Сертифицированные средства электронной подписи

" data-medium-file="https://zlonov.ru/wp-content/uploads/подпись-300×300.jpg" data-large-file="https://zlonov.ru/wp-content/uploads/подпись.jpg" data-lazy-srcset="https://zlonov.ru/wp-content/uploads/подпись-300×300.jpg 300w, https://zlonov.ru/wp-content/uploads/подпись-150×150.jpg 150w, https://zlonov.ru/wp-content/uploads/подпись-200×200.jpg 200w, https://zlonov.ru/wp-content/uploads/подпись-400×400.jpg 400w, https://zlonov.ru/wp-content/uploads/подпись-100×100.jpg 100w, https://zlonov.ru/wp-content/uploads/подпись-600×600.jpg 600w, https://zlonov.ru/wp-content/uploads/подпись.jpg 700w" data-lazy-sizes="(max-w />

Принятый ещё в апреле 2011 года Федеральный закон N 63-ФЗ «Об электронной подписи» определил следующие два вида электронной подписи (ЭП): простая ЭП и усиленная ЭП, из которых вторая в свою очередь бывает неквалифицированной и квалифицированной.

Простая ЭП, по большому счёту, даже и не совсем электронная подпись в классическом математическом понимании — в качестве простой ЭП можно использовать хоть одноразовые коды, хоть и вовсе пароли:

Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Усиленная же электронная подпись обязательно использует криптографические преобразования. Вот требования для усиленной неквалифицированной ЭП (или просто неквалифицированной ЭП):

1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.

Как видно, усиленная ЭП в отличие от простой ЭП должна позволять обнаруживать изменения в электронном документе (понятно, что с помощью пароля такое не реализовать), а формировать её нужно с использованием Средств ЭП:

средства электронной подписи — шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи;

Понятие Средство электронной подписи — очень важное и к нему мы ниже ещё вернёмся. Пока же продолжим разбираться с видами электронных подписей. Осталось рассмотреть квалифицированную усиленную подпись — от неквалифицированной усиленной она отличается двумя принципиальными дополнительными требованиями:

1) ключ проверки электронной подписи указан в квалифицированном сертификате;

2) для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

Другими словами для квалифицированной ЭП, абы какой сертификат не годится — нужен именно квалифицированный:

квалифицированный сертификат — сертификат ключа проверки электронной подписи, соответствующий требованиям, установленным настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, и созданный аккредитованным удостоверяющим центром либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи;

Далее по тексту закона приведён исчерпывающий перечень сведений, которые должен содержать квалифицированный сертификат и указано, что создаётся он только с использованием средств аккредитованного удостоверяющего центра.

Используемое для создания и проверки квалифицированной электронной подписи Средство ЭП подписи тоже подойдёт не любое, а только то, которое имеет подтверждение соответствия установленным требованиям.

Вот такая получается таблица, кратко поясняющая основные различия между видами электронных подписей в соответствии с 63-ФЗ:

Виды электронных подписей (ЭП) и их особенности в соответствии с 63-ФЗ

Теперь вернёмся к понятию Средство ЭП. Из приведённого выше определения следует, что Средства ЭП — это определённый вид шифровальных (криптографических) средств, которые используются для какой-либо одной или любой комбинации из функций:

• создание электронной подписи,
• проверка электронной подписи,
• создание ключа электронной подписи и ключа проверки электронной подписи.

Замечу на полях, что создание ключа ЭП и ключа проверки ЭП возможно лишь в паре (те самые открытый и закрытый ключи в асимметричной криптографии).

Сами же шифровальные средства определены в Постановлении Правительства РФ от 16 апреля 2012 г. N 313 «Об утверждении Положения о лицензировании деятельности…«, вот выдержка из определения:

К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:
…
в) средства электронной подписи;

По мне, так имеем рекурсивное зацикленное определение понятия через само себя =) Ну, да не будем казуистам. По сути, под понятие средство ЭП попадают в том числе чисто программные, программно-технические средства и даже целые комплексы и системы.

Вернёмся к 63-ФЗ и посмотрим, какие требования есть для Средств ЭП. Вот что они должны делать:

1) позволяют установить факт изменения подписанного электронного документа после момента его подписания;

2) обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки.

Про факт отслеживания изменений уже было выше в требованиях к усиленной ЭП, ну, а практическая невозможность вычисления ключа ЭП из ЭП или из ключа проверки ЭП — это понятное и разумное требование (закрытый ключ не должен вычисляться из открытого или из самой электронной подписи).

