Простая электронная подпись
Простая электронная подпись создается средствами информационной системы, в которой ее используют, и подтверждает, что электронную подпись создал конкретный человек.
Согласно пункту 2 статьи 5 Федерального Закона «№ 63 от 06.04.2011 «Об электронной подписи» простая электронная подпись представляет собой комбинацию из логина, пароля и кодов и подтверждает, что электронное сообщение отправлено конкретным лицом.
Свойства простой электронной подписи
Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств устанавливает связь человека, подписывающего информацию, с набором признаков, присущих только этому человеку, в целях контроля соблюдения прав или выполнения обязанностей, определенных подписанным документом.
Минимальным набором уникальных признаков, позволяющим определить права и обязанности личности, является имя, фамилия человека и его место жительства.
Свойства простой электронной подписи заключаются в следующем:
простая электронная подпись содержит зашифрованную персональную информацию о владельце и используется для подтверждения авторства перед отправкой данных;
простой вид электронной подписи не требует установки дополнительного программного обеспечения;
простая электронная подпись выпускается в основном для физических лиц и сотрудников организаций;
Простая электронная подпись с юридической точки зрения
Простая электронная подпись не имеет юридической силы.
Подписывать документ простой электронной подписью можно, но это действие не наделяет его никакими полномочиями, привилегиями.
Такой файл нельзя отправить, например, в ФНС для предоставления бухгалтерской или финансовой отчетности.
Использовать простую электронную подпись нельзя для работы с государственными органами, для получения доступа к электронным торгам. Но если стороны заключат соглашение о признании электронной подписи аналогом собственноручной подписи, то такие подписанные документы могут приобрести юридическую силу.
Так, например, происходит при подключении онлайн-банка к кредитной или дебетовой банковской карте. Сотрудник банка идентифицирует личность по паспорту, и подписывается договор на подключение онлайн-банка.
В дальнейшем простая электронная подпись будет иметь такую же юридическую силу, как и собственноручная подпись.
Когда документ считается подписанным простой электронной подписью
Для того чтобы электронный документ считался подписанным простой электронной подписью необходимо выполнение в том числе одного из следующих условий:
простая электронная подпись содержится в самом электронном документе;
ключ простой электронной подписи применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.
При этом законодательством не уточняется, кто именно может быть владельцем ключа простой электронной подписи, но устанавливает ограничения по ее использованию.
Простая электронная подпись однозначно не может быть использована при подписании электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну.
Процедура получения простой электронной подписи
Для получения простой электронной подписи нужно один раз пройти процедуру регистрации и идентификации в структуре, для которой эта подпись будет предназначаться.
Аналогично, но с некоторыми нюансами, происходит идентификация для получения ПЭП на сайтах государственных услуг.
Например, для оформления простой электронной подписи на порталах госуслуг необходимо получить код подтверждения для идентификации личности.
Возможны 3 варианта получения идентификационного кода:
явиться лично в один из перечисленных на сайте центров обслуживания (например, отделение Почты РФ) с документами, которые были указаны при создании аккаунта на сайте госуслуг;
запросить отправку заказного письма с кодом через Почту РФ — соответственно, получать его вы будете по паспорту, что и подтвердит вашу личность;
с помощью уже имеющегося средства электронной подписи (например, оформленной через удостоверяющий центр).
Кем и где используется простая электронная подпись
Применение простой электронной подписи доступно для частных лиц, индивидуальных предпринимателей и организаций.
Юридические лица, индивидуальные предприниматели и физические лица применяют простую электронную подпись в клиент-банках, на различных сайтах (интернет-магазины, портал госуслуг, интернет-услуги и др.).
Таким образом, простая электронная подпись чаще всего применяется при банковских операциях, а также для аутентификации в информационных системах, для получения госуслуг, для заверения документов внутри корпоративного электронного документооборота.
Самые распространенные варианты использования простых электронных подписей следующие:
Авторизация на интернет-сайтах. Связка логин/пароль позволяют установить, что доступ к защищенным данным запрашивает именно их автор, а не третье лицо или вовсе бот;
Заверение электронных документов. Наличие простой электронной подписи позволяет установить кем был создан файл, когда он редактировался, а также когда он был скопирован. Таким способом можно контролировать производственный процесс, работу сотрудников;
Получение доступа к файлам и базам данных, защищенных паролем.
В качестве примера того, как работает простая электронная подпись, можно привести процесс использования интернет-банка для физических лиц.
Пользователь начинает вход в систему под своим индивидуальным логином и паролем, затем на заранее предоставленный пользователем банку номер мобильного телефона приходит дополнительный разовый код для завершения входа в систему.
Подобным способом достигается:
достаточная уверенность в том, что именно клиент банка зашел в систему интернет-банкинга (идентификация);
подтверждение того, что именно клиент желает совершить денежный перевод со своего счета через интернет (авторизация).
Комбинация из логина/пароля/номера телефона для контрольных СМС и является простым идентификатором (подтверждением) личности и намерений клиента.
