Подписать с эцп: Как подписать документ электронной подписью? — Удостоверяющий центр СКБ Контур

Подписать с эцп: Как подписать документ электронной подписью? — Удостоверяющий центр СКБ Контур

Как подписать документ электронной подписью? — Удостоверяющий центр СКБ Контур

Этот вопрос возникает, когда владельцу сертификата электронной подписи нужно подписать документ вне информационных систем, в которых уже встроены механизмы создания и проверки электронной подписи. Рассмотрим варианты, как подписать документ квалифицированной электронной подписью.

Что потребуется для подписания электронного документа?

• Окончательная редакция документа, который необходимо подписать. После создания подписи в него нельзя будет внести изменения.
• Действующий квалифицированный сертификат электронной подписи. В рамках российского законодательства квалифицированная электронная подпись — единственный вид подписи, который придает документу юридическую силу без дополнительных соглашений между сторонами электронного документооборота.
• Средства электронной подписи. Технология электронной подписи подразумевает использование комплекса программных средств, которые владелец подписи устанавливает на свой компьютер. В Удостоверяющем центре СКБ Контур настройка компьютера для работы с электронной подписью проходит автоматически. Ознакомьтесь с информацией о технических требованиях к рабочему месту для работы с электронной подписью 
• Программа для создания электронной подписи  — они будут рассмотрены далее. Это могут быть плагины, отдельные программы или веб-сервисы. 

Получить электронную подпись

Вариант 1. Установить плагин для Office

Для документов формата Word и Excel

Чаще всего требуется подписать документ в формате Word:

• трудовой или хозяйственный договор,
• иск в арбитраж,
• заявление в вуз и т.д.

Штатная функция пакета Microsoft Office «Подписать документ» не позволяет создать подпись, которая придает электронному документу юридическую силу. Чтобы создать такую подпись в Word или Excel, необходимо установить на свой компьютер специальный программный модуль, который добавит такую возможность, — например, КриптоПро Office Signature.

Это платная программа, использовать все возможности бесплатно можно только в тестовый период. После загрузки и установки плагина на компьютере можно подписывать документы по такому алгоритму:

1. В главном меню документа выберите пункт «Сервис» и перейдите в «Параметры». В появившемся окне выберите вкладку «Безопасность» и нажмите кнопку «Цифровые подписи».

2. В этом окне выберите нужный сертификат электронной подписи из тех, что установлены на компьютере.

3. С его помощью создайте для документа электронную подпись: нажмите «Подписать» и введите пароль ключевого контейнера.

Что учесть при использовании плагина:

• Алгоритм подписания отличается в разных версиях Word.
• Если создать подпись в одной версии программы, а проверять ее в другой, результат проверки может быть некорректным.
• Документ, подписанный с помощью КриптоПро Office Signature, можно открыть и проверить даже на компьютере, где эта программа не установлена.

Для документов формата PDF

Для создания и проверки электронной подписи в программах Adobe Acrobat, Adobe Reader и Adobe LiveCycle ES есть отдельный модуль КриптоПро PDF.

КриптоПро PDF прилагается бесплатно при совместном использовании с программой Adobe Reader. В остальных программах также есть тестовый период, по истечении которого нужно приобрести лицензию.

Прежде чем вставить электронную подпись в документе PDF, необходимо установить и настроить Acrobat Reader DC или Adobe Acrobat Pro для работы с программой КриптоПро PDF.

После настройки чтобы поставить подпись, выберете в меню документа пункт «Работа с сертификатами», затем нажмите «Подписание». Программа предложит выбрать нужную подпись, среди установленных и место в документе, где будет располагаться подпись. После этого можно завершить подписание документа.

Вариант 2. Установить отдельную программу для создания подписи

Чтобы подписывать документы любого формата (*rar, *. jpeg и *.png,*.ppt, видео, базы данных и т.д.), можно установить на компьютер специальную программу — например, КриптоАРМ.

У программы есть несколько версий, которые отличаются функциональностью. Базовой версией КриптоАРМ Старт с минимумом возможностей можно пользоваться бесплатно. У всех платных версий есть тестовый период, в течение которого будут доступны все возможности. Когда это время истечет, потребуется приобрести лицензию, чтобы продолжить пользоваться этой версией.

Подписать документ можно из главного окна программы или из контекстного меню файла. Алгоритм подписания отличается в зависимости от этих вариантов, но в любом случае выбирайте пункт «Подписать» и следуйте инструкциям. Программа предложит вам выбрать:

• Количество файлов, которые нужно подписать: можно подписать несколько файлов или папку с документами.
• Формат подписи: присоединенная или отсоединенная. В первом случае подпись будет встроена в файл, а во втором будет создана в отдельном файле с расширением *. sig.
• Сертификат, которым нужно подписать документ.

Что учесть при использовании программы:

• В бесплатной версии можно поставить только базовую КЭП (без проверки времени подписания документа и статуса сертификата). Но проверить можно и усовершенствованную подпись (со статусом сертификата и временем подписания документа).

Вариант 3. Воспользоваться веб-сервисами

Можно подписать документ любого формата, не устанавливая на компьютер специальных программ, — например, в веб-сервисе Контур.Крипто.

Это бесплатная программа, которая позволяет создать и проверить электронную подпись, зашифровать и расшифровать электронный файл. Можно подписать не только отдельный файл, но и пакет файлов или архивов. Можно создать подпись документа двумя и более лицами.

Работать в программе можно после регистрации и автоматической установки на компьютер программного обеспечения для криптографических операций. У программы интуитивно понятный интерфейс. Чтобы подписать электронный документ, необходимо:

1. Загрузить в сервис документ, который необходимо подписать. Подписать можно файл любого формата до 100 Мб.

2. Выбрать установленный на компьютере сертификат, которым будет подписан документ. Подписать документ в Контур.Крипто можно сертификатом, выпущенным любым удостоверяющим центром.

3. Создать файл подписи. После того как вы нажмете кнопку «Подписать», сервис создаст папку с исходным документом и подпись с таким же именем и разрешением.sig. Папка сохранит файл и подпись для него на сервере. Эти документы можно скачать на компьютер пользователя.

4. Послать документ получателю. Можно отправить файл и подпись для него прямо из сервиса. Адресат получит ссылку на документ, сохраненный в Контур.Крипто. Также можно скачать пакет документов на компьютер (исходный документ, файл подписи, сертификат и инструкцию по проверке подписи) и отправить через любой почтовик.

Что учесть при использовании Контур.Крипто:

• В сервисе действует ограничение на вес документа: можно подписать документ до 100 Мб.
• В сервисе можно создать только отсоединенную подпись.
• Контур.Крипто работает только в операционной системе Microsoft Windows.
• Проверить подпись, созданную в Контур.Крипто, можно в любой программе, которая работает с отсоединенными электронными подписями.

Подписать документ в Контур.Крипто

Сравнение программ для создания электронной подписи

	Плагины КриптоПро	Отдельная программа КриптоАРМ	Веб-сервис Контур.Крипто
Стоимость	Платные	Бесплатна только базовая версия Старт	Все функции доступны бесплатно
Форматы документов	Word и Excel, PDF	Все	Все
Соподпись/ пакетная подпись	Есть	Есть	Есть
Максимальный вес файла	Без ограничений	Без ограничений	до 100 Мб
Создание усовершенство ванной подпись	Есть	Только в платных версиях	Есть
Присоединенная/ отсоединенная	Есть	Присоединенная/ отсоединенная	Только отсоединенная
Функции проверки, шифрования и расшифрования	Есть	Только в платных версиях	Есть

Получить электронную подпись

Как подписать документ электронной подписью? — Удостоверяющий центр СКБ Контур

Этот вопрос возникает, когда владельцу сертификата электронной подписи нужно подписать документ вне информационных систем, в которых уже встроены механизмы создания и проверки электронной подписи. Рассмотрим варианты, как подписать документ квалифицированной электронной подписью.

Что потребуется для подписания электронного документа?

• Окончательная редакция документа, который необходимо подписать. После создания подписи в него нельзя будет внести изменения.
• Действующий квалифицированный сертификат электронной подписи. В рамках российского законодательства квалифицированная электронная подпись — единственный вид подписи, который придает документу юридическую силу без дополнительных соглашений между сторонами электронного документооборота.
• Средства электронной подписи. Технология электронной подписи подразумевает использование комплекса программных средств, которые владелец подписи устанавливает на свой компьютер. В Удостоверяющем центре СКБ Контур настройка компьютера для работы с электронной подписью проходит автоматически. Ознакомьтесь с информацией о технических требованиях к рабочему месту для работы с электронной подписью 
• Программа для создания электронной подписи  — они будут рассмотрены далее. Это могут быть плагины, отдельные программы или веб-сервисы. 

Получить электронную подпись

Вариант 1. Установить плагин для Office

Для документов формата Word и Excel

Чаще всего требуется подписать документ в формате Word:

• трудовой или хозяйственный договор,
• иск в арбитраж,
• заявление в вуз и т.д.

Штатная функция пакета Microsoft Office «Подписать документ» не позволяет создать подпись, которая придает электронному документу юридическую силу. Чтобы создать такую подпись в Word или Excel, необходимо установить на свой компьютер специальный программный модуль, который добавит такую возможность, — например, КриптоПро Office Signature.

Это платная программа, использовать все возможности бесплатно можно только в тестовый период. После загрузки и установки плагина на компьютере можно подписывать документы по такому алгоритму:

1. В главном меню документа выберите пункт «Сервис» и перейдите в «Параметры». В появившемся окне выберите вкладку «Безопасность» и нажмите кнопку «Цифровые подписи».

2. В этом окне выберите нужный сертификат электронной подписи из тех, что установлены на компьютере.

3. С его помощью создайте для документа электронную подпись: нажмите «Подписать» и введите пароль ключевого контейнера.

Что учесть при использовании плагина:

• Алгоритм подписания отличается в разных версиях Word.
• Если создать подпись в одной версии программы, а проверять ее в другой, результат проверки может быть некорректным.
• Документ, подписанный с помощью КриптоПро Office Signature, можно открыть и проверить даже на компьютере, где эта программа не установлена.

Для документов формата PDF

Для создания и проверки электронной подписи в программах Adobe Acrobat, Adobe Reader и Adobe LiveCycle ES есть отдельный модуль КриптоПро PDF.

КриптоПро PDF прилагается бесплатно при совместном использовании с программой Adobe Reader. В остальных программах также есть тестовый период, по истечении которого нужно приобрести лицензию.

Прежде чем вставить электронную подпись в документе PDF, необходимо установить и настроить Acrobat Reader DC или Adobe Acrobat Pro для работы с программой КриптоПро PDF.

После настройки чтобы поставить подпись, выберете в меню документа пункт «Работа с сертификатами», затем нажмите «Подписание». Программа предложит выбрать нужную подпись, среди установленных и место в документе, где будет располагаться подпись. После этого можно завершить подписание документа.

Вариант 2. Установить отдельную программу для создания подписи

Чтобы подписывать документы любого формата (*rar, *.jpeg и *.png,*.ppt, видео, базы данных и т.д.), можно установить на компьютер специальную программу — например, КриптоАРМ.

У программы есть несколько версий, которые отличаются функциональностью. Базовой версией КриптоАРМ Старт с минимумом возможностей можно пользоваться бесплатно. У всех платных версий есть тестовый период, в течение которого будут доступны все возможности. Когда это время истечет, потребуется приобрести лицензию, чтобы продолжить пользоваться этой версией.

