Электронная цифровая подпись — необходимый инструмент бизнеса

На вопросы читателей BFM.ru ответил Никита Баранов, руководитель Удостоверяющего центра СКБ Контур

На вопросы читателей BFM.ru отвечает Никита Баранов, руководитель Удостоверяющего центра СКБ Контур.

1. Анатолий
Интересна стоимость одного сертификата? сколько он стоит, в рублях?

Анатолий, добрый день.
Стоимость сертификата зависит от области его применения, т.к. для каждой есть свои особенности выпуска сертификата. Например, сертификат для участия в электронных торгах госзаказа стоит 6500 рублей, сертификат для коммерческих торгов – 3500 рублей, для электронной отчетности – 2500 рублей. Вот здесь можно посмотреть цены на другие наши сертификаты.

2. Александр Иванович
Никита, у меня компания со штатом 100 человек, насколько актуальна ИП ваша услуга?

У Вас, скорее всего, уже есть сертификат ЭЦП для отчетности. Так как согласно Федеральному закону от 24.07.09 № 212-ФЗ плательщики со среднесписочной численностью более 50 человек обязаны с 2011 года сдавать отчетность, в частности в ФСС, только в электронном формате с электронной цифровой подписью.

Электронная цифровая подпись — это инструмент, и его актуальность зависит от Вас. Например, если Вы хотите расширить свой рынок сбыта и участвовать в электронных торгах, то Вам также потребуется сертификат ЭЦП.

3. marialem
Можно ли отправлять контрагентам закрывающие документы с нашей ЭЦП в электронном виде? Обязаны ли они принять такие документы или имеют право требовать оригиналы?

Здравствуйте!
Предварительно Вам нужно договориться с контрагентами о пересылке документов в электронном виде с ЭЦП, подписав соответствующее соглашение.

Также существуют сервисы электронного документооборота, позволяющие достаточно просто обмениваться электронными документами между предприятиями (например, Диадок).

Обратите внимание, что пока в электронном виде нельзя отправлять счета-фактуры, т.к. еще не утвержден электронный формат этого документа.

4. Петр
Как быстро внедрить в компанию такой сертификат? Примерно сколько времени закладывать?
Буду благодарен за ответ,
Петр.

Здравствуйте, Петр!
Самое сложное — это внедрение системы электронного документооборота. Большинство таких систем уже поддерживают ЭЦП. Собственно выпуск и установка ЭЦП на рабочем месте занимает один день.

5. Светлана
Какова реальная стоимость разработки ЭЦП?

Здравствуйте, Светлана!
Удостоверяющий центр не разрабатывает электронные цифровые подписи, мы выпускаем сертификаты ЭЦП. Непосредственно технология инфраструктуры открытых ключей была придумана в США более 20 лет назад. А область криптографических алгоритмов в России регулирует Федеральная служба безопасности.

6. Людмила
Добрый день!
Моя компания оказывает услуги в сфере консалтинга и бухгалтерского аутсорсинга. Скажите, можем ли мы отправлять декларации наших клиентов, приобретая одну ЭЦП у Вас? Либо же ЭЦП необходима для каждого отдельного юр. лица?

Здравствуйте!
Для предоставления отчётности в ФНС достаточно приобрести ЭЦП на организацию, которая будет предоставлять отчётность за другие. Кроме ЭЦП необходимо оформить доверенность от каждой обслуживаемой организации на передачу права вашей организации на предоставление отчётности за них.

Для предоставления отчётности в ПФР в некоторых регионах работает такая же схема. Но не во всех. Для предоставления отчётности в ФСС для каждой обслуживаемой организации нужно получить отдельный сертификат ЭЦП на реквизиты этого отдельного юрлица.

Разные правила связаны с разными технологиями и требованиями самих контролирующих органов (ФНС/ПФР/ФСС).

7. Виталий
Имеет ли смысл использовать Вашу ЭЦП для внутренних процессов предприятия? Или это актуально только для уплаты налогов и других контактов с государством?

