СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Блоги
Газинформсервис
28.03.2025
#Статьи #ИБ#Инфра#Облака

Правильная проверка электронной подписи

Правильная проверка электронной подписи

Изображение: recraft

Электронная подпись, или электронная цифровая подпись, — это технология, которая закреплена законодательно в Российской Федерации с января 2002 года, и с тех пор её популярность и широта сферы применения в интересах граждан, бизнеса, государства и даже на межгосударственном уровне неуклонно растёт.

Но, несмотря на, по современным меркам, достаточно обширную историю, тема развития и совершенствования технологий и нормативного обеспечения электронной подписи имеет множество актуальных направлений, среди которых наиболее известные в отечественной практике — машиночитаемые доверенности, длительное архивное хранение документов с ЭП, трансграничное признание ЭП, удалённая (дистанционная, облачная) ЭП. Эти и некоторые другие направления развития основаны на реальной практической их востребованности. Они понятны пользователю и зачастую соответствуют совершенно конкретным бизнес-задачам.

Но при этом, как и в большинстве технологических задач, значительная часть особенностей решения находится «под капотом», то есть далеко не каждый пользователь стремится и даже имеет возможность понять суть применяемого им инструмента.

В этой статье мы обсудим одну из сторон технологии электронной подписи, которая крайне важна для достижения цели, но при этом как раз относится к категории далеко не очевидных и понятных для среднестатистического пользователя. Речь пойдёт о процедуре проверки электронной подписи.

Так сложилось исторически и даже хронологически, что намного более понятна в деталях, раскрыта в нормативах и находится «на кончиках пальцев» процедура подписания электронного документа. Грамотный пользователь знает, что для подписания электронной подписью электронного документа ему нужен «правильный» сертификат, «правильное» средство электронной подписи, «правильный» ключевой носитель, удобный пользовательский интерфейс с одной кнопочкой «подписать». Если весь набор в наличии, то лёгким движением руки пользователь (подписант, сигнатарий) создаёт подпись в электронном документе и счастливо отправляет его в системе электронного документооборота (ЭДО), по e-mail, в мессенджере или даже на отчуждаемом носителе (флешке) туда, куда документ предназначен.

А вот что происходит на принимающей (доверяющей) стороне, что и как «правильно» должен сделать верификатор (тот, кому адресован электронный документ) и кто будет принимать или не принимать юридически значимые действия в зависимости от результата проверки ЭП, описано, обсуждено, разъяснено гораздо в меньшей степени. С нашей точки зрения, это так, потому что верификатору нужно выполнить меньше действий. По сути, ему ничего не нужно делать, если его инструменты (прежде всего, программное обеспечение (ПО)) «правильно» написаны и «правильно» проверяют ЭП. В таком и даже не совсем в таком случае ПО просто выполнит какие-то скрытые от глаз и не требующие действий пользователя процедуры и сообщит ему: «подпись верна» или «подпись не верна». Т. е. пользователь на принимающей (доверяющей) стороне полностью зависит от качества средства ЭП, которое он использует. И, казалось бы, это правильно.

Но, как всегда, есть нюансы…

Тот аспект, что средство электронной подписи функционирует «не в вакууме», а в условиях, как правило, в каждом конкретном случае уникального программно-аппаратного «окружения», вероятно, в профессиональной среде комментировать не нужно.

Есть инструмент, позволяющий оценить, насколько «окружение» соответствует техническим условиям эксплуатации средства электронной подписи, — это экспертиза корректности встраивания (оценка влияния), которая выполняется испытательными лабораториями по решению эксплуатирующей организации. Нужно ли говорить, что такая экспертиза выполняется далеко не всегда, ведь гораздо проще находиться в иллюзии, что раз средство сертифицировано, то оно функционирует корректно в любой ситуации. Но это простая и понятная сторона вопроса, и решение принимает эксплуатирующая организация.

Если такое решение не принято — осознанно или не осознанно, — риски того, что средство ЭП будет функционировать некорректно, эксплуатирующая организация принимает на себя. И пользователь, который доверяет результату проверки электронной подписи, в таких условиях становится заложником этого решения.

