Общие положения
X.509
- Шифрование – защищает данные от несанкционированного доступа третьих лиц путём шифрования данных криптографическими ключами. Только пользователи, имеющие необходимые ключи, могут получить доступ к данным. Шифрование обеспечивает секретность данных, но не защищает от их подмены.
- Цифровая подпись – защищает данные от несанкционированного изменения или подделки путём применения к данным специальных алгоритмов, которые образуют цифровую подпись. Любые манипуляции по изменению данных будут немедленно обнаружены при проверке цифровой подписи. Цифровая подпись обеспечивает не конфиденциальность данных, а их целостность. Путём комбинирования шифрования и цифровой подписи можно организовать обеспечение конфиденциальности и защиты данных от несанкционированных изменений.
- Центр Сертификации (ЦС) – служба, предоставляющая цифровые сертификаты потребителям и обеспечивающая функционирование PKI.
- Сервер отзыва – служба, предоставляющая информацию о списках отозванных (скомпрометированных или недействительных) сертификатов, выпущенных конкретным ЦС.
- Клиент – получатель заверенного цифрового сертификата от центра сертификации. Клиентами могут выступать люди, устройства, программное обеспечение, а также другие ЦС.
Корневой ЦС – специальный тип ЦС, который имеет самоподписанный сертификат и является корнем дерева (отсюда и название). Этот тип ЦС является стартовой точкой доверия ко всем сертификатам в данной иерархии (дерева). Иными словами, клиент должен явно доверять конкретному корневому сертификату (а именно, комбинации: издатель и открытый ключ), чтобы доверять сертификатам, находящимся в остальной части дерева
Важно отметить, что доверие транзитивно. Клиент при проверке конечного сертификата будет выстраивать цепочку (путь) от конечного сертификата до вершины иерархии (корневого сертификата)
И если клиент доверяет вершине, то будут и основания доверять конечному сертификату на правах транзитивности.
ЦС политик – технически, это такой же ЦС, как и все остальные (в разрезе иерархии), с тем отличием, что дополняется внешними политиками и ограничениями по выдаче и использования цифровых сертификатов.
Издающий ЦС – это ЦС общего назначения, который выполняет подпись и выдачу цифровых сертификатов потребителям.
Certificate Chaining Engine — how it works
Документы для получения ЭЦП
Перечень документов для физических лиц:
— заявление на выдачу ЭП;
— паспорт гражданина РФ (копии страницы с фотографией и страницы с пропиской);
— свидетельство о постановке на учет в налоговом органе (ИНН);
— страховое свидетельство государственного пенсионного страхования (СНИЛС).
Если документы подает или получает электронную подпись не сам владелец ЭП, а его уполномоченный представитель, то необходимо предоставить заверенную нотариусом доверенность на этого представителя.
Если же владелец ЭП передает все функции по ее получению своему уполномоченному представителю, то в список необходимой документации также входит удостоверение личности (паспорт гражданина РФ) этого уполномоченного представителя.
Перечень документов для юридических лиц:
— заявление на выдачу ЭП;
— свидетельство о государственной регистрации юридического лица (ОГРН);
— свидетельство о постановке на учет в налоговом органе (ИНН);
— выписка из ЕГРЮЛ, сроком не более полугода с момента её получения (оригинал или нотариально заверенная копия);
Примечание: Требования к сроку давности выписки у разных УЦ могут отличаться.
— паспорт гражданина РФ будущего владельца ЭП (копии страницы с фотографией и страницы с пропиской);
— страховое свидетельство государственного пенсионного страхования (СНИЛС) владельца ЭП;
Если ЭП изготавливается на имя руководителя организации, то необходимо также предоставить документ о назначении руководителя с его подписью и печатью организации;
Если же владельцем ЭП будет являться не первое лицо, а сотрудник организации (её уполномоченный представитель), то необходимо предоставить в составе документов доверенность о передаче такому сотруднику полномочий с подписью руководителя и печатью организации;
Если документы подает или получает электронную подпись не сам владелец ЭП, а уполномоченный представитель юридического лица, то необходимо предоставить доверенность на передачу ему функций с подписью руководителя и печатью организации, а также удостоверение личности (паспорт гражданина РФ) такого представителя.
Перечень документов для индивидуальных предпринимателей (ИП):
— заявление на выдачу ЭП;
— свидетельство о государственной регистрации ИП;
— свидетельство о постановке на учет в налоговом органе (ИНН);
— выписка из ЕГРИП, сроком не более полугода с момента её получения (оригинал или нотариально заверенная копия);
Примечание: Требования к сроку давности выписки у разных УЦ могут отличаться.
— паспорт гражданина РФ (копии страницы с фотографией и страницы с пропиской);
— страховое свидетельство государственного пенсионного страхования (СНИЛС);
Если документы подает или получает электронную подпись не сам владелец ЭП, а его уполномоченный представитель, то необходимо предоставить заверенную нотариусом доверенность на этого представителя.
Если же владелец ЭП передает все функции по ее получению своему уполномоченному представителю, то в список необходимой документации также входит удостоверение личности (паспорт гражданина РФ) этого уполномоченного представителя.
Какие изменения ждут в 2019 году?
Есть ещё один момент, на который организации обязательно нужно обратить внимание, если она затеяла внедрение квалифицированной ЭП, — до 31 декабря 2019 года необходимо перейти на использование схемы создания электронной подписи по стандарту «ГОСТ Р 34.10-2012. Информационная технология (ИТ)
Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». Раньше использовался стандарт ГОСТ 34.10-2001.
Из этого следует, что при внедрении ЭП по новому ГОСТу важно учесть возможности инфраструктуры — есть большая вероятность, что понадобится обновление ОС или СЭД, например, — и выбрать надежного криптопровайдера. Тем, кто уже использует ЭП, возможно предстоит замена криптопровайдера и обновление инфраструктуры.
Получение сертификата
- Об удостоверяющем центре
- Новости УЦ
- Онлайн сервис подачи документов для получения сертификатов
- Услуги УЦ
- Инструкции и разъяснения
- Формы документов и программное обеспечение
- Типы поддерживаемых носителей
- Нормативные документы
- Корневые сертификаты и списки аннулированных сертификатов
- Вопросы и ответы
- Контакты и режим работы
ПОРЯДОК ПОЛУЧЕНИЯ КВАЛИФИЦИРОВАННЫХ СЕРТИФИКАТОВ КЛЮЧЕЙ ПРОВЕРКИ ЭЛЕКТРОННОЙ ПОДПИСИ
Уважаемые клиенты!
Перед посещением Удостоверяющего центра ознакомьтесь с разделом Новости УЦ!
При подготовке документов Наименование организации необходимо указывать в соответствии с ЕГРЮЛ (сверка идет даже на пробелы и кавычки). Проверить Наименование организации можно тут https://egrul.nalog.ru/
Так же рекомендуется проверить привязку паспорта РФ к ИНН физического лица. Проверить можно тут https://service.nalog.ru/inn.do
При наличии расхождений с ЕГРЮЛ и Налоговой в выдаче сертификата будет отказано.
1. Новым заявителям необходимо предоставить заявку на включение в реестр организаций Подсистемы ввода, проверки и централизованного хранения сведений, предоставленных заявителями информационной системы «Удостоверяющий центр Федерального казначейства».
2. Создать запрос на квалