги этой процедуры для экспорта CER-файла и в формат PFX.

  1. В меню Пуск введите mmc.exe
  2. В меню Файл щелкните . Откроется диалоговое окно .
  3. На вкладке Доступные оснастки щелкните Сертификаты и затем Добавить .
  4. Выберите Учетная запись компьютера и нажмите кнопку Далее .
  5. Выберите Локальный компьютер и нажмите кнопку Готово .
  6. В MMC в дереве консоли разверните узел Сертификаты и затем узел Личные .
  7. В области сведений щелкните нужный сертификат.
  8. В меню Действие укажите на Все задачи и нажмите кнопку Экспорт . Откроется мастер экспорта сертификатов. Нажмите кнопку Далее .
  9. На странице Экспорт закрытого ключа щелкните Да, экспортировать закрытый ключ . Нажмите кнопку Далее . Обратите внимание, что это требуется, только если после установки закрытый ключ нужно экспортировать на другие серверы.
  10. На странице Формат экспортируемого файла выберите Personal Information Exchange — PKCS #12 (PFX) . Нажмите кнопку Далее .
  11. На странице Пароль введите пароль и подтверждение пароля для шифрования закрытого ключа. Нажмите кнопку Далее .
  12. Следуйте дальнейшим инструкциям мастера, чтобы экспортировать сертификат в формате PFX.

    После экспорта PFX-файла скопируйте его на каждый сервер VMM, который необходимо зарегистрировать, а затем импортируйте следующим образом. Обратите внимание, что, если программа MakeCert.exe запускалась на сервере VMM, нет необходимости импортировать сертификат на этот сервер.

    Если VMM развернут в кластере, то будет необходимо импортировать сертификат в каждый узел кластера.

    1. Скопируйте файлы сертификата с закрытым ключом (PFX) в папку на локальном сервере.
    2. В меню Пуск введите mmc.exe и нажмите клавишу ВВОД , чтобы запустить консоль управления Майкрософт (ММС).
    3. В консоли MMC в меню Консоль выберите Добавить или удалить оснастку .
    4. В диалоговом окне Добавление и удаление оснастки выберите Сертификаты и нажмите кнопку Добавить .
    5. Откроется диалоговое окно Оснастка сертификата . Выберите Учетная запись компьютера и нажмите кнопку Далее .
    6. Выберите Локальный компьютер и нажмите кнопку Готово .
    7. В диалоговом окне Добавить или удалить оснастку нажмите кнопку ОК .
    8. В консоли MMC разверните узел Сертификаты , щелкните правой кнопкой мыши Личные , укажите пункт Все задачи и щелкните Импорт , чтобы запустить мастер импорта сертификатов.
    9. На странице Добро пожаловать в мастер импорта сертификатов щелкните Далее .
    10. На странице Импортируемый файл щелкните Обзор и найдите папку, содержащую нужный PFX-файл сертификата. Выберите файл и щелкните Открыть .
    11. На странице Пароль в поле Пароль введите пароль для файла закрытого ключа, указанный в предыдущей процедуре, и нажмите кнопку Далее .
    12. На странице Хранилище сертификатов выберите Установить все сертификаты в следующее хранилище , щелкните Обзор , выберите Личное хранилище, затем щелкните кнопку ОК и Далее .
    13. На странице Завершение работы мастера импорта сертификатов нажмите кнопку Готово .

      Назначение: Windows 7, Windows Server 2008 R2

      Сертификат можно экспортировать, чтобы импортировать его копию на другой компьютер или устройство, либо чтобы сохранить копию сертификата в безопасном месте.

      При экспорте сертификатов для импорта на компьютер с другой операционной системой Windows предпочтительным форматом экспорта является формат PKCS #7. В этом формате сохраняется цепочка центров сертификации, или путь сертификации, любого сертификата, включающего подписи других сторон, связанные с подписями сертификата.

      При экспорте сертификатов для импорта на компьютер с другой операционной системой может поддерживаться формат PKCS #7. Если он не поддерживается, для взаимодействия предоставляется двоичный формат кодирования DER или формат Base64.

