Электронная подпись, в широком смысле – это технология. С древнейших времен важная информация скрывалась синхронным шифрованием, т.е. для шифрования и расшифровки использовался один секрет – ключ. Но, с некоторых пор, явилась человечеству технология асинхронного шифрования. Здесь ключ состоит из двух частей: секретной и открытой. Секретная часть доступна только ее владельцу, а публичные части могут представляться доступными всем.
Итак.
Криптографический ключ (КК) – секрет для шифрования или расшифрования важной информации.
Криптографическая пара (КП) – два, соответствующих друг другу (взаимосвязанных) файла КК при асинхронном шифровании.
Сертификат – открытая, публичная часть (файл) КП.
Ключ – секретная часть (файл) КП.
Выпуск КП состоит из:
· установки в операционную систему криптопровайдера (CSP) – библиотека шифров и алгоритмов шифрования,
· установки ПО для обслуживания операций,
· продумывания значений параметров будущей КП,
· генерации ключа (владельцем лично) с последующим сохранением в контейнер, защищенный паролем,
· генерации файла запроса сертификата (CSR - заявка в электронной форме) на основании имеющегося ключа,
· подачи запроса (CSR) в удостоверяющий центр (УЦ), установления и подтверждения оригиналами документов личности владельца, кодов идентификации, полномочий, подписание печатной формы заявки,
· оплаты услуг УЦ, если это предусмотрено,
· рассмотрения заявки на стороне УЦ и подписание CSR ключом УЦ, что и является сертификатом,
· передачи сертификата от УЦ владельцу, проверки владельцем полученного сертификата на соответствие ключу,
· публикации сертификата силами УЦ и/или самим владельцем, если это предусмотрено,
· проверки владельцем опубликованного сертификата его идентичности фактическому.
Ключ генерируется только владельцем лично. Не существует законных и/или разумных оснований для передачи ключа в иные руки.
КП обладает двумя функциями, которые могут использоваться совместно или раздельно: подписать или проверить подпись, зашифровать или расшифровать.
С использованием КП можно подписывать и шифровать файлы. Не зависимо от формата данных (аудио, видео, фото, страницы, документы, чат и т.д.) файл (или пакет передачи данных) состоит из последовательности нулей и единиц. Подписывать и шифровать можно файлы любых форматов данных. Криптостойкость (устойчивость к взлому, дешифровке) зависит от отношения объема файла (данных) и длины ключа: чем больше файл или чем меньше длина ключа, тем ниже криптостойкость.
Полученная шифрограмма копируется в отдельное, дополнительное место. Все операции (расшифровка, проверка подписи) – только с копией. Если расшифровка или проверка не выдают безупречный результат, то об этом сообщают отправителю и запрашивают повторную передачу. Материал, вызвавший сбой в операции – никогда не возвращают отправителю. Сбой в операциях – не свидетельствует о дешифровке ключа, но свидетельствует о такой попытке или технически не устойчивой связи. Последняя проблема разрешается запросом и повторной передачей первичного пакета от отправителя к получателю.
При законном и обоснованном требовании раскрыть содержание шифрограммы – информация подлежит раскрытию. Расшифровка – это результат машинной операции. Раскрытие информации допускает изменение формата (переносы строк, размер шрифта и т.п.) без изменения содержания и смысла. Открытый текст (расшифровка) + алгоритм + шифр + ключ + сертификат получателя = Шифрограмма (шифровка). Алгоритм и шифр – указаны, сертификат – доступен публично, шифрограмма перехвачена и требует расшифровки. Точная расшифровка – последнее слагаемое в уравнении для регенерации ключа.
КП или асинхронное шифрование сегодня широко используются. КП Server шифрует канал связи с клиентом – протокол https://, что позволяет отбросить фейковые сайты. Канал связи может быть защищен и КП Client – со стороны клиента, если сервер это допускает. Программный код подписывается разработчиком КП Code, что позволяет отбросить поддельные программы. КП может быть использована для входа в операционную систему или шифрования целых дисков. В иных ситуациях.
УЦ может быть международным, т.е. состоять в списке общеизвестных доверенных корневых сертификатов, может быть аккредитованым в РФ (лицензированным) – АУЦ или не аккредитованным – отдельным (ОУЦ). Признак УЦ – самоподписанный корневой сертификат.
Самоподписанный сертификат (self) – это CSR подписанный не УЦ, а самим владельцем своим же ключом.
Организационные единицы, непосредственно работающие с владельцами КП обычно имеют корневой сертификат, подписанный УЦ и называются – пунктами, регистраторами или иначе. В соответствие с аккредитацией: АУП или ОУП. Корректно: CSR подается не в центр, а в пункт, который и подписывает.
Квалифицированный – это сертификат, подписанный АУЦ/АУП. Не квалифицированный – это сертификат, подписанный ОУЦ/ОУП или самоподписанный.
Электронная подпись – это «добавка» к подписанному файлу. Такая «добавка» может быть присоединенной, тогда подписанный документ и его ЭП - один файл или отделенной, тогда подписанный документ и его ЭП - это два файла. При составлении шифрограммы ЭП чаще присоединенная.
Квалифицированная ЭП, т.е. КЭП – это подпись («добавка») сертификат которой подписан АУЦ/АУП. Не квалифицированная ЭП, т.е. НЭП – это подпись («добавка») сертификат которой подписан международным УЦ/УП или ОУЦ/ОУП или self.
Усиленной называют только КЭП – в отличие от простой ЭП, т.е. ПЭП, что, собственно - не подпись, а авторизованный парольный вход.
Доверие к УЦ автоматически распространяется на любой сертификат, подписанный этим УЦ. Доверие к АУЦ – обусловлено положениями ФЗ, лицензией, контролем. Вопрос доверия к международным УЦ или ОУЦ, следовательно и к легитимности подписанных ими сертификатов, равно к самоподписанным сертификатам – решается только потребителем.
Кроме цепи зависимости сертификатов (PKI) возможны и другие варианты доверия:
Традиции, правила, нормы документооборота и делопроизводства складывались веками и обусловлены своим смыслом. Традиционно, подпись – это личная рукописная подпись. Применение факсимиле или цветные вставки графического изображения подписей, печатей или штампов, распечатанные на цветном принтере, по факту их предъявления, как оригинальных документов – состав преступления о фальсификации в совокупности с другими определяющими признаками.
Электронная подпись (ЭП) – это исключительно личная подпись единственного, конкретного человека, под конкретным документом.
Штамп ЭП – это текст установленного содержания и формата, проставляемый в документ, в реквизите «Подпись», вместо рукописной подписи. Указанный текст может быть обрамлен рамкой. Цвет текста должен быть идентичен цвету текста документа. Допустимо миниатюрное цветное изображение эмблемы, хотя и вычурное излишество.
ЭП сотрудника – это личная ЭП человека, состоящего на должности в организации. В параметрах ЭП указываются наименования организации, подразделения и должности. Это представляется излишеством, т.к. вся эта информация прямо указана в реквизите «Подпись» или ином (согласен, утверждаю, виза и т.д.). Более того: подпись человека всегда – личная, независимо от состояния в той или иной должности.
Электронный штамп (ЭШ) – технологически, это подпись, проставляемая автоматизированной системой обработки данных. Например: сервер Web проставляет ЭШ своей идентичности при защите протокола связи https://. Человек не принимает непосредственного участия в простановке ЭШ. ЭШ устанавливает подлинность источника данных, но ничего более того.
