Пользователь
0,0
рейтинг
27 марта 2012 в 12:47

Разработка → Электронная подпись простыми словами

imageПочти год назад (6 апреля 2011) вышел новый федеральный закон об электронной подписи (ЭП) — N 63-ФЗ «Об электронной подписи» взамен старого ФЗ №1-ФЗ от 10.01.2002. Когда старый закон отменили, многие вздохнули с облегчением, уж больно он был неподъемен для коммерческого сектора. Теория и практика обращения с ЭП в этом топике.

Итак, новый ФЗ внес вот какие новшества:

  • два уполномоченных органа;
  • добровольная аккредитация УЦ.

Но обо всем по порядку.

1. Старая ЭЦП трансформировалась в три вида ЭП, различающихся по степени надежности используемых технологий:
Простая – достаточно использовать код или пароль;
Неквалифицированная – можно использовать любые криптосредства для создания ЭП;
Квалифицированная – можно использовать криптосредства, имеющие сертификат (ФСБ) и аккредитованный УЦ, но об этом позже.

2. Новый ФЗ вводит два уполномоченных органа:

  • Орган, ответственный за политики в области применения ЭП и аккредитацию УЦ – Постановлением Правительства № 976 от 28 ноября 2011 таким органом было назначено Минкомсвязь.
  • Орган, ответственный за безопасность – ФСБ, тут все ясно.

Кроме того, двум этим органам нужно было разработать подзаконные акты, без них применение 63-ФЗ равнялось применению 1-ФЗ, но сначала про аккредитацию.

3. Аккредитация УЦ – подтверждение УЦ, что он надежный УЦ. Дает возможность генерить квалифицированную ЭП. Если вы не госорган и вам можно использовать неквалифицированную ЭП, то и аккредитоваться вам не надо. Про госорганы я не придумала, т.к. 9 февраля 2012 вышло ПП № 111, которое обязывает госорганы использовать квалифицированную ЭП, то же касается госуслуг – ПП № 861 от 24 октября 2011.
Как и прежде можно воспользоваться услугами стороннего УЦ, но тут надо следить, чтобы он был аккредитован (а иначе зачем?), а владельцам таких УЦ – спешно аккредитовываться.

Теперь, как все выглядит на практике

Если вы юзаете простую или неквалифицированную подпись, то тут все просто. Не забудьте только заключить соглашение об электронном взаимодействии, которое будет придавать юридическую значимость вашему взаимодействию.

С квалифицированной все сложнее. Чтобы ее заполучить в обиход, нужен аккредитованный УЦ и выполнение ряда условий.

Для аккредитования УЦ Минкомсвязь уже выпустила два из трех, указанных в новом ФЗ, подзаконных актов:

  • Приказ № 242 от 29 сентября 2011, утверждающий порядок передачи реестра аккредитованного УЦ на хранение в Минкомсвязь, в случае прекращения действия такого УЦ;
  • Приказ № 250 от 5 октября 2011, утверждающий порядок ведения реестра аккредитованным УЦ.

А вот самый главный документ, утверждающий собственно правила аккредитации УЦ, Минкосвязь пока не выпустила, впрочем, проект такого приказа имеется уже с 5 сентября 2011. Тем не менее, ни одного аккредитованного УЦ вы пока не встретите.

ФСБ, в свою очередь, тоже выпустила два из трех, указанных в новом ФЗ подзаконных актов:

  • Приказ ФСБ № 795 от 27 декабря 2011 – устанавливает требования к форме квалифицированных сертификатов. Я бы охарактеризовала этот документ как адаптированный перевод RFC 2459 под русскую реальность;
  • Приказ ФСБ № 796 от 27 декабря 2011 – устанавливает требования к средствам ЭП и средствам УЦ (собственно, это криптосредства и прочие средства, которыми вы УЦ делаете).

Вобщем все гладко, условиями для создания квалифицированной ЭП помимо аккредитованного УЦ, о которых я упоминала выше, как раз и является подтверждения соответствия всех используемых средств требованиям ФСБ. Но вот требования ФСБ выпустила, а порядок подтверждения соответствия средств ЭП и УЦ этим требованиям еще нет. Понятно только, что это будет аналогия сертификатов ФСБ на криптосредства.