      Для выполнения этой процедуры необходимо быть, как минимум, членом группы Пользователи или Администраторы локальной системы. Дополнительные сведения см. в подразделе «Дополнительная информация» данного раздела.

      Чтобы экспортировать сертификат

        Откройте оснастку «Сертификаты» для пользователя, компьютера или службы.

        В дереве консоли в логическом хранилище, содержащем сертификат для экспорта, щелкните Сертификаты .

        В области сведений щелкните сертификат, который нужно экспортировать.

        В меню Действие наведите указатель на пункт Все задачи , а затем щелкните Экспорт .

        В мастере экспорта сертификатов щелкните Нет, не экспортировать закрытый ключ . (Эта возможность появляется только в случае, если закрытый ключ помечен как экспортируемый и к нему имеется доступ.)

        Укажите в мастере экспорта сертификатов следующие сведения.

      • Выберите формат файла для сохранения экспортированного сертификата: формат DER, формат Base64 или PKCS #7.
      • Если сертификат экспортируется в файл PKCS #7, имеется возможность включить сертификаты в пути сертификации.
    14. При необходимости в поле Пароль введите пароль для шифрования экспортируемого закрытого ключа. В поле Подтверждение вновь введите тот же самый пароль и нажмите кнопку Далее .

      В поле Имя файла введите имя файла и путь для файла PKCS #7, в котором будут храниться экспортированный сертификат и закрытый ключ. Нажмите кнопку Далее , а затем нажмите кнопку Готово .

    Дополнительная информация

    • Управлять сертификатами пользователя может пользователь или администратор. Сертификаты, выпущенные для компьютера или службы, могут управляться только администратором или пользователем, наделенным надлежащими разрешениями.
    • Сведения о том, как открыть оснастку «Сертификаты», см. в разделе .
    • После завершения работы мастера экспорта сертификатов сертификат остается в хранилище сертификатов в дополнение ко вновь созданному файлу. Если необходимо убрать сертификат из хранилища сертификатов, необходимо удалить его.

    Назначение: Windows 7, Windows Server 2008 R2

    Иногда требуется экспортировать сертификат с закрытым ключом для сохранения на съемном носителе или для использования на другом компьютере. Для данной процедуры существуют следующие ограничения:

    • Закрытый ключ можно экспортировать только тогда, когда он указан в запросе сертификата или шаблоне сертификата, который использовался для создания сертификата.
    • Усиленная защита (также называемая «iteration count «) включается по умолчанию в мастере экспорта сертификатов, когда экспортируется сертификат со связанным закрытым ключом. Усиленная защита несовместима с некоторыми программами, поэтому при использовании закрытого ключа с какой-либо программой, не поддерживающей усиленную защиту, следует снять флажок Включить усиленную защиту .

    Для выполнения этой процедуры необходимо быть, как минимум, членом группы Пользователи или Администраторы локальной системы. Дополнительные сведения см. в разделе «Дополнительная информация» настоящего документа.

    Чтобы экспортировать сертификат с закрытым ключом

      Откройте оснастку «Сертификаты» для пользователя, компьютера или службы.

      В дереве консоли в логическом хранилище, содержащем сертификат для экспорта, щелкните Сертификаты .

      В области сведений щелкните сертификат, который нужно экспортировать.

      В меню Действие выберите Все задачи , а затем выберите Экспорт .

      В мастере экспорта сертификатов выберите параметр Да, экспортировать закрытый ключ . (Эта возможность появляется только в случае, если закрытый ключ помечен как экспортируемый и к нему имеется доступ.)

      В группе Формат экспортируемого файла выполните какое-либо из описанных далее действий и нажмите кнопку Далее .

    • Чтобы включить все сертификаты в путь сертификации, установите флажок Включить по возможности все сертификаты в путь сертификации .
    • Чтобы удалить закрытый ключ в случае удачного завершения экспорта, установите флажок Удалить закрытый ключ после успешного экспорта .
    • Чтобы экспортировать расширенные свойства сертификата, установите флажок Экспортировать все расширенные свойства .
  13. В поле Пароль введите пароль для шифрования экспортируемого закрытого ключа. В поле Подтверждение вновь введите пароль и нажмите кнопку Далее .