То есть этот комплекс может расцениваться как подпись клиента под совершаемыми действиями.
Простая электронная подпись на порталах и государственных ресурсах
Простая электронная подпись позволяет заметно упростить взаимоотношения с госструктурами.
На портале mos.ru
Физические лица для получения электронных госуслуг на официальном сайте Мэра Москвы mos.ru пользуются простой электронной подписью (то есть им достаточно зарегистрироваться на сайте mos.ru).
Юридические лица и индивидуальные предприниматели также пользуются простой электронной подписью, но им необходимо подтвердить свою личность в центре госуслуг «Мои документы» для того, чтобы приравнять ее к собственноручной.
На портале gosuslugi.ru
На портале gosuslugi.ru есть несколько уровней учетной записи.
Пользуясь упрощенным и стандартным уровнями, можно подписывать заявления простой электронной подписью.
На сайте Росреестра
Часть услуг Росреестра (например, подать заявление, записаться на прием) можно получить, используя простую электронную подпись.
Итоги
Простая электронная подпись, оформляемая в основном физическими лицами, позволяет заметно упростить взаимоотношения с госструктурами, работодателями, банками или учебными заведениями. Являясь заменой рукописной подписи, простая электронная подпись является незаменимым инструментом, позволяющим предприятиям сконструировать удобный внутренний документооборот.
Остались еще вопросы по бухучету и налогам? Задайте их на бухгалтерском форуме.
Номер пэп что это
Электронные технологии стремительно развиваются, и все больше сделок сейчас заключают онлайн или по электронным каналам связи. Средством удостоверения личности, а также подтверждения полноты и правильности оформления ею документов стала электронная подпись (ЭП). Под ней понимают электронную информацию, которая удостоверяет подписывающее лицо. Это определение уже закреплено в законодательстве. Профильный Закон № 63-ФЗ позволяет использовать такую подпись для получения госуслуг, а также при заключении договоров и выполнении иных действий. В итоге простая электронная подпись – это важное средство для выполнения различных операций через Интернет без личного присутствия.
Как работает простая подпись
Хранилищем для квалифицированной электронной подписи обычно служит специальный флеш-накопитель (токен), на который записывают сертификат ключа. Владелец должен обеспечить его сохранность и не допустить попадания в чужие руки.
Однако, что это такое – простая электронная подпись (ПЭП)? Иногда она может заменить квалифицированную электронную цифровую подпись. ПЭП применяют путём ввода различных паролей и кодов.
С использованием простых электронных подписей уже сталкивался почти каждый пользователь сети Интернет. К примеру, для того, чтобы войти в аккаунт интернет-банка, человек должен сначала указать свой пароль и логин, а затем ввести код, присланный на номер мобильного телефона.
Подобный код также вводят для выполнения иных различных действий: платежей, переводов и не только.
Введение кода выполняет несколько функций:
1. Идентификация – код подтверждает, что именно клиент банка зашел в аккаунт.
2. Подтверждение действий – код, присланный на телефон, подтверждает, что клиент готов совершить данное действие.
Таким образом, простая электронная подпись для физических лиц – это своего рода элементарный идентификатор, который используют для подтверждения личности пользователя. Поэтому его и рассматривают как подпись.
Как получить ПЭП
В Интернете приходится много раз проходить процедуру идентификации. Но как сделать простую электронную подпись? Для этого необходимо пройти регистрацию в том сервисе, где вы собираетесь выполнять действия, требующие подтверждения личности.
В самых серьезных ситуациях приходится использовать дополнительные способы подтверждения личности. К примеру, портал госуслуг открывает доступ к десяткам услуг, доступных гражданину, и из-за их большой важности требуется максимально точная идентификация.
Теперь о том, как сделать простую электронную подпись через Госуслуги. Чтобы зарегистрироваться на этом портале, необходимо выбрать один из следующих вариантов:
Кстати, для юридических лиц простая электронная подпись делается аналогичным образом:
Меры предосторожности при получении ПЭП
Любая электронная подпись открывает доступ к личной информации о гражданине, а также позволяет совершать определенные важные действия. Из-за этого необходимо бережно хранить свои персональные данные и не допускать попадания логинов и паролей в чужие руки.
Электронная подпись, сохраненная на носителе, должна быть защищена от кражи. Она ни в коем случае не должна попадать в чужие руки. Забота о своей безопасности позволяет предотвратить кражи, мошенничество и другие противоправные действия с ПЭП.
Личный кабинет ПЭП – правила регистрации и функции
ПЭП – простая электронная печать, предназначенная для подтверждения при регистрации или связки логин-пароль. Далеко не каждый человек, регистрирующийся на сайте в интернете или оформляющий онлайн услуги, знает, что такое ПЭП – привычный код доступа из СМС-сообщения, требующийся для дистанционного подтверждения личности или подписания документов в онлайн режиме.
Пользователям простой электронной печати в Казахстане предоставляется возможность регистрации личного кабинета ПЭП. Он оформляется на онлайн портале правительства Казахстана idp.egov.kz и предназначается для получения мгновенных уведомлений от государственных органов.
