Як працювати з електронним підписом

Електронний документообіг сьогодні активно впроваджується в різних областях. Його ядром є електронний підпис. Зупинимося на особливостях використання посиленою електронного підпису.

Як працювати з електронним підписом
Використання посиленою електронного підпису (УЕП) пов'язане з різними технологічними нюансами. Оскільки в основі УЕП лежать криптографічні механізми, то для того, щоб всі вони працювали, необхідні відповідні інструменти: ПО, правильна реалізація в інформаційній системі та ін.

Всі технологічні питання, що стосуються використання ЕП, можна розділити на кілька базових блоків:

  1. Як почати працювати з ЕП. Що потрібно зробити, щоб з робочого місця можна було працювати з УЕП?
  2. Як працювати з ЕП в електронних документах. Як створити ЕП для документа? За допомогою яких інструментів це зробити? Як потім обробити результат?
  3. Як працювати з ЕП всередині різних інформаційних систем (інформаційними системами з веб-доступом, інформаційними системами у вигляді настільних додатків, які встановлюються на робоче місце користувача)?

Розглянемо докладніше кожен блок завдань.

Як почати працювати з електронним підписом

Для початку потрібно розібратися, які інструменти будуть потрібні власнику УЕП (будемо розглядати УЕП, засновану на українських криптоалгоритмах по ГОСТу, як найбільш актуальну з точки зору масового використання).

Інструмент №1 - криптопровайдер

Це спеціальне програмне забезпечення, що реалізує всі криптографічні алгоритми. Воно дає інструментарій для їх використання: щоб створювати ЕП, перевіряти її, зашифровувати і розшифровувати інформацію. Одні з найвідоміших криптопровайдерів - КріптоПро CSP і ViPNet CSP.

Інструмент №2 - сертифікат ЕП і закритий ключ до нього

Ці елементи можна отримати в засвідчувальному центрі (УЦ). Вони зберігаються на захищеному носії, який зовні виглядає як флеш-накопичувач, але насправді є спеціалізованим електронним пристроєм, що забезпечує безпечне зберігання закритого ключа користувача і сертифіката ЕП. Цей носій називається токеном. При здійсненні криптографічних операцій криптопровайдер звертається до захищеного носія для отримання доступу до закритого ключа ЕП.

Токени на українському ринку випускають різні виробники. Флагманами вважаються Рутокен (компанія «Актив»), eToken і Jakarta (компанія «Аладдін Р.Д.»).

Інструмент №3 - налаштоване робоче місце

Основне питання стосується установки кореневих сертифікатів УЦ, який видав сертифікат ЕП. При роботі з кваліфікованими сертифікатами ЕП настройка кореневих сертифікатів часто пов'язана з додатковим завданням - встановленням крос-сертифікатів Міністерства зв'язку і масових комунікацій РФ. Такі сертифікати дозволяють упевнитися в тому, що УЦ дійсно акредитований, так як у вимогах до кваліфікованої ЕП зазначено, що вона обов'язково повинна бути видана акредитованим УЦ.

Наступний блок завдань стосується правильного налаштування браузера. При роботі з майданчиками і системами з веб-доступом необхідно налаштувати браузер таким чином, щоб він дозволяв здійснювати всі необхідні операції. Якщо ми спробуємо почати роботу з браузером, налаштованим за замовчуванням, то робота з ЕП буде недоступна через політик безпеки операційної системи.

Також часто потрібна установка додаткових надбудов або плагінів для браузера. Зазвичай це робить сама інформаційна система, з якої працює користувач.

Як працювати з ЕП в електронних документах

Порядок підписання буде відрізнятися в залежності від типу електронного документа, з яким ми працюємо. В цілому можна виділити два види документів:

1. Електронні документи спеціалізованого формату, які дозволяють вбудувати ЕП всередину самого документа (документи Microsoft Word, PDF).

Для підписання PDF-файлів можна використовувати програму Adobe Acrobat. За допомогою даного функціоналу можна вбудовувати ЕП всередину документа. Перевірка створеної таким чином ЕП здійснюється також за допомогою програм Adobe Reader і Adobe Acrobat.

2. Неформалізовані електронні документи, що не володіють додатковим інструментарієм для вбудовування ЕП.

Для електронного документа можна створити ЕП без вбудовування в сам документ. Такий підпис буде називатися отсоединенной і представляти собою окремий електронний документ. Таким способом можна підписувати будь-які електронні документи, в тому числі і в форматах Word і PDF.

Набір інструментів для реалізації таких можливостей в цілому не обмежується якимось одним рішенням. Існують окремі програми, які встановлюються на робоче місце і дозволяють створювати і перевіряти ЕП, наприклад, КріптоАРМ. Є веб-рішення, за допомогою яких можна прямо в браузері створити ЕП, завантаживши документ в форму на сайті, приєднавши свій токен з закритим ключем. На виході ви отримаєте від'єднання ЕП. Такі можливості надає сервіс Контур.Кріпто.