Для случаев подписи документов, содержащих гостайну, или при работе Средства ЭП в системах, содержащих гостайну, требуется подтверждение соответствия обязательным требованиям по защите сведений соответствующей степени секретности. Вполне логично, так как Гостайна у нас регулируется отдельно и требования там тоже свои отдельные.

Есть ещё важная оговорка про подпись документов, содержащих информацию ограниченного доступа (в том числе персональные данные): Средства ЭП не должны нарушать конфиденциальность такой информации. Насколько я понимаю, тут идёт речь про то, что для такой информации нельзя, например, использовать облачные незащищённые в соответствии с требованиями законодательства сервисы электронной подписи.

Если средство электронной подписи используется для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе, то на этом требования к нему заканчиваются. Автоматическое создание, например, может применяться при оказании государственных услуг. Тогда в сертификате вовсе может быть не указано конкретное физическое лицо, а создание ЭП осуществляется, скажем, системой принятия отчётности (для подтверждения того факта, что отчётность была получена в срок, например).

В случаях же неавтоматического создания и проверки электронной подписи к Средствами ЭП предъявляются дополнительные требования.

При создании электронной подписи Средства ЭП должны:

1) показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписываемой с использованием указанных средств, лицу, осуществляющему создание электронной подписи, содержание информации, подписание которой производится;

2) создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;

3) однозначно показывать, что электронная подпись создана.

Первое требование означает, что сам по себе, например, токен не может быть Средством ЭП — требуется некая обвязка вокруг него, которая будет показывать подписываемый документ. Второе требование запрещает создание подписи без подтверждения человеком. Наконец, третье требование указывает, что нужно недвусмысленно дать понять, что подпись была создана.

При проверке электронной подписи Средство ЭП должно:

1) показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписанной с использованием указанных средств, содержание электронного документа, подписанного электронной подписью;

2) показывать информацию о внесении изменений в подписанный электронной подписью электронный документ;

3) указывать на лицо, с использованием ключа электронной подписи которого подписаны электронные документы.

Должно быть чётко видно и понятно — что подписано, были ли внесены изменения и кто подписывал.

Таковы, в вкратце, основные требования к Средствам ЭП в 63-ФЗ. Однако, в нём также содержится статья про полномочия федеральных органов исполнительной власти в сфере использования электронной подписи, где указано:

Федеральный орган исполнительной власти в области обеспечения безопасности:

1) устанавливает требования к форме квалифицированного сертификата;
2) устанавливает требования к средствам электронной подписи и средствам удостоверяющего центра;
3) осуществляет подтверждение соответствия средств электронной подписи и средств удостоверяющего центра требованиям, установленным в соответствии с настоящим Федеральным законом, и публикует перечень таких средств;
4) по согласованию с уполномоченным федеральным органом устанавливает дополнительные требования к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей, а также к обеспечению информационной безопасности аккредитованного удостоверяющего центра.

Прежде всего данный приказ ФСБ устанавливает требования в части разработки, производства, реализации и эксплуатации Средств ЭП:

предъявляются требования, закрепленные Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 9 февраля 2005 г. N 66 (с изменениями, внесенными приказом ФСБ России от 12 апреля 2010 г. N 173 для шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

ПКЗ-2005 — основополагающий регламент для всех разработчиков криптографических средств, что и не удивительно, раз Средства ЭП — это, в первую очередь, средство шифрования. К слову, в ПКЗ-2005 есть вот такое определение для средств электронной цифровой подписи:

средства электронной цифровой подписи — аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций:
— создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи,
— подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи,
— создание закрытых и открытых ключей электронной цифровой подписи.

Да, речь здесь про Средства ЭЦП, а не ЭП, но мы же уже решили не быть казуистами =)

Вернёмся к требованиям к Средствам ЭП, которым в приказе ФСБ посвящен весь раздел II (статьи с 8 по 39). Статьи 8-10 дублируют то, что есть в 63-ФЗ в части требований при создании и проверке ЭП при неавтоматической работе, за исключением того, что согласно требованиям ФСБ Средство ЭП должно данные требования выполнять самостоятельно, а не «с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации» .

Статья 11 определяет, что :

Статья 11. Средства ЭП должны противостоять угрозам, представляющим собой целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемой средством ЭП информации или с целью создания условий для этого (далее — атака).

В последующих статьях 12-18 определяются классы Средств ЭП КС1, КС2, КС3, КВ2, КА1 в зависимости от их способности противостоять таким атакам.