Добрый день, Виталий!
Использование ЭЦП более востребовано для документооборота между компаниями.

Если говорить о внутреннем документообороте, то здесь надо ориентироваться на главный критерий: если в вашей организации сейчас для совершения каких-либо действий требуется подписанная бумага, то ЭЦП поможет ускорить работу. По большей части это касается крупных компаний, например холдингов с большим количеством структурных подразделений, распределенных по всей России.

В любом случае каждую ситуацию нужно изучать предметно и принимать решение об использовании ЭЦП в зависимости от бизнес-процессов конкретного предприятия. Если Вас это интересует, обращайтесь к нам 8-800-333-60-03.

8. Ольга
Насколько защищена данная подпись? какие вы предоставляете гарантии безопасности?
Спасибо.

Добрый день, Ольга!
Электронная цифровая подпись использует алгоритмы, закрепленные ГОСТом, а средства электронной подписи сертифицированы ФСБ. Кроме этого, наш Удостоверяющий центр выдает ЭЦП на специальных носителях — токенах, сертифицированных ФСТЭК, которые защищены пин — кодом. Производители гарантируют, что без знания пароля достать информацию из токена невозможно, а после 3 — 4 попыток ввода неверного пин — кода токен блокируется.

В соответствии с Федеральным законом от 10.01.2002 №1 — ФЗ «Об электронной цифровой подписи» мы обеспечиваем тайну закрытого ключа при создании ключей ЭЦП в нашем Удостоверяющем центре.

9. Вера
Когда Вы наконец прочитаете ФЗ от 6.04.2011 № 63 Об электронной подписи" и перестанете называть электронную подпись ЭЦП?

Здравствуйте, Вера!
Несмотря на то, что существует статья 19 Федерального закона № 63 — ФЗ, которая приравнивает выпускаемые сейчас сертификаты ЭЦП к квалифицированным сертификатам, они таковыми не являются, поэтому называть сертификаты ЭЦП сертификатами электронной подписи некорректно.

Квалифицированный сертификат проверки электронной подписи (или просто — сертификат электронной подписи) можно будет получить только после вступления в действие разработанных Минкомсвязи России проектов нормативных правовых актов, в частности проекта приказа «О порядке аккредитации удостоверяющих центров, в том числе проверки соблюдения аккредитованными удостоверяющими центрами требований, которые установлены Федеральным законом “Об электронной подписи” и на соответствие которым эти удостоверяющие центры были аккредитованы».

10. Елена
Никита, а как может быть полезна электронная цифровая подпись для частного пользования? и конечно, какова стоимость одной подписи?

Здравствуйте, Елена.
Частному лицу электронная цифровая подпись нужна, в первую очередь, для работы на Едином портале государственных и муниципальных услуг. Такие ЭЦП выдает ОАО «Ростелеком». Во — вторых, частное лицо может использовать ЭЦП для портала электронных услуг Росреестра. Получить его можно в различных коммерческих удостоверяющих центрах, а в начале следующего года это можно будет сделать и у нас.

11. Владимир М.
подписи, на которые вы выдаете сертификаты, действительны только на территории РФ или они международные?

Здравствуйте, Владимир!
Сертификаты ЭЦП, выдаваемые российскими удостоверяющими центрами, действуют только на территории РФ. Для того чтобы ЭЦП России признавалась на территории других стран, нужно чтобы были подписаны соответствующие межправительственные соглашения о применении ЭЦП и правилах ее выпуска.

12. Марианна
Никита, скажите на милость, а возможны ли подделки этой ЭЦП? В вашей богатой практике такие случаи были? И если были, то как часто приходилось сталкиваться с ними.

Добрый день, Марианна!
Взломать можно все. Однако цена взлома при этом может быть несопоставима с ценой полученной информации. Так, подделать ЭЦП можно, но для этого потребуется очень большой дата-центр, например, размера компании Яндекс. В российской практике прецедентов подделки подписи не было. Ведь с помощью ЭЦП не подписываются чрезвычайно важные документы, например, документы гостайны, когда цена информации была бы сопоставима с тратами на ее получение.