Подписать документ можно из главного окна программы или из контекстного меню файла. Алгоритм подписания отличается в зависимости от этих вариантов, но в любом случае выбирайте пункт «Подписать» и следуйте инструкциям. Программа предложит вам выбрать:

• Количество файлов, которые нужно подписать: можно подписать несколько файлов или папку с документами.
• Формат подписи: присоединенная или отсоединенная. В первом случае подпись будет встроена в файл, а во втором будет создана в отдельном файле с расширением *.sig.
• Сертификат, которым нужно подписать документ.

Что учесть при использовании программы:

• В бесплатной версии можно поставить только базовую КЭП (без проверки времени подписания документа и статуса сертификата). Но проверить можно и усовершенствованную подпись (со статусом сертификата и временем подписания документа).

Вариант 3. Воспользоваться веб-сервисами

Можно подписать документ любого формата, не устанавливая на компьютер специальных программ, — например, в веб-сервисе Контур.Крипто.

Это бесплатная программа, которая позволяет создать и проверить электронную подпись, зашифровать и расшифровать электронный файл. Можно подписать не только отдельный файл, но и пакет файлов или архивов. Можно создать подпись документа двумя и более лицами.

Работать в программе можно после регистрации и автоматической установки на компьютер программного обеспечения для криптографических операций. У программы интуитивно понятный интерфейс. Чтобы подписать электронный документ, необходимо:

1. Загрузить в сервис документ, который необходимо подписать. Подписать можно файл любого формата до 100 Мб.

2. Выбрать установленный на компьютере сертификат, которым будет подписан документ. Подписать документ в Контур.Крипто можно сертификатом, выпущенным любым удостоверяющим центром.

3. Создать файл подписи. После того как вы нажмете кнопку «Подписать», сервис создаст папку с исходным документом и подпись с таким же именем и разрешением.sig. Папка сохранит файл и подпись для него на сервере. Эти документы можно скачать на компьютер пользователя.

4. Послать документ получателю. Можно отправить файл и подпись для него прямо из сервиса. Адресат получит ссылку на документ, сохраненный в Контур.Крипто. Также можно скачать пакет документов на компьютер (исходный документ, файл подписи, сертификат и инструкцию по проверке подписи) и отправить через любой почтовик.

Что учесть при использовании Контур.Крипто:

• В сервисе действует ограничение на вес документа: можно подписать документ до 100 Мб.
• В сервисе можно создать только отсоединенную подпись.
• Контур. Крипто работает только в операционной системе Microsoft Windows.
• Проверить подпись, созданную в Контур.Крипто, можно в любой программе, которая работает с отсоединенными электронными подписями.

Подписать документ в Контур.Крипто

Сравнение программ для создания электронной подписи

	Плагины КриптоПро	Отдельная программа КриптоАРМ	Веб-сервис Контур.Крипто
Стоимость	Платные	Бесплатна только базовая версия Старт	Все функции доступны бесплатно
Форматы документов	Word и Excel, PDF	Все	Все
Соподпись/ пакетная подпись	Есть	Есть	Есть
Максимальный вес файла	Без ограничений	Без ограничений	до 100 Мб
Создание усовершенство ванной подпись	Есть	Только в платных версиях	Есть
Присоединенная/ отсоединенная	Есть	Присоединенная/ отсоединенная	Только отсоединенная
Функции проверки, шифрования и расшифрования	Есть	Только в платных версиях	Есть

Получить электронную подпись

Электронная подпись, FAQ / Блог компании ФрешДок / Хабр

Электронная подпись: страшно удобно или удобно, но страшно?

Надоело подписывать документы в бумажном виде? Вроде уже давно электронная подпись введена, а все равно страшно. С бумагой как-то надежнее. Или нет?

Это информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связывается с такой информацией и используется для определения лица, подписывающего информацию (это формула Закона об электронной подписи – ст. 2).
Что можно резюмировать из вышесказанного? Правильно! То, что законы у нас пишут без заботы о пользователе. Давайте попробуем упростить для понимания.
Электронная подпись — это информация к электронному документу, позволяющая определить, кто его подписал.
Ничем. Вы готовите договор как обычно. Только в сам договор вы должны включить условия об использовании электронной подписи или заключить отдельное Соглашение (см. дальше).
Подпись может быть не только собственноручной, поставленной рукой на бумаге. Подписью может быть любой аналог собственноручной подписи, включая электронную подпись.
Электронная подпись бывает двух видов: простая и усиленная. Усиленная может быть квалифицированной и неквалифицированной. Мы их оставим, нас интересует та, что попроще.
Простой электронной подписью является подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
Да, может. Нужно предусмотреть в Соглашении об использовании электронных подписей, заключаемом между участниками электронного взаимодействия, что все электронные письма, исходящие с указанных в Соглашении электронных адресов сторон, считаются подписанными простой электронной подписью – электронным адресом (e-mail).
Пароль и логин от аккаунта в интернет-сервисе.
Это уникальная последовательность символов, предназначенная для создания электронной подписи. В переводе на русский – это пароль к почте или аккаунту интернет-сервиса.
Электронный документ считается подписанным простой электронной подписью при выполнении одного из следующих условий:
— либо (1) простая электронная подпись содержится в самом электронном документе;
— либо (2) ключ простой электронной подписи применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.
Стороны должны согласовать возможность подписания договора электронной подписью и оговорить, что аналогом собственноручной подписи будет электронная подпись:

• в договоре должно быть указано, что электронный документ сопровождается электронной подписью;
• Соглашение об использовании электронных подписей (далее – Соглашение) можно включить в договор или сделать его отдельным соглашением о применении электронных подписей;
• в Соглашении нужно предусмотреть правила определения лица, подписывающего документ, чтобы можно было точно сопоставить электронную подпись и конкретное лицо – сторону договора;
• в Соглашении нужно предусмотреть обязанность сторон сохранять конфиденциальность своей электронной подписи (хранить пароль, не передавать третьим лицам и т.д.), а в случае утери пароля или доступа к электронному адресу почты немедленно сообщить другой стороне. До получения такого сообщения все исходящие от утратившей доступ к почте стороны будут считаться по-прежнему ее электронной подписью.

Нет, юридическая сила одинаковая. Электронная подпись – это один из аналогов собственноручной подписи и, при должном оформлении, разницы в юридической силе документов нет.
Закон однозначно запрещает подписывать простой электронной подписью электронные документы, содержащие государственную тайну.
К сожалению, нет. Если печать требуется в соответствии с законом или обычаем делового оборота, то печать и собственноручную подпись может заменить только усиленная электронная подпись.
Да, можно.
Да, можно. Электронные подписи, созданные в соответствии с иностранным правом и международными стандартами, признаются в России (ст. 7 Закона об электронной подписи).
Нет, это один из видов письменной формы договора в соответствии с пунктом 2 статьи 434 ГК РФ, а не самостоятельная форма договора.

Пример формулировки

Стороны договорились об использовании для подписания настоящего договора электронной подписи. Договор заключается в письменной форме путем обмена электронными документами, передаваемыми по каналам связи, позволяющими достоверно установить, что документ исходит от стороны по договору.
Стороны признают юридическую силу за электронными документами — письмами, направленными сторонами друг другу с адресов электронной почты, указанных в настоящем Договоре. Доступ к электронной почте Сторон защищен паролями и Стороны обязуются сохранять их конфиденциальность.

В реквизитах договора указываем адреса электронной почты и сторону договора, которая использует этот адрес в качестве электронной подписи. Судебная практика и специалисты считают более достоверными корпоративные адреса с указанием фирменных наименований контрагентов. На самом деле можно пользоваться и общедоступными бесплатными почтовыми сервисами, но с корпоративного адреса заключение договора выглядит действительно более логичным.

Это не обязательно, но для собственной уверенности и особенно уверенности вашего бухгалтера можно распечатать документ и обменяться подписанными сканами.
Это пока скорее юридическая экзотика, но если соблюдены все вышеописанные условия, то да. Проблема может возникнуть с доказательствами, так как некоторые мессенджеры не хранят переписку пользователей на своих серверах. Это значит, что доказательства будут сохраняться только на устройствах каждой из сторон. А значит, будет повод усомниться в достоверности данных сообщений. В таких случаях можно прибегнуть к дублированию сообщений по электронной почте.
Требования налоговых и иных контролирующих органов о подписании документов на бумаге и обязательности собственноручных подписей не основаны на законе. Более того, они противоречат закону, а именно принципу использования электронной подписи (ст. 4 Закона об электронной подписи).

Закон предусматривает различные варианты заключения договоров в письменной форме. Один из них – обмен электронными документами, в том числе по электронной почте (ссылки на закон берем выше и направляем бухгалтеру и налоговой).

В ряде случаев для отчетности достаточно копии договора. Если вы будете включать копии подписи и печати в электронные документы, то налоговая может даже не понять, что договор заключен путем обмена электронными документами и у нее не будет соответствующих претензий.

Поскольку достоверность электронной почты каждой из сторон все-таки при определенных условиях можно поставить под сомнение, не лучше ли будет размещать договор на ресурсе третьего независимого от сторон лица? А договор подписывать электронной подписью не в виде e-mail, а логином и паролем для входа в аккаунт пользователя интернет-сервиса. Такой вид электронной подписи прямо предусмотрен ФЗ «Об электронной подписи» (п.2 ст. 5 Закона об электронной подписи).
Такие решения уже есть, например, на сайте fl.ru и в сервисе «Контракты» Арбитража WebMoney. Сервис дает возможность пользователям WebMoney загрузить их договор на сервер и подписать его aнaлoгом собственноручной подписи.
Это тоже способ заключения договора в электронном виде. Для действительности таких соглашений юристы уже выработали ряд рекомендаций.

• Пользователю должна быть обеспечена возможность предварительного ознакомления с условиями такого договора до того момента, как договор будет считаться заключенным
• При этом желательно, чтобы кнопка «Согласен» находилась в конце текста соглашения и могла быть активирована только при условии скроллинга всего текста с начала и до конца
• Усилить выражение согласия лица с условиями соглашения добавлением фразы «С условиями Соглашения ознакомился и согласен»
• Пользователь должен иметь возможность отказаться от принятия условий Соглашения и, соответственно, от совершения сделки. Сделать кнопку «Отказаться» или «Отказаться от заключения Соглашения и использования Сервиса»
• Принятие условий соглашения должно быть с технической точки зрения необходимым условием доступа к Сервису. Без выражения пользователем согласия с условиями Соглашения невозможны дальнейшая регистрация и использование Сервиса
• Крайне важно обеспечить возможность распечатать и/или сохранить текст Соглашения на диск пользователя либо отправить на электронную почту пользователя. Данные соглашения не действуют на территории России, но мы рекомендуем их учитывать, поскольку (1) Сервис действует в сети Интернет и (2) российское законодательство и правоприменительная практика в целом развивается с некоторым запозданием аналогично практике Европейского союза и США
• Включать ссылки на Соглашение и его основные условия в электронные письма, отсылаемые пользователю при регистрации, а также в иные сообщения от Сервиса. При внесении изменений в условия Соглашения делать рассылку всем пользователям.
• Когда за пользование Сервисом будет взиматься плата, кнопка «Согласен» должна быть переделана в «Согласен с обязательством оплаты»

(с) Кирилл Митягин

Как работает электронная подпись

Одно из полез­ных при­ме­не­ний асим­мет­рич­но­го шиф­ро­ва­ния — рабо­та с элек­трон­ной под­пи­сью. Рас­ска­зы­ва­ем, как устро­е­на ЭП изнут­ри и где она применяется.