    В поле Имя файла введите имя файла и путь для файла PKCS #12, в котором будет храниться экспортированный сертификат и закрытый ключ. Нажмите кнопку Далее , а затем кнопку Готово .

После завершения работы мастера экспорта сертификатов сертификат останется не только во вновь созданном файле, но и в хранилище сертификатов. Если необходимо убрать сертификат из хранилища сертификатов, необходимо удалить его.

Дополнительная информация

  • Управление сертификатами пользователей могут осуществлять соответствующий пользователь или администратор. Управлять сертификатами, выданными компьютеру или службе, может только администратор или пользователь, которому были предоставлены соответствующие разрешения.
  • Сведения о том, как открыть оснастку «Сертификаты», см. в разделе .

Программа «КриптоАРМ» позволяет экспортировать сертификат из хранилища в файл.

Экспорт сертификата может понадобиться для выполнения следующих задач:

  • Архивирование сертификата
  • Архивирование сертификата и связанного с ним закрытого ключа
  • Копирование сертификата для использования на другом компьютере
  • Удаление сертификата и его закрытого ключа с компьютера владельца сертификата для установки на другом компьютере

Когда сертификат экспортируется, он копируется из хранилища сертификатов в файл, использующий стандартный формат хранения сертификатов.

Экспортировать сертификаты из хранилища в файл вы можете через Главное окно программы (вид «Эксперт») .

Для того чтобы экспортировать сертификат:

  1. В дереве элементов главного окна выберите раздел Сертификаты. Откроется список хранилищ сертификатов:
  • личное хранилище сертификатов;
  • сертификаты других пользователей;
  • промежуточные центры сертификации;
  • доверенные корневые центры сертификации;

Выберите хранилище, в котором содержится сертификат для экспортирования.

Если экспортируемый сертификат – ГОСТ, введите пароль для доступа к ключевому контейнеру.

  1. Откроется стандартный диалог Мастер экспорта сертификатов . Ознакомьтесь с порядком экспорта сертификатов и нажмите на кнопку Далее .
  2. Вы можете экспортировать закрытый ключ вместе с сертификатом. Для этого поставьте переключатель напротив пункта Да, экспортировать закрытый ключ . В случае выбора пункта Нет, не экспортировать закрытый ключ будет произведена операция экспорта только сертификата (и его открытого ключа).

! Если при создании запроса на сертификат вы не пометили ключи как «экспортируемые», то вы сможете экспортировать сертификат (без закрытого ключа). В этом случае переключатель Да, экспортировать закрытый ключ будет заблокирован.

  1. Если вы экспортируете только сертификат (без закрытого ключа), то в следующем окне выберите следующие форматы экспортируемого файла:
  • Файлы в DER-кодировке X.509 (.CER)
  • Файлы в Base64-кодировке X.509 (.CER)
  • Стандарт Cryptographic Message Syntax — сертификаты PKCS #7 (.p7b)
  1. Если вы экспортируете сертификат с закрытым ключом, то вам будет доступен только один формат экспортируемого файла — файл обмена личной информацией — PKCS#12 (.PFX) . При этом вы имеете возможность:
  • включить по возможности все сертификаты в путь сертификата;
  • включить усиленную защиту (требуется IE 5.0, NT 4.0 SP4 или выше);
  • удалить закрытый ключ после успешного экспорта.

  1. Для обеспечения безопасности следует защитить закрытый ключ паролем.
  2. Укажите имя экспортируемого файла и путь экспорта.
  3. По окончании операции возникнет сообщение об успешном экспорте сертификата.

Общие сведения о процессе установки

Установка сертификата ЭЦП на компьютер проводится по следующему алгоритму:

  • установка программной платформы для работы с электронными подписями;
  • генерация совместимого сертификата ЭЦП;
  • установка сертификата в операционную систему;
  • прописывание сертификата в реестре (сейчас это выполняется автоматически, вручную вводить какие-либо изменения не нужно).

Стоит учесть, что установка ЭЦП на компьютер возможна только при использовании ОС семейства Windows. Инсталляция в MacOS и Linux пока что не поддерживается, но в этих дистрибутивах с электронными подписями можно работать через специальный плагин для браузеров – он «умеет» получать ключ ЭЦП из USB-токена и использовать его для входа на защищенные порталы, где требуется идентификация личности. Полноценная же работа с электронными подписями реализована исключительно в ОС Windows.