Регистрация личного кабинета
Регистрация личного кабинета ПЭП осуществляется на официальном веб-сайте виртуального правительства Казахстана. Для этого откройте стартовую страницу egov.kz и выберите вкладку «Личный кабинет» на верхней панели.
Как оформить учетную запись пользователю:
Вход в личный кабинет
Для того чтобы войти в личный кабинет ПЭП нужно открыть виртуальный портал правительства Казахстана https://idp.egov.kz/idp/sign-in. Выберите подходящий тип авторизации – по логину и паролю, ЭЦП, ЭЦП на СИМ-карте или одноразовому паролю, присылаемому на мобильный телефон.
Для авторизации по логину и паролю введите ИИН или БИН, пароль и нажмите кнопку «Войти в систему». После этого страница перезагрузится и будет открыто главное меню личного кабинета ПЭП.
Восстановление пароля
В случае если пользователь потерял или забыл пароль от своей учетной записи ПЭП ему нужно выполнить несколько действий для его восстановления. Перейдите на страничку для авторизации https://idp.egov.kz/idp/sign-in и кликните вкладку «Забыли пароль».
Для восстановления пароля через веб-почту введите в контрольную форму ИИН, номер паспорта или удостоверения личности. Укажите дату выдачи документа и нажмите кнопку «Восстановить». Новые данные для доступа к личному аккаунту будут отправлены в электронном письме.
Функционал личного кабинета
После регистрации персонального профиля пользователи получают доступ к широким онлайн возможностям и функциям, предоставляемым порталом правительства Казахстана.
Функции учетной записи:
В личном аккаунте пользователи могут дистанционно подать заявку на получение адресных и архивных справок, документов о заключении и расторжении брака, рождении ребенка, смене имени, отчества и фамилии.
Контактные данные для связи
Как сделать простую электронную подпись?
Что такое электронная подпись и сертификат ключа
Законодателями дано определение электронной подписи как информации в электронном виде, присоединенной к другой информации (подписываемой) и удостоверяющей подписывающее лицо. Регламентируется ее применение законом «Об электронной подписи» от 06.04.2011 № 63-ФЗ, где отражается право использования электронных подписей в сфере оказания муниципальных или госуслуг при заключении соглашений гражданско-правового свойства или других действиях, предусмотренных соответствующими НПА.
Основной задачей электронной подписи, как и собственноручной подписи в жизни, является удостоверение:
Необходимость возникновения подобного аналога собственноручной подписи продиктована стремительно развивающимися технологиями, позволяющими вести дела дистанционно, с помощью интернета и телекоммуникационных каналов связи.
Например, электронная подпись нужна для онлайн-касс. Как ее сделать см. в материале «Как и где получить электронную подпись для онлайн-касс».
Когда простую электронную подпись использовать нельзя, разъяснили эксперты КонсультантПлюс. Получите бесплатный демо-доступ к К+ и переходите в Готовое решение, чтобы узнать все подробности данной процедуры.
В большинстве случаев электронная подпись — это овеществленное понятие комплекса, включающего в себя специальные программы, возможности для эксплуатации сертификата ключа и его хранилище. Как правило, хранилище — это флеш-накопитель или смарт-карта, на которые записывают сертификат ключа проверки ЭП. Именно он и является электронным автографом, который изготавливается и выдается удостоверяющим центром (УЦ).
Сертификат ключа проверки ЭП содержит:
По прошествии года срок эксплуатации сертификата истекает и требуется приобретение нового.
ОБРАТИТЕ ВНИМАНИЕ! Если собственноручная подпись может быть только одна, то количество ЭП, которые можно оформить на одно лицо, ничем не ограничено.
Помимо ЭЦП, усиленной ключом электронной подписи, существует и так называемая простая электронная подпись — ПЭП.
Простая электронная подпись
Данный материал посвящен простой электронной подписи (ПЭП), использующейся для подписания документа в электронном формате, когда факт создания визы подтверждается посредством различных методов идентификации — паролями/кодами (ст. 5 закона № 63-ФЗ).
В качестве примера того, как работает ПЭП, можно привести процесс использования интернет-банка для физлиц. Пользователь начинает вход в систему под своим индивидуальным логином и паролем, затем на заранее предоставленный пользователем банку номер мобильного телефона приходит дополнительный разовый код для завершения входа в систему. Если пользователь во время сессии оформляет поручение на перевод денежных средств со своих счетов — СМС с кодом для транзакции снова придет на телефон. Подобным способом достигается:
Комплекс из логина/пароля/номера телефона для контрольных СМС и является простым идентификатором (подтверждением) личности и намерений клиента. То есть может расцениваться как его подпись под совершаемыми действиями.
Процедура выдачи ключа простой электронной подписи
Для получения простой электронной подписи нужно один раз пройти процедуру регистрации и идентификации в структуре, для которой эта подпись будет предназначаться. Например, оформить банковский продукт (счет или карту) — что означает пройти идентификацию клиента в банке, а затем зарегистрироваться в системе интернет-банкинга, сформировав постоянные логин и пароль для входа в систему.