Что такое электронная подпись

Элек­трон­ная под­пись — это тех­но­ло­гия, кото­рая помо­га­ет под­твер­дить под­лин­ность элек­трон­но­го доку­мен­та: дого­во­ра, справ­ки, выпис­ки или чего-то ещё. 

Если упро­щён­но, рабо­та­ет так: 

👉 Есть некий доку­мент, под­пи­сан­ный ЭП

👉 С помо­щью спе­ци­аль­ной про­грам­мы мож­но про­ве­рить под­лин­ность этой под­пи­си и документа

✅ Если про­грам­ма гово­рит, что всё окей, то мы можем быть уве­ре­ны: доку­мент под­пи­сал имен­но тот, кто в нём ука­зан; и с момен­та под­пи­са­ния в доку­мен­те ниче­го не изменилось. 

❌ Или про­грам­ма может ска­зать, что под­пись не сов­па­ла. Это зна­чит, что либо доку­мент под­пи­сал дру­гой чело­век, либо после под­пи­са­ния кто-то изме­нил этот доку­мент (напри­мер, допи­сал ноль в сто­и­мость кон­трак­та). Так мы пой­мём, что это­му доку­мен­ту нель­зя доверять. 

С тех­ни­че­ской точ­ки зре­ния ЭП — неболь­шой фай­лик, кото­рый при­ла­га­ет­ся к иско­мо­му доку­мен­ту. Фай­лик пере­сы­ла­ет­ся вме­сте с основ­ным доку­мен­том, его мож­но пере­да­вать по откры­тым кана­лам свя­зи, в нём нет ниче­го секретного. 

Элек­трон­ная под­пись нуж­на, что­бы защи­щать дого­во­ры, выда­вать офи­ци­аль­ные справ­ки, заклю­чать сдел­ки и участ­во­вать в тор­гах по госзакупкам. 

Основа ЭП — асимметричное шифрование

Мы уже писа­ли об асим­мет­рич­ном шиф­ро­ва­нии. Вот основ­ные мысли: 

• В сим­мет­рич­ном алго­рит­ме зашиф­ро­вать и рас­шиф­ро­вать сооб­ще­ние мож­но толь­ко одним и тем же клю­чом. Это полез­но для пере­да­чи сек­рет­ных сооб­ще­ний, когда две сто­ро­ны дове­ря­ют друг дру­гу и могут зара­нее обме­нять­ся ключом. 
• При асим­мет­рич­ном сооб­ще­ние шиф­ру­ет­ся одним клю­чом, а рас­шиф­ро­вы­ва­ет­ся дру­гим. В раз­ных ком­би­на­ци­ях этот алго­ритм помо­га­ет шиф­ро­вать сооб­ще­ния, когда сто­ро­ны друг дру­гу не дове­ря­ют или не могут обме­нять­ся клю­ча­ми зара­нее. В част­но­сти, это полез­но для под­твер­жде­ния под­лин­но­сти документов. 

Как работает: сертификаты

Элек­трон­ная под­пись состо­ит из двух прин­ци­пи­аль­ных частей:

1. Сер­ти­фи­кат для удо­сто­ве­ре­ния подписывающего.
2. Крип­то­гра­фи­че­ская часть для про­вер­ки под­лин­но­сти документа.

Гру­бо гово­ря, ЭП долж­на гаран­ти­ро­вать, что доку­мент под­пи­са­ли имен­но вы и что вы под­пи­са­ли имен­но этот документ. 

В сер­ти­фи­ка­те хра­нят­ся дан­ные о вла­дель­це подписи:

• кто вла­де­лец этой подписи;
• откры­тый ключ для про­вер­ки подписи;
• когда закан­чи­ва­ет­ся срок дей­ствия подписи;
• како­го уров­ня доку­мен­ты мож­но под­пи­сы­вать этой подписью;
• кто выдал сертификат;
• и дру­гие слу­жеб­ные данные.

Но смысл сер­ти­фи­ка­та не в том, что там хра­нят­ся эти дан­ные, а в том, кто эти дан­ные туда поло­жил. В Рос­сии сер­ти­фи­ка­ты и ЭП выда­ют спе­ци­аль­ные удо­сто­ве­ря­ю­щие цен­тры — это ком­па­нии, кото­рые гаран­ти­ру­ют, что сер­ти­фи­кат выда­ёт­ся имен­но тому, кто в этом сер­ти­фи­ка­те указан.

Что­бы полу­чить сер­ти­фи­кат, вы при­хо­ди­те лич­но в эту ком­па­нию (удо­сто­ве­ря­ю­щий центр), пока­зы­ва­е­те доку­мен­ты, фото­гра­фи­ру­е­тесь. Вас зано­сят в базу удо­сто­ве­ря­ю­ще­го цен­тра и выда­ют клю­чи элек­трон­ной под­пи­си. Так все участ­ни­ки элек­трон­но­го доку­мен­то­обо­ро­та будут уве­ре­ны, что все доку­мен­ты, под­пи­сан­ные ваши­ми клю­ча­ми, под­пи­са­ны имен­но вами.

Как работает: алгоритмы шифрования

Допу­стим, вы уже схо­ди­ли в удо­сто­ве­ря­ю­щий центр и полу­чи­ли на флеш­ке сер­ти­фи­кат и ключ элек­трон­ной под­пи­си. Теперь нуж­но ска­чать спе­ци­аль­ный софт, кото­рый и будет под­пи­сы­вать ваши доку­мен­ты и про­ве­рять чужие на подлинность.

Про­бле­ма в том, что ЭП осно­ва­на на алго­рит­мах асим­мет­рич­но­го шиф­ро­ва­ния, а их мно­го: раз­ло­же­ние на про­стые мно­жи­те­ли, дис­крет­ное лога­риф­ми­ро­ва­ние, эллип­ти­че­ские кри­вые и мно­же­ство дру­гих. Ключ из одно­го алго­рит­ма не подой­дёт для исполь­зо­ва­ния в дру­гом, поэто­му в Рос­сии дого­во­ри­лись исполь­зо­вать стан­дарт шиф­ро­ва­ния ГОСТ Р 34.10-2012, осно­ван­ный на эллип­ти­че­ских кри­вых. Все госу­дар­ствен­ные орга­ны рабо­та­ют толь­ко с таким алго­рит­мом и не при­ни­ма­ют дру­гие ЭП.

Это зна­чит, что нам нужен спе­ци­аль­ный софт, в кото­ром уже есть этот алго­ритм. Чаще все­го исполь­зу­ют Крип­то­П­РО, реже — ViPNet CSP. С помо­щью этих про­грамм мож­но под­пи­сать доку­мен­ты и про­ве­рить сер­ти­фи­ка­ты на подлинность.

Принцип работы электронной подписи

Элек­трон­ная под­пись — это асим­мет­рич­ное шиф­ро­ва­ние наобо­рот: вы зашиф­ро­вы­ва­е­те закры­тым клю­чом, а рас­шиф­ро­вать может кто угод­но с помо­щью откры­то­го клю­ча, кото­рый досту­пен всем. 

👉 Если откры­тый ключ под­хо­дит к сооб­ще­нию и рас­шиф­ро­вы­ва­ет его, зна­чит, оно было зашиф­ро­ва­но имен­но этим закры­тым клю­чом — то есть имен­но вами. 

Раз­бе­рём по шагам:

1. В удо­сто­ве­ря­ю­щем цен­тре вы полу­ча­е­те сер­ти­фи­кат и ключ элек­трон­ной под­пи­си. Это закры­тый ключ, кото­рый пере­да­вать нико­му нель­зя. Откры­тый же ключ хра­нит­ся в самом сер­ти­фи­ка­те, кото­рый при­кла­ды­ва­ет­ся к каж­до­му доку­мен­ту и досту­пен всем.
2. Берё­те нуж­ный доку­мент и полу­ча­е­те его крип­то­гра­фи­че­ский хеш. Хеш — это неболь­шая стро­ка, кото­рая пред­став­ля­ет собой «циф­ро­вой отпе­ча­ток» фай­ла. У каж­до­го фай­ла с уни­каль­ным набо­ром битов будет уни­каль­ный хеш, при­чём он все­гда оди­на­ко­вой дли­ны. Подроб­нее о хешах мы писа­ли, когда раз­би­ра­ли скан­дал с паро­ля­ми Фейсбука.
3. Шиф­ру­е­те этот хеш сво­им закры­тым клю­чом. Полу­чен­ный резуль­тат шиф­ро­ва­ния добав­ля­е­те к исход­но­му документу.
4. Туда же добав­ля­е­те сер­ти­фи­кат, что­бы все мог­ли про­ве­рить и убе­дить­ся, что доку­мент под­пи­са­ли вы.

А что если подменят сам сертификат?

Все сер­ти­фи­ка­ты, кото­рые выда­ёт удо­сто­ве­ря­ю­щий центр, тоже под­пи­сы­ва­ют­ся элек­трон­ной под­пи­сью. Что­бы про­ве­рить под­лин­ность сер­ти­фи­ка­та, мож­но зай­ти на офи­ци­аль­ный сайт удо­сто­ве­ря­ю­ще­го цен­тра и ска­чать откры­тый ключ для про­вер­ки. Если хеш само­го сер­ти­фи­ка­та сов­па­да­ет с хешем, кото­рый мы полу­чи­ли с помо­щью откры­то­го клю­ча с сай­та — зна­чит, и сам сер­ти­фи­кат подлинный.

Как выглядит электронная цифровая подпись на документе

Как выглядит электронная подпись и как идентифицировать подлинность документа? Что такое ЭЦП, кем и для каких целей она используется? Ответы на эти вопросы узнайте в нашей статье.

Что такое ЭЦП и кто может ее использовать

С развитием новых технологий электронно-цифровая подпись (ЭЦП) находит все более широкое применение. ЭЦП — электронный аналог личной подписи ответственного лица (а в некоторых случаях и печати организации).

ЭЦП позволяет защитить электронный документ от подделки и придает ему юридическую силу. Документ, заверенный ЭЦП, приравнивается к бумажному варианту, подписанному собственноручно.

ЭЦП бывает двух видов: простая и усиленная. Усиленная, в свою очередь, подразделяется на квалифицированную и неквалифицированную.

Простая ЭЦП — подпись, которая включает в себя определенную последовательность кодов или паролей и подтверждает факт подписания электронного документа определенным лицом.

Усиленная неквалифицированная ЭЦП (НЭП) — подпись, полученная в результате криптографического преобразования информации, которая позволяет выявить:

• ответственное лицо, подписавшее документ;
• факт изменения документа после его подписания.

Усиленная квалифицированная ЭЦП (КЭП) — подпись, которая обладает всеми свойствами неквалифицированной ЭЦП, но при этом имеет сертификат проверки ключа ЭЦП.

Простая и усиленная НЭП соответствуют автографу подписывающего лица на бумажном носителе, а усиленная КЭП — подписи ответственного лица и печати фирмы-заверителя электронного документа (пп. 2, 3 ст. 6 закона 63-ФЗ «Об электронной цифровой подписи»).

Подробнее о простой и усиленной ЭЦП узнайте в материалах:

ЭЦП можно получить в удостоверяющем центре (УЦ), аккредитованном Минкомсвязью РФ. Выдаваемый центром комплект включает:

1. Сертификат ключа проверки ЭЦП — как правило, выдается на USB-носителе.
2. Дистрибутив софта «КриптоПро» с активированной лицензией для использования в течение срока действия ключа проверки ЭЦП.

Ключ проверки ЭЦП действует в течение 12 месяцев, после чего подлежит замене.

ЭЦП могут использовать юридические лица, подписывая электронную информацию внутри фирмы или обмениваясь электронными документами с внешними контрагентами, а также с контролирующими ведомствами. Зачастую ЭЦП используют и физлица, заверяя документы в формате MS Office или отправляя заявки на получение госуслуг. Физлица также могут получить ЭЦП для обмена электронными документами с ИФНС. Для этого достаточно скачать сертификат ключа проверки в личном кабинете налогоплательщика. Данная возможность недоступна ИП, частным нотариусам и адвокатам.

С 01.07.2020 вводится метка времени, которая представляет собой информацию о дате и времени подпиания электронного документа. Эту метку будет создавать/проверять удостоверяющий центр. Подробнее об ЭЦП читайте в путеводителе КонсультантПлюс. Зарегистрируйтесь и получите пробный доступ совершенно бесплатно.

Как выглядит ЭЦП на документе

Как выглядит электронная подпись на документе — таким вопросом задаются многие пользователи, желающие проверить ту или иную форму на подлинность.

При распечатке электронного документа, заверенного ЭЦП, электронная подпись на бумажном носителе не обнаруживается, поскольку фактически ЭЦП — действие по криптографическому шифрованию информации, которое позволяет однозначно идентифицировать подписанта.

На электронном документе ЭЦП может выглядеть по-разному, поскольку для каждого вида информации предусмотрен свой способ защиты. Это может быть:

1. Набор цифр и букв, который обычному пользователю может показаться случайным. Однако на самом деле такой код обозначает ключ, указанный в проверочном сертификате.
2. Графическая картинка. В электронном виде выглядит как обычный штамп, содержащий подпись ответственного лица и печать предприятия. Подписывающее лицо также может создать стикер с сообщением или заданием получателю, который выводится на экран. Таким функционалом обладает относительно недорогой софт «КАРМА», разработанный российскими программистами.
3. Невидимая ЭЦП, которая считается самым надежным способом защиты подписываемой информации. Незнающий человек попросту не сможет выявить ее наличие, а значит, и подделать ее будет крайне затруднительно. Как правило, такой способ защиты используется в документах, создаваемых в продуктах MS Office. В данном случае строка подписи визуально не определяется, а ЭЦП генерируется как метаданные. Узнать о том, что документ заверен ЭЦП, можно по специальному значку, который появляется в окне «Состояние» в нижней части монитора. При этом заверенный документ не подлежит редактированию.

Пример того, как выглядит ЭЦП на справке 2-НДФЛ, сформированной в личном кабинете налогоплательщика:

Подробности смотрите в материале «2-НДФЛ можно скачать в личном кабинете на сайте ФНС».

Итоги

Выходя за рамки стандартного делопроизводства, электронная подпись все больше внедряется в жизнь обычных интернет-пользователей, позволяя своим владельцам сэкономить массу времени. Физлицам предоставлена возможность скачать сертификат проверки подписи в личном кабинете налогоплательщика, а также добавить ее в электронную систему своего электронного паспорта. Юрлица могут получить ЭЦП в удостоверяющем центре.

Вопрос, как выглядит электронная цифровая подпись на документе, не имеет однозначного ответа, поскольку для каждого вида подписи и подписываемого файла предусмотрен свой уникальный метод защиты информации. ЭЦП может быть невидимой, состоять из кодового набора букв и цифр, обозначающих ключ проверки сертификата, или же выглядеть в электронном виде как штамп с подписью и печатью. 

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Полный и бесплатный доступ к системе на 2 дня.

Как подписать документы электронной подписью и можно ли это делать?

В наш век компьютерных технологий для заверения документов стала применяться, так называемая электронная цифровая подпись или сокращенно ЭЦП. Однако в этом вопросе у многих нет четкого понимания того, зачем это нужно, ведь большинство привыкло работать по старинке, подписывая документы вручную. О том, как подписать документы электронной подписью, далее и пойдет речь.

ЭЦП представляет собой некий объект в электронном виде, по которому сразу же можно определить лицо, его сформировавшее, установить авторство, проверить аутентичность документа и т. д.

Естественно, визуально ЭЦП может выглядеть как обычная подпись в виде графического объекта, вставленного в документ. На самом деле здесь работают алгоритмы асимметричного шифрования и криптографии. Сама же ЭЦП использует закрытый ключ и сертификат ключа, что и позволяет определить доверенное лицо и принадлежность подписи именно ему, целостность документа и подтверждение факта его подписания.

Почему следует подписывать документы ЭЦП

Многие несколько недоумевают по поводу того, нужно ли и можно ли подписывать документы электронной подписью. На такой вопрос можно дать только утвердительный ответ. Для упрощенного понимания рассмотрим один пример.

Предположим, компания в лице генерального директора должна оформить двусторонний контракт. Понятно, что визировать его придется в любом случае, поскольку без этого он не будет иметь юридической силы. Но пересылка готового договора, скажем, по факсу оказывается невозможной. При отправке по электронной почте графический формат отсканированного документа не приветствуется, ведь подпись можно подделать. Таким образом, приходится отправлять тот же самый файл Word, а вот такой документ и должен быть подписан. Но как подписать документ «Ворд» электронной подписью? В общем-то, в этом нет ничего особо сложного. Далее будет рассмотрено несколько простых методов создания ЭЦП. А пока остановимся на правовых вопросах.

Нужно ли подписывать документы с электронной подписью вручную?

Многие офисные работники и руководители считают, что визировать документы, в которых имеется ЭЦП, дополнительно (вручную) нужно (так сказать, на всякий случай). Явное заблуждение. Это совершенно необязательно.

Дело в том, что при создании цифровой подписи и сертификата оформляется специальный договор с удостоверяющим центром и заверяется нотариусом, а на стадии формирования сертификата выдается закрытый ключ. С юридической точки зрения, это и есть подтверждение владельца ЭЦП. Таким образом, вывод напрашивается сам собой: вторичное визирование не нужно.

Алгоритм работы с ЭЦП

Выясним, как подписать документ электронной цифровой подписью, и посмотрим на то, как все это работает.

В основу таких процессов положено создание криптограммы, которая хэширует заверяемый файл, определяя данные владельца, авторство и целостность данных. Созданный хэш на следующем этапе шифруется при помощи закрытого ключа, после чего происходит формирование либо целого документа с ЭЦП, либо отдельного файла подписи, привязанного к документу.

Получатель для расшифровки, аутентификации (подлинности) и проверки целостности документа использует открытый ключ. Конечно же, в общих чертах большинство алгоритмов очень похожи между собой. Разница может проявиться только в зависимости от типа используемого программного обеспечения.

Как подписать документ Word электронной подписью средствами редактора?

Многие пользователи даже не догадываются о том, что ЭЦП можно совершенно просто создать даже в офисном редакторе Word. Как подписать «вордовский» документ электронной подписью? Проще простого. Действия в разных версиях редактора несколько различаются, но в целом суть одна и та же. Рассмотрим создание подписи на примере Word 2007.

Итак, как подписать документы электронной подписью, используя только Word? Для этого после установки курсора в место, где предполагается поставить подпись, используется меню вставки, в котором выбирается пункт текста. Затем следует найти пункт строки подписи и в выпадающем списке установить строку подписи MS Office.

В диалоговом окне настройки нужно указать данные лица, подписывающего документ, затем выбрать скан оригинальной подписи, после чего ввести собственное имя в поле рядом со значком «x». После этого будет отображена печатная версия подписи.

На планшете с рукописным вводом подпись можно поставить собственноручно. Если требуется подписать документ от имени нескольких лиц, нужно будет настроить поля подписей для каждого лица.

Можно поступить и проще, выбрав в меню кнопки «Офиса» строку «Подготовить», далее указать добавление подписи, затем использовать цель подписания документа, после этого сделать выбор подписи, и, наконец, — пункт «Подписать». Подписание будет подтверждено появившимся красным значком на панели и надписью, гласящей, что документ содержит ЭЦП.

Самые популярные инструменты для создания ЭЦП

Теперь посмотрим, каково может быть решение проблемы того, как подписать документ квалифицированной электронной подписью. Для этого желательно использовать стороннее программное обеспечение.

Из русскоязычного ПО самыми популярными и наиболее распространенными являются следующие программные пакеты:

• «КриптоАРМ»;
• «Крипто ПРО»;
• «КриптоТри».

Первая программа выглядит самой простой, поэтому далее будет рассмотрено, как подписать документы электронной подписью, именно с ее помощью.

Создание ЭЦП на примере приложения «КриптоАРМ»

Для создания цифровой подписи при помощи этого приложения есть два метода: использование контекстного меню и выполнение действий через главный интерфейс программы. Для более простого понимания процесса остановимся на первом варианте, тем более что второй практически идентичен, только основное действие вызывается непосредственно из программы. Предположим, необходимо установить цифровую подпись на документ Word.

Сначала в «Проводнике» необходимо выбрать интересующий нас документ и в меню ПКМ выбрать строку «Подписать». После этого появится окно «Мастера», который поможет выполнить все дальнейшие действия. Нажимаем кнопку продолжения и проверяем, тот ли файл выбран. При необходимости можно добавить еще несколько объектов, чтобы осуществить их одновременное подписание.

Снова нажимаем кнопку «Далее» и в следующем окне выбираем метод кодировки. В принципе, можно ничего не менять и оставить настройки, предложенные по умолчанию. На следующем этапе можно ввести дополнительные данные (штамп времени, визу и т. д.). Попутно можно установить флажок в поле сохранения подписи в виде отдельного объекта (при последующей проверке подписи в документе потребуются оба файла). Если галочку не ставить, файл подписи будет объединен с документом.

После продолжения потребуется выбрать сертификат, который был выдан соответствующим удостоверяющим центром (он может находиться на внешнем носителе eToken или прописан в системном реестре). После этого остальные параметры можно не менять. По окончании всех действий останется только нажать кнопку «Готово».

Примечание: если для подписи выбрался отдельный файл, как правило, он будет располагаться в той же директории, что и исходный подписываемый документ, и иметь расширение SIG.

Особенности подписи документов PDF, HTML и XML

Наконец, несколько слов о других форматах. В принципе, для PDF-документов действия будут теми же, однако в силу специфики других программ от компании Adobe целесообразно отделять файл подписи от основного документа.

Возможна ситуация, когда получатель документа сначала захочет ознакомиться с его содержимым, используя для этого тот же Acrobat (Reader), а только потом станет проверять подпись. Кстати, некоторые приложения от Adobe тоже позволяют подписывать файлы собственными штатными средствами.