Электронная печать (ЭПт) – технологически, это подпись, проставляемая последней из всех, ответственным уполномоченным лицом предприятия (учреждения, организации). Личности подписантов – устанавливаются их ЭП (которые могут быть НЭП, т.е. не проверяемыми). Печать удостоверяет: самоличность каждого подписанта, подлинность проставленных ЭП, полномочность подписантов подписывать. Подписанты, подписывая документ организации, действуют не своим именем, а именем организации, что без наличия ЭПт делает документ недействительным. Любой документ, хотя бы даже предполагающий изменение правового и/или имущественного положения одного лица, или предполагающий раскрытие тайны, или наступление существенных последствий для иных заинтересованных лиц – должен иметь ЭПт. Традиционно, печать не ставится только на письмах личной переписки. Наличие одной лишь ЭПт, как и оттиск мастичной печати на бланке документа (не подписанного документа) – критическая ошибка, вызывающая меры процессуального характера и последствия. Смысл ЭПт: заверение легитимности всех ЭП и полномочий их владельцев, что не проверяемо со стороны. Любые ЭП, проставленные после (хронометрическая метка) ЭПт – не действительны.
Служебная отметка на печатной форме документа - различные надписи, совершаемые разными должностными лицами в процессе исполнения документа. Например: «Оплачено» или «Получено» на счете, входящая регистрация, «Исполнено», «В дело» и т.п. В документообороте электронной формы – это файлы текстового формата с содержимым согласно традиционным штампам, датой, именем ответственного и т.д. Такой файл подписывается личной ЭП и присоединяется к документу. Замечу, что любой один документ – это всегда zip-пакет или папка с несколькими файлами в электронном хранилище. Сюда же присоединяются и квитанции – это выписки из протокола связи направления или получения этого документа по электронным каналам. А также протоколы проверки подписи: на соответствие и легитимности.
Параметры сертификата ЭП и их значения:
· CN (commonName, OID: 2.5.4.3) – общее имя (64 символа):
o для личной ЭП ФЛ: Фамилия Имя Отчество в именительном падеже, полностью, через пробел, (составная фамилия Фам И Лия: Фам_И_Лия)
o для личной ЭП сотрудника: аналогично,
o для электронного штампа: DNS-имя (URL) или название автоматизированной системы,
o для ЭПт: наименование организации (кратко),
o для УЦ: псевдоним УЦ
o для КП Server: URL сервера
o для КП Client или Code: псевдоним владельца
· SN (surname, OID: 2.5.4.4) – фамилия (40 символов)
· G (givenName, OID: 2.5.4.42) – имя отчество (128 символов)
· I (OID: 2.5.4.43) – инициалы (5 символов)
· C (countryName, OID: 2.5.4.6) – страна (2 символа): двухбуквенный код страны по ISO
· S (stateOrProvinceName, OID: 2.5.4.8) – регион (128 символов), субъект РФ (61 Ростовская область)
· L (localityName, OID: 2.5.4.7) – населенный пункт (128 символов) (Ростов-на-Дону)
· STREET (streetAddress, OID: 2.5.4.9) – улица и номер дома (30 символов)
· O (organizationName, OID: 2.5.4.10) – организация (64 символа), только ЮЛ, полное наименование
· OU (organizationUnitName, OID: 2.5.4.11) – подразделение (64 символа), наименование в структуре организации
· T (title, OID: 2.5.4.12) – должность (64 символа), наименование в штатном расписании
· OGRN (OID: 1.2.643.100.1) – ОГРН для ЮЛ (13 символов)
· OGRNIP (OID: 1.2.643.100.5) – ОГРН ИП (15 символов)
· SNILS (OID: 1.2.643.100.3) – СНИЛС (11 символов: 01234567891)
· INN (OID: 1.2.643.3.131.1.1) – ИНН ФЛ (только 12 символов)
· INNLE (OID: 1.2.643.100.4) – ИНН ЮЛ (10 символов, для ЮЛ с 00)
· E (email, OID: 1.2.840.113549.1.9.1) – электронная почта (128 символов), надлежащая доставка ЭД
· OID алгоритма: 1.2.643.2.2.3 ГОСТ Р 34.11/34.10-2001
Обращаю Ваше внимание на
указанную ниже дату последней редакции этой страницы.
Всегда с уважением и
вниманием.
РФ, г.Ростов-на-Дону,
01.12.2025
Борчанкин Сергей Геннадьевич
“Sergej Borchankin” <sgb@edocnet.ru>