Если средство ЭП, например, в конкретном «окружении» не может при проверке подписи получить доступ к спискам отзыва сертификатов и/или OCSP-серверу и при этом недостаточно очевидно информирует пользователя (верификатора) об этом, то риск принятия подписи, основанной на отозванном сертификате, значительно увеличивается. И этот риск ложится на пользователя. Ещё раз отметим, что это — понятное и простое обстоятельство. Есть и более сложные и тонкие аспекты, которые сейчас отданы на уровень глубокой экспертизы, и эксплуатирующим организациям, а тем более конечным пользователям (верификаторам) они, как правило, не известны.

Сформулировать эту часть вопроса можно следующим образом: далеко не все сертифицированные средства электронной подписи проверяют электронную подпись на 100% правильно, и это изначально заложено в условия задачи. Если для пользователя (верификатора) важно получить гарантированно точный результат проверки ЭП, ему недостаточно для проверки ЭП использовать только сертифицированное средство ЭП. Для иллюстрации такой ситуации может быть рассмотрен следующий пример:

Подписывается договор в электронном виде. В процессе подписания у этого контрагента меняется генеральный директор. В общем случае, забота о том, чтобы оперативно отозвать сертификат старого директора, получить сертификат на нового директора и подписать договор электронной подписью нового директора, — забота самого юридического лица. Поэтому вполне жизненной является ситуация, когда договор будет подписан сегодня электронной подписью директора, который вчера сдал свои полномочия. Отследить это несоответствие можно только по выписке из ЕГРЮЛ, которая тоже обновляется с некоторой задержкой. И подписывающая сторона может этим воспользоваться. Кто же проверит ЭП с учётом выписки из ЕГРЮЛ?

Согласно положениям Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи», проверку ЭП осуществляют три сущности:

  • средства электронной подписи (ст. 2, п. 9);
  • удостоверяющий центр (ст. 13 часть 1 п. 9);
  • доверенная третья сторона (ДТС) (ст. 2 п. 17, ст. 18.1 часть 1).

Поскольку в приведённом примере решение может быть только при доступе к ЕГРЮЛ, то из этого списка следует выбрать те способы проверки, которые позволяют при проверке ЭП обратиться к ЕГРЮЛ. И это — УЦ и ДТС. Они осуществляют свою деятельность используя подключение к СМЭВ.

Можно привести ещё массу примеров конкретных жизненных ситуаций, в которых правильно выполнять проверку ЭП не средствами ЭП на рабочем месте или в корпоративной ИС, а реализовывать это как получение услуги от аккредитованного УЦ или ДТС. Возможно, перечень таких кейсов и их классификацию мы предложим в следующих статьях.

Сейчас же предлагаем перейти к выводам

Если задача проверки электронной подписи в организации предполагает определённый уровень ответственности за результат проверки и этот уровень ответственности не может быть обеспечен на уровне пользователя (верификатора), то целесообразно делегировать эту задачу специализированному оператору, который предоставляет такую услугу, обеспечивает её определённым уровнем ответственности. Такими операторами по законодательству РФ являются УЦ и ДТС. При этом опыт взаимодействия с клиентами по данным вопросам позволяет сформулировать следующие клиентские требования к данному сервису:

  1. Клиенту понятно, что конкретно «под капотом» у оператора сервиса;
  2. Клиенту понятно, в соответствии с какими требованиями выполняется проверка;
  3. У оператора сервиса есть SLA;
  4. Ясность и однозначность результата проверки (в т. ч. квитанция соответствует потребностям Заказчика);
  5. Реализация возможности дополнительных проверок;
  6. Возмещение ущерба при ошибках 1 и 2 рода;
  7. Государственный контроль оператора сервиса;
  8. Независимый аудит оператора сервиса.

Если эти условия получения сервиса гарантированной, юридически значимой проверки электронной подписи соответствуют и вашим задачам, то обратите внимание на этот материал и реализуйте этот функционал на основе услуги, предоставляемой аккредитованным УЦ или доверенной третьей стороной.

Статью подготовил советник генерального директора – начальник удостоверяющего центра компании «Газинформсервис» Сергей Кирюшкин

Газинформсервис
Автор: Газинформсервис
«Газинформсервис» — отечественный разработчик программного обеспечения и оборудования для защиты информационной безопасности и комплексной инженерно-технической охраны.
Комментарии: