Как создать электронную подпись?

Стремительная компьютеризация различных сфер жизни современного человека предопределяет совершенствование правовых систем государств. Так, в российском законодательстве было закреплено понятие электронной подписи. Во многих случаях она может выступать полным аналогом обычной, «бумажной». Как создать электронную подпись, соответствующую всем законодательным требованиям?

• Сущность электронной подписи
• Законодательные требования к электронной подписи
• Как получить электронную подпись?

Данный вопрос интересен в следующих аспектах:

• изучение сущности электронной подписи, ее технологической структуры;
• рассмотрение требований к соответствующему реквизиту, содержащихся в законодательстве РФ;
• получение электронной подписи на практике.

Обратимся к каждому из отмеченных пунктов.

Сущность электронной подписи

Понятие электронной подписи может трактоваться по-разному. Рассмотрим вариант, содержащийся в главном российском правовом акте, регулирующем использование соответствующего реквизита, — ФЗ № 63 «Об электронной подписи». В законе сказано, что под указанным термином следует понимать информацию в цифровой форме, которая присоединена к другой (подписываемой) либо тем или иным образом связана с ней и которая применяется для идентификации лица, ставящего соответствующий реквизит на документе.

Данное определение ЭП в законодательстве — довольно расплывчатое. Но юристам облегчают работу некоторые дополнительные положения ФЗ № 63, содержащиеся в 5 статье закона. На их основе в российской юридической среде было выработано несколько подходов к трактовке понятия электронной подписи. Под таковым реквизитом, как полагают эксперты, можно понимать:

• уникальный цифровой код, располагаемый внутри документа или непосредственным образом связываемый с ним, который может проставить только владелец электронной подписи;
• канал (механизм) передачи файла, который может задействовать только конкретный человек благодаря наличию ЭП (как правило, это e-mail, а в качестве электронной подписи фактически выступает пароль);
• цифровую копию обычной подписи шариковой ручкой (проще говоря, «скан»), размещаемую внутри документа или присоединяемую к нему — например, посредством записи файлов в один архив.

О каких именно положениях 5 статьи ФЗ № 63 идет речь? Так, в рассматриваемой части закона электронные подписи классифицируются на два вида: простую и усиленную (касательно второй закон определяет также два подвида ЭП — квалифицированную и неквалифицированную).

В качестве простой ЭП может использоваться, как говорится в рассматриваемом ФЗ, «код, пароль или иное средство». Что это означает? Юристы интерпретируют слова «код, пароль» как соответствующий идентификатор при отправке e-mail-сообщений (иногда — как пароль на архив), «иное средство» — как «скан» обычной подписи.

В свою очередь, под усиленной ЭП следует понимать тот самый уникальный цифровой код, размещаемый внутри документа или присоединяемый к нему. Собственно, данная трактовка рассматриваемого понятия, вероятно, более всего распространена в IT-сообществе, равно как и в гражданской среде в целом. E-mail, архивы и «сканы» (привычные всем и используемые много лет) как-то не очень ассоциируются у людей со столь высокотехнологичным, недоступным ранее обычному человеку реквизитом, каким выступает электронная подпись. Хотя по закону они могут быть разновидностями ЭП.

Но тут же отметим, что законодатель занимает довольно здравую позицию, причисляя соответствующие виды шифрования к «простой электронной подписи». То есть разработчикам ФЗ № 63 было очевидно, что гражданина, «подписывающего» документы и использующего подобные типы ЭП, не всегда можно однозначно идентифицировать. E-mail способен отправить, в принципе, любой человек, знающий пароль от электронного почтового ящика. То же — и с архивом. «Скан» обычной подписи можно легко подделать в Фотошопе.

Другое дело, если используется усиленная ЭП. Каковы ее отличительные особенности?

Основной элемент «усиления» соответствующего типа электронной подписи — это ключ. Если понимать буквально, это и есть тот самый уникальный цифровой код. Если трактовать его сущность чуть шире — это совокупность программных и аппаратных средств для проставления на документе (или в файле, привязываемом к нему) данного кода.

Понятно, что ключ (в значении «код») всякий раз должен быть разным, — иначе получатель документа, увидев его и скопировав, сможет «подписываться» впоследствии им за другого человека. Поэтому ключ (в значении «программные и аппаратные средства») каждый раз генерирует новую последовательность цифр. Возникает вопрос — как убедиться, что она проставлена на документе конкретным отправителем?

Очень просто — также с помощью ключа (на этот раз в однозначной трактовке — как «программных и аппаратных средств»), но только другого — предназначенного для проверки ЭП. В нем прописаны алгоритмы сверки ключей (в значении «код»), проставляемых на документах, с базой данных владельцев ЭП. Если соответствующая последовательность цифр будет распознана как корректная, а также у ключа (в значении «программные и аппаратные средства»), ее сгенерировавшего, найдется официальный хозяин — то подпись будет определена как верная и проставленная конкретным гражданином.

Ключ, предназначенный для проставления «кода» на документе (иногда он именуется закрытым), должен всегда находиться у владельца ЭП. Он — его «авторучка». Ключ для сверки электронной подписи (называемый также открытым) заблаговременно передается адресату, чтобы он смог проверять подлинность ЭП на получаемых документах.

Данная схема — гораздо надежнее, чем отправка файлов через e-mail, в архивах с паролями или со «сканами» обычной подписи. Проставить соответствующий реквизит сможет только тот человек, в чьих руках закрытый ключ. Как правило, он представляет собой аппаратный шифровальный механизм, реализованный в виде электронного брелока типа eToken. Генерируемые им коды практически невозможно подделать, а сам eToken очень тяжело скопировать — как с помощью удаленного перехвата шифров, так и при наличии у хакера на руках оригинала.

Обладатель ЭП и владелец открытого ключа — это всегда один и тот же человек или организация. Но данный факт — юридическая связь субъекта правоотношений с ключом проверки и ЭП одновременно — в ряде случаев требует документального подтверждения с помощью специального сертификата. Это может быть бумажный источник, в котором указаны реквизиты человека или организации, оформивших ЭП. Но чаще всего это электронный документ, данные с которого программа, которая входит в структуру ключа проверки, автоматически считывает.

Сертификат должен быть действительным — по срокам и по статусу. Выдается данный документ владельцу ЭП, как правило, на год. Если он не будет продлен, то приобретет статус аннулированного, в результате чего потеряется юридическая связь между человеком, подписывающим электронные документы, и ключом проверки. ЭП становится недействительной. Статус аннулированного сертификат может получить также по просьбе его владельца. Например, если гражданин потеряет eToken.

Если получатель электронного документа — даже если адресат ему знаком и он не раз принимал файлы от него — увидит, что сертификат аннулирован (программа, входящая в структуру ключа проверки, обычно выводит на экран уведомления об этом), то он в ряде случаев не вправе признавать ЭП, проставленную на документе, подлинной (юридически равнозначной соответствующему бумажному реквизиту).

Законодатель позволяет гражданам и организациям пользоваться простой ЭП на свое усмотрение, предполагая их готовность брать ответственность за возможные казусы на себя. Однако при работе с «серьезными» структурами — в частности, государственными органами власти — обязательно нужна усиленная электронная подпись. Крайне желательно, чтобы она была «квалифицированной». Почему, и что это за атрибут?

Законодательные требования к электронной подписи

Главный критерий усиленной ЭП — она однозначно позволяет установить личность человека, подписавшего тот или иной документ. Механизмы, с помощью которых данная процедура реализуется, мы рассмотрели выше. Законодательство определяет, что в их структуре должны присутствовать следующие компоненты:

• применение шифрования («криптографического преобразования информации» — подпункт 1 пункта 3 статьи 5 ФЗ № 63);
• обработка документа специальной программой («использование средств электронной подписи» — подпункт 4 пункта 3 статьи 5 ФЗ № 63);
• задействование механизмов проверки документа на предмет изменений на пути к получателю (подпункт 3 пункта 3 статьи 5 ФЗ № 63).

При использовании ключей — закрытого и открытого — все эти критерии соблюдаются.

Если ЭП соответствует указанным требованиям, то она как минимум будет признана усиленной неквалифицированной. Данный статус электронной подписи предполагает, что на документах она может в ряде случаев юридически приравниваться к соответствующему «бумажному» реквизиту. Однако если ЭП получает признак «квалифицированности», то ее проставление во всех случаях юридически равнозначно обычному автографу, а также печати организации.

Итак, соответствующий тип ЭП рассматривается законодателем как самый защищенный. Он должен, не считая указанных критериев для неквалифицированной подписи, соответствовать таким признакам, как:

• указание ключа проверки ЭП в сертификате;
• использование в качестве программы для обработки документов только тех средств, которые соответствуют требованиям ФЗ № 63.

Таким образом, сертификат, о котором мы сказали выше, — это один из главных критериев «квалифицированности» электронной подписи. Если он действителен, то ЭП будет полностью признана юридически идентичной соответствующему бумажному реквизиту.

Но важно соблюдение одного условия. Требуемый сертификат (вместе с другими компонентами ЭП) выдают только специализированные организации — аккредитованные государством удостоверяющие центры. Многие компании стремятся получить именно квалифицированную ЭП — как самую защищенную, и обращаются, главным образом, только в эти структуры. Рассмотрим подробнее специфику взаимодействия граждан и организаций с удостоверяющими центрами, выдающими электронные подписи.

Как получить электронную подпись?

Говоря о механизмах получения ЭП, следует иметь в виду один важный нюанс, а точнее, отличительную особенность электронной подписи, делающую ее в определенной степени несхожей с традиционным бумажным реквизитом или даже с печатью.

Как правило, автограф у человека в большинстве случаев один для всех документов. То же самое и с печатью: она, как правило, ставится одна и та же везде — на бумагах для налоговой инспекции, на первичной документации, на контрактах с партнерами, в трудовых книжках сотрудников и т. д.

Столь же универсальной электронной подписи в России еще не разработано. Теоретически она, конечно, может появиться, но для этого властями и подотчетными им IT-структурами должны быть созданы некая программная среда и особые аппаратные компоненты, с помощью которых любой гражданин или организация сумеют гарантированно проверить подлинность чьей-либо подписи. Понадобятся, вероятно, также некоторые корректировки в законодательстве. Но пока данная схема не реализована.

Есть в некоторой степени приближенные к ней механизмы — такие как, например, оформление гражданами Универсальной электронной карты. Данный инструмент объединяет в себе платежное средство, а также идентификатор личности — в том числе и с помощью ЭП, которую можно использовать при взаимодействии с органами власти.

Передача закрытых ключей ЭП владельцем УЭК осуществляется с помощью кардридера, а также программы «КриптоАРМ УЭК». Формально нет никаких ограничений на типы подписываемых гражданином документов — если, в свою очередь, получатель сможет проверять их с помощью указанного ПО (имея, таким образом, в распоряжении открытый ключ). Но пока что относительно немного организаций работают с данной программой.

Поэтому для каждой сферы электронного документооборота — взаимодействия граждан и организаций с контрагентами, банками, госструктурами и иными субъектами правоотношений — должна быть отдельная ЭП.

Выше мы отметили, что в качестве классической электронной подписи в РФ рассматривается та, что предусматривает криптографическое шифрование. Мы также определили, что предприятия желают данное свойство ЭП видеть дополненным «квалифицированностью» и удовлетворить подобные запросы рынка готовы специализированные удостоверяющие центры. Именно там оформляются ЭП.

Следует подчеркнуть, что создать электронную подпись онлайн (если говорить о ее усиленной квалифицированной разновидности) законодательство пока что не разрешает. В любом случае нужно идти в один из УЦ и при этом иметь при себе необходимые документы.

Удостоверяющий центр — это обычно частное предприятие, у которого есть технические возможности для выдачи обращающимся гражданам или организациям электронных подписей, соответствующих требованиям закона. То есть тех ЭП, которые:

• позволяют точно идентифицировать отправителя;
• ставятся при использовании специальных программ;
• надежно шифруются;
• легко проверяются на предмет изменений на пути документа к получателю;
• имеют ключи, соответствующие квалификационному сертификату.

Тот или иной вид ЭП будет адаптирован к конкретной сфере документооборота.

В какой удостоверяющий центр для получения квалифицированной электронной подписи нужно идти? Прежде всего, УЦ должен быть в списке организаций, получивших аккредитацию от Минсвязи. Координаты таких удостоверяющих центров здесь — http://minsvyaz.ru/uploaded/files/perechenauz-new.xls. Можно отметить, что функцию УЦ в процессе выдачи гражданам УЭК чаще всего выполняют многофункциональные центры по предоставлению государственных услуг.

Найдя ближайший аккредитованный УЦ, следует позвонить туда и спросить — изготавливает ли он электронные подписи для тех сфер активностей, в которых предприятие осуществляет документооборот. Это может быть, например, отправка отчетности в налоговую, участие в торгах или взаимодействие с контрагентами.

Какие документы нужно предоставить в удостоверяющий центр для получения ЭП? Это зависит от юридического статуса обращающегося лица. Если это организация, то специалисты УЦ попросят:

• свежую выписку из ЕГРЮЛ;
• свидетельства о госрегистрации юрлица, о постановке на учет в ФНС.

Если ЭП оформляется на руководителя, то также понадобится копия приказа о его назначении на должность, если на сотрудника — копия соответствующего документа о приеме на работу, при необходимости — доверенность от работодателя. В обоих случаях потребуются паспорта и СНИЛС должностных лиц.

Если электронную подпись оформляет индивидуальный предприниматель, то ему нужно будет предоставить в УЦ:

• свежую выписку из ЕГРИП;
• свидетельства о госрегистрации в качестве ИП, о постановке на учет в ФНС;
• паспорт;
• СНИЛС.

Если заявитель — физлицо, то ему необходимо предоставить в удостоверяющий центр паспорт, СНИЛС, а также свидетельство с ИНН.

Обычно работа УЦ не предполагает особых формальностей, и указанных документов в большинстве случаев достаточно. Но отдельные удостоверяющие центры иногда просят дополнительные документы, поэтому следует заранее уточнять, что именно готовить для оформления электронной подписи.