Если встраивать подпись в документы формата HTML при работе с тонкими клиентами, в браузере потребуется нажать «Подписать и отправить», после чего будет активирован скрипт разработчика, формирующий строковую переменную с данными по верификации документа, которая будет введена в специальное hidden-поле, подписана и передана на сервер POST-методом. Затем последует проверка документа и подписи, после чего на сервере сформируется таблица с полями самого подписанного документа и его ЭЦП.

Файлы XML можно подписать как обычные документы, использовать средство «Офиса» InfoPath или создать специальный атрибут тэга в самом документе.

Краткие итоги

Вот кратко и все о том, как подписать документы электронной подписью. Конечно, здесь были приведены далеко не все методы, которые позволяют произвести такие операции, и рассмотрены не все программы для создания ЭЦП. Однако даже по такому краткому описанию уже можно понять, для чего нужна электронная подпись, и как в основе своей работают все необходимые алгоритмы.

Если посмотреть не некоторые типы программного обеспечения, в частности, офисные программы или наиболее популярные продукты от Adobe, можно использовать и их собственные средства. Однако в плане упрощения работы, по крайней мере, начинающему пользователю лучше использовать сторонние утилиты в виде примера с «КриптоАРМ». Само собой разумеется, что не следует забывать и о юридической стороне вопроса. Некоторые компании создают электронные подписи и сертификаты самостоятельно, но в конечном итоге они не то чтобы оказываются недействительными, но вот юридической силы не имеют.

Электронная подпись и то, что делает ее юридически обязательной

Ключевые преимущества использования электронных подписей.

Это экономит ваше время.

Представьте себе сценарий, в котором вам нужно заключить соглашение с компанией, расположенной в стране на другом конце света. Весь процесс печати, подписания, публикации и т. Д. Займет дни, если не недели. Как только получатель получит документы, он повторит тот же процесс печати документа, его подписания и отправки вам.Этот процесс туда и обратно займет много времени. С другой стороны, вы можете заключить сделку за считанные минуты, используя электронную подпись.

Позволяет подписывать на ходу.

В современном мире нравится «на ходу». Вы должны уметь делать что-то, пока находитесь в пути. От покупок в Интернете до торговли — вы можете делать все это на своих мобильных телефонах уже сегодня. Электронные подписи позволяют делать то же самое, т.е. подписывать документ независимо от того, где вы находитесь.

Это экономит ваши деньги.

Время — деньги, и с помощью электронной подписи вы можете значительно сэкономить. Вдобавок подумайте о том, сколько бумаги вы должны тратить, чтобы заключить длительные соглашения. Неудивительно, что некоторые соглашения могут занимать десятки страниц. Это пустая трата бумаги и природных ресурсов. С помощью электронной подписи вы можете полностью отказаться от бумажных документов.

Подробнее об электронной подписи здесь.

Почему стоит выбрать Oneflow перед другими решениями для электронной подписи.

Oneflow предоставляет решение для электронной подписи контрактов с независимой проверкой.Это означает, что вы можете легко проверить подлинность подписанного контракта, не полагаясь на Oneflow для проверки. Скажем, если мы исчезнем с планеты, ваш документ, подписанный Oneflow, все равно будет доступен для проверки. К сожалению, это не относится к большинству поставщиков, предлагающих сегодня на рынке решения для электронной подписи. Кроме того, для каждого подписанного контракта существует документ проверки, подтверждающий законность подписи.

Однако, по нашему мнению, предоставление поддающейся проверке и квалифицированной электронной подписи — это де-факто действия в качестве надежного поставщика электронной подписи.

Чем Oneflow отличается от традиционных поставщиков электронной подписи.

Что делает Oneflow преимуществом над любым другим решением для электронной подписи на рынке сегодня, так это своей полнотой. Вы можете думать о Oneflow как о еще одном инструменте электронной подписи, но это не так. Когда дело доходит до Oneflow, добавление электронных подписей к вашим документам — это лишь часть более широкой картины. Oneflow автоматизирует все ваши процессы продажи, найма и покупки от А до Я.

Внедрение технологий электронной подписи | Национальный архив

Руководство по ведению документации для агентств, внедряющих технологии электронной подписи

18 октября 2000 г. *

---

1.0 Краткое содержание

Решения агентства относительно надлежащего документирования программных функций, его методологий оценки рисков и методов управления записями являются важными и взаимосвязанными аспектами инициативы электронной подписи. В данном руководстве более подробно рассматриваются следующие ключевые моменты:

• Агентства должны учитывать требования к управлению документами при внедрении Закона об устранении государственного документооборота (GPEA). (См .: Раздел 2.0)
• Если необходимо сохранить запись с электронной подписью, будь то в течение ограниченного периода времени или постоянно, то агентство должно обеспечить ее надежность с течением времени. (См .: Раздел 4.0)
• Существуют различные подходы к обеспечению надежности записей с электронной подписью. (см .: раздел 4.3)
• Информационные системы, которые агентства используют для выполнения требований GPEA к электронной подписи, будут создавать новые записи или дополнять существующие записи. (См .: Раздел 5.1.)
• Агентства определяют, какие записи электронной подписи следует сохранить, исходя из своих операционных потребностей и восприятия риска. (См .: Раздел 5.2)
• Агентства не имеют права распоряжаться записями без утвержденного разрешения на распоряжение записями от Национального управления архивов и документации (NARA). (См .: Раздел 2.0)
• Агентства должны разработать графики записей с предлагаемыми сроками хранения новых записей для проверки NARA. Возможно, потребуется изменить полномочия по удалению записей для существующих записей. (см .: разделы 5.1 и 5.4)
• Записи с электронной подписью, подтверждающие законные права, и записи с электронной подписью, которые должны храниться постоянно, требуют особого внимания. (см .: разделы 5.5 и 5.6)
• Когда агентства используют сторонних подрядчиков, они могут использовать определенный язык контрактов, чтобы обеспечить выполнение требований к управлению записями. (См .: Раздел 5.3)

2.0 Введение

Закон о запрещении правительственного документооборота (GPEA, Pub. L. 105-277) требует, чтобы федеральные агентства, когда это практически возможно, использовали электронные формы, электронную регистрацию и электронные подписи для ведения официальных дел с общественностью к 2003 году.При этом агентства будут создавать записи, имеющие деловую, юридическую и, в некоторых случаях, историческую ценность. В этом руководстве основное внимание уделяется вопросам управления записями, касающимся записей, созданных с использованием технологии электронной подписи. Он дополняет руководство Управления управления и бюджета (OMB) для агентств, реализующих GPEA, а также другие руководства Национального управления архивов и документации (NARA).

Программа управления звуковыми записями является неотъемлемой частью стандартных деловых операций агентства.Агентства должны учитывать требования к управлению записями при внедрении GPEA или всякий раз, когда они проектируют или дополняют электронную информационную систему. Федеральный закон о документации (44 USC 3101) требует от федеральных агентств «создавать и хранить записи, содержащие адекватную и надлежащую документацию об организации, функциях, политике, решениях, процедурах и основных операциях агентства». Это требование распространяется и на электронные записи. Агентства, которые не соблюдают последовательно стандартные методы управления записями, рискуют не иметь записей, на которые можно было бы положиться в ходе последующих деловых операций или действий.

Это руководство предназначено как для специалистов по информационным технологиям (ИТ), которые устанавливают системы электронной подписи и которые могут быть не знакомы с последствиями управления записями, так и для персонала агентства, занимающегося управлением записями. Хорошие ИТ-практики дополняют или параллельны передовым методам управления записями. В системах, реализованных в результате GPEA, требования к управлению записями сформируют ядро ​​требований к ИТ-системе. При внедрении технологий электронной подписи ИТ-специалисты должны осознавать, что подписи являются неотъемлемой частью записи.Если запись необходимо сохранить, будь то в течение ограниченного периода времени или постоянно, то агентство должно обеспечить надежность записи с электронной подписью с течением времени.

Архивариус Соединенных Штатов должен утвердить распоряжение федеральными архивами с помощью утвержденного NARA органа по распоряжению документами или графика контроля архивов, прежде чем агентства смогут их уничтожить. (44 USC 3303a (а)). Новые информационные системы или серии записей, которые не были запланированы (т. Е.не имеют полномочий по удалению записей) должны быть оценены NARA. Персоналу агентства по управлению записями следует связаться с NARA, чтобы начать процесс планирования. Дополнительная информация о планировании записей и руководстве по управлению записями NARA доступна на веб-сайте NARA и в публикациях NARA. См. Приложение B для получения дополнительной информации о программах и услугах NARA по управлению записями.

В этом руководстве обсуждаются принципы управления записями, которые применяются к технологии электронной подписи в целом.Электронные подписи могут выполняться с помощью нескольких различных технологий, таких как персональный идентификационный номер (PIN), цифровые подписи, смарт-карты и биометрия. Если потребуется дополнительное руководство по управлению записями, зависящее от технологии, NARA будет работать с агентствами над его разработкой.

Это руководство не , а не рассматривает вопросы управления записями, связанные с электронными информационными системами, используемыми для создания электронных подписей. Эти вопросы рассматриваются в других руководящих документах NARA.Это руководство также не касается вопросов, связанных с Законом о свободе информации (FOIA) и Законом о конфиденциальности, которые относятся к компетенции Министерства юстиции и Управления управления и бюджета, соответственно.

3.0 Фон

3.1 Записи жизненного цикла в сравнении с жизненным циклом разработки системы

Термины «жизненный цикл записей» и «жизненный цикл разработки системы» — важные понятия, которые иногда путают при обсуждении информационных технологий и управления записями.

Жизненный цикл записей : Жизненный цикл записей — это продолжительность жизни записи от ее создания или получения до ее окончательного удаления. Обычно его описывают в три этапа: создание, обслуживание и использование, а также окончательное удаление. Большая часть этого руководства касается этапа создания, поскольку запись электронной подписи создается на первом этапе жизненного цикла записи. Второй этап, обслуживание и использование, — это часть жизненного цикла записей, в которой запись либо поддерживается в агентстве во время активного использования, либо поддерживается в автономном режиме, когда использование менее частое.Заключительный этап жизненного цикла записи — это размещение, которое описывает окончательную судьбу записи. Федеральные записи классифицируются как имеющие статус «временного» или «постоянного». Временные записи хранятся агентствами в течение определенных периодов времени, прежде чем они будут уничтожены или удалены. Постоянные записи сначала хранятся в агентствах, а затем по закону передаются NARA. Записи с электронной подписью могут быть временными или постоянными. Возможное удаление записей с электронной подписью является предметом переговоров между агентством и NARA, но агентства не имеют права удалять записи без разрешения NARA.

Жизненный цикл разработки системы : «Жизненный цикл разработки системы» описывает фазы разработки электронной информационной системы. Эти этапы обычно включают в себя запуск, определение, проектирование, разработку, развертывание, эксплуатацию, техническое обслуживание, улучшение и вывод из эксплуатации. Важным шагом на нескольких этапах является определение, разработка и уточнение модели данных, которая включает обработку создаваемых или управляемых записей. Информационные системы, разработанные в соответствии с методологиями разработки систем, в том числе те, которые агентства используют для выполнения требований GPEA к электронной подписи, будут создавать новые записи или дополнять существующие записи.

Жизненный цикл записей часто превышает жизненный цикл разработки системы. Когда это происходит, агентству необходимо хранить запись в течение периода времени, превышающего срок службы электронной информационной системы, создавшей электронную подпись. Это создает особые проблемы, такие как поддержание надежности записи при переходе с одной системы на другую.