13. Геннадий
ЭЦП имеет такую же юридическую силу как и подпись от руки или нет?

Здравствуйте, Геннадий!
Да, согласно Федеральному закону от 10.01.2002 №1 — ФЗ «Об электронной цифровой подписи», ЭЦП приравнивается к собственноручной подписи.

14. Ирина
Никита, очень интересно узнать опыт применения ЭЦП в мировой практике.

Здравствуйте, Ирина.
ЭЦП появилась в США более 20 лет назад и к настоящему моменту получила распространение по всему миру. ЭЦП используется во всех видах документооборота, однако ею не подписываются документы государственной тайны, межправительственные соглашения и контракты с очень большой стоимостью.

Сейчас последняя тенденция в области ЭЦП — использование простой подписи на основе логина — пароля вместо ЭЦП в документах с меньшей значимостью.

15. Влад
К сожалению, Российский закон об ЭЦП предусматривает использование только сертифицированных в КГБ алгоритмов проверки электронной подписи. Это автоматически перечеркивает любые возможности легально использовать в России общедоступные публичные программные средства работы с ЭЦП. И, одновременно, кормит ИТ — шные и около ИТ — шные КГБшные конторы.

Компани вроде Контура, приняв правила пролоббировавших закон ГБшников, сдирая с вас, уважаемые читатели, непомерные цены за свои услуги, подкармливает ГБшные конторы, направляя денежные потоки обратно тем, кто придумал эту удобную кормушку.

Добрый день, Влад.
Сегодня в мире можно выделить три основных класса алгоритмов шифрования с открытым ключом: RSA, ECC (EllipticCurveCryptography) и ElGamal.

Если не вдаваться в математику, про ElGamal можно отметить, что именно алгоритм этого класса DSA является национальным стандартом США для ЭЦП и алгоритмы этого же класса используются в Японии и Южной Корее. Для обеспечения безопасности в Интернете наиболее часто используют RSA; скорее всего, именно реализации RSA Вы имели ввиду, говоря о публичных общедоступных средствах шифрования и подписи. Несмотря на это, в США в 2005 году национальное агентство безопасности США (NationalSecurityAgency — NSA), являющееся аналогом нашей научно-технической службы ФСБ (так называемого восьмого центра), в рамках программы модернизации криптографии предложило для гражданских целей набор алгоритмов (набор В — Suite B), в которых для ЭЦП используется один из алгоритмов класса ECC.

Особенностями сертифицированных ФСБ средств электронной цифровой подписи являются использование алгоритма из класса ECC с длинной ключа 512 бит и сертификация средств ЭЦП. Первое порождает проблемы не с защищённостью информации, а с удобством использования ЭЦП: сертификаты действуют 1 год. Второе, теоретически может использоваться ФСБ для каких — то своих непубличных целей потому, что исходный код сертифицированных средств ЭЦП нельзя публиковать. Однако исполняемого кода там не так уж и много, и, если бы ФСБ требовало от производителей делать в исходном коде закладки, их бы уже нашли в исполняемом коде. При этом ни Майкрософт, ни другие производители операционных систем не могут встроить реализацию алгоритма в свой дистрибутив, и это, действительно, может доставлять неудобства для конечных пользователей средств ЭЦП.

СКБ Контур не пытается выйти на рынок средств ЭЦП, сейчас в России уже работают несколько вендоров и около 50 публичных удостоверяющих центров, которые с этими средствами работают. Цены на услуги удостоверяющих центров устанавливаются свободным рынком, на одни и те же услуги есть колебание цен. Мы строим свою работу на уже имеющихся на рынке решениях, чтобы предложить нашим клиентам оптимальное решение.

16. Софья
Какие есть "слабые" места у ЭЦП?

Здравствуйте, Софья!
Пожалуй, «слабым местом» ЭЦП является пользователь. Если человек не соблюдает правила безопасности при работе с ЭЦП, он рискует тем, что злоумышленник может завладеть его закрытым ключом.