Аналогично, но с некоторыми нюансами, происходит идентификация для получения ПЭП на сайтах государственных услуг. Например, для оформления ПЭП на порталах госуслуг необходимо получить код подтверждения для идентификации личности. Возможны 3 варианта получения идентификационного кода:
ВАЖНО! Письмом нельзя получить идентификатор для входа в личный кабинет на портале nalog.ru.
Как получить подпись для госуслуг читайте здесь.
Получить ЭЦП в удостоверяющем центре могут бизнесмены, юридические и физические лица. Для этого следует явиться в УЦ, оплатить стоимость услуги и представить комплект необходимых документов.
Организации для получения сертификата ключа могут понадобиться:
ОБРАТИТЕ ВНИМАНИЕ! Даже если ЭЦП изготавливается для нужд организации — фактическим владельцем все равно будет являться физлицо, имеющее право подписи от организации.
Для индивидуального предпринимателя нужны следующие документы:
Физические лица предоставляют в УЦ:
Как получить простую электронную подпись для обмена документами без информационной системы, узнайте в КонсультантПлюс. Получите пробный доступ к системе К+ и бесплатно переходите к подсказкам экспертов К+.
Информацию о получении физическими лицами усиленной ЭП читайте в материале «Налогоплательщики-физлица могут создать электронную подпись прямо в своем ЛК».
Меры предосторожности
Являясь важным инструментом в работе, любая электронная подпись требует серьезных мер предосторожности. Согласно п. 10.2 регламента, утвержденного приказом Федеральной службы по финансовому мониторингу от 16.08.2013 № 223, владелец сертификата при работе с ключом проверки ЭП должен выполнять правила ее хранения, не оставлять без присмотра, обеспечивать условия конфиденциальности. К примеру, при необходимости следует затребовать приостановку действия документа, если возникли подозрения о возможном несанкционированном доступе к ЭП. Игнорирование требований регламента может повлечь возникновение убытков, возмещение которых руководитель компании (если речь идет о должностном лице) может возложить на владельца подписи.
Если ЭЦП утеряна (или если стало возможным несанкционированное применение ПЭП), следует сразу связаться с УЦ (либо со структурой, оформившей ПЭП) и заявить о необходимости блокирования.
Итоги
Являясь заменой рукописной подписи, ЭЦП является незаменимым инструментом, позволяющим предприятиям сконструировать удобный документооборот как внутренний, так и внешний. ПЭП, оформляемая в основном физлицами, позволяет заметно упростить взаимоотношения с госструктурами, работодателями, банками или учебными заведениями. Получение ПЭП — несложная процедура, занимающая минимальное количество времени, но весьма расширяющая возможности пользователя интернет-ресурсов.
Простая электронная подпись: успехи и практика
Простая электронная подпись: успехи и практика
Алиса Муратова, аналитик Synerdocs.
Использование простой электронной подписи (далее – ПЭП) на сегодняшний день еще не является массовым. Однако и бизнес, и рядовые пользователи уже по достоинству извлекли пользу из ее применения. Количество отраслей, использующих ПЭП, с каждым годом только увеличивается. Что интересно, рынок в целом не позиционирует ее пару «логин/пароль» как подпись конкретного физического или юридического лица.
В одной из наших прошлых статей «Простая электронная подпись – широкие возможности» были рассмотрены основные моменты при работе с ПЭП, приведены примеры, возможности и перспективы ее использования. В данной статье мы еще глубже погрузимся в предметную область: поговорим о тех отраслях, где активно используется простая ЭП, а также постараемся представить, каким может стать положение простой электронной подписи в будущем.
Что говорит закон о простой электронной подписи?
Применение ПЭП обеспечивает электронному документу юридическую силу. Подробнее об этом написано в Федеральном законе РФ №63-ФЗ «Об электронной подписи». В частности, в статье 5 представлено определение простой ЭП:
«Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом».
При этом в статье 6 разъясняется, в каком случае документ считается подписанным ПЭП:
«Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия ».
Данные акты и соглашения устанавливают случаи признания электронных документов, подписанных ПЭП, равнозначными документам на бумажных носителях, подписанными собственноручной подписью и должны соответствовать требованиям статьи 9 данного закона.
Таким образом, главной особенностью ПЭП является то обстоятельство, что ее идентификация подразумевает собой визирование документа конкретным лицом. Однако идентификация определяет лишь лицо, подписавшее документ, но не устанавливает неизменность визы.
Где мы чаще всего сталкиваемся с простой электронной подписью?
В повседневной жизни мы используем простую подпись регулярно, но порой даже не осознаем этого и недооцениваем ее значения. Рассмотрим примеры.
Банковская сфера
Банки уже давно освоили процедуру подтверждения операций клиентом с помощью ПЭП и активно используют технологию простой ЭП в сервисах интернет-обслуживания. Особенность в том, что ключом простой ЭП можно считать SMS-пароль или одноразовые пароли с чека, распечатанные в банкомате или терминале банка. Доступ к услуге можно получить после заключения договора на обслуживание.