4.0 Надежные записи

4.1 Характеристики достоверных записей

Надежность, подлинность, целостность и удобство использования — это характеристики, используемые для описания заслуживающих доверия записей с точки зрения управления записями.Агентству необходимо учитывать эти характеристики при планировании внедрения технологии электронной подписи, чтобы соответствовать своим внутренним деловым и юридическим потребностям, а также внешним правилам или требованиям. Степень усилий, затрачиваемых агентством на достижение этих характеристик, зависит от бизнес-потребностей агентства или восприятия риска. (См. Раздел 5.2 для обсуждения оценки риска.) Для транзакций, которые имеют решающее значение для бизнес-потребностей агентства, может потребоваться более высокий уровень уверенности в том, что они надежны, аутентичны, поддерживают целостность и пригодны для использования, чем транзакции менее критической важности.Чтобы узнать, заслуживают ли записи доверия с юридической точки зрения, обратитесь в офис главного юрисконсульта.

Надежность : Надежная запись — это такая запись, содержимому которой можно доверять как полному и точному представлению транзакций, действий или фактов, которые они подтверждают, и на которые можно полагаться в ходе последующих транзакций или действий.

Подлинность : Подлинная запись — это такая запись, которая доказана как то, чем она задумывается, и была создана или отправлена ​​лицом, которое претендует на создание и отправку.

Запись должна создаваться в момент транзакции или инцидента, к которому она относится, или вскоре после этого лицами, которые непосредственно осведомлены о фактах, или инструментах, обычно используемых в бизнесе для проведения транзакции.

Чтобы продемонстрировать подлинность записей, агентства должны внедрить и задокументировать политики и процедуры, которые контролируют создание, передачу, получение и ведение записей, чтобы гарантировать, что создатели записей авторизованы и идентифицированы, а записи защищены от несанкционированного добавления, удаления и изменение.

Целостность : Целостность записи означает ее полноту и неизменность.

Необходимо, чтобы запись была защищена от изменения без соответствующего разрешения. В политике и процедурах управления записями следует указывать, какие добавления или аннотации могут быть внесены в запись после ее создания, если таковые имеются, при каких обстоятельствах могут быть разрешены добавления или аннотации и кто уполномочен делать их. Любые разрешенные примечания или дополнения к записи, сделанные после ее завершения, должны быть явно указаны как примечания или дополнения.

Другой аспект целостности — структурная целостность записи. Структура записи, то есть ее физический и логический формат и отношения между элементами данных, составляющими запись, должны оставаться физически или логически неизменными. Несоблюдение структурной целостности записи может снизить ее надежность и подлинность.

Удобство использования : полезная запись — это запись, которую можно найти, извлечь, представить и интерпретировать. При любом последующем извлечении и использовании запись должна иметь возможность напрямую связываться с бизнес-деятельностью или транзакцией, которая ее породила.Должна быть возможность идентифицировать запись в контексте более широкой деловой деятельности и функций. Следует поддерживать связи между записями, которые документируют последовательность действий. Эти контекстные связи записей должны нести информацию, необходимую для понимания транзакции, которая их создала и использовала.

4.2 Сохранение достоверных записей

Для того, чтобы запись оставалась надежной, аутентичной, сохранялась целостность и могла использоваться до тех пор, пока она необходима, необходимо сохранить ее содержимое, контекст, а иногда и структуру.Надежная запись сохраняет фактическое содержимое самой записи и информацию о записи, которая относится к контексту, в котором она была создана и использована. Конкретная контекстная информация будет варьироваться в зависимости от деловых, юридических и нормативных требований деловой деятельности (например, выдача разрешений на землепользование на федеральных землях). Также может возникнуть необходимость сохранить структуру или расположение его частей. Несохранение структуры записи нарушит ее структурную целостность.Это, в свою очередь, может подорвать надежность и подлинность записи.

При работе с сохранением содержания, контекста и структуры записей, которые дополняются электронными подписями, следует учитывать особые требования:

• Содержимое: электронная подпись или подписи в записи являются частью содержимого. Они указывают, кто подписал запись и одобрил ли этот человек содержание записи. Множественные подписи могут указывать на первоначальное одобрение и последующие согласования.Подписи часто сопровождаются датами и другими идентификаторами, такими как организация или должность. Все это является частью содержания записи и требует сохранения. Отсутствие этой информации серьезно влияет на надежность и подлинность документа.
• Контекст: некоторые технологии электронной подписи полагаются на отдельные идентификаторы, которые не встроены в содержимое записи, пути доверия и другие средства для создания и проверки действительности электронной подписи (см. Раздел 5.1). Эта информация находится за пределами содержимого записи, но, тем не менее, важна для контекста записи, поскольку она обеспечивает дополнительное свидетельство в поддержку надежности и подлинности записи. Отсутствие этих контекстных записей серьезно влияет на способность проверять достоверность подписанного контента.
• Структура: Сохранение структуры записи означает, что ее физический и логический формат и отношения между элементами данных, составляющими запись, остаются физически и логически неизменными.Агентство может определить, что необходимо сохранить структуру электронной подписи. В этом случае необходимо сохранить аппаратное и программное обеспечение, создавшее подпись (например, чипы или алгоритмы шифрования), чтобы можно было повторно подтвердить полную запись в более позднее время по мере необходимости.

4.3 Какие подходы имеются у агентств для обеспечения надежности документов с электронной подписью с течением времени?

Существуют различные подходы, которые агентства могут использовать для обеспечения надежности электронных подписанных записей с течением времени. Агентства выберут подход, который будет для них практичным и будет соответствовать потребностям их бизнеса и оценке рисков. Ниже обсуждаются два различных подхода, которые использовали агентства.

Один подход : Агентство может по своему усмотрению вести соответствующую документацию о действительности записей, такую ​​как записи проверки доверия, собранные во время или почти во время подписания записи. Этот подход требует, чтобы агентства сохраняли контекстную информацию для надлежащего документирования процессов, имевших место на момент электронной подписи записи, а также самой записи с электронной подписью.Дополнительная контекстная информация должна храниться до тех пор, пока сохраняется запись с электронной подписью. Таким образом, агентство сохраняет действительность подписи и отвечает требованиям к документации, сохраняя контекстную информацию, которая документировала действительность электронной подписи на момент подписания записи.

Поддержание адекватной документации о действительности, собранной во время или почти во время подписания записи, может быть предпочтительным для записей, которые хранятся постоянно или долгое время, поскольку они менее зависят от технологии и их гораздо легче поддерживать по мере развития технологий с течением времени.Однако при использовании этого подхода имя подписи может оставаться нечитаемым с течением времени из-за побитового ухудшения записи или в результате технологического устаревания. Агентства должны гарантировать, что для постоянных записей напечатанное имя подписавшего и дата выполнения подписи были включены в любую удобочитаемую форму (например, электронный дисплей или распечатку) электронной записи.

Другой подход : Агентство может сохранить возможность повторной проверки цифровых подписей.Подход к повторной проверке требует, чтобы агентства сохраняли возможность повторной проверки цифровой подписи, а также самой записи с электронной подписью. Информация, необходимая для повторной проверки (т. Е. Открытый ключ, используемый для проверки подписи, сертификат, связанный с этим ключом, и список отзыва сертификатов из центра сертификации, который соответствует времени подписания), должна храниться до тех пор, пока -подписанная запись сохраняется. Как контекстная, так и структурная информация записи должна быть сохранена, как описано в Разделе 4.2.

Этот подход потенциально более обременительный, особенно для записей с цифровой подписью, требующих длительного хранения, из-за проблем, связанных с устареванием оборудования и программного обеспечения. Если агентство выбирает этот подход для постоянных записей, оно должно связаться с NARA, чтобы обсудить, что им нужно сделать для передачи записей в NARA. Как и в первом подходе, агентство должно гарантировать, что напечатанное имя электронной подписи и дата выполнения подписи включены как часть любой удобочитаемой формы (такой как электронный дисплей или распечатка) электронной записи.

Особые соображения в отношении записей, подтверждающих юридические права, и записей, которые должны храниться постоянно, обсуждаются в разделах 5.5 и 5.6 соответственно.

Отсутствие отказа от авторства:

Независимо от подхода, применяемого агентством, должна быть реализована определенная форма технических услуг по предотвращению отказа от авторства для защиты надежности, подлинности, целостности и удобства использования, а также конфиденциальности и законного использования информации с электронной подписью.Фиксация авторства — одна из важнейших услуг безопасности в вычислительных средах, которая в основном применяется в системах обработки сообщений и электронной коммерции. Службы предотвращения отказа от авторства, которые используются в электронной коммерции, также могут использоваться для проверки надежности записей с электронной подписью. Услуги по фиксации авторства предоставляют неопровержимые доказательства того, что действие имело место. Сервисы защищают одну сторону транзакции (например, электронное подписание записи) от отрицания другой стороной того, что имело место конкретное событие или действие.Услуги также обеспечивают гарантии, которые защищают все стороны от ложных утверждений о том, что запись была подделана или не была отправлена ​​или получена.

Существует несколько структур для предотвращения отказа от авторства, и агентства будут выбирать структуру, которая соответствует их потребностям. Одной из возможных рамок является модель неотказуемости ISO (Международной организации по стандартизации) (неотказуемость — Часть 1: Общая модель, ISO / IEC JTC1 / SC27 N1503, ноябрь 1996 г. / IEC JTC1 / SC27 N1505, ноябрь 1996 г.).Основные элементы модели ISO перечислены ниже:

• Доказательство происхождения сообщения и проверка : Это показывает, что отправитель создал сообщение (запись с электронной подписью). Отправитель (лицо, подписывающее запись в электронном виде) должен создать сертификат подтверждения происхождения с помощью службы предотвращения отказа от авторства. Запись с электронной подписью может быть отправлена ​​другой стороне (получателю записи с электронной подписью или другому заявлению для дальнейшей обработки) с помощью службы доставки без отказа от авторства.Получатель должен хранить это свидетельство, используя службу хранения без отказа от авторства. В случае возникновения спора отправитель может позже получить эти доказательства.
• Свидетельство о получении сообщения : Это доказывает, что сообщение (запись с электронной подписью) было доставлено. Получатель должен создать и отправить сертификат подтверждения получения, используя службу центра доставки без отказа от авторства. Отправитель получает это свидетельство и сохраняет его, используя службу хранения без возможности отказа от авторства; позже его можно будет восстановить, если возникнет спор.
• Отметка времени транзакции : Эта отметка времени генерируется службой фиксации авторства как часть свидетельства того, что событие или действие имело место.
• Долгосрочное хранилище : используется для хранения сертификатов происхождения и получения. В случае спора судья использует это хранилище для получения доказательств. В зависимости от длины хранилища может потребоваться решить проблемы миграции программного и аппаратного обеспечения в рамках проектирования этого объекта.
• Судья : Судья используется для разрешения споров на основе хранимых доказательств, если отправитель или получатель документов с электронной подписью предъявляет ложные требования.

Изменено по: Орфали, Роберт, Харки, Дэн и Джери Эдвардс. Руководство по выживанию клиент-сервер. John Wiley & Sons: Нью-Йорк, 1999, стр. 144.

4.4 Какие шаги следует предпринять агентствам, чтобы обеспечить надежность документов, подписанных электронным способом?

