Ключи ЭЦП — как получить, где хранятся, для чего применяются

Ключи электронной подписи — это основа безопасности электронного документооборота. Они подтверждают авторство документа и фиксируют факт внесения в него несанкционированных изменений. Разберем, что представляют собой ключи ЭЦП, как их получить и какие правила безопасности соблюдать при использовании.

Что такое ключи электронной подписи

Расшифровка этих понятий приведена в ст. 2 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи»:

• ключ электронной подписи — это уникальная последовательность символов, предназначенная для создания ЭП
• ключ проверки электронной подписи — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности ЭП

Ключи электронной подписи формируются одновременно и работают только в паре:

• ключ электронной подписи — используется для создания подписи
• ключ проверки — для ее верификации​

На практике ключ электронной подписи часто называют «закрытым ключом», а ключ проверки — «открытым ключом».

Усиленная неквалифицированная (НЭП) и усиленная квалифицированная электронная подписи (КЭП) создаются и проверяются с использованием криптографических ключей:

• КЭП обладает полной юридической силой и приравнена к собственноручной подписи. Документ с КЭП признается равнозначным бумажному (п. 1 ст. 6 Закона N 63-ФЗ)
• НЭП имеет ограниченную юридическую силу. Документ с НЭП приравнивается к бумажному только в случаях, предусмотренных федеральными законами или соглашением сторон электронного взаимодействия (п. 2 ст. 6 Закона N 63-ФЗ). Такие соглашения должны предусматривать порядок проверки НЭП​

Для работы с госорганами (ФНС, СФР, Росреестром, ФТС, ЕИС и другими) НЭП не подходит — требуется именно КЭП.

КЭП работает на основе двух ключей — закрытого и открытого. Закрытый ключ используется для создания подписи и хранится у владельца. Открытый ключ предназначен для проверки подлинности подписи и указывается в квалифицированном сертификате. Сертификат — это документ, который содержит открытый ключ и сведения о владельце (ст. 5, ст. 14 Закона N 63-ФЗ).

Технология PKI и принципы работы ключей

Усиленная электронная подпись создается с помощью инфраструктуры ключей (PKI) — это технология, которая использует закрытый и открытый ключи.

Принцип работы PKI:

• У вас есть два ключа:
  • закрытый (секретный) — хранится только у владельца. С его помощью создается подпись на электронном документе​
  • открытый ключ — выдается удостоверяющим центром (УЦ) в виде сертификата. С его помощью можно проверить, что подпись, проставленная на электронном документе, принадлежит владельцу ЭЦП​
• Все доверяют удостоверяющему центру, а не друг другу лично​
• Процесс подписи:
  • документ преобразуется хэш-функцией в уникальный отпечаток, который шифруется закрытым ключом — получается электронная подпись
  • получатель с помощью открытого ключа выполняет обратное преобразование и сравнивает результат с хэшем документа

Если отпечатки совпадают, документ подлинный, не изменялся и подписан владельцем ЭЦП. ​

Особенности закрытого и открытого ключей ЭП

Требования ФСБ и ФНС устанавливают, что для КЭП от удостоверяющего центра ФНС закрытый ключ должен быть не экспортируемым: его нельзя скопировать с носителя или перенести на другое устройство. Это защищает от мошенничества и несанкционированного использования. ​

Закрытый ключ формирует электронную подпись для конкретного документа путем криптографического преобразования, защищает ее от компрометации и подтверждает авторство документа.

Открытый ключ подтверждает связь с закрытым ключом и указывает владельца ЭЦП. Информация об открытом ключе находится в сертификате, который также содержит данные о владельце закрытого ключа, информацию об удостоверяющем центре, сроке действия подписи. ​

Сертификат выдает только аккредитованный удостоверяющий центр после проверки личности владельца. Компании и ИП для работы с государственными органами получают квалифицированные сертификаты от УЦ ФНС или его доверенных лиц. Открытый ключ доступен всем участникам документооборота. Владелец передает его контрагентам, а информационные системы проверяют подпись через реестры удостоверяющих центров. ​

Сравнение закрытого и открытого ключей:

Как работают ключи ЭЦП

Шаг 1. Создание подписи (у отправителя). Специальная программа (например, КриптоПро) создает уникальный «отпечаток» документа, который шифруется закрытым ключом и получается электронная подпись — зашифрованный отпечаток.

Шаг 2. Проверка подписи (у получателя). Программа получателя расшифровывает подпись открытым ключом из сертификата, преобразуя ее в исходный отпечаток. Одновременно программа создает новый отпечаток полученного документа. Программа сравнивает два отпечатка.

Результат проверки:

• отпечатки совпадают → документ подлинный, не изменялся, подписан владельцем подписи
• отпечатки не совпадают → документ изменили после подписания или подпись поддельная

Порядок создания ключей

Закрытый и открытый ключи создаются одновременно специальной программой (например, КриптоПро CSP). Она автоматически генерирует уникальную последовательность символов по сложному математическому алгоритму (ГОСТ Р 34.10-2012).

Для получения КЭП владелец приходит лично с паспортом, СНИЛС, ИНН физического лица, ОГРН и ИНН юридического лица (для руководителей организаций) или ОГРНИП (для ИП) (п. 2 ст. 18 Закона N 63-ФЗ).

Для работы с налоговой инспекцией и другими государственными органами организации получают квалифицированные сертификаты от УЦ ФНС. ​

Удостоверяющий центр создает сертификат с открытым ключом и записывает его на сертифицированный носитель владельца. Срок действия сертификата от УЦ ФНС составляет 15 месяцев. ​

Создать ключи можно и без личного посещения ФНС.

Применение ключей при подписании документов

Для работы с ЭЦП установите криптопровайдер (программу для работы с ключами) КриптоПро CSP, плагин для работы с подписью, драйвер для токена, а также корневые и промежуточные сертификаты удостоверяющих центров.

Порядок подписания документа в программе КриптоПро:

1. Вставьте токен с КЭП в USB-порт компьютера
2. Откройте Инструменты КриптоПро (Пуск → КриптоПро → Инструменты КриптоПро)
3. Нажмите Обзор → выберите файл документа (Word, PDF, Excel), который нужно подписать​
4. В списке выберите ваш сертификат по ФИО и дате действия
5. Нажмите Подписать → появится окно для ввода PIN-кода токена​
6. Введите PIN-код → готово, создан файл-подпись (.sig)

Смотрите подробную инструкцию на официальном сайте КриптоПро.

Программа создаст отдельный файл с расширением .sig — это файл электронной подписи, который передается получателю вместе с исходным документом. Получатель использует открытый ключ для проверки подлинности подписи. Такие действия нужно выполнять для каждого документа отдельно.

Процесс подписания документа в системе ЭДО зависит от конкретного оператора, но общий порядок одинаковый: выбрать документ, нажать кнопку подписания, указать сертификат ЭП и ввести PIN-код. Подробные инструкции обычно размещаются в разделах «Помощь», «Инструкции» на сайте оператора ЭДО.

При перевыпуске получить ключи ЭЦП можно дистанционно через личный кабинет на сайте ФНС, если текущий сертификат еще действует. Новый сертификат записывается на тот же токен. Если срок действия истек, получить ЭЦП придется заново с личным посещением удостоверяющего центра.

Правила хранения ключей ЭЦП

Закрытый ключ нужно надежно защищать. Если он попадет к злоумышленникам, они смогут подписывать документы от вашего имени.

Способы хранения:

USB-токен (наиболее безопасный)

Законодательство требует использовать USB-токены, сертифицированные ФСБ или ФСТЭК. Подходят носители Рутокен, JaCarta или ESMART Token.​

Правила работы с токеном:

• замените заводской пароль на сложный PIN-код
• не передавайте токен посторонним лицам
• если токен утерян или попал в чужие руки, немедленно отзовите сертификат в удостоверяющем центре

Мобильное приложение (самый удобный)

Закрытый ключ можно хранить в мобильном приложении. Например, в Госключ — официальном приложении ФНС для создания и хранения КЭП и НЭП. Ключ генерируется и хранится внутри приложения, доступ защищен PIN-кодом или биометрией.​

Хранение на компьютере (менее безопасный)

Хранить ключ на рабочем компьютере можно, но небезопасно — компьютер могут заразить вирусом или взломать.

Облачное хранилище

Некоторые удостоверяющие центры предлагают облачное хранение ключей с доступом через интернет. Это удобно для удаленной работы, но требует надежного интернет-соединения. ​

Если потеряли токен, забыли пароль от мобильного приложения или компьютер попал в чужие руки, немедленно отзовите сертификат в удостоверяющем центре, чтобы заблокировать возможность использования ключей. Выпустите новый сертификат после блокировки старого.

Если утерян пароль от приложения Госключ — удалите его, установить заново и выпустите новый сертификат.

Кратко о ключах ЭЦП

• Ключи электронной подписи — это основа усиленной ЭП (квалифицированной и неквалифицированной). Закрытый ключ формирует подпись, открытый — проверяет ее
• Закрытый ключ хранится только у владельца — на защищенном USB-токене, в мобильном приложении или другом безопасном месте. Открытый ключ отражается в сертификате и доступен участникам ЭДО
• Ключи от УЦ ФНС нельзя скопировать или перенести на другой носитель. Срок действия сертификата — 15 месяцев

См. также

• Заявление на получение ЭЦП в ИФНС: бланк, образец заполнения и порядок подачи
• Электронный документооборот (ЭДО) на предприятии
• Как подключить ЭДО — пошаговая инструкция
• Электронная доверенность — как оформить и подписать

Если вы еще не подписаны:

Активировать демо-доступ бесплатно →

или

Оформить подписку на Рубрикатор →

После оформления подписки вам станут доступны все материалы по 1С Бухгалтерия, записи поддерживающих эфиров и вы сможете задавать любые вопросы по 1С.

Помогла статья?

Получите еще секретный бонус и полный доступ к справочной системе Бухэксперт на 8 дней бесплатно

E-mail

Пароль будет выслан на указанный email