Для работы с ЭЦП используется программная платформа КриптоПро CSP. На текущий момент доступны 2 актуальные версии приложения – 3.5 и 5.0. В принципе, функционал у них практически идентичен, но в версии 5.0 реализовано больше протоколов защиты, поэтому именно она и рекомендуема к использованию. КриптоПро CSP – это единственная программа, сертифицирована в РФ для работы с ЭЦП.

Установка сертификата

Мнение эксперта Алексей Борисович Специалист по программному обеспечению Задать вопрос эксперту Как установить сертификат ЭЦП на компьютер? Пошаговый алгоритм:

  1. Перейти в «Панель управления».
  2. Дважды кликнуть левой кнопкой мыши на «КриптоПро CSP».
  3. Откроется окно «Свойства», в нем необходимо перейти во вкладку «Сервис».
  4. Если имеется USB-рутокен – его на этом этапе необходимо подсоединить к USB-входу компьютера или ноутбука (можно и до запуска КриптоПро CSP, но не позже).
  5. Во вкладке «Сервис» выбрать «Просмотреть сертификаты на контейнере».
  6. В следующем окне – выбрать устройство, с которого и необходимо считать ключ ЭЦП (оно будет одно, если в USB имеется только один рутокен).
  7. Нажать «Далее», дождаться интеграции сертификата в систему, выбрать «Готово».
  8. В появившемся окне выбрать «Установить сертификат» (если не сделать этого, то после перезагрузки ПК ЭЦП будет не активным).

В последнем окне также будут указаны сведения из ЭЦП. Продолжать установку следует только в том случае, если данные – верные, соответствуют действительным данным владельца ключа.

Если система выдаст запрос на выбор хранилища сертификата, то рекомендуется отмечать пункт «Личное». После этого данные ЭЦП будут добавлены в реестр, для последующего его использования вставлять в USB рутокен не потребуется, сертификат будет привязан к используемому оборудованию.

Важный нюанс: если пользователь периодически проводит «чистку» реестра с помощью таких программ, как C&Cleaner или схожих (с подобным функционалом), то после данной процедуры сертификат может деактивироваться и потребуется его повторная установка через КриптоПро.

Вышеуказанная инструкция актуальна для всех версий ОС Windows (XP и старше). В дальнейшем, при использовании офисного пакета Microsoft Office можно прямо из программы выполнять подпись и заверение документов установленным сертификатом буквально в несколько кликов. Если же не интегрировать ЭЦП на компьютер, то подпись допустима только через интерфейс КриптоПро, при этом необходимо в USB вставлять рутокен.

И перед тем как установить ключ электронной подписи на компьютер рекомендуется инсталлировать любой современный антивирус, обновив и его базу данных (сигнатур). В Windows 10 это не обязательно, так как в данной версии операционной системы имеется интегрированный антивирус Microsoft Essential.

Подробная видео-инструкция:

Использование плагина в браузере

Для идентификации пользователя на определенных порталах рекомендуется также использовать ключ ЭЦП. Для работы с ним удобней всего использовать КриптоПро ЭЦП Browser plug-in, поддерживающийся в Chrome, Яндекс-браузер, Internet Explorer, FireFox, Opera, Safari. Установить его можно либо с магазина плагинов (у каждого браузера он свой собственный), либо непосредственно с сайта КриптоПро www.cryptopro.ru/products/cades/plugin.

Как установить электронную подпись в браузер с помощью данного плагина? Он автоматически распознает установленные ЭЦП в системе, также умеет работать с USB¬-рутокенами, настройка выполняется буквально в несколько кликов. Только рекомендуется на запуск плагина установить пароль (в его настройках предусмотрена такая возможность) – это защитит от доступа к ЭЦП третьими лицами, которые имеют возможность работать за компьютером владельца электронной подписи.

После интеграции ЭЦП в плагин при входе на сайт, поддерживающий такой тип идентификации, будет выдан запрос на использование сертификата. Достаточно утвердительно ответить на запрос и личность пользователя сразу же будет верифицирована, никаких логинов/паролей вводить не потребуется.