Банки заботятся о безопасности расчетов по банковским картам и предоставляют клиентам возможность подключать технологию 3D—secure, позволяющую совершать интернет-платежи в защищенном режиме. Процедура предполагает введение пароля, известного только пользователю, который выдается в офисах банка, далее устанавливается защищенное соединение, а оплата производится только после успешно пройденной идентификации. Это тоже некий вариант реализации ПЭП, где ключом является пароль, созданный пользователем, запрашиваемый при каждом подтверждении оплаты через сеть интернет.
Более того, сегодня банки оформляют кредиты посредством телефонного звонка, что является совершенно законным. Вы предоставляете необходимые данные, соглашаетесь с условиями и оставляете свой личный номер. Далее, согласно оферте, вам приходит SMS-код, который вы используете в качестве электронной подписи для формирования электронного документа. В случае идентичности SMS-кода, направленного банком, и SMS-кода, введенного в форме электронного документа для подтверждения передачи клиентом соответствующего распоряжении/заявления через интернет-банк, такая электронная подпись считается подлинной.
Брокерские организации
Брокеры также освоили ПЭП и используют ее в работе со своими клиентами. В данной ситуации клиенты брокеров подразделяются на две общеизвестные категории: физические и юридические лица. При этом обе категории обслуживаются через личный кабинет. Для физических лиц используются SMS-коды, которые приобретаются в офисах после заполнения соответствующей анкеты с указанием личных данных и номера мобильного телефона. Для юридических лиц применяются PIN-конверты, в которых содержится более 20 паролей. Для осуществления операций с ценными бумагами необходима установка специализированного программного обеспечения, когда открытый ключ хранится у брокера (направляется посредством электронной почты), а закрытый – у клиента.
Программное обеспечение позволяет обмениваться с брокером электронными документами, подписание которых происходит с помощью ПЭП. Права и обязанности сторон при работе со специализированном ПО с использованием простой ЭП зафиксированы в соответствующих правилах, которые также являются приложением к регламенту обслуживания клиентов.
Госучреждения
В организациях государственной и муниципальной власти подтверждение той или иной операции и получение услуг также происходит через личный кабинет – с помощью ввода уникальных логина и пароля. Но перед их получением гражданину необходимо посетить центр информатизации общества для подтверждения личности.
Агентская сеть
Если с перечисленными отраслями все достаточно прозрачно, то иная ситуация обстоит с агентскими сетями. Напомним, что агентская сеть — это организационно оформленная совокупность агентов, работающих от имени и в интересах компании. Агентские сети предполагают наличие правильной сегментации рынка и присутствие в каждом из сегментов агентов, продвигающих услуги на рынок. Агента и организацию связывает огромное количество документов, такие как агентские и субагентские договоры, календарные планы, дополнительные соглашения, отчеты, которые активно передаются через интернет-порталы.
В этом случае ПЭП выглядит как личный кабинет/портал для агента, где вводятся данные о продажах тех или иных продуктов и формируются отчеты. Для подтверждения личности, к примеру, может быть заключен договор с одним из филиалов организации.
Страхование
По официальному сообщению Банка России, к 1 января 2017 года страховые компании, работающие на рынке ОСАГО, будут обязаны продавать электронные полисы обязательного автострахования по всей стране. Напомним, об этой инициативе было известно еще в 2013 году, а сами продажи электронного ОСАГО стартовали с 1 июля 2015 года. На сегодняшний день такие полисы предлагают 15 страховщиков из 81, имеющих лицензии на ОСАГО.
При чем же тут электронная подпись? Дело в том, что использование усиленной квалифицированной электронной подписи при покупке ОСАГО серьезно ударило бы по карману плательщика. Во-первых, это расходы на покупку и установку СКЗИ. Во-вторых, затраты на ежегодный перевыпуск. Для чего это делать, если плательщик, к примеру, намеревается покупать ОСАГО раз в год? Преимуществом онлайн-страхования является оперативность оформления и выпуска полиса, поэтому данная проблема решилась посредством использования простой ЭП, где подписание происходит посредством SMS-сообщения.
Сетевой бизнес
В последнее время обороты набирает так называемый сетевой бизнес. Если раньше вести его было достаточно тяжело, то сейчас, с появлением новых интернет-технологий, эта задача значительно упростилась. Подвиды сетевого бизнеса в интернете включают в себя:
● торговые площадки (например, AliExpress, где сайт выступает посредником между продавцом и покупателем),
● дистанционное обучение и консультации (продажи медицинских и юридических консультаций),
● разработка и продвижение сайтов,
● информационный бизнес (продажа рекламы и доступа к информации), даже так называемый МЛМ-бизнес, где товар распространяется через интернет, хотя существуют компании, которые принципиально запрещают реализовывать товар через интернет.
Во всех этих видах сетевого маркетинга, инструментов взаимодействия между клиентом и продавцом является личный кабинет, где логин и пароль выступают своего рода электронной подписью.
Ежедневно используемая нами электронная почта тоже может быть защищена двухэтапной аутентификацией, своеобразной ПЭП. Процедура довольно известная. Пользователь вводит пароль каждый раз, когда входит в аккаунт, далее необходимо ввести специальный код, который можно получить по SMS, с помощью голосового вызова или приложения, установленного на телефоне. Код не понадобится, если есть токен – его необходимо просто вставить в USB-порт компьютера.
Что может ожидать в будущем?
Несомненно, ПЭП заняла в нашей жизни определенную нишу, однако ее использование многие ставят под сомнение. «Что это за подпись такая, – задаются вопросом пользователи, – если при ее краже злоумышленники могут изменить пароли, которыми мы пользуемся, например, в интернет магазинах или онлайн-банках?» Но ведь с другой стороны точно так же могут подделать собственноручную подпись на бумаге и в обычной жизни. Использование же простой ЭП значительно упрощает множество операций, совершаемых человеком сегодня.
Использование ПЭП решает задачи по подтверждению важных операций/действий пользователя, позволяет подписывать и отправлять сообщения, обмениваться электронными документами, получать государственные и муниципальные услуги. При этом для осуществления самой процедуры подписания используются технологии пары логин-пароль, SMS-коды, PIN-конверты, открытый и закрытый ключи.
Предполагается создать единое электронное пространство доверия, в котором пользователь сможет использовать одну-единственную электронную подпись при любой необходимости.
Заместитель главы Федеральной антимонопольной службы Анатолий Голомзин сообщил журналистам о том, что сейчас ведутся работы над подготовкой предложений по унификации электронной подписи для ее использования в различных сферах. Иначе говоря, предполагается создать единое электронное пространство доверия, в котором пользователь сможет использовать одну-единственную электронную подпись при любой необходимости. Если подобное пространство появится, то прогнозирование уровня развития интернет-рынка станет более чем возможным. Скажется ли это на ПЭП, или же ПЭП приобретет иной статус, более весомый, решит только время.
Комментарии 26
Не вводите читателя в заблуждение! Все примеры, которые приведены, не являются использованием Простой электронной подписи, а лишь обеспечивают аутентификацию.
А собственно электронная подпись:
— информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
В случае использования логинов/паролей/кодов/SMS/PIN и т.д. подписи, как таковой, не формируется! Нет пока такой технологии.
Данную технологию использует на сегодняшний день, как минимум ОАО «Сбербанк», в дополнении к их регламенту это явно прописано.
Да, мы подтверждаем факт формирования документа и подписания его ПЭП, однако в случае изменения документа призвать автора к ответственности не представляется возможным. Этот вопрос решается довольно просто. Во-первых, ценность информации, которая защищается с помощью ПЭП, должна быть ниже, чем средства на воспроизведение искажений, взлом простой ЭП и т.п. Во-вторых, должен быть документ, регламентирующий использование этой ПЭП в конкретной определенной системе, с которым пользователь ПЭП должен быть ознакомлен (договор, оферта, соглашение и т.п.) Мы говорим лишь на уровне понятий, а как именно эта процедура реализована в той или иной системе, это уже другой вопрос.
Например, когда мы оформляем полис ОСАГО в режиме онлайн, мы вводим свои личные данные (Ф.И.О., паспортные данные, телефон и т.д.), далее соглашаемся с условиями договора посредством смс, и отправка договора приравнивается к ПЭП, следует оплата. Отсюда и ответ на ваш вопрос «Для чего нужна?». Мы отправили «заявление о намерениях», подтвердили фактической оплатой, и даже если бы кто-то воспользовался номером нашего телефона для регистрации заявки, оплату в любом случае совершим мы сами.
Даже при подтверждении личности на портале госуслуг есть уточнение в договоре о том, что «пара логин/пароль – это простая электронная подпись».
К тому же ПЭП более широко распространена на западе, где бизнес строится на доверии, и здесь именно КЭП является более неудобной формой подписания документов. У нас в России, к сожалению, привыкли ожидать от всех «подвоха», и желание подстраховать себя выше, чем сокращение затрат.
🙂 Из-за него и появилась эта правовая сущность, неподкрепленная техническим решением.
Вероятно, люди сталкивались с бременем доказывания в судебных инстанциях?
И в дополнение к моим сомнениям. Корректна ли очень часто используемая формулировка: «Руководитель получил электронную подпись и теперь может подписывать электронные документы»? Или вот с портала госуслуг:
«Как получить усиленную квалифицированную электронную подпись?
Чтобы получить усиленную квалифицированную электронную подпись, обратитесь в один из аккредитованных удостоверяющих центров.»
Логин и пароль это не подпись, а средства с помощью которых собственно подпись должна сформироваться.
При аутентификации (которую пытаются назвать ПЭП) ничего не создается, при положительном результате происходит авторизация. При собственно подписи с помощью средств ЭП происходит создание от подписываемого электронного документа кое-чего, проверяя которое с помощью о5же средств ЭП можно убедиться в конечном счете в юридической значимости электронного документа.
Я бы определил пару «логин и пароль» как некий аналог ключа ЭП, А в качестве средства формирования ПЭП выступают компоненты информационной системы.
Не по теме статьи, но раз уж отвечают))) еще вопрос про формулировку, которая стала стандартной для отрасли, корректна ли? «Подписание документа с использованием (при помощи) Сертификата, подписание документа Сертификатом, и другие подобные формулировки». Я понимаю, что ключ ЭП и ключ проверки ЭП, создаваемые при помощи средства ЭП, связаны, но в состав Сертификата ключа проверки ЭП согласно закону об ЭП ключ ЭП не входит. Или речь идет (встретил и такую формулировку, корректна ли она?) о Сертификате ключа ЭП?
Раз уж спрашивают 🙂 Исходные данные такие:
ГОСТ Р 34.10- 2012: «3.1.9 процесс формирования подписи (signature process): Процесс, в качестве исходных данных которого используются сообщение, ключ подписи и параметры схемы ЭЦП, а в результате формируется цифровая подпись. (ИСО/МЭК 14888-1:2008 [4])
п.5 ст. 2 63-ФЗ: «ключ электронной подписи — уникальная последовательность символов, предназначенная для создания электронной подписи»
ч.2.1 ст. 15 63-ФЗ: «Аккредитованный удостоверяющий центр для подписания от своего имени квалифицированных сертификатов обязан использовать квалифицированную электронную подпись, основанную на квалифицированном сертификате…»
ч.2 ст. 19 63-ФЗ: «Электронный документ, подписанный электронной подписью, ключ проверки которой содержится в сертификате ключа проверки электронной подписи…»
Таким образом, ГОСТ формирует ЭЦП с ключом подписи (ГОСТ не знает про сертификаты), а ФЗ создает ЭП с ключом электронной подписи (ФЗ знает про сертификаты, но только в усиленной ЭП).
При этом, ФЗ раньше (ст.19) связку с сертификатом проводил в виде «подпись, ключ проверки которой в сертификате», а сейчас (ст.15) законодатель «опустился до просторечия» — «подпись, основанная на сертификате» и «для подписания использовать подпись», что, по всей видимости, уже стало нормой.
Ключ проверки ЭП юридически никому не нужен, он всегда распространяется в сертификате ключа проверки ЭП (! относится только к усиленной ЭП, для простой ЭП ключ проверки ЭП в принципе не предусмотрен, т.е. ее невозможно, вероятно, исходя из того, что это никому не нужно, проверить). Сертификата ключа ЭП точно не существует в природе. Все сложности из-за того, что непрофессионалы не видят связи между ключом ЭП и сертификатом (ключа проверки ЭП). Что уж говорить, если регулятор отправляет «получать ЭП в УЦ».
IMHO правильная технологическая конструкция — подпись сформированная (документ подписанный) с применением ключа подписи, ключ проверки которой содержится в сертификате.
Вадим, спасибо за комментарии. Подведу итоги для себя из своей норы. «Туман мозга моего» в части терминологии предметной этой области) А что творится у ЛПР, который эту технологию использует и подписывает документы? Будь я «плохим мальчиком», я бы задумался о перспективе доказательства в суде факта компрометации ключа ЭП. Руководитель не владеет технологией и не понимает, что он делает при подписании ЭД) Он ли подписал документ? Если приводить аналогию с бумажным документом: «А как могла появиться рукописная подпись на бумажном документе, если руководитель не знает алфавита и не умеет писать?»
Недавно столкнулся с ситуацией использования простой электронной подписи (ПЭП). Как было сказано выше.
«А собственно электронная подпись:,
— информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.»
Обратимся к понятию простой электронной подписи (ПЭП).
«Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом».
Подробнее: http://ecm-journal.ru/post/Prostaja-ehlektronnaja-podpis-uspekhi-i-praktika.aspx
В качестве таких удостоверяющих центров могут являться банки, компании сотовых операторов связи и т.д., где есть доступ по логинам и паролям.
Естественно, что такой подход имеет много слабых мест в плане достоверности и юридической грамотности. Однако не надо забывать, что и квалифицированная электронная подпись, предлагаемая различными УЦ, не являет собой конечную истину на современном этапе развития криптографии.
ИМХО, такие сильные заявления нужно как-то аргументировать 🙂
Не являюсь специалистом про защите информации, поэтому просто наскреб информацию в Википедии:
Криптостойкость цифровой подписи опирается на две компоненты — на стойкость хэш-функции и на стойкость самого алгоритма шифрования. [1]
Вероятность взлома хэш-функции по ГОСТ 34.11-94 составляет 
при подборе коллизии на фиксированное сообщение и при подборе любой коллизии. [1] Стойкость алгоритма шифрования основывается на проблеме дискретного логарифмирования в группе точек эллиптической кривой. На данный момент нет метода решения данной проблемы хотя бы с субэкспоненциальной сложностью. [2]
Спасибо, что откликнулись и высказали свое мнение.