Для создания достоверных записей с электронными подписями агентство должно:

• Создавать и поддерживать документацию систем, используемых для создания записей, содержащих электронные подписи.
• Убедитесь, что записи, содержащие электронные подписи, создаются и хранятся в безопасной среде, которая защищает записи от несанкционированного изменения или уничтожения.
• Внедрить стандартные рабочие процедуры для создания, использования и управления записями, содержащими электронные подписи, и вести соответствующую письменную документацию этих процедур.
• Создавайте и поддерживайте записи в соответствии с этими задокументированными стандартными операционными процедурами.
• Обучить персонал агентства стандартным рабочим процедурам.
• Получите от NARA официальные полномочия по удалению как записей, содержащих электронные подписи, так и связанных с ними записей, которые необходимы для достоверных записей (см. Раздел 4.0). (Наличие официальных органов распоряжения поможет агентству, когда оно столкнется с требованиями предоставить записи, которые, согласно данным властям, были уничтожены.)

5.0 Прочие вопросы управления записями

5.1 Какие новые записи могут быть созданы с помощью технологии электронной подписи? Решения агентства о принятии или создании записей с электронной подписью порождают новые типы связанных записей. Агентства должны идентифицировать содержание, контекст и структуру записей с помощью электронных подписей и определять, что им нужно будет сохранить, чтобы иметь достоверные записи для целей агентства. Следующий список включает многие записи, которые могут быть связаны с инициативой электронной подписи.Эти записи должны быть запланированы (иметь утвержденные органы по удалению от NARA) в координации с электронно подписанными записями, к которым они относятся.

• Документация, удостоверяющая личность : Информация, которую агентство использует для идентификации и аутентификации конкретного человека в качестве источника записи с электронной подписью. Примерами этого могут быть пин-код или цифровой сертификат, присвоенный физическому лицу. Эта информация может быть передана физическим лицам посредством письменной корреспонденции и не обязательно появляется в записи, подписанной электронной подписью.В зависимости от способа реализации это либо контент , либо контекст .
• Электронные подписи : метод подписи электронного документа, который идентифицирует и удостоверяет подлинность конкретного человека как источника сообщения и указывает на то, что такое лицо одобряет информацию, содержащуюся в электронном сообщении. Электронная подпись может быть встроена в содержимое записи или может храниться отдельно.
• Если технология электронной подписи отделяет подпись от остальной части записи, она должна быть каким-то образом связана и зафиксирована в системе ведения записей, чтобы сохранить полное содержание записи.
• Записи проверки доверия : Записи, которые агентство считает необходимыми для документального подтверждения того, когда и как была проверена подлинность подписи. Примером этого может быть протокол онлайн-статуса сертификата (OCSP) или другой ответ от сервера центра сертификации. Это контекстная информация .
• Сертификаты : Электронный документ, который связывает подтвержденную личность с открытым ключом, который используется для проверки цифровой подписи в реализациях инфраструктуры открытого ключа.Это контекстная информация .
• Список отозванных сертификатов : В реализациях инфраструктуры открытых ключей — список сертификатов, отозванных центром сертификации в определенное время. Когда центр сертификации помещает сертификат в список отзыва, приложение агентства может отклонить цифровую подпись. Это контекстная информация .
• Пути доверия : В реализациях инфраструктуры открытых ключей — цепочка сертификатов доверенных третьих сторон между сторонами транзакции, которая заканчивается выдачей сертификата, которому доверяет проверяющая сторона.Путь доверия — это одни из данных, необходимых для проверки полученной цифровой подписи. Это контекстная информация .
• Политика сертификатов : В реализациях инфраструктуры открытых ключей — набор правил, определяющих применимость сертификата к определенному сообществу и / или классу приложений с общими требованиями безопасности. Это контекстная информация .
• Заявления о практике сертификации : В реализациях инфраструктуры открытых ключей, практические положения сертификационного органа по выдаче сертификатов.Это контекстная информация .
• Алгоритмы хеширования / шифрования / подписи : Программное обеспечение для создания вычислительных вычислений, используемых для создания или проверки цифровых подписей. Это структура информации.

5.2 Как агентства определяют, какие из этих записей электронной подписи оставить?

Агентства устанавливают методы управления записями на основе своих операционных потребностей и восприятия рисков. Операционные потребности определяются на основе подхода к обеспечению надежности электронных подписанных записей с течением времени (см. Раздел 4.3). Оценка риска и снижение риска, наряду с другими методологиями, используются для установления требований к документации для деятельности агентства. При оценке риска следует учитывать возможные последствия утерянных или невосстановимых записей, включая юридический риск и финансовые затраты, связанные с потенциальными убытками, вероятность того, что произойдет событие, вызывающее ущерб, и затраты на принятие мер по смягчению последствий. Риск определяется здесь, с точки зрения NARA, как (1) риск оспаривания записей (например, судебное разбирательство), которого можно ожидать в течение срока действия записи, и (2) степень, в которой агентство или граждане будут понести убытки, если надежность документов, подписанных электронным способом, не может быть надлежащим образом задокументирована.Оценка риска также может применяться к записям программ электронной подписи, чтобы определить уровень документации, необходимой для проверки подписи. Концепции надежности, подлинности, целостности и удобства использования, обсуждаемые в разделе 4.1, могут помочь агентствам установить критерии для типов записей, связанных с электронной подписью, которые они должны хранить для документирования своих программ.

5.3 Передача материалов записи электронной подписи от подрядчиков агентствам

Поскольку правительство начинает взаимодействовать с гражданами в электронном виде, агентства могут нанимать сторонних подрядчиков для интеграции технологии электронной подписи в свои бизнес-процессы.Примером может служить программа Управления общих служб для электронных служб (ACES) . Использование стороннего подрядчика не освобождает агентство от его обязанности предоставлять адекватную и надлежащую документацию материала записи электронной подписи. Когда агентства используют сторонних подрядчиков, они могут использовать определенный язык контрактов, чтобы обеспечить выполнение требований к управлению записями. Агентствам может потребоваться принять специальные меры для получения материалов записи с электронной подписью от третьих лиц или обеспечить соблюдение третьими сторонами требований к хранению записей.

5.4 Когда агентство должно изменить свой график записей, чтобы включить записи с электронной подписью?

Расписания записей — это бизнес-правила, которые описывают типы записей, которые создает агентство, и сроки хранения этих записей. Графики записи необходимо изменить, когда:

Создается
• новых записей, таких как перечисленные в Разделе 5.1;
• агентство определяет, что включение электронной подписи в запись приведет к изменению срока хранения этой записи;
• включение электронной подписи и / или связанные с этим параллельные изменения в рабочем процессе существенно меняют характер записи.

NARA предоставит сотрудникам архивов агентства конкретные рекомендации по составлению расписания. Если агентство применяет технологию электронной подписи к записям, для которых запланировано постоянное хранение, обратитесь в NARA.

5.5 Особые соображения в отношении долгосрочных записей с электронной подписью, защищающих законные права.

При внедрении технологии электронной подписи агентства должны уделять особое внимание использованию электронных подписей в электронных записях, сохраняющих законные права.Поскольку долгосрочные временные и постоянные записи с электронной подписью имеют больший срок службы, чем типичные циклы устаревания программного обеспечения, практически наверняка агентствам придется перенести эти записи на более новые версии программного обеспечения для сохранения доступа. Процесс миграции программного обеспечения (в отличие от миграции носителя) может сделать недействительной цифровую подпись, встроенную в запись. Этот может отрицательно повлиять на способность агентства признать или обеспечить соблюдение юридических прав, задокументированных в этих записях.

5.6 Требования NARA к постоянным записям с электронной подписью

Для постоянных записей агентства должны гарантировать, что напечатанное имя электронной подписи, а также дата, когда была подписана, были включены как часть любой удобочитаемой формы (такой как электронный дисплей или распечатка) электронной записи. NARA требует этого, чтобы имя подписавшего сохранялось как часть записи.

---

Приложение A — Ключевые термины и определения

ПРИМЕЧАНИЕ: Многие из этих определений взяты из Льюиса Дж.Беллардо и Линн Леди Беллардо, сост., Глоссарий для архивистов, хранителей рукописей и менеджеров документации , Серия «Основы архивов» (Чикаго: Общество американских архивистов, , 1992). Самые последние определения см. В онлайн-глоссарии SAA, http://www.archivists.org/glossary/

Appraisal : процесс определения стоимости и, следовательно, распоряжения записями (т. Е. Обозначение их как временных или постоянных) на основе их текущего административного, юридического и финансового использования; их доказательная и информационная ценность; их расположение и состояние; их внутренняя ценность; и их отношение к другим записям.( Глоссарий Общества американских архивистов )

Аутентичность : Подлинная запись — это такая запись, которая доказана как то, чем она задумывается, и была создана или отправлена ​​лицом, которое якобы создал и отправил ее.

Центр сертификации [CA] : Как часть инфраструктуры открытых ключей, центр в сети, который выдает и управляет учетными данными безопасности и открытыми ключами для шифрования и дешифрования сообщений.

Содержание : Информация, которую должен передать документ ( Глоссарий Общества американских архивистов, ).Слова, фразы, числа или символы, составляющие фактический текст записи, которые были созданы создателем записи.

Контекст : организационные, функциональные и операционные обстоятельства, в которых документы создаются и / или принимаются и используются ( Глоссарий Общества американских архивистов ). Размещение записей в более крупной системе классификации записей, обеспечивающей перекрестные ссылки на другие связанные записи.

Документация : 1.В архиве — создание или получение документов, свидетельствующих о создателе, событии или действии. 2. В электронных записях — организованная серия описательных документов, объясняющих операционную систему и программное обеспечение, необходимые для использования и обслуживания файла, а также порядок, содержание и кодировку данных, которые он содержит. ( Глоссарий Общества американских архивистов )

Электронная подпись : технологически нейтральный термин, обозначающий различные методы подписи электронного сообщения, которые (а) идентифицируют и удостоверяют личность конкретного человека как источника электронного сообщения; и (b) указать, что такое лицо одобряет информацию, содержащуюся в электронном сообщении (определение из GPEA, Pub.Л. 105-277). Примеры технологий электронной подписи включают ПИН-коды, идентификаторы пользователей и пароли, цифровые подписи, цифровые подписи, а также аппаратные и биометрические токены.

Список общих записей : Список записей, регулирующий определенные серии записей, общих для нескольких или всех агентств или административных единиц корпорации ( Глоссарий Общества американских архивистов ). Таблицы общих записей NARA (GRS) предоставляют полномочия по удалению временных административных записей, общих для нескольких или всех агентств федерального правительства.

Целостность : Под целостностью записи понимается ее полнота и неизменность.

Отсутствие отказа от авторства : Шаги, предпринятые агентством для обеспечения уверенности посредством использования контрольного журнала, что отправитель не может отрицать, что он является источником сообщения, и что получатель не может отрицать получение сообщения.

Протокол онлайн-статуса сертификата [OCSP] : проект протокола связи в Интернете рабочей группы IETF X.509 PKI, который полезен для определения текущего статуса цифрового сертификата без необходимости в списках отзыва сертификатов.

Инфраструктура открытого ключа [PKI] : ИТ-инфраструктура, которая позволяет пользователям в основном незащищенной общедоступной сети, такой как Интернет, безопасно и конфиденциально обмениваться данными с помощью пары общих и частных криптографических ключей, которые получают и совместно используют авторитет, которому доверяют.