Возможные проблемы

Мнение эксперта Алексей Борисович Специалист по программному обеспечению Задать вопрос эксперту Первым делом необходимо упомянуть, что каждый удостоверяющий центр предлагает услуги справочной поддержки за дополнительную плату. Соответственно, при возникновении каких-либо проблем с установкой и настройкой ЭЦП можно обращаться непосредственно к ним.
Из типичных проблем пользователи чаще всего сталкиваются со следующими:

  1. Ошибка о сроке действия сертификата. Указывает на то, что ЭЦП уже не активен, так как прошло 12 месяцев с даты его выдачи. Также возникает в том случае, если на ПК установлена неверная дата и время.
  2. Ошибка отказа в установке сертификата. Указывает на то, что служба поддержки сертификатов и криптографии не запущена. Также возникает при использовании пиратских «урезанных» копий ОС Windows, где некоторые службы полностью вырезаны.
  3. Ошибка чтения сертификата с рутокена. Возникает при повреждении USB токена, реже – при выходе из строя USB-входа.
  4. Ошибка проверки сертификата. Возникает при отсутствии доступа в интернет, когда производится попытка подписи электронного документа. Для этих целей рекомендуется выполнять подпись через КриптоПро – программа работает и в локальном режиме.

В общем, установка ЭЦП на компьютер не представляет ничего сложного, разработчики ПО позаботились о том, чтобы с данной задачей справился и не опытный пользователь ПК. За помощью же можно обратиться либо в удостоверяющий центр, либо в справочную службу КриптоПро – они довольно быстро отвечают на все вопросы от пользователей в рабочее время.

Что такое электронная подпись — простым языком для новичков мира цифровой экономики

30 октября 2017

В статье даны ответы на вопросы: «Как выглядит электронная подпись», «Как работает ЭЦП», рассмотрены ее возможности и основные компоненты, а также представлена наглядная пошаговая инструкция процесса подписания файла электронной подписью.

Что такое электронная подпись?

Электронная подпись – это не предмет, который можно взять в руки, а реквизит документа, позволяющий подтвердить принадлежность ЭЦП ее владельцу, а также зафиксировать состояние информации/данных (наличие, либо отсутствие изменений) в электронном документе с момента его подписания.

Справочно:

Сокращенное название (согласно федеральному закону № 63) — ЭП, но чаще используют устаревшую аббревиатуру ЭЦП (электронная цифровая подпись). Это, например, облегчает взаимодействие с поисковиками в интернете, так как ЭП может также означать электрическую плиту, электровоз пассажирский и т.д.

Согласно законодательству РФ, квалифицированная электронная подпись — это эквивалент подписи, проставляемой «от руки», обладающий полной юридической силой. Помимо квалифицированной в России представлены еще два вида ЭЦП:

— неквалифицированная — обеспечивает юридическую значимость документа, но только после заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП, позволяет подтвердить авторство документа и проконтролировать его неизменность после подписания,

— простая — не придает подписанному документу юридическую значимость до заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП и без соблюдении законодательно закрепленных условий по ее использованию (простая электронная подпись должна содержаться в самом документе, ее ключ применяться в соответствии с требованиями информационной системы, где она используется, и прочее согласно ФЗ-63, ст.9), не гарантирует его неизменность с момента подписания, позволяет подтвердить авторство. Ее применение не допускается в случаях, связанных с государственной тайной.

Возможности электронной подписи

Физическим лицам ЭЦП обеспечивает удаленное взаимодействие с государственными, учебными, медицинскими и прочими информационными системами через интернет.

Юридическим лицам электронная подпись дает допуск к участию в электронных торгах, позволяет организовать юридически-значимый электронный документооборот (ЭДО) и сдачу электронной отчетности в контролирующие органы власти.

Возможности, которые предоставляет ЭЦП пользователям, сделали ее важной составляющей повседневной жизни и рядовых граждан, и представителей компаний.

Что означает фраза «клиенту выдана электронная подпись»? Как выглядит ЭЦП?