Я не такой компетентный знаток в данной области, но сталкивался с работами математиков, которые на прямую подвергают глубокому сомнению достоверность имеющиеся на сегодняшний день методик построения алгоритмов шифрования. Не буду делать конкретных ссылок и вступать в теоретические дискуссии. Хотя на практике я столкнулся с реальным взломом и с тех пор отношусь с уважением к любому мнению полезному для моей деятельности.
Меня больше интересуют аспекты практического применения простой электронной подписи в рамках системы документооборота. Именно в приведенной выше статье, по моему мнению, автор упустил довольно широкий круг возможно использования ПЭП. Этот круг обусловлен применением мессенджеров таких как Skype и WhatsApp. Именно они способствуют оперативному обмену информацией и составляют необходимую базовую основу использования простой электронной подписи. У меня есть практические наработки в данном направлении и я не прочь оценить их и услышать любые мнения специалистов. Относительная простота ПЭП и отсутствие явной финансовой составляющей могут быть весьма полезны для ее широкого использования. Не каждый день мы решаем задачи содержащие важную тайну и не всегда понимаем методы ее сокрытия при помощи средств дискретной математики.
Так что, чем проще и доступней, тем быстрей и эффективней.
Можно узнать, что именно взломали? Что именно удалось злоумышленникам сделать? Это касалось квалифицированной ЭП?
Юрий, готовы принять на ECMJ ваши идеи и описание практических наработок по ПЭ в виде статьи. И предоставить площадку для обсуждения. Пишите в личку или на editor@ecm-journal.ru
Информация конфиденциальная. Меня просто поставили на свое место. Не обсуждается.
Два дня подготовлю наброски. Спасибо за предложение.
Да, жалко, что конфиденциальность помешала более аргументированно поспорить о надежности КЭП 🙁
Если внимательно посмотрите, то наказания там за нарушение порядка обращения с ключом ПЭП и т.п.
И да, ключ ПЭП (точнее логин/пароль для простой идентификации/аутентификации) есть, а как бы ПЭП по прежнему нет (Видишь суслика? Нет. И я не вижу. А он есть! :-)).
Видишь суслика? Нет. И я не вижу. А он есть! :-))
Это вечный спор))) Кто с какой стороны какого суслика видит)
Еще из практики ПЭП: «РНПК принимает документы с простой электронной подписью по e-mail от партнеров, с которыми было подписано соответствующее соглашение».» http://www.insur-info.ru/pressr/68717/
Это прелестно:
«4.5. Правила проверки ПЭП:
1) служебный заголовок Received принятого электронного сообщения содержит имя сервера электронной почтовой системы получателя;
2) служебный заголовок Received принятого электронного сообщения, содержащий имя сервера электронной почтовой системы отправителя, соответствует ключу проверки ПЭП;
3) поля принятого электронного сообщения From и Mail-From, содержащие электронный адрес отправителя сообщения, соответствуют ключу проверки ПЭП;
4) дата и время отправки электронного сообщения корректна (не новее даты и времени получения электронного сообщения и не относится к заведомо прошлым периодам);
5) дата подписания электронного документа корректна (не новее дат отправки и получения электронного сообщения и не относится к заведомо прошлым периодам);
6) Обязательные реквизиты документа из состава ПЭП, соответствуют ключу проверки ПЭП.»
По-видимому, юристы этой компании не знают (или им все равно), что спамеры подделывают любые служебные поля почтовых сообщений.
И это весьма порадовало:
«3.4. Допускается создание/подписание электронного документа без использования информационной системы. В это случае лицо, подписавшее документ и пользователь, отправляющий электронный документ, считаются одним и тем же лицом.
3.5. При наличии информационной системы, с помощью которой осуществляется создание/подписание электронного документа, отправка электронного сообщения, содержащего электронный документ, подписанный ПЭП, может происходить с технологического почтового ящика организации только при условии, что доступ к технологическому почтовому ящику предоставлен только этой информационной системе.»
Особенно при условии, что «Ключ ПЭП – использующаяся для подписания электронных документов ПЭП, уникальная и однозначно сопоставленная лицу, подписывающему электронный документ, информация: а) пароль пользователя электронной почтовой системы отправителя документа; б) пароль пользователя информационной системы, с помощью которой электронный документ создан/подписан (при наличии такой системы).»
А это вообще за гранью:
«Электронный документ – отправленный по электронной почте файл формата PDF/A, который содержит образ документа с обязательными реквизитами, позволяющими определить лицо, подписавшее документ.
Обязательные реквизиты документа, позволяющие определить лицо, подписавшее документ, состоят из: а) изображения собственноручной подписи лица, подписавшего документ; б) фамилии, инициалов и должности лица, подписавшего документ; в) даты подписания электронного документа; г) наименования организации, работник которой подписал документ.
Электронный документ считается созданным, если он содержит обязательные реквизиты документа, позволяющие определить лицо, подписавшее документ, и зарегистрирован в организации, создавшей документ.
Электронный документ считается подписанным простой электронной подписью если он был создан и отправлен по электронной почте от имени лица, подписавшего электронный документ.»
