Безопасность использования цифровой подписи: что это и для чего она нужна

Новая редакция Закона Украины «Про публичные закупки» и Закон «Про электронные доверительные услуги» (ноябрь 2018 года) обязывают пользователей Прозорро при документообороте использовать электронную подпись. В основу второго закона был положен Регламент ЕС (eIDAS) об электронной верификации и доверительных отношениях на внутреннем рынке. Упомянутый закон своей статьей 17 обязует использование исключительно формата КЭП, как самого безопасного типа. По этой причине, после 7 ноября 2020 года все новые пользователи электронных подписей должны получать в органах регистрации только квалифицированный формат, то есть, – КЭП. До 1 января 2022 года, частным предпринимателям  допускается использование усовершенствованных электронных подписей (УЭП). В европейской практике в обиходе исключительно ключи с более надежной цифровой защитой – это УЭП и КЭП. Далее подробнее.

Усовершенствованная электронная подпись

Такой формат цифровой подписи использует большинство ФЛП и просто прогрессивные люди. Это улучшенная форма простой цифровой подписи, которая ранее имела меньше степеней защиты. В обществе это самый распространенный формат,  с которым обслуживание в банке, общение с государственными службами или судебными инстанциями проходит намного оперативнее и проще в контексте идентификации личности и нанесения уникального цифрового отпечатка. Совершенно не проблема, если у вас нет при себе оригиналов документов, достаточно будет электронной подписи.

Сложная матрица сочетания данных о личности с электронных баз государственных реестров с уникальной конструкцией файла и личным ключем к нему, – все это находится на особом устройстве с повышенной степенью защиты. Благодаря этому, есть возможность сразу выявлять граждан, чья подпись может быть связана с правонарушениями.

Использование цифровой подписи невозможно в следующих ситуациях:

– При нотариальной заверке документов допускается только ручная подпись.

– При взаимодействии с государственными регистраторами, необходимо только самоличное присутствие и документальное удостоверение, путем скрепления «живой» подписью.

– Исключено использование любого формата цифровой подписи, когда подкрепленный документ должен быть открыт третьими лицами с целью предварительного ознакомления. Это техническое ограничение, поскольку скрепленные цифровой подписью документы может открыть только прямой получатель.

– Во время предоставления любых услуг предприятиями информационного профиля (телекоммуникации), когда информационная безопасность не может быть гарантированна, использование цифрового аналога подписи недопустимо.

Почему КЭП лучше УЭП

Квалифицированная электронная подпись, на сегодняшний день, является самым защищенным форматом. Все документальное сообщение, особенно это касается сферы государственных закупок, обязано использовать КЭП. Любые электронные копии  документов не только участника, но и тендерные условия со стороны заказчика, скрепляются цифровой подписью. Если в качестве любопытства поискать любую закупку на ЭСЗ, в загруженных документах со стороны заказчика можно найти одноименный файл, открыть который вы не сможете. Таким образом, безопасно подтверждается собственник объявленной закупки, и только при наличии ЭП проводятся все тендеры. Украина переняла этот опыт из практики западных соседей.

Любое должностное лицо, которое представляет интересы государства и действует исходя из них, может пользоваться только надежными средствами идентификации, чтобы предупредить несанкционированный доступ третьих лиц к документам. Особенное криптографическое шифрование, накладываемое к любому электронному документу, становится нераздельной его частью. Это касается и сканированных вариантов. Внесение изменения к таким документам невозможно. Открыть закрепленную копию вправе только адресат, который со своей стороны также использует устройство с сертификатом открытого ключа.

Естественно, что весь документооборот в сфере закупок требует повышенных мер безопасности. Сам конструктив такого устройства гарантирует ее. Невозможность копирования, внесения изменений или простого прочтения, как самого устройства, так и документа закрепленного им, добавляет спокойствия его пользователям.

Простой обыватель может использовать КЭП для получения справок или во время обслуживания в банке, например. Это единственный формат, который имеет равную юридическую силу, что и ручная подпись человека.

Хранение квалифицированной электронной подписи

Токен

Токен это защищенное устройство для подключения через USB порт, которое имеет самую высокую степень защиты и выдается аккредитованным центром сертификации и выдачи ключей. Такое устройство внешне похоже на флешку, но имеет исключительное назначение – хранение вашей подписи и печати – с уникальным инвентарным номером, который регистрируется в службе Госсвязи.

Токен хранит полную информацию о собственнике цифровой подписи, которая существует во всех государственных реестрах. КЭП подпись и ключи нельзя хранить на обычной флешке, и это не только вопрос безопасности. При наложении подписи на электронные документы система читает не только сам файл, но и сканирует носитель, на котором она расположена. Устройство защищено от копирования, и файл невозможно перенести на другие носители. Секретный ключ всегда находится на токене, и потому он  существует в единственном экземпляре.

Доступ к использованию токена имеет вход с паролем. Ограниченное количество попыток ввода пароля (до 7 раз) и токен блокируется. Такая система защиты дополнительно предупреждает его использование другими лицами. По этой причине, сам токен-носитель следует рассматривать больше как устройство, нежели цифровой накопитель.

«Облако»

Так называемое «облако» является депозитным пространством на удаленном програмном комплексе. Пользователи электронных подписей и ключей к ним могут хранить свои файлы в таком хранилище, что предусмотрено и отвечает всем нормам действующего законодательства в сфере защиты информации и доверительных электронных услуг.

Пользователи виртуального хранилища имеют круглосуточный доступ и самостоятельно управляют допусками к нему в защищенном «облаке». То же касается управления статусами квалифицированных сертификатов, без необходимости посещения аккредитованных органов выдачи для решения вопроса блокирования и прочее.