Запись : Все книги, бумаги, карты, фотографии, машиночитаемые материалы или другие документальные материалы, независимо от физической формы или характеристик, изготовленные или полученные агентством США.S. Правительство в соответствии с федеральным законом или в связи с ведением публичного бизнеса и сохраняется или подходит для сохранения этим агентством или его законным правопреемником в качестве доказательства организации, функций, политики, решений, процедур, операций или другой деятельности правительства или из-за информативности данных в них (44 USC 3301).

Система ведения документации : Ручная или автоматизированная система, в которой записи собираются, систематизируются и классифицируются для облегчения их сохранения, поиска, использования и удаления.

Records Schedule : Документ, описывающий записи агентства, организации или административного подразделения, устанавливающий график их жизненного цикла и предоставляющий разрешение на их удаление ( Глоссарий Общества американских архивистов ), т. Е. Хранение вне офиса с последующим уничтожением или передачей в Национальный архив.

Серия записей : Файловые единицы или документы, организованные в соответствии с файловой системой или поддерживаемые как единое целое, потому что они являются результатом одного и того же процесса накопления или хранения, той же функции или одной и той же деятельности; иметь определенную форму; или из-за каких-либо других отношений, возникающих в результате их создания, получения или использования.( Глоссарий Общества американских архивистов )

Надежность : Надежная запись — это такая запись, содержимому которой можно доверять как полному и точному представлению транзакций, действий или фактов, которые они подтверждают, и на которые можно полагаться в ходе последующих транзакций или действий.

Повторная проверка : повторное подтверждение процесса проверки ранее проверенной электронной подписи.

Структура : физический и логический формат записи и отношения между элементами данных.

Удобство использования : Полезная запись — это запись, которую можно найти, извлечь, представить и интерпретировать.

Проверка : процесс, с помощью которого подтверждается, что сообщение / запись было отправлено аутентифицированным пользователем сети, то есть тем, кто надлежащим образом установил свою личность в сети.

Приложение B — Дополнительная информация и помощь

В дополнение к руководству по политике, которое можно получить от сотрудника отдела документации агентства, должностных лиц по управлению информационными ресурсами, юрисконсульта и генерального инспектора, федеральным агентствам предоставляется помощь в управлении документами через несколько офисов и программ NARA.Агентства найдут самый последний список контактов и программ управления записями NARA, размещенный на веб-странице NARA Records Management.

Политика управления записями

и руководство также доступны на веб-сайте NARA. Ссылки на федеральные постановления, публикации по управлению документами, бюллетени NARA и другие ценные ресурсы доступны по адресу http://www.archives.gov/records-mgmt/policy/index.html. Персоналу агентства, который ищет актуальную информацию и помощь в решении проблем с электронными записями, следует посетить сайт проекта Fast Track Guidance Development Project.). Проект Fast Track — это инициатива по предоставлению агентствам доступной информации в электронном виде, в то время как NARA продолжает разрабатывать более полные и долгосрочные решения.

Агентства также могут написать или позвонить для получения дополнительной информации:

Office of Records Services — Вашингтон, округ Колумбия, программы Modern Records
Отдел управления жизненным циклом, NWML
Национальный архив в Колледж-Парке
8601 Adelphi Road
College Park, MD 20740-6001
301 837-1738

Отдел управления жизненным циклом принимает и рассматривает все запросы на удаление документации, подаваемые в NARA федеральными агентствами, и проводит обучение управлению документами, доступное для всех федеральных служащих.Подразделение состоит из шести рабочих групп, каждая из которых отвечает за определенные федеральные агентства. Такая структура связи гарантирует, что агентства смогут обсудить вопросы, связанные с их документами, с кем-то, кто знаком с их агентством и их записями. Список рабочих групп и назначений агентств доступен. Имеется расписание занятий по делопроизводству.

Офисы и программы агентства

за пределами Вашингтона, округ Колумбия, также могут связаться с персоналом по ведению документации в одном из региональных отделений службы документации NARA.Список этих объектов доступен в Интернете. Региональные отделения NARA также предлагают обучение управлению документами. Расписание региональных занятий доступно.

Агентства могут написать или позвонить для получения дополнительной информации о региональных службах документации NARA:

Офис региональных архивов, NR
Национальный архив в Колледж-Парке
8601 Адельфи-роуд
Колледж-Парк, Мэриленд 20740-6001
301 837-2950

* Адреса и номера телефонов веб-сайтов были обновлены 14.11.02 в бюллетене NARA 2003-02.Дополнительные обновления в Приложение А внесены 14.02.2006

Как создать отсканированную цифровую подпись

Прежде чем я начну, я должен сказать, что, когда мы подписываем материал, мы обычно делаем это, чтобы показать свидетельство того, что мы понимаем, принимаем и соглашаемся с чем-то, что наша подпись удерживает нас, что подпись служит для привязки или нескольких сторон в соглашении и не только потому, что есть взаимная выгода, иначе зачем нам нужна подпись?

Адреса других пунктов, которые вы упомянули, указаны в тексте ниже.

Отсканированные подписи — это подписи, которые сканируются (копируются в электронном виде) и вставляются в документы, их также иногда называют оцифрованными подписями, не путать с цифровыми подписями, которые являются гораздо более надежным способом подписи. Часто люди предполагают, что они эквивалентны по закону и что они являются или могут быть обязательными, это просто неправда. Отсканированные подписи не выдерживают юридической атаки в качестве подписи. В следующих параграфах подробно описаны как сканированные, так и мокрые подписи.

Отсканированная подпись

К сожалению, отсканированная подпись имеет те же недостатки, что и мокрая подпись, и никаких преимуществ, никаких гарантий; однако в этом случае проблема еще больше.

Отсутствие гарантии / аутентификации подписавшего, любой может вставить подпись в файл и заявить, что подписал его вы. После того, как вы отправите файл со своей подписью, получателю достаточно легко вырезать и вставить подпись в новый документ или другие документы. Этих проблем нет с мокрой подписью.

• Имея рукописную подпись чернилами (обычно называемую мокрой подписью), у вас нет уверенности в том, кто подписавший, если вы а) не знаете подписывающего лица или б) подписывающее лицо было удостоверено свидетелем или нотариусом.
• Отсутствие обязательной силы. Это означает, что невозможно узнать, подписал ли подписывающий конкретный документ или откуда взялась эта вставленная подпись. Конечно, похоже, что это тот человек, но откуда вы знаете.
• Нет контроля, вы не можете узнать, является ли авторизованный подписывающий единственный, кто имеет доступ к отсканированной подписи, и на самом деле, как только вы разместите хотя бы один документ со вставленной подписью, вы больше не можете единолично контролировать свою подпись.
• Вы не можете нотариально заверить документ при использовании отсканированной подписи.
• Вы также устанавливаете поведение президента, которое демонстрирует, что вы обычно используете этот метод подписи (вместе с его недостатками), который может быть использован для легального нарушения действительности вашей подписи.
• Отсканированные подписи происходят лично, что приводит к проблемам аутентификации, проверки, намерения, единственного контроля и привязки, которые возникают при использовании этого метода.

При отсутствии этих важных элементов подпись может быть очень легко подвергнута сомнению, и я уверяю вас, что она будет подвергнута сомнению в случае возникновения разногласий.

Мокрые подписи

Мокрые подписи обнаруживают некоторые из тех же недостатков, что и отсканированные подписи, за исключением:

• Они могут быть нотариально заверены, что устраняет проблемы удостоверения личности и гарантии, так как нам требуется удостоверение личности, которое визуально проверяется нотариусом. Нотариус также может выступать в качестве свидетеля и добавляет свою подпись и печать нотариуса, тем самым укрепляя привязку подписи физического лица к конкретному документу.
• Когда документ не нотариально заверен, подпись человека все еще достаточно уникальна, даже если подпись может время от времени незначительно меняться, чтобы считаться уникальной вашей и в некоторой степени демонстрирует контроль при размещении на незаверенном документе.
• Вы создаете прецедент, что вы всегда единолично контролируете свою подпись.
• «Мокрые» подписи по-прежнему пользуются определенным уровнем юридической поддержки при оформлении документов.
• Мокрые подписи часто встречаются в подарках других людей, которые могут быть или не быть свидетелями. Когда этот метод используется в частном порядке, он может иметь многие из тех же недостатков, что и отсканированная подпись.

Самое важное преимущество мокрой подписи; Если нотариус приложил подпись и свою печать, печать, как правило, является выпуклой, и ее довольно сложно скопировать.Крайне важно подтвердить, просто связавшись с нотариусом, который является незаинтересованной третьей стороной и не заинтересован в документах или их результатах. Для большинства документов важного или особо ценного характера требуется свидетель или нотариус, по этой причине он «исправляет проблемы мокрой подписи» и обеспечивает аутентификацию, подтверждение, намерение и юридически связывает подпись с документом. Это преимущество мокрой подписи, и это невозможно со сканированной подписью.

Проблемы

Как отсканированные, так и мокрые подписи (в меньшей степени при нотариальном заверении) подвержены атаке.Эти атаки часто трудно или невозможно обнаружить.

Атака сканированной подписи
Эти атаки обычно нацелены на то, что эта подпись легко переносима и не находится под исключительным контролем подписывающей стороны. Простое использование функции вырезания и вставки во всех современных операционных системах позволяет легко повторно использовать подпись кем угодно без обнаружения.

Атака мокрой сигнатуры
Мокрая сигнатура немного сложнее, атака требует доступа к сигнатуре для изучения и некоторого уровня навыков / способностей для изучения сигнатуры перед ее использованием.Однако подделка имеет долгую историю успеха в качестве вектора атаки.

Квалифицированная электронная цифровая подпись: проблемы и риски

Государственные органы осведомлены о проблеме с ЭЦП, и Государственная Дума уже работает над законопроектом, ужесточающим требования к удостоверяющим центрам и предусматривающим, что Федеральная налоговая служба России является единственным органом уполномочен выдавать ЭЦП юридическим лицам и что Центральный банк России является единственным органом, уполномоченным выдавать ЭЦП кредитным организациям.Эти поправки еще не приняты и могут быть изменены до принятия законопроекта в качестве закона, поэтому возникает вопрос: что можно сделать сегодня, чтобы минимизировать риски?

Для предотвращения описанных выше ситуаций Росреестр рекомендует подать заявление о запрете совершения операций с недвижимым имуществом без личного участия . При получении такого заявления Росреестр делает специальную запись в Государственном реестре недвижимого имущества , что даже лицо, имеющее нотариально заверенную доверенность, не может совершать сделки с недвижимым имуществом без физического участия собственника недвижимого имущества.

Данную заявку можно подать в личном кабинете Росреестра или лично в многофункциональном центре оказания государственных и муниципальных услуг в любой точке России, даже если собственник не является регионом, в котором находится его имущество. Эта услуга предоставляется бесплатно, и соответствующая запись делается в Государственном реестре недвижимого имущества в течение 5 дней с момента подачи заявления.

Есть возможность отклонить регистрации юридического лица, генерального директора и т. Д.с ЭЦП аналогичным образом, подав заявление в налоговые органы. Для этого нужно заполнить форму заявки 38001 и подать ее в соответствующий регистрирующий налоговый орган, то есть в Налоговую службу № 46 по Москве и Налоговую службу № 15 в Санкт-Петербурге.