17. Светлана Валентиновна
Никита, зачем нужна просто ЭЦП? уже давно есть быстрая ЭЦП, которая использует алгоритм в десятки раз меньшим числом вычислений по сравнению с традиционной ЭЦП. Зачем возвращаться к прошлому?

Светлана Валентиновна, добрый день!
Использование «просто ЭЦП» обусловлено тем, что быстрая ЭЦП не обеспечивает неотрекаемости, т.к. обе стороны электронного взаимодействия используют один и тот же ключ.

18. Антонина
У меня такой вопрос — в каких документах можно использовать электронную цифровую подпись?

Здравствуйте, Антонина!
У каждого документа есть отправитель и получатель. И ЭЦП можно использовать во всех документах, где об этом договорились обе стороны. Так, например, Федеральная налоговая служба и Пенсионный фонд РФ четко прописали, какие документы и в каком формате они принимают от организаций.

19. Тоня
Как в реале выглядит цифровая подпись?

Тоня, добрый день.
Сертификат ключа подписи — это электронный документ (файл), записанный на жёстком диске или на сертифицированном носителе. В этом файле указаны:
1. Данные о владельце (фамилия, имя, отчество).

2. Данные об организации, от имени которой действует владелец сертификата (название организации, регион и город, в котором она зарегистрирована, ИНН). Эти данные отсутствуют, если сертификат используется владельцем как физическим лицом.

3. Сведения об отношениях, с которыми будет использоваться сертификат. Например, у одного и того же человека может быть два сертификата: один для подписания только отчётности в контролирующие органы, другой – только для участия в госторгах.

4. Сведения об удостоверяющем центре, который выпустил сертификат.

5. Открытый ключ, которым можно проверить ЭЦП. Сама ЭЦП выполняется закрытым ключом, который владелец сертификата хранит в тайне.

Сертификат заверен подписью уполномоченного лица удостоверяющего центра. Открытый и закрытый ключи — это последовательности байт, которые не предназначены для чтения человеком: их обрабатывают средства ЭЦП при создании и проверке ЭЦП.

При получении электронного документа сторона проверяет, что ЭЦП выполнена именно тем сертификатом, которым заявлено (обычно сертификат и ЭЦП находятся рядом с подписанным документом), при помощи открытого ключа из сертификата. Остальные данные из сертификата позволяют определить лицо, подписавшее документ, и убедиться в том, что это лицо имело полномочие подписывать такой документ. После этого производятся ещё три проверки:

1. Действует ли сертификат? Период действия сертификата записывается в сертификат и так же, как и другие данные, заверяется подписью уполномоченного лица удостоверяющего центра.

2. Не обращался ли владелец сертификата в удостоверяющий центр с заявлением на аннулирование своего сертификата (например, из-за компрометации закрытого ключа)? Для этого в сертификат записывается (и также заверяется подписью уполномоченного лица) адрес в Интернете, на котором удостоверяющий центр регулярно публикует номера аннулированных сертификатов.

3. Был ли сертификат на самом деле выпущен удостоверяющим центром? Для этого проверяется ЭЦП уполномоченного лица в сертификате.

Чтобы можно было проверить ЭЦП уполномоченного лица в сертификате, сертификаты уполномоченных лиц регистрируются в реестре, который ведёт Министерство связи и массовых коммуникаций РФ. Однако по требованию владельца сертификата удостоверяющий центр может предоставить ему сертификат в форме документа на бумаге, заверенного рукописной подписью уполномоченного лица и печатью удостоверяющего центра.

20. Костя
хочется знать приблизительные сроки когда в России повсеместно появится возможность пользоваться ЭЦП? я знаю, что в Белоруссии можно подавать декларации о налогах в электронном виде, оформлять электронные декларации, осуществлять платежи в электронном виде.
когда ЭЦП станет массовым продуктом?