В дальнейших статьях 19-39 сформулированы ещё более детальные требования к составу Средств ЭП для разных классов и к особенностям их работы, из которых особо выделю статьи 20, 22 и 38:

Статья 20. При разработке средств ЭП должны использоваться криптографические алгоритмы, утвержденные в качестве государственных стандартов или имеющие положительное заключение ФСБ России по результатам их экспертных криптографических исследований

Статья 22. В средстве ЭП должны быть реализованы только заданные в ТЗ на разработку (модернизацию) средства ЭП алгоритмы функционирования средства ЭП.

Статья 38. Криптографические протоколы, обеспечивающие операции с ключевой информацией средства ЭП, должны быть реализованы непосредственно в средстве ЭП.

Смысл тут, упрощённо, в том, что в Средстве ЭП можно использовать только криптографические ГОСТ алгоритмы, при этом они должны быть реализованы в нём самом (нельзя использовать, например, какие-то внешние средства) и никакие другие криптографические алгоритмы и протоколы в Средстве ЭП не должны быть реализованы.

Итоговая таблица с основными требованиями к Средствам ЭП в 63-ФЗ и приказе ФСБ №796 выглядит так:

Основные требования к Средствам ЭП

Таким образом, для использования простой ЭП можно использовать любые средства, для усиленной неквалифицированной ЭП (или просто неквалифицированной ЭП) — только Средства ЭП, базовые требования к которым определены в 63-ФЗ, и, наконец для усиленной квалифицированной ЭП (или просто квалифицированной ЭП) — только Средства ЭП, имеющие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ и Приказом ФСБ №796. Подтверждением такого соответствия является сертификат соответствия, выданный ФСБ России, в котором такое соответствие упоминается в явном виде.

В перечне средств защиты информации, сертифицированных ФСБ России (по состоянию на 1 октября 2016 года) значится немногим меньше 100 таких сертификатов — есть из чего выбрать =)

Средства электронной подписи (ЭП)

Выбор средств защиты

Поиск

Мнение

Описание и назначение

Средства электронной подписи (ЭП) — это специальные средства для криптографического преобразования данных, которые бывают программными, либо программно-аппаратными устройствами, необходимые для генерации электронной подписи (ЭП), ее проверки, создания ключей ЭП и ключей проверки подлинности электронной подписи.

В России определены специальные требования к таким средствам. Они явно обозначены в федеральном законе «Об электронной подписи» от 06.04.2011 №63-ФЗ. В нем четко прописаны функции, которые обязательны к выполнению для средств электронной подписи. Выдвигаются следующие требования к функциям:

• Функция генерации электронной подписи. Причем создание ЭП должно выполняться в определенном формате. Она необходима для обеспечения гаранта авторства.
• Функция определения факта модификации электронного документа.
• Функция обеспечения отсутствия возможности подбора ключа ЭП.

ЭП подразделяется на несколько видов в зависимости от того, какие функции она выполняет и в каких ситуациях может применяться:

• Простая электронная подпись. Она позволяет выявить факт того, что отправленный файл был подписан определенным человеком или доверенным сотрудником организации.
• Усиленная электронная подпись. Ее отличие от простой заключается в возможности выявить изменения, которые могли вноситься в подписанный файл.

• Неквалифицированная усиленная подпись.
• Квалифицированная усиленная подпись. Отличие квалифицированной подписи от неквалифицированной заключается в специальном формате сертификата, а также более жестких требованиях к ее созданию. Схема квалифицированной усиленной электронной подписи должна соответствовать ГОСТ 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». Данный ГОСТ пришел на смену ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». Возможность использования схемы электронной подписи, соответствующей ГОСТ Р 34.10-2001 для формирования электронной подписи, продлевается до 31.12.2019.

Чтобы получить ключ электронной подписи и ключ проверки электронной подписи, пользователи обращаются в удостоверяющий центр.

Обратившись в удостоверяющий центр, пользователь получает:

• ключевой носитель, содержащий ключи электронной подписи и ключи проверки электронной подписи. Оба указанных ключа создаются с помощью системы криптографической защиты информации (СКЗИ). СКЗИ является программно-аппаратным комплексом, так как ключи генерируются с помощью приложения, которое находится внутри специального носителя. Причем в качестве ключевого носителя могут выступать как программные (например, реестр Windows или файлы Linux), так и программно-аппаратные средства (смарт-карты, USB-токены, флеш-карты и др.).
• сертификат открытого ключа. Сертификат открытого ключа является бумажным или электронным (цифровой сертификат) документом, который содержит открытый ключ, информацию о владельце открытого ключа, а также подтверждает принадлежность открытого ключа его владельцу. С помощью открытого ключа можно обеспечить аутентификацию владельца (проверить его подпись) и конфиденциальность (путем криптографического преобразования отправляемых владельцу данных). Сертификаты открытых ключей создаются с помощью программно-аппаратных комплексов, выполняющих функции удостоверяющего центра, а именно позволяют изготавливать сертификаты открытых ключей, а также управлять ими (аннулировать, возобновлять или приостанавливать на время).

