Санкт-Петербург
+7(812)649-92-48

+7(911)741-92-48


Москва, Регионы РФ
+7(499)499-03-98
+7(985)358-03-98

 пон.-пятн.
10.00-18.00 (Мск)

О стандартах криптографии и электронных подписях

Предисловие

Эта статья написана для того, чтобы развеять мифы и повысить общую грамотность пользователей. Если Вам вдруг когда-то приходилось встречаться с менеджерами по продажам, которые в диалоге Вас уверяли, что электронные подписи их компаний самые качественные, смело можете поставить крестик на весь этот рекламный ход. Или же это просто элементарное отсутствие грамотности. А когда еще цена предложения ниже рыночной, то лучше вообще не вспоминать про такие конторы. А почему, Вам позволит понять весь текст статьи. Всем профи просьба не цепляться к выражениям, статья написана для пользователя с минимальным набором представления о предмете повествования. 

Об электронной подписи

Электронная подпись - это реквизит электронного документа, полученный в результате криптографического преобразования информации и позволяющий проверить отсутствие искажения информации в электронном документе с момента формирования подписи (целостность), принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость). Криптографическое преобразование информации это процесс шифрования, позволяющий при помощи закрытого набора символов (букв, цифр, специальных символов и т.п) создавать уникальные отпечатки кода на электронных документах. Для каждого владельца подписи в зависимости от основных реквизитов будет свой уникальный цифровой отпечаток, точно также как и отпечаток пальца на руке. 

Электронная подпись может состоять из закрытого ключа и открытого ключа. Открытый ключ это сертификат проверки электронной подписи, файл с расширением *cer, с содержимым которого можно ознакомиться простым нажатием мыши. В данном файле содержится информация о владельце сертификата, удостоверяющем центре, выпустившем электронную подпись и прочая общая информация, позволяющая провести идентификацию электронной подписи. Выражаясь простым языком, открытый ключ - это паспорт электронной подписи. Закрытый ключ это более сложный набор файлов, сопоставленных с открытым ключом, некий криптографический контейнер. В нем храниться информация в зашифрованной форме. Поэтому при открытии каждого файла в наборе ничего невозможно прочитать и понять. Для глаза пользователя это воспринимается как белиберда из символов. Закрытый ключ является самой ценной частью электронной подписи, позволяющий производить идентификацию владельца и оставлять цифровые отпечатки на электронных документах. 

Электронные подписи бывают экспортируемые и неэкспортируемые. Для экспортируемых подписей доступно полное копирование, т.е. перенос закрытой и открытой части на другие носители (например, рутокен, флэшка, жесткий диск компьютера и т.д.). В этом состоит определенный риск - Вашей подписью без Вашего ведома может воспользоваться недобросовестный гражданин и получить закрытую частную информацию, а то и вовсе произвести без Вашего ведома юридически значимые действия. Неэкспортируемые подписи обладают большей защищенностью, т.к. однажды записанный на носитель закрытый ключ копированию не подлежит и храниться в закрытом от общего доступа пространстве. Следовательно, неэкспортируемые электронные подписи являются более надежным вариантом выпуска. Кроме того, если Вам предлагается выпуск неэкспортируемой подписи с хранением на сервере (облачное хранилище без возможности доступа третьих лиц), то данный вариант самый надежный. Проверить, является ли Ваша подпись экспортируемой или нет, возможно. Но это уже отдельная тема и статья с описанием.

Электронные подписи бывают простыми и усиленными. Простая электронная подпись (ПЭП) имеет минимальный набор свойств, ограниченное применение и минимальную степень защиты. Чаще такая подпись используется в банковских системах, например, когда при помощи смс-кода подтверждается банковская операция. Усиленная подпись бывает квалифицированной и неквалифированной. Для неквалифицированной электронной подписи (НЭП) сертификат ключа проверки электронной подписи может не создаваться, юридическая значимость такой подписи строго ограничена, выпускается такая подпись для использования внутри конкретной системы. Например, такие подписи генерируются в личном кабинете налогоплательщика (физического лица) на портале ФНС. Квалифицированная электронная подпись (КЭП) выпускается только в соответствии с определенными алгоритмами, используются для внешнего юридически значимого документооборота и имеют максимальный набор средств шифрования. Квалифицированная электронная подпись приравнивается к собственноручной, заверенной нотариусом.

Стандарты криптографии

Абсолютно все квалифицированные электронные подписи на территории РФ выпускаются согласно Федеральному закону "Об электронной подписи" от 06.04.2011 N 63-ФЗ. Выпуск производится аккредитованными удостоверяющими центрами, полный список которых представлен в реестре на сайте Минкомсвязи РФ. Генерация (формирование) электронных подписей производится согласно алгоритмам, соответствующим определенным криптографическим стандартам - ГОСТ. Кроме того, каждая цифровая подпись имеет свои расширения - свойства, которые определяют ее предназначение и использование. В профессиональной среде шифровальщиков их называют OID. Именно поэтому существуют разные подписи с разным назначением - например, цифровая подпись может использоваться строго на торговых площадках, причем определенных, либо цифровая подпись может использоваться на портале госуслуг  или в системе ЕГАИС, либо только для подписания бухгалтерской отчетности. Также есть программное обеспечение, позволяющее работать с цифровой подписью, также имеющее разные функции (чтение, запись, шифрование, дешифрование и т.д.).  Производители ПО могут быть разные, но физические свойства у программного обеспечения одни и те же, может отличаться только функционал (понятный либо непонятный для рядового пользователя). Самое распространенное, надежное и понятное программное обеспечение от компании Крипто Про. Чаще всего именно его приобретают в комплекте с цифровой подписью. Таким образом, куда бы Вы не обратились за услугой выпуска, электронная подпись будет генерироваться по одному и тому же алгоритму, иметь строго определенные расширения (свойства с OID) и в комплекте с цифровой подписью будет предложен пакет программного обеспечения Крипто Про. 

О рынке электронных подписей

А теперь самое интересное - почему такой широкий диапазон цен на рынке цифровых подписей? Ответ очень простой и понятный. Срабатывают правила экономики, внутреннего ценообразования и качество сервиса в каждой отдельной компании. Про правила экономики, полагаем, можно не рассказывать, здесь идет речь всего лишь о занятии определенной конкурентной ниши рынка. Внутреннее ценообразование в каждой отдельной компании разное - в цену закладываются различные расходы и сумма прибыли. А вот сервису стоит уделить особое внимание.
Например, когда Вы приобретаете цифровую подпись по цене ниже рыночной (выражаясь языком потребителя - дешево), то скорее всего техническая поддержка для владельца подписи не предусмотрена либо же компетенция сотрудников компании настолько низкая, что они неспособны помочь Вам в любом техническом вопросе и ничего не понимают. И в своей низкой цене Вам заявляют, что могут только продать, а предложить Вам профессиональную помощь неспособны. Причем в таких продажах задействованы сотрудники, которые вообще не понимают,что они продают и рассказывают, что у них качественные цифровые подписи. Поэтому хорошо подумайте, стоит ли обращаться в такие компании с такими сотрудниками за дешевыми цифровыми подписями.
Средняя рыночная цена цифровой подписи предполагает хороший сервис и техническую поддержку для пользователя, предварительное консультирование и гарантированную конфиденциальность данных, полученных от клиента. Если проанализировать рынок, то в целом большинство таких предложений в одном ценовом диапазоне. Кроме того, компании данной ценовой ниши являются надежными. Это значит, что проблем при приобретении цифровых подписей не будет и завтра такая компания никуда не испарится. 
Цифровые подписи, предлагаемые по цене, выше средней - это 100% только лучшие кадры, уникальный сервис, круглосуточная техническая поддержка и персональные опции. Поэтому не стоит удивляться при виде ценника и кивать на соседа, у которого вышло дешевле. Просто в таких компаниях ориентир на определенный клиентский сегмент - платежеспособный, солидный и требовательный. 

Постскриптум

Конечно данной статьей невозможно рассказать все, что известно. Цифровые подписи это отдельный рынок, особые знания и своя специфика. Тем не менее, очень надеемся, что именно эта статья вместо тысячи слов, комплекта нормативных актов и стопки книг с непонятной терминологией поможет Вам понять, что такое цифровая подпись. Это технология настоящего и будущего. И касается эта технология уже практически каждого рядового гражданина в нашей стране, и большинство компаний и предпринимателей. Поэтому - какую цифровую подпись, где и по какой цене брать - выбор за Вами. Но все же, не гонитесь за дешевизной. Желаем Вам удачного выбора!