Сама по себе подпись является не предметом, а результатом криптографических преобразований подписываемого документа, и ее нельзя «физически» выдать на каком-либо носителе (токене, smart-карте и т.д.). Также ее нельзя увидеть, в прямом значении этого слова; она не похожа на росчерк пера либо фигурный оттиск. О том, как «выглядит» электронная подпись, расскажем чуть ниже.

Справочно:

Криптографическое преобразование — это зашифровка, которая построена на использующем секретный ключ алгоритме. Процесс восстановления исходных данных после криптографического преобразования без данного ключа, по мнению специалистов, должен занять большее время, чем срок актуальности извлекаемой информации.

Flash-носитель — это компактный носитель данных, в состав которого входит flash-память и адаптер (usb-флешка).

Токен — это устройство, корпус которого аналогичен корпусу usb-флешки, но карта памяти защищена паролем. На токене записана информация для создания ЭЦП. Для работы с ним необходимо подключение к usb-разъему компьютера и введения пароля.

Smart-карта — это пластиковая карта, позволяющая проводить криптографические операции за счет встроенной в нее микросхемы.

Sim-карта с чипом — это карта мобильного оператора, снабженная специальным чипом, на которую на этапе производства безопасным образом устанавливается java-приложение, расширяющее ее функциональность.

Как же следует понимать фразу «выдана электронная подпись», которая прочно закрепилась в разговорной речи участников рынка? Из чего состоит электронная подпись?

Выданная электронная подпись состоит из 3 элементов:

1 – средство электронной подписи, то есть необходимое для реализации набора криптографических алгоритмов и функций техническое средство. Это может быть либо устанавливаемый на компьютер криптопровайдер (КриптоПро CSP, ViPNet CSP), либо самостоятельный токен со встроенным криптопровайдером (Рутокен ЭЦП, JaCarta ГОСТ), либо «электронное облако». Подробнее прочитать о технологиях ЭЦП, связанных с использованием «электронного облака», можно будет в следующей статье Единого портала Электронной подписи.

Справочно:

Криптопровайдер — это независимый модуль, выступающий «посредником» между операционной системой, которая с помощью определенного набора функций управляет им, и программой или аппаратным комплексом, выполняющим криптографические преобразования.

Важно: токен и средство квалифицированной ЭЦП на нем должны быть сертифицированы ФСБ РФ в соответствии с требованиями федерального закона № 63.

2 – ключевая пара, которая представляет из себя два обезличенных набора байт, сформированных средством электронной подписи. Первый из них – ключ электронной подписи, который называют «закрытым». Он используется для формирования самой подписи и должен храниться в секрете. Размещение «закрытого» ключа на компьютере и flash-носителе крайне небезопасно, на токене — отчасти небезопасно, на токене/smart-карте/sim-карте в неизвлекаемом виде — наиболее безопасно. Второй — ключ проверки электронной подписи, который называют «открытым». Он не содержится в тайне, однозначно привязан к «закрытому» ключу и необходим, чтобы любой желающий мог проверить корректность электронной подписи.

3 – сертификат ключа проверки ЭЦП, который выпускает удостоверяющий центр (УЦ). Его назначение — связать обезличенный набор байт «открытого» ключа с личностью владельца электронной подписи (человеком или организацией). На практике это выглядит следующим образом: например, Иван Иванович Иванов (физическое лицо) приходит в удостоверяющий центр, предъявляет паспорт, а УЦ выдает ему сертификат, подтверждающий, что заявленный «открытый» ключ принадлежит именно Ивану Ивановичу Иванову. Это необходимо для предотвращения мошеннической схемы, во время развертывания которой злоумышленник в процессе передачи «открытого» кода может перехватить его и подменить своим. Таким образом, преступник получит возможность выдавать себя за подписанта. В дальнейшем, перехватывая сообщения и внося изменения, он сможет подтверждать их своей ЭЦП. Именно поэтому роль сертификата ключа проверки электронной подписи крайне важна, и за его корректность несет финансовую и административную ответственность удостоверяющий центр.

В соответствии с законодательством РФ различают:

— «сертификат ключа проверки электронной подписи» формируется для неквалифицированной ЭЦП и может быть выдан удостоверяющим центром;

— «квалифицированный сертификат ключа проверки электронной подписи» формируется для квалифицированной ЭЦП и может быть выдан только аккредитованным Министерством связи и массовых коммуникаций УЦ.

Условно можно обозначить, что ключи проверки электронной подписи (наборы байт) — понятия технические, а сертификат «открытого» ключа и удостоверяющий центр — понятия организационные. Ведь УЦ представляет собой структурную единицу, которая отвечает за сопоставление «открытых» ключей и их владельцев в рамках их финансово-хозяйственной деятельности.

Подводя итог вышеизложенному, фраза «клиенту выдана электронная подпись» состоит из трех слагаемых:

  1. Клиент приобрел средство электронной подписи.
  2. Он получил «открытый» и «закрытый» ключ, с помощью которых формируется и проверяется ЭЦП.
  3. УЦ выдал клиенту сертификат, подтверждающий, что «открытый» ключ из ключевой пары принадлежит именно этому человеку.

Вопрос безопасности

Требуемые свойства подписываемых документов:

  • целостность;
  • достоверность;
  • аутентичность (подлинность; «неотрекаемость» от авторства информации).

Их обеспечивают криптографические алгоритмы и протоколы, а также основанные на них программные и программно-аппаратные решения для формирования электронной подписи.

С определенной долей упрощения можно говорить, что безопасность электронной подписи и сервисов, предоставляемых на ее основе, базируется на том, что «закрытые» ключи электронной подписи хранятся в секрете, в защищенном виде, и что каждый пользователь ответственно хранит их и не допускает инцидентов.

Примечание: при приобретении токена важно поменять заводской пароль, таким образом, никто не сможет получить доступ к механизму ЭЦП кроме ее владельца.

Как подписать файл электронной подписью?

Для подписания файла ЭЦП нужно выполнить несколько шагов. В качестве примера рассмотрим, как поставить квалифицированную электронную подпись на свидетельство на товарный знак Единого портала Электронной подписи в формате .pdf. Нужно:

1. Кликнуть на документ правой кнопкой мышки и выбрать криптопровайдер (в данном случае КриптоАРМ) и графу «Подписать».

2. Пройти путь в диалоговых окнах криптопровайдера:

Выбрать кнопку «Далее».

На этом шаге при необходимости можно выбрать другой файл для подписания, либо пропустить этот этап и сразу перейти к следующему диалоговому окну.

Поля «Кодировка и расширение» не требуют редактирования. Ниже можно выбрать, где будет сохранен подписанный файл. В примере, документ с ЭЦП будет размещен на рабочем столе (Desktop).

В блоке «Свойства подписи» выбираете «Подписано», при необходимости можно добавить комментарий. Остальные поля можно исключить/выбрать по желанию.

Из хранилища сертификатов выбираете нужный.

После проверки правильности поля «Владелец сертификата», нажимайте кнопку «Далее».

В данном диалоговом окне проводится финальная проверка данных, необходимых для создания электронной подписи, а затем после клика на кнопку «Готово» должно всплыть следующее сообщение:

Успешное окончание операции означает, что файл был криптографически преобразован и содержит реквизит, фиксирующий неизменность документа после его подписания и обеспечивающий его юридическую значимость.

Итак, как же выглядит электронная подпись на документе?

Для примера берем файл, подписанный электронной подписью (сохраняется в формате .sig), и открываем его через криптопровайдер.

Фрагмент рабочего стола. Слева: файл, подписанный ЭП, справа: криптопровайдер (например, КриптоАРМ).

Визуализация электронной подписи в самом документе при его открытии не предусмотрена ввиду того, что она является реквизитом. Но есть исключения, например, электронная подпись ФНС при получении выписки из ЕГРЮЛ/ЕГРИП через онлайн сервис условно отображается на самом документе. Скриншот можно найти по

Но как же в итоге «выглядит» ЭЦП, вернее, как факт подписания обозначается в документе?

Открыв через криптопровайдер окно «Управление подписанными данными», можно увидеть информацию о файле и подписи.

При нажатии на кнопку «Посмотреть» появляется окно, содержащее информацию о подписи и сертификате.

Последний скриншот наглядно демонстрирует как выглядит ЭЦП на документе «изнутри».

Приобрести электронную подпись можно по .

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *