Об электронной подписи
ЗАО "Консультант Плюс"
Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи"
Принятый Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи" (далее - Закон об новый Закон) существенным образом изменяет правовое регулирование отношений, связанных с подписанием электронных документов. Ранее данные отношения регулировались исключительно Федеральным законом от 10.01.2002 N 1-ФЗ "Об цифровой подписи" (далее - Закон об ЭЦП), который перестанет действовать с 01.07.2012, однако (далее - ЭЦП), выданные в соответствии с этим нормативным актом, можно будет использовать и далее.
Четыре основных требования к электронной подписи. Намерение подписываться - как и традиционные подписи с чернилами, электронная подпись действительна только в том случае, если каждая из сторон намерена подписать. Признание электронных подписей и записей является законным только в том случае, если все стороны предпочитают использовать электронные документы и подписывать их в электронном виде. Электронные записи могут использоваться в сделках с потребителями только в том случае, если у потребителя есть: информация о раскрытии согласия; утвердительно согласился использовать электронные записи для транзакции; и не отозвал такое согласие. Система, используемая для захвата электронной подписи, должна содержать связанную запись, которая отражает процесс, с помощью которого была создана подпись, или генерировать текстовое или графическое заявление, подтверждающее, что оно выполнено с электронной подписью. Задержание записи. Записи электронной подписи должны быть способны удерживать и точно воспроизводить для справки всеми сторонами или лицами, имеющими право на сохранение договора или записи.
- Согласие на ведение бизнеса в электронном виде.
- Ассоциация подписей с записью.
Изменение в правовом регулировании подписания электронных документов было вызвано тем, что Закон об не позволял использовать в иные технологии подтверждения аутентичности текста документа, кроме указанных в этом Законе. Более простые виды электронных подписей (не основанные на технологии ассиметричного шифрования, как ЭЦП) никак не регулировались Законом об ЭЦП, что ставило их за рамки правового регулирования. В связи с этим возникал определенный правовой риск, связанный с признанием соглашения незаключенным, если итоговый электронный документ не был подписан ЭЦП.
Люди во всем мире полагаются на электронные подписи, чтобы убедиться, что бизнес, который они проводят в Интернете, является безопасным и юридически обязательным. Переход от процессов подписи с использованием мокрых чернил к электронным подписям помогает организациям достичь этих целей в области производительности и стал неотъемлемой частью инициатив. Уменьшите использование бумаги в процессах подписи. Переходите к цифровым сквозным и полностью безбумажным, заменив процедуры подписывания и печати корабля с использованием цифровых подписей.
Кроме того, в Пояснительной записке к проекту Закона была приведена неутешительная статистика, свидетельствующая о слабой распространенности ЭЦП в российском деловом обороте. По состоянию на февраль 2007 г. в России было выдано около 200 000 сертификатов что составляет лишь 0,2 процента от населения страны. При этом отмечается, что в Европе за аналогичный период времени от введения в действие Директивы ЕС от 13.12.1999 N 1999/93/ЕС "Об общих принципах электронных подписей" (DIRECTIVE 1999/93/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 1999 on a Community framework for electronic signatures) (далее - Директива ЕС N 1999/93/ЕС) усиленные электронные подписи использовало около 70 процентов населения.
Сократить время, необходимое для завершения контрактов или утверждений с нескольких дней до нескольких минут. Уменьшить риск внешних или внутренних попыток мошенничества, добавив дополнительные уровни доверия, используя многофакторную аутентификацию, цифровые сертификаты и биометрию подписи.
Являются ли электронные подписи законными, допустимыми и подлежащими исполнению? Да, закон гласит, что электронные подписи действительны с предварительного согласия. Статья 25 Положения устанавливает основополагающее правовое правило, согласно которому все электронные подписи и службы поверки допускаются в качестве доказательств в судопроизводстве. Это включает в себя электронные подписи, печати, штампы времени, зарегистрированные службы доставки и сертификаты для проверки подлинности веб-сайтов.
Закон об ЭЦП в принципе не позволяет выдавать юридическим лицам - при том, что именно эти участники оборота чаще используют электронные документы. Закон об электронной подписи устраняет это ограничение, что должно способствовать более широкому распространению электронных подписей в России.
Расширяется и сфера действия электронных подписей, которые теперь можно использовать не только при совершении гражданско-правовых сделок (п. 2 ст. 1 Закона об ЭЦП), но и при оказании государственных и а также "при совершении иных юридически значимых действий" (ст. 1 Закона об электронной подписи).
Закон гласит, что электронная подпись не может быть лишена юридической силы и допустимости в качестве доказательства в судопроизводстве исключительно на основании того, что она находится в электронном виде. Расширенные электронные подписи. Расширенные электронные подписи допускают уникальную идентификацию и аутентификацию подписывающего лица документа, позволяющего проверить целостность подписанного соглашения, как правило, посредством выдачи цифрового сертификата центром сертификации этому подписчику.
Квалифицированные электронные подписи. Хотя как продвинутые, так и квалифицированные электронные подписи однозначно связаны с подписывающим лицом, квалифицированные электронные подписи основаны на квалифицированных сертификатах. Таким образом, хотя в каждом случае нет необходимости использовать квалифицированную электронную подпись, это полезный инструмент при выполнении некоторых типов соглашений.
Закон об электронной подписи вступил в силу 08.04.2011.
Виды электронных подписей
Закон об электронной подписи допускает применение любой информационной технологии средств шифрования и любых криптографических технических устройств, если они соответствуют определенным требованиям надежности (п. 2 ст. 4 Закона).
В ст. 5 Закона об электронной подписи установлены следующие виды электронных подписей, которые регулируются указанным Законом: простая электронная подпись и усиленная электронная подпись. При этом усиленная электронная подпись может быть квалифицированной и неквалифицированной. Указанные виды идентификации участника правоотношений в сфере электронного документооборота отличаются по надежности и сложности получения.
Электронные подписи предоставляют огромную возможность для внутренних консультантов, чтобы облегчить скорость, эффективность и надежность в процессе заключения контрактов. Эти законодатели спрашивали, почему федеральное правительство так медленно приняло электронные подписи - законодательство, которое было призвано помочь им упростить свои процессы.
Тем не менее, ответ федерального правительства не является чем-то необычным. Давайте посмотрим, почему это может быть. Письменные подписи - это, конечно же, рукописные подписи, с которыми мы все знакомы. Они очень безопасны, но также довольно громоздки для реализации и использования, поскольку каждый участник процесса должен сначала получить цифровой сертификат или физический токен от органа выдачи сертификата. Хотя это имеет смысл для сторон, которые имеют регулярные транзакции друг с другом, это неприемлемые хлопоты для большинства потребителей и малого бизнеса.
Разработчики нового Закона позаимствовали установленные в нем виды электронных подписей из Директивы ЕС N 1999/93/ЕС (ст. 2), которая таким же образом предусматривает разделение электронной подписи на простой и усиленный варианты. Отметим, что указанная Директива на территории РФ не действует.
В соответствии с положениями Закона об электронной подписи установлено, что для признания электронного документа подписанным с помощью простой электронной подписи достаточно пройти регистрацию в соответствии с правилами информационного сообщества какой-либо Согласно п. 1 ст. 9 данного Закона простая электронная подпись должна отвечать одному из следующих признаков:
Это может варьироваться от проверки в электронном виде коробки, которая указывает на прием, ввода одного имени в поле данных или нажатия кнопки «Согласен» на лицензию на программное обеспечение. Большое преимущество электронных подписей заключается в том, что они могут использоваться кем угодно, сначала получают цифровой сертификат. Благодаря их быстроте и простоте использования, электронные подписи представляют наибольшую возможность ускорить процесс заключения контрактов для самого большого числа предприятий, правительств и частных лиц.
1) она должна содержаться в самом электронном документе;
Эти признаки разработчики Закона об электронной подписи также взяли из Директивы ЕС N 1999/93/ЕС (п. 2 ст. 5).
Чтобы использовать неквалифицированную электронную подпись, по общему правилу необходимо получить подписи. Однако если соответствие электронной подписи перечисленным признакам может быть обеспечено без использования проверки электронной подписи, то его можно не создавать (п. 5 ст. 5 Закона об электронной подписи).
Эта тревога, по-видимому, возникает из-за убеждения, что письменные подписи заслуживают доверия и надежности, а также опасения, что электронные подписи являются новыми и непроверенными. Ни одна из этих убеждений не является точной. Часто наша зависимость от письменных подписи не оправдана. Внутренний совет знает об этом слишком хорошо. И вот что мы видим слишком часто: соглашение завершается по телефону или электронной почте. Соглашение отправляется по электронной почте, факсу или обычной почте по указанному адресу.
Времена года мерцают, и, наконец, контракт возвращается. При открытии конверта вы видите документ, который, как представляется, отправляется версией, возможно, с тем же адресом, адресом электронной почты или номером факса, на который он был отправлен, с карандашом, который может быть от лица, которому, по вашему мнению, принадлежит подпись что может быть или не быть ее фактической подписью. Тем не менее, это процесс, на который мы полагаемся.
1) получен квалифицированный сертификат, в котором указывается ключ проверки такой электронной подписи;
2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в Законе об электронной подписи.
Данные признаки позволяют сравнивать с ЭЦП и с квалифицированной электронной подписью, требования к которой предусмотрены в ст. 5 Директивы ЕС N 1999/93/ЕС. Закон устанавливает, что требования к квалифицированной электронной подписи предъявляются такие же, как и к указанным двум видам электронных подписей.
Мы находимся в эпоху создания, редактирования, обмена, маршрутизации и архивирования документов в электронном виде. Только для этого единственного акта подписания мы внезапно переносятся в допиксельный век, распечатываем печатную копию, вытаскиваем наши колодки, распускаем наши перья и подписываем. Можно было бы разумно предположить, что адвокат убежит от такого ненадежного процесса, но многие этого не делают.
Отчасти это связано с тем, что многие по-прежнему видят электронные подписи в качестве новых и непроверенных. И не имеет значения, что в одном в то время как в другом случае более тонкая жидкость, известная как электричество, выполняет тот же офис. Тем не менее, многие противостоят электронным подписям просто потому, что никогда не выполняли их. Исследования того, как мы воспринимаем риск, последовательно показывают, что мы резко переоцениваем риск чего-либо нового. Неопределенность и страх перед неизвестными работами подрывают наш обычный процесс оценки риска.
Закон об электронной подписи также предоставляет участникам правоотношений по своему усмотрению использовать любой вид электронных подписей из числа предусмотренных Законом.
Особо оговаривается, что согласно ст. 7 нового Закона электронные подписи, созданные в соответствии с нормами права или международными соглашениями, признаются на территории России как электронные подписи того вида, под признаки которых они подпадают.
Тем не менее, по сравнению с письменными подписями, электронные подписи намного безопаснее и проще в использовании. Контракты могут быть подписаны с планшетов и смартфонов, что позволяет руководителям подписывать документы во время поездок или в отпуске. Это устраняет общую проблему бизнес-шлифовки, которая останавливается, а ключевые участники подписываются. Кроме того, электронные подписки позволяют всем задействованным поддерживать видимость статуса реального времени, в котором каждый документ находится в процессе подписания.
Управление цифровыми правами может быть разрешено в документах, предоставляя советникам спокойствие, что никаких изменений в окончательных версиях не было. Тем не менее, внутренний адвокат может предпринять некоторые основные шаги для плавного перехода на электронные подписи. Во-первых, обязательно получите согласие. Контракт должен содержать положение о том, что все стороны этого договора соглашаются подписывать в электронном виде. Во-вторых, всегда необходимо сохранять электронную копию договора в соответствии с обычной ведомственной практикой.
Электронная подпись юридического лица или государственного органа
Новый Закон допускает получение электронной подписи, в частности, юридическими лицами или государственными органами, что не допускалось Законом об ЭЦП.
В п. 11 ст. 2 нового Закона установлено, что взаимодействия могут быть, помимо прочих, и организации. Данная норма вызывает интерес прежде всего в соотношении с п. 1 ст. 53 ГК РФ, которая устанавливает, что "юридическое лицо приобретает гражданские права и принимает на себя гражданские обязанности через свои органы <...>".
В-третьих, желательно сохранить копию протокола аудита контракта. Наконец, для всех сторон для их ссылки и архивирования должна быть отправлена полная, полностью исполняемая полная электронная копия контракта. Электронные подписи стали одним из основных механизмов выполнения соглашений. Адвокаты, которые используют их, не только находят их безопасным, эффективным способом ведения бизнеса, но часто отмечают, что они не могли себе представить, как вернуться к бумажным процессам. Для тех, кто не перешел на электронные подписи, все, что требуется, - это одно для того, чтобы проглотить и сделать прыжок.
В связи с этим в п. 3 ст. 14 Закона об электронной подписи специально оговаривается, что при получении сертификата ключа проверки электронной подписи юридического лица необходимо указывать, помимо наименования юридического лица - владельца этого сертификата, и физическое лицо, действующее от его имени на основании или доверенности. Однако в этой же норме предусмотрены случаи, когда такие лица могут не указываться, и тогда единственным владельцем указанного сертификата будет юридическое лицо. Такую подпись можно использовать при оказании государственныхи муниципальных услуг, при исполнении государственных и муниципальных функций, а также в иных случаях, предусмотренных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами.
«Данные в электронном виде, прикрепленные к другим электронным данным или логически связанные с ним и используемые для его аутентификации». По сути, это означает, что вместо бумажного документа, подписанного вручную, один и тот же документ также может быть электронно «подписан» и подписан в электронной форме.
Такой подход экономит время и ресурсы в эпоху цифровых технологий. В отличие от рукописных документов, которые всегда связаны с обходами. Законодатель выделяет три типа электронной подписи. Простая электронная подпись Никакие специальные требования не предъявляются к простой электронной подписи. Нет требований в отношении поддельной безопасности или неменяемости подписанного документа. Простые электронные подписи включают, например, подписи, которые сканируются как изображение под документом. Или просто указание отправителя по электронной почте может быть простой подписью.
Новый Закон не указывает, как разрешать правовые проблемы, которые могут возникнуть в связи с прекращением доверенности, увольнением или смертью физического лица, указанного в сертификате ключа проверки электронной подписи юридического лица. Неясно, прекращается ли в этих случаях действие такого сертификата и можно ли в упрощенном порядке включить в сертификат другое лицо в качестве его владельца. Иные сложности могут возникнуть при использовании электронной подписи юридического лица должностным лицом, превысившим свои полномочия. Такое физическое лицо является лишь "совладельцем" сертификата ключа проверки электронной подписи юридического лица и может иметь свою собственную электронную подпись, поэтому возникает справедливости применения последствий, предусмотренных в п. 1 ст. 183 ГК РФ. Контрагент по сделке, подписанной электронной подписью юридического лица с превышением полномочий должностного лица, вероятно, ориентировался прежде всего на принадлежность этой подписи юридическому лицу, а не должностному. Поэтому применение указанных в Гражданском кодексе РФ последствий к такой сделке может несправедливо ущемлять интересы контрагента.
Расширенная электронная подпись. Расширенная электронная подпись является значительным расширением простой подписи. Расширенная электронная подпись должна неразрывно связана с документом, к которому он относится. Последующие изменения документа должны поддаваться проверке. Должна быть возможность просто передать существующую подпись другому документу. Расширенная электронная подпись должна позволять идентифицировать подписавшего. Кроме того, средства, необходимые для составления передовой электронной подписи, должны находиться под единственным контролем подписавшего.
Проблемы использования электронной подписи юридического лица еще больше обострятся при отсутствии в сертификате ключа проверки электронной подписи "совладельца" (физического лица) этого сертификата. В этом случае может возникнуть ситуация правовой неопределенности в отношении одобрения сделки, оформленной с использованием такой подписи. Если спорный договор был подписан не конкретным должностным лицом (или представителем) юридического лица, а непосредственно юридическим лицом, то возникает вопрос о целесообразности одобрения такой сделки уполномоченными на то органами юридического лица.
Исходя из того, что участники электронного взаимодействия в соответствии с п. 1 ст. 4 нового Закона вправе использовать электронную подпись любого вида, юридические лица могут использовать и простую электронную подпись. Каких-либо особенностей такого использования в нормативных актах пока не установлено.
Соотношение электронных документов с документами на бумажном носителе
В ст. 6 Закона об электронной подписи установлено соотношение электронных документов, заверенных электронными подписями, с подписанными собственноручно и заверенными печатью документами на бумажном носителе.
В отношении электронных документов, заверенных установлена презумпция соответствия документу в бумажной форме, имеющему собственноручную подпись участника правоотношений. Таким образом, подписанный указанным способом электронный документ не может быть отвергнут контрагентом лишь по той причине, что он не был подготовлен на бумажном носителе и подписан собственноручно. Исключениями из этого правила являются случаи, когда документ может быть составлен только на бумаге. Такие случаи могут быть установлены федеральными законами или принимаемыми в соответствии с ними нормативными актами.
В отношении же простой и неквалифицированной электронных подписей установлена обратная презумпция. Электронные документы, подписанные такими видами электронных подписей, признаются равнозначными подписанным вручную документам на бумажном носителе только тогда, когда это указано в федеральном законе или принимаемом в соответствии с ним нормативном акте либо установлено соглашением сторон. Тем самым придается юридическая сила договоренностям, достигнутым при использовании электронного документооборота, если контрагенты приняли правила регистрации и персональной идентификации, установленные на информационном ресурсе (к примеру, торговая площадка, сайт, форум, электронная почта). Соглашения и документы, удостоверяемые в таких закрытых системах с использованием авторизации типа "логин-пароль", могут иметь юридическую силу, равную договоренностям, закрепленным на бумажном носителе и подписанным собственноручно. Для этого средства электронной подписи должны соответствовать требованиям надежности, установленным в ст. 9 Закона об электронной подписи.
Судебная практика и сейчас признает возможность путем обмена сообщениями по электронной или факсимильной связи, если можно достоверно установить, что документ исходит от контрагента (см., к примеру, Постановление Восьмого арбитражного апелляционного суда от 11.11.2010 по делу N А75-1256/2010). Более того, действующее Постановление Правительства РФ от 27.09.2007 N 612 "Об утверждении Правил продажи товаров дистанционным способом" в п. 20 признает сообщение потребителя о намерении приобрести товар дистанционным способом (по телефону или по интернету) моментом заключения договора.
В отношении документов, которые должны быть заверены печатью, установлено следующее правило. По общему правилу аналогом такого документа на бумажном носителе может быть электронный документ, подписанный любым видом усиленной электронной подписи и признаваемый равнозначным документу на бумажном носителе.
Подтверждение принадлежности ключа электронной подписи ее владельцу
В Законе об ЭЦП предусматривалось подтверждение ключа ЭЦП только с использованием сертификата ключа электронной подписи. Возможность выдачи таких документов сохранена и в Законе об электронной подписи, хотя она уже не является обязательной для некоторых видов подписей.
В частности, для простой электронной подписи не требуется выдачи какого-либо удостоверяющего документа ни в бумажном, ни в электронном виде. Для неквалифицированной электронной подписи по общему правилу необходимо получить сертификат ключа проверки электронной подписи (далее - сертификат ключа), хотя в некоторых случаях этот документ также можно не получать (п. 5 ст. 5 Закона об электронной подписи). Для квалифицированной электронной подписи получение квалифицированного сертификата ключа электронной подписи необходимо во всех случаях (пп. 1 п. 4 ст. 5 Закона об электронной подписи).
Согласно ст. 14 Закона об электронной подписи сертификат ключа может выдаваться как в электронном, так и в бумажном виде. Указанный сертификат выдается или его доверенными лицами. Требования к содержанию сертификата ключа остались практически теми же, что и приведенные в ст. 6 Закона об ЭЦП.
Под квалифицированным сертификатом ключа проверки электронной подписи (далее - квалифицированный сертификат) в Законе об электронной подписи понимается особый сертификат ключа, выданный удостоверяющим центром или его доверенным лицом либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.
Квалифицированный сертификат должен содержать следующую информацию:
1) уникальный номер квалифицированного сертификата, даты начала и окончания его действия;
2) фамилия, имя и отчество владельца квалифицированного сертификата (для физического лица) либо наименование, место нахождения и основной государственный регистрационный номер владельца квалифицированного сертификата (для юридического лица);
3) номер индивидуального лицевого счета владельца квалифицированного сертификата (для физического лица) либо идентификационный номер налогоплательщика (ИНН) владельца квалифицированного сертификата - для юридического лица;
4) ключ проверки электронной подписи;
5) наименования средств электронной подписи и средств аккредитованного удостоверяющего центра, которые использованы для создания ключа электронной подписи, ключа проверки электронной подписи, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в Законе об электронной подписи;
6) наименование и место нахождения аккредитованного удостоверяющего центра, который выдал квалифицированный сертификат, а также номер квалифицированного сертификата этого удостоверяющего центра;
7) ограничения использования квалифицированного сертификата (если установлены);
8) иная информация о владельце квалифицированного сертификата (по требованию заявителя).
Удостоверяющие центры
Закон об электронной подписи предполагает существование удостоверяющих центров, как это было предусмотрено Законом об ЭЦП. Однако новый Закон предполагает возможным создание отдельных видов электронных подписей без использования услуг удостоверяющих центров, тогда как получить ЭЦП без обращения к таким организациям было невозможно. К примеру, без обращения к услугам удостоверяющих центров можно получить и использовать простую электронную подпись. Таким же образом может быть использована неквалифицированная электронная подпись, соответствующая всем требованиям надежности, которые предъявляет новый Закон (п. 5 ст. 5).
В Законе об электронной подписи предусмотрено разделение удостоверяющих центров на имеющие и не имеющие аккредитацию. Последние смогут выдавать только сертификаты ключа, а квалифицированные сертификаты будут выдавать исключительно аккредитованные удостоверяющие центры.
Таким образом, для получения квалифицированной электронной подписи необходимо обращаться в аккредитованный удостоверяющий центр.
Удостоверяющим центром может быть юридическое лицо (в том числе и созданное по иностранному праву) или индивидуальный предприниматель Ограничений относительно организационно-правовой формы такого юридического лица Закон об электронной подписи не содержит.
Аккредитацию удостоверяющих центров проводит уполномоченный федеральный орган на добровольной основе. Аккредитация осуществляется сроком на пять лет.
Требования к условиям аккредитации установлены в п. 3 ст. 16 Закона об электронной подписи:
Наличие чистых активов не менее одного миллиона рублей;
Наличие обеспечения за убытки, причиненные третьим лицам, в размере не менее полутора миллионов рублей;
Наличие средств электронной подписи и средств удостоверяющего центра, соответствующих требованиям ФСБ России;
Наличие в штате не менее двух специалистов в области криптографии и информационных технологий.
Отказать в аккредитации можно при несоответствии указанным требованиям, а также при наличии в представленных им документах недостоверной информации.
Использование электронной подписи при оказании государственных и муниципальных услуг
Вместе с Законом об электронной подписи был принят и Федеральный закон от 06.04.2011 N 65-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "Об электронной подписи".
В Федеральный закон от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (далее - Закон N 210-ФЗ) были внесены изменения в части, регулирующей использование электронной подписи при обращении в органы государственной власти и органы местного самоуправления за государственными и муниципальными услугами. Закон N 210-ФЗ был дополнен ст. ст. 21.1 и 21.2, предусматривающими принятие специального Постановления Правительства РФ. В нем будут установлены требования к электронным подписям, используемым при оказании государственных и муниципальных услуг. Аналогичная норма содержится и в п. 2 ст. 3 Закона об электронной подписи.
В ч. 2 ст. 21.2 Закона N 210-ФЗ поясняется, что любым физическим и юридическим лицам должна быть предоставлена возможность бесплатного использования простых электронных подписей, не требующих специальных программных или технических средств.
23 декабря 2015 года Государственной думой в 3м чтении был принят проект ФЗ-445 об изменении в 63-ФЗ «об электронной подписи». Так как многие коллеги еще не знакомы с этим законом, хотелось бы донести и рассказать чего коснутся изменения и как он повлияет на развитие единого пространства доверия в Российской Федерации. Но обо всем по порядку.
До настоящего момента, каждый удостоверяющий центр (далее УЦ), после прохождения аккредитации САМ выпускал себе ключевую пару (открытый и закрытый ключи УЦ) и сертификат проверки ключа электронной подписи (далее сертификат). Основной особенностью сертификата было то, что он был выпущен самим УЦ и подписан его подписью (такой вариант сертификата называется «самоподписанный»). Далее этот сертификат предоставлялся оператору Головного удостоверяющего центра Российской федерации (далее ГУЦ), где, данный самоподписанный сертификат включался в доверенные и ГУЦ публиковался на портале ГУЦ как доверенный.
В итоге такой схемы взаимодействия УЦ с ГУЦ мы получали изоляцию пространств доверия каждого отдельного УЦ, так как все операционные системы и прикладное ПО проводят проверку сертификата ключа по цепочке сертификации, до тех пор, пока издатель сертификата не совпадет с владельцем сертификата. Таким образом получалась картина, что для того чтобы два пользователя с сертификатами двух разных УЦ доверяли друг другу, им было необходимо добавить сертификаты УЦ друг друга в доверенные. Тут специалисты мне вежливо укажут на кросс-сертификаты между УЦ, но я уверенно отвечу – это костыли, и объясню почему: Представьте, что вы в сети интернет и вы ходите от одного узла сети к другому, каждый из которых использует сертификат своего УЦ. Тогда, для обеспечения доверия всем узлам (они и правда доверенные) вам придётся иметь у себя локально сертификаты всех УЦ в Российской Федерации. Более того, вам придётся их самостоятельно поддерживать в актуальном состоянии. Оно вам надо?
У этой разобщенности есть и еще один минус – для работы в пространстве доверия каждого УЦ вам необходимо получать ЭП именно этого УЦ или УЦ входящего в пространство доверия этого УЦ. Это порождало требования к множественности квалифицированной ЭП у одного лица и известные коммерческие схемы, например как на представленной картинке:
Что произойдет в итоге изменений в 63-ФЗ внесенных 30 декабря 2015:
1. «Удостоверяющему центру запрещается указывать в создаваемом им сертификате ключа проверки электронной подписи ключ проверки электронной подписи, который содержится в сертификате ключа проверки электронной подписи, выданном этому удостоверяющему центру любым другим удостоверяющим центром.»
Или «переводя с русского на русский» УЦ теперь запрещено самостоятельно генерировать себе «самоподписанные» сертификаты.
Более того, уточняется: «Аккредитованный удостоверяющий центр для подписания от своего имени квалифицированных сертификатов обязан использовать квалифицированную электронную подпись, основанную на квалифицированном сертификате, выданном ему головным удостоверяющим центром, функции которого осуществляет уполномоченный федеральный орган. Аккредитованному удостоверяющему центру запрещается использовать квалифицированную электронную подпись, основанную на квалифицированном сертификате, выданном ему головным удостоверяющим центром, функции которого осуществляет уполномоченный федеральный орган, для подписания сертификатов, не являющихся квалифицированными сертификатами».
То есть, теперь не важно, кем выдан сертификат вашего ключа ЭП , так как все сертификаты проверки ключа ЭП позволяют построить цепочки сертификатов до Головного Удостоверяющего центра. И все что остается пользователю – иметь в доверенных только сертификат ГУЦ.
2. «Аккредитованный удостоверяющий центр не вправе наделять третьих лиц полномочиями по созданию ключей квалифицированных электронных подписей и квалифицированных сертификатов от имени такого аккредитованного удостоверяющего центра» - тут без комментариев, см. картинку выше.
3. «Операторы государственных и муниципальных информационных систем, а также информационных систем, использование которых предусмотрено нормативными правовыми актами, или информационных систем общего пользования не вправе требовать наличие в квалифицированном сертификате информации, ограничивающей его применение в иных информационных системах», или переводя на русский:
Ведомствам издателям сертификатов теперь ЗАПРЕЩЕНО вносить с сертификаты дополнительные поля и требования их обязательности. Это, безусловно, убьет интересы ФНС, Росреестра и прочих ведомств требующих наличия только «своих» сертификатов. Зато, теперь, имея одну единственную квалифицированную ЭП вы можете быть авторизованы и использовать ВСЕ государственные информационные системы.
4. Исправлены досадные неточности в 63-ФЗ, например, связанные с тем, что СКЗИ должно самостоятельно визуализировать подписываемый документ, и пр..
5. Увеличена ответственность УЦ за причинение убытков третьим лицам, уточнены требования к срокам публикации списков отозванных сертификатов и их доступности в сети Интернет.
Резюмирую. Предложенные Минкомсвязью и принятые государственной думой изменения в закон о электронной подписи сильно упростят жизнь простых пользователей ЭП, и позволят им использовать одну подпись для доступа ко всем государственным ресурсам. С другой стороны эти изменения не сильно усложнят жизнь УЦ, так как теперь вместо запроса на «подписание кросса» в ИС ГУЦ, они обязаны будут делать запрос на подчиненный сертификат (это все тот же запрос PKCS#10 и ПО менять не придётся).
В итоге через несколько лет мы получим единое и связное пространство доверия, в котором пользователи смогут чувствовать себя комфортно и использовать свои российские сертификаты для своих интернет-страничек, что в настоящее время не возможно.
Скажу честно, я доволен работой МКС по развитию пространства доверия, которое перерастает детские болезни в области использования ЭП в России, давно пора.