Перевірка електронного підпису

Щоб перевірити ЕП в документах Microsoft Word і PDF, можна скористатися штатною програмою, відкрити в ній документ і подивитися, коректна ЕП чи ні.

Другий, більш універсальний спосіб - скористатися окремим інструментарієм для роботи з ЕП - КріптоАРМ або Контур.Кріпто. Потрібно завантажити в програму електронний документ з ЕП, сертифікат, за допомогою якого створювалася ЕП, і здійснити перевірку. Дані утиліти відповідно до алгоритму перевірки ЕП здійснять всі необхідні дії. По-перше інструментарій дозволяє переконатися в тому, що сертифікат, за допомогою якого створювалася ЕП, діючий. По-друге, можна переконатися в тому, що сертифікат випущений УЦ, якому ми довіряємо. По-третє, отримати підтвердження, що ЕП дійсно відповідає тому електронному документу, який завантажили.

Як працювати з електронним підписом всередині різних інформаційних систем

Інформаційні системи можуть являти собою веб-сервіс або настільний додаток. Оскільки кожне настільне рішення має свої особливості реалізації та правила налаштування для роботи з ЕП, розбирати загальні сценарії не має сенсу. Зупинимося на більш уніфікованих веб-рішеннях.

Щоб отримати можливість працювати з ЕП в якійсь електронної хмарної системі, потрібно правильно налаштувати браузер. В даному випадку потрібно установка плагінів, додаткових налаштувань, які допомагають працювати з ЕП. Наприклад, на електронному торговельному майданчику «Сбербанк-АСТ» використовується штатний плагін від Microsoft - CAPICOM. На порталі держпослуг встановлюється свій плагін, який працює у всіх браузерах і здійснює роботу з ЕП.

Робота з ЕП на певному веб-порталі здійснюється за допомогою інтерфейсу цього порталу. Інтерфейси можуть бути різні, але базові сценарії подібні - це завантаження або створення документа і подальше його підписання ЕП. Веб-портал використовує плагін, який здійснює необхідні операції по створенню або перевірці ЕП, і результат роботи потрапляє на сервери інформаційної системи.

Щоб почати працювати на електронному торговельному майданчику, користувачеві необхідно пройти акредитацію і додати копії необхідних документів, підписаних ЕП. Надалі, беручи участь в електронних торгах, всі дії підтверджуються за допомогою ЕП, і ця інформація в юридично значимому вигляді зберігається на серверах електронної торгової площадки.

Часто в процесі роботи c веб-орієнтованими інформаційними системами у користувачів виникають питання: «Чому мій сертифікат не береться системою? Як перевірити справжність сертифікату? »Відповіді на перше питання можуть бути різними, але основні, як правило, три:

  1. Сертифікат не підходить для роботи в даній інформаційній системі. Приклад: для роботи на майданчику «Сбербанк-АСТ» потрібно посилена некваліфікована ЕП. Якщо користувач спробує почати працювати на «Ощадбанку-АСТ» з кваліфікованої ЕП, то через невідповідність типу підпису майданчик видасть помилку.
  2. Недійсність сертифіката (сертифікат випущений недовірених УЦ, сертифікат відкликаний, термін дії сертифіката закінчився).
  3. Різні технічні проблеми, які можуть залежати як від майданчика, так і від користувача (наприклад, неправильно налаштоване робоче місце).

Чому іноді сертифікат не проходить перевірку автентичності на порталі держпослуг?

При перевірці сертифіката на порталі держпослуг перевіряється його дійсність і кваліфікованість. Портал держпослуг відповідно до Федерального закону №63- ФЗ «Про електронний підпис» і з наказом ФСБ, який визначає структуру кваліфікованого сертифіката, перевіряє всі поля сертифіката, їх наповнення і відповідати цим правилам. Якщо виявлено якесь порушення, наприклад, в сертифікаті немає СНІЛС, то портал госулуг вкаже на те, що даний сертифікат не є кваліфікованим. Після перевірки структури портал перевіряє, виданий сертифікат акредитованим УЦ. Для цього використовується механізм крос-сертифікатів. Кожен акредитований УЦ має свій крос-сертифікат, що дозволяє довіряти акредитованому УЦ, і портал госулуг це перевіряє. Також перевіряється термін дії сертифіката і його неотозванность.

Резюмуючи, можна відзначити, що робота з УЕП має деякий технологічний поріг входження. Для подолання цього порога можна користуватися готовими програмними рішеннями по автоматичному налаштуванню робочого місця і початку роботи з УЕП, що істотно полегшує процес.

З плином часу набір інструментів для роботи з УЕП стає все більш широким і більш простим у використанні, що прискорює процес впровадження електронного документообігу в усіх сферах.