Ключи ЭЦП: как получить, где хранятся и для чего применяются

Ключи электронной подписи — это основа безопасности электронного документооборота. Они позволяют подтверждать авторство документов и фиксировать факт внесения в них несанкционированных изменений. Разберем, что представляют собой ключи ЭЦП, как их получить и какие правила безопасности нужно соблюдать при использовании.

Что такое ключи электронной подписи

Расшифровка этих понятий приведена в ст. 2 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи»:

• ключ электронной подписи — это уникальная последовательность символов, предназначенная для создания электронной подписи
• ключ проверки электронной подписи — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи

Ключи электронной подписи формируются одновременно и работают только в паре:

• ключ электронной подписи используется для создания подписи
• ключ проверки — для ее верификации​

На практике ключ электронной подписи часто называют «закрытым ключом», а ключ проверки — «открытым ключом».

Усиленная неквалифицированная (НЭП) и усиленная квалифицированная электронная подписи (КЭП) создаются и проверяются с использованием криптографических ключей:

• КЭП обладает полной юридической силой и приравнена к собственноручной подписи. Документ с КЭП признается равнозначным бумажному (п. 1 ст. 6 Закона N 63-ФЗ)
• НЭП имеет ограниченную юридическую силу. Документ с НЭП приравнивается к бумажному только в случаях, предусмотренных федеральными законами или соглашением сторон электронного взаимодействия (п. 2 ст. 6 Закона N 63-ФЗ). Такие соглашения должны предусматривать порядок проверки НЭП​

Для работы с госорганами (ФНС, СФР, Росреестром, ФТС, ЕИС и др.) НЭП не подходит — требуется именно КЭП.

КЭП работает на основе двух ключей — закрытого и открытого. Закрытый ключ используется для создания подписи и хранится у владельца. Открытый ключ предназначен для проверки подлинности подписи и указывается в квалифицированном сертификате. Сертификат — это документ, который содержит открытый ключ и сведения о владельце (ст. 5, ст. 14 Закона N 63-ФЗ).

Технология PKI и принципы работы ключей

Усиленная электронная подпись создается с помощью инфраструктуры ключей (PKI) — это технология, которая использует закрытый и открытый ключи.

Принцип работы PKI:

1. У вас есть два ключа:
   • Закрытый ключ (секретный) — хранится только у его владельца. С его помощью создается подпись на электронном документе​
   • Открытый ключ — выдается удостоверяющим центром в виде сертификата. С его помощью можно проверить, что проставленная на электронном документе подпись принадлежит владельцу ЭЦП​
2. Все доверяют удостоверяющему центру, а не друг другу лично​
3. Процесс подписи:
   • Документ преобразуется хэш-функцией в уникальный отпечаток, затем отпечаток шифруется закрытым ключом — получается электронная подпись
   • Получатель с помощью открытого ключа выполняет обратное преобразование и сравнивает результат с хэшем документа

Если отпечатки совпадают — документ подлинный, не изменялся и подписан владельцем ЭЦП. ​

Особенности закрытого и открытого ключей электронной подписи

Требования ФСБ и ФНС устанавливают, что для КЭП от удостоверяющего центра (УЦ) ФНС закрытый ключ должен быть не экспортируемым. Его нельзя скопировать с носителя или перенести на другое устройство. Это защищает от мошенничества и несанкционированного использования. ​

Закрытый ключ формирует электронную подпись для конкретного документа путем криптографического преобразования, защищает подпись от компрометации и подтверждает авторство документа.

Открытый ключ подтверждает связь с закрытым ключом и указывает владельца ЭЦП. Информация об открытом ключе находится в сертификате, который также содержит данные о владельце закрытого ключа, информацию об удостоверяющем центре, сроке действия подписи. ​

Сертификат выдает только аккредитованный удостоверяющий центр после проверки личности владельца. Компании и ИП для работы с государственными органами получают квалифицированные сертификаты от УЦ ФНС или его доверенных лиц. Открытый ключ доступен всем участникам документооборота. Владелец передает его контрагентам, а информационные системы проверяют подпись через реестры удостоверяющих центров. ​

Сравнение закрытого и открытого ключей:

Как работают ключи ЭЦП

Шаг 1. Создание подписи (у отправителя).

Специальная программа (например, КриптоПро) создает уникальный «отпечаток» документа, который шифруется закрытым ключом и получается электронная подпись — зашифрованный отпечаток.

Шаг 2. Проверка подписи (у получателя).

Программа получателя расшифровывает подпись открытым ключом из сертификата, преобразуя ее в исходный отпечаток. Одновременно программа создает новый отпечаток полученного документа. Программа сравнивает два отпечатка.

Результат проверки:

• Отпечатки совпадают → документ подлинный, не изменялся, подписан владельцем подписи
• Отпечатки не совпадают → документ изменили после подписания или подпись поддельная

Порядок создания ключей

Закрытый и открытый ключи создаются одновременно специальной программой (например, КриптоПро CSP). Программа автоматически генерирует уникальную последовательность символов по сложному математическому алгоритму (ГОСТ Р 34.10-2012).

Для получения КЭП владелец приходит лично с паспортом, СНИЛС, ИНН физического лица, ОГРН и ИНН юридического лица (для руководителей организаций) или ОГРНИП (для ИП) (п. 2 ст. 18 Закона N 63-ФЗ).

Для работы с налоговой инспекцией и другими государственными органами организации получают квалифицированные сертификаты от УЦ ФНС. ​

Удостоверяющий центр создает сертификат с открытым ключом и записывает его на сертифицированный носитель владельца. Срок действия сертификата от УЦ ФНС составляет 15 месяцев. ​

Создать ключи также возможно и без личного посещения ФНС.

Применение ключей при подписании документов

Для работы с ЭЦП установите криптопровайдер (программу для работы с ключами) КриптоПро CSP, плагин для работы с подписью, драйвер для токена, а также корневые и промежуточные сертификаты удостоверяющих центров.

Порядок подписания документа в программе КриптоПро:

1. Вставьте токен с КЭП в USB-порт компьютера
2. Откройте Инструменты КриптоПро (Пуск → КриптоПро → Инструменты КриптоПро)
3. Нажмите Обзор → выберите файл документа (Word, PDF, Excel), который нужно подписать​
4. В списке выберите ваш сертификат (по ФИО и дате действия)
5. Нажмите Подписать → появится окно для ввода PIN-кода токена​
6. Введите PIN-код → готово, создан файл-подпись (.sig)

Смотрите подробную инструкцию на официальном сайте КриптоПро

Программа создаст отдельный файл с расширением .sig — это файл электронной подписи, который передается получателю вместе с исходным документом. Получатель использует открытый ключ для проверки подлинности подписи. Такие действия нужно выполнять для каждого документа отдельно.

Процесс подписания документа в системе ЭДО зависит от конкретного оператора, но общий порядок одинаковый. Общий принцип: выбрать документ, нажать кнопку подписания, указать сертификат ЭП и ввести PIN-код. Подробные инструкции обычно размещаются в разделе Помощь или Инструкции на сайте оператора ЭДО.

При перевыпуске получить ключи ЭЦП можно дистанционно через личный кабинет на сайте ФНС, если текущий сертификат еще действует. Новый сертификат записывается на тот же токен. Если срок действия истек, получить ЭЦП придется заново с личным посещением Удостоверяющего центра.

Правила хранения ключей ЭЦП

Закрытый ключ нужно надежно защищать. Если он попадет к злоумышленникам, они смогут подписывать документы от вашего имени.

Способы хранения:

1 Способ: USB-токен (наиболее безопасный)

Законодательство требует использовать USB-токены, сертифицированные ФСБ или ФСТЭК. Подходят такие носители, как Рутокен, JaCarta или ESMART Token.​

Правила работы с токеном:

• Замените заводской пароль на сложный PIN-код
• Не передавайте токен посторонним лицам
• Если токен утерян или попал в чужие руки, немедленно отзовите сертификат в удостоверяющем центре

2 Способ: Мобильное приложение (самый удобный)

Закрытый ключ можно хранить в мобильном приложении. Например, в приложении Госключ — официальном приложении ФНС для создания и хранения КЭП и НЭП. Ключ генерируется и хранится внутри приложения, доступ защищен PIN-кодом или биометрией.​

3 Способ: Хранение на компьютере (менее безопасный)

Хранить ключ на рабочем компьютере возможно, но менее безопасно — компьютер могут заразить вирусом, взломать или к нему получат доступ посторонние лица.

4 Способ: Облачное хранилище

Некоторые удостоверяющие центры предлагают облачное хранение ключей с доступом через интернет. Этот способ удобен для удаленной работы, но требует надежного Интернет-соединения. ​

Если вы потеряли токен, забыли пароль от мобильного приложения или компьютер попал в чужие руки, немедленно отзовите сертификат в удостоверяющем центре. Это заблокирует возможность использования ключей. Выпустите новый сертификат после блокировки старого.

Для приложения Госключ: при утере пароля придется удалить приложение, установить заново и выпустить новый сертификат.

Кратко о ключах ЭЦП

• Ключи электронной подписи — это основа усиленной электронной подписи (квалифицированной и неквалифицированной). Закрытый ключ формирует подпись, открытый ключ проверяет ее
• Закрытый ключ хранится только у владельца — на защищенном USB-токене, в мобильном приложении или в другом безопасном месте. Открытый ключ отражается в сертификате и доступен участникам ЭДО
• Ключи от УЦ ФНС нельзя скопировать или перенести на другой носитель. Срок действия сертификата — до 15 месяцев

См. также

• Заявление на получение ЭЦП в ИФНС: бланк, образец заполнения и порядок подачи
• Электронный документооборот (ЭДО) на предприятии
• Как подключить ЭДО — пошаговая инструкция
• Электронная доверенность — как оформить и подписать

Если вы еще не подписаны:

Активировать демо-доступ бесплатно →

или

Оформить подписку на Рубрикатор →

После оформления подписки вам станут доступны все материалы по 1С Бухгалтерия, записи поддерживающих эфиров и вы сможете задавать любые вопросы по 1С.

Помогла статья?

Получите еще секретный бонус и полный доступ к справочной системе Бухэксперт на 8 дней бесплатно

E-mail

Пароль будет выслан на указанный email