В целом, прогноз благоприятный, если вы не гос, можно легко обходиться неквалифицированной ЭП, но вот пустят ли вас потом в какую-нибудь единую расчетную систему, пока вопрос.

И еще, расшарила подборку закладок со всеми упомянутыми документами.
@tatakuzmenka
карма
26,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (22)

  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      а зачем вообще нужна подпись, паспорт?
    • +7
      Чтобы сделать офисные будни комфортнее

      image
  • 0
    >В целом, прогноз благоприятный, если вы не гос, можно легко обходиться неквалифицированной ЭП

    Реально пока нет ни одного прецедента использования неквалифицированной подписи для придания юр. значимости электронным документам.
    • 0
      коммерческие банки, например, используют неквалифицированную подпись, для юридической значимости достаточно соглашения сторон об использовании такой подписи
      • 0
        У них такая подпись — это скорее механизм подтверждения платежа без притязаний на юр. значимость.

        Как раз наоборот многие банки покупают сертифицированные СКЗИ, которые обеспечивают подпись, которую по новому закону можно назвать квалифицированной.
        • 0
          по сути назвать квалифицированной можно, и средства банки выбирают действительно самые надежные, но подпись все равно неквалифицированная, т.к. для этого нужна аккредитация УЦ
          • 0
            дык аккредитуют, если надо будет :)
            • 0
              думаю и это возможно:)
            • +1
              Пока еще «не на что» — нет требований. Соответственно нет и ни одного аккредитованного УЦ и ни одного экземпляра квалифицированной ЭП.

              Соответственно сейчас всё ДБО фактически на неквалифицированной ЭП держится.
  • 0
    Неквалифицированная – можно использовать любые криптосредства для создания ЭП;

    Тоесть можно использовать сертификат от Thawte, Verisign или StartCom без всяких Крипто-Про и прочего ГОСТа?
    • 0
      вобщем-то да, если при этом вторая сторона согласится с вами работать на этих продуктах
  • +4
    Лучше вообще просто напишите зачем она нужна простому читателю хабра?
  • +2
    Электронная подпись простыми словами

    Вы, милсдарь, уверены, что правильно понимаете словосочетание «простыми словами»?
    • +2
      вы уверены, что я милсдарь? проще не смогла изложить)
      • +1
        Туше :) Почти пронзен насквозь :)
  • 0
    Все нормально. Пока не отдал концы 1-ФЗ, квалифицированной признается подпись, выданная УЦ со старой аккредитацией. Во всяком случае у меня не было с этим проблем.
    • 0
      все так)
  • 0
    Сударыня. Милостиво прошу объяснить, как это всё выглядит на практике, с точки зрения IT-шника. Меня разрывают требованиями установить новые ПК для обеспечения работы с ЦП. При этом озвучиваются требования «с верху» — 4-х ядерный ЦП и МП Asus с 2 Гигами памяти. Ещё косятся на некий «конверт» выданный под подписку о расстреле с секретным диском. На все расспросы о «собственно процедуре» использования ЦП никто не в курсе(из моих клиентов) — то ли на диске просто софт, который надо установить на ПК уполномоченного заверять документы ЦП, то ли там собственно аппаратный «ключ» прописан. Благодарю.
    • 0
      Для того, чтобы начать работу с ЭП вам нужны ПК (не обязательно новые) с установленной ОС (виндой, например). «Секретное» ПО я так мыслю — Криптопровайдер. Затем вам нужно поднять УЦ либо если уже есть УЦ с которым предстоит работать, установите все ПО и сгенерируйте пару ключей (закрытый и открытый), получите сертификат, профит.
  • 0
    Гхм, как показывает практика под цифровой подписью все еще понимают скан подписаной бумажки. И ситуация еще очень не скоро изменится с таким вот подходом.
    • 0
      Цифровой подписью может и является скан бумажки, в этой статье исключительно про электронную подпись.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.