Здравствуйте, Костя!
с 10 января 2002 года в России можно подавать декларации о налогах в электронном виде и оформлять электронные декларации. Интернет — банкинг в России существовал еще раньше.

21. Илья
Кто обеспечивает безопасность электронной цифровой подписи? Ваш центр?

Илья, добрый день,
смотрите ответ в 8 вопросе.

22. Николай
Добрый день. Мы организация, торгующая пивом. С 2012 года мы должны подавать декларацию в Росалкогольрегулирование. Можно ли приобрести ЭЦП в Вашей организации или у Ваших представителей для сдачи декларации Роалкогольрегулирование?

Здравствуйте, Николай,
сейчас наш Удостоверяющий центр не выдает сертификаты ЭЦП для передачи отчетности в Росалкогольрегулирование. Мы планируем, что это станет возможным в начале 2012 года.

23.I'am
Здравствуйте!
Необходима ЭЦП для подписания электронных писем?
Юридическую ценность эти письма и вложения к письму будут иметь?
Как с Вами связаться?
Заранее благодарен.

Добрый день!
Многие почтовые клиенты (например, MicrosoftOutlook) умеют подписывать электронные письма ЭЦП. Для того чтобы электронные письма, подписанные ЭЦП, имели юридическую значимость, необходимо заключить соглашение с другим участником такого электронного документооборота либо (если в документообороте участвуют сотрудники одного предприятия) необходимо принять положение об использовании ЭЦП на предприятии.

Со мной можно связаться по электронной почте nikita@skbkontur.ru.

24. Артур
Скажите, на каких устройствах можно будет размещать эту подпись? может ли она быть, например, на флешке?

Здравствуйте, Артур.
Различные криптопровадейры позволяют хранить закрытый ключ на внешних накопителях (дискетах, флешках, смарт-картах, CD — дисках), а также на жестком диске компьютера. Однако мы в удостоверяющем центре в целях безопасности рекомендуем использовать исключительно специализированные носители — токены.

25. Nik
Никита, скажите, а если подпись утеряна? Сможет ли третье лицо воспользоваться ей без ведома хозяина?

Добрый день.
Да, воспользоваться сможет. Но если Вы оперативно сообщите в удостоверяющий центр, что Ваша ЭЦП утеряна, то действия, совершенные с данной ЭЦП, не будут иметь юридической значимости. А также удостоверяющий центр поместит Ваш сертификат в список отозванных сертификатов, после чего его перестанут принимать любые информационные системы. Однако до того момента, пока Вы не отозвали сертификат, Вы отвечаете за все действия, которые совершены с помощью Вашей ЭЦП.

Конечно, если Вы храните свой ключ на защищенном носителе типа Рутокен, Вы защищаете себя гораздо больше, ведь тогда третьему лицу нужно будет знать пин — код к токену и для доступа к вашему ключу.

26.Павел
Добрый день Никита.
В ответе на первый вопрос Вы указали различную цену за изготовление сертификата, объясняя это использованием различных сведений об отношениях(COO). Далее Ваши слова: "для каждой есть свои особенности выпуска сертификата".Особенности - это цена вопроса между Вашей организацией и контролирующим органом?COO - строчка в сертификате, их может быть две или двадцать две. Почему это должно влиять на цену?

Особенности выпуска сертификата — это, прежде всего, различия в процедуре выпуска, куда, в частности, входит проверка документов, устанавливающих полномочия, которые в дальнейшем будут записаны в сертификат, они могут разительно отличаться в разных информационных системах, а это квалификация и время людей, которые эти документы проверяют. Ведь по закону именно удостоверяющий центр несет ответственность, в том числе финансовую, если данные в сертификате оказались недостоверные.
Бывают отличия, продиктованные необходимым уровнем безопасности. Например, обязанность записывать закрытый ключ именно на сертифицированный носитель при выпуске сертификата для госзаказа.
Собственно, чем меньше требований к проверке полномочий, чем меньше работы мы совершаем по выпуску сертификата, тем дешевле сертификат. Технически добавить строчку очень легко, организационно — нет.