Чтобы применить электронную подпись, потребуется использовать программные и программно-аппаратные средства:

• Ключевой носитель, выданный удостоверяющим центром.
• СКЗИ как программное обеспечение требуется к установке на любой компьютер, на котором происходит подписывание документа или производится его проверка. Оно может устанавливаться на компьютер как отдельная программа, как модуль другой программы (например, для Adobe Acrobat или Adobe Reader), а также как плагин для браузера. Еще одним способом создания электронной подписи является возможность использовать специальные веб-сервисы. Однако и в этом случае потребуется установить на компьютер специальное программное обеспечение для выполнения криптографических операций.

Подключив специалистов юридической сферы, редакция Единого портала Электронной подписи подготовила статью, в которой разъясняется вопрос сертификации токенов. Обязательно ли использовать сертифицированные носители? Какие токены рекомендуют профессионалы рынка?

В рубрику «Вопрос эксперту» на портале iEcp.ru неоднократно поступали обращения с просьбой разъяснить: обязательно или нет использовать сертифицированные токены для записи ключей электронной подписи? В каких законодательных актах это отражено? Что подразумевают под собой процедуры сертификации, проводимые Федеральной службой безопасности и Федеральной службой по техническому и экспортному контролю?

Обязательно ли всегда использовать сертифицированные токены?

Дискуссии по этому вопросу возникали в интернете на различных тематических форумах и в живом общении специалистов сферы электронного взаимодействия. Пресекая дальнейшие споры, сообщаем, что в ФЗ-63 «Об электронной подписи» прямого указания на обязательность использования сертифицированных носителей для ключа электронной подписи нет. Казалось бы, это и есть ответ на вопрос, но не все так просто.

Что такое сертификация ФСБ и ФСТЭК?

Сертификат ФСТЭК — это документ, который подтверждает, что программное обеспечение токена не имеет «недекларированных возможностей 1 », а устройство может применяться в качестве средства защиты данных от несанкционированного доступа, а также для хранения информации (например, ключевых контейнеров 2 ) и аутентификации 3 .

Сертификат ФСБ — это документ, который подтверждает, что характеристики токена позволяют безопасно генерировать ключи, подписывать документы электронной подписью и проверять уже поставленную ЭП, а также шифровать информацию, другими словами, использовать токен в качестве СКЗИ (средства криптографической защиты информации) без приобретения дополнительного ПО.

Токен может иметь как один сертификат, который позволит ему решать одну задачу, так и оба.

Когда обязательно использовать сертифицированные токены?

На текущий момент регулирование обязательного применения токенов представлено в разных законодательных актах и никак не отражено в «главном» федеральном законе об ЭП (ФЗ-63 «Об электронной подписи» от 06.04.2011 года).

Основные правила, когда обязательно использовать сертифицированные токены:

1. Носитель будет использоваться не только в качестве места записи и хранения ключей электронной подписи, но и в качестве средства электронной подписи для создания квалифицированной ЭП (КЭП) без приобретения отдельного СКЗИ — согласно ФЗ-63 для создания и проверки КЭП необходимо использовать исключительно соответствующие требованиям, указанным в законе, средства ЭП, а подтверждение соответствия требованиям осуществляется ФСБ России (63-ФЗ, ст.8 ч.5), соответственно, необходим сертификат ФСБ.
2. Планируется участие в электронных аукционах, проводимых федеральными ЭТП — в соответствии с Регламентом получения сертификатов ключей подписей и использования электронной цифровой подписи (Приложение №1, п. 3, пп. 3.1.) необходим сертификат ФСТЭК или ФСБ.
3. Электронная подпись предназначена для участия в электронных аукционах на площадках, входящих в АЭТП — исходя из Регламента авторизации электронных торговых площадок в информационной среде НКО «Ассоциация Электронных Торговых Площадок» (Приложения №6, п. 3, пп. 3.1.) необходим сертификат ФСТЭК или ФСБ.
4. ЭП планируется использовать участниками внешнеэкономической деятельности и лицами, осуществляющими деятельность в сфере таможенного дела, для информационного взаимодействия с таможенными органами Российской Федерации и при условии, что носитель предоставляется удостоверяющему центру самим заявителем — в соответствии с Приказом Федеральной таможенной службы №2187 от 25.10.2011 года (IV.15) необходим сертификат ФСТЭК или ФСБ.
5. Данное требование прописано в Регламенте информационной системы или прочих нормативных документах, регулирующих взаимодействие с ней. На текущий момент огромное количество ИС предоставляют возможность взаимодействовать с ними посредством электронной подписи. К сожалению, единых правил использования токенов в них законодательно не закреплено, и регламенты разрабатываются в индивидуальном порядке в зависимости от требований к безопасности информационного обмена, от технических и прочих особенностей каждой конкретной системы. Важно помнить, что применение сертифицированных токенов никогда не будет нарушением, в отличие от несертифицированных носителей, возможность использования которых должна быть обозначена в Регламенте. В качестве примера приводим 2 информационные системы:
6. носитель планируется использовать для работы с ЕГАИС — в соответствии с Требованиями к аппаратному крипто-ключу, размещенными на сайте Федеральной службы по регулированию алкогольного рынка wiki.egais.ru, для подключения к указанной системе требуется обязательное использование ключевых носителей со встроенным СКЗИ, а значит, согласно первому правилу, необходим сертификат ФСБ.
7. при взаимодействии с ФГИС Росаккредитация — в соответствии с Порядком получения доступа к информационным ресурсам Федеральной государственной информационной системы Федеральной службы по аккредитации, которые представлены на сайте fsa.gov.ru, необходим сертификат ФСТЭК или ФСБ, дополнительно рекомендован сертификат ФСБ.

Когда можно использовать несертифицированные токены?

Использование несертифицированных токенов допускается в случаях, не попадающих под правила, перечисленные выше, но владельцу электронной подписи важно понимать риски:

• несертифицированный ФСТЭК токен (или тем более «флешка») не защищен от закладок, по вине которых может быть скомпрометирована электронная подпись и потерян контроль над данными (утечка информации, нарушение ее целостности и доступности); последствия попадания электронной подписи в руки злоумышленников не нуждаются в дополнительных комментариях;
• несертифицированные токены могут быть не разрешены к использованию при взаимодействии с конкретной информационной системой (перед приобретением носителя нужно внимательно изучить Регламент и прочие требования ИС);
• через несертифицированный носитель возможно проведение атаки на информационную систему, для доступа к которой он используется.

Таким образом, в ряде случаев, не попадающих под перечисленные выше правила, владельцы электронной подписи должны самостоятельно взвесить риски и принять решение, какие носители ЭП им использовать.

Текущая ситуация на рынке электронной подписи

Разбираться в законодательных требованиях и нормативах должны специалисты удостоверяющих центров, на которых возложена ответственность за выпуск сертификатов ЭП на соответствующих требованиям носителях.

К сожалению, некоторые удостоверяющие центры (УЦ) в погоне за клиентом предлагают более дешевые несертифицированные токены даже в тех случаях, когда нормативно закреплено использование сертифицированных. Призываем получателей электронной подписи быть внимательными.

Мнение редакции iEcp.ru

Обращаем внимание читателей на то, что даже сертифицированные носители не могут обеспечить 100% защиты, но могут существенно снизить риск ее компрометации.

Редакция Единого портала Электронной подписи не настаивает на повсеместном использовании именно сертифицированных токенов, но настоятельно рекомендует не пренебрегать собственной безопасностью и финансовой состоятельностью.

Рекомендации для владельцев электронной подписи помимо использования сертифицированных токенов:

• устанавливать пользовательские пароли, которые будут известны только Вам — это обезопасит от физического хищения электронной подписи;
• поддерживать информационную грамотность (собственную и подчиненных) на должном уровне, другими словами, нужно как минимум соблюдать общеизвестные меры безопасности при использовании компьютера и интернета: не читать спам-письма, не переходить по подозрительным ссылкам и не скачивать неизвестные программы и файлы — это поможет защитить компьютер пользователя от внедрения мошенника и, как следствие, спасти подписываемые файлы от подмены.

«Недекларированные возможности» (закладки) — это функциональные возможности технических устройств и/или программного обеспечения, не описанные в документации, использование которых может повлечь негативные для пользователя последствия, связанные с утечкой или нарушением целостности и доступности данных. ↩

Ключевой контейнер — это директория (объект в файловой системе, упрощающий организацию элементов), в которой хранится набор файлов с ключевой информацией. ↩

Аутентификация — это процедура проверки подлинности, в данном случае это определение действительно ли пользователь является тем, за кого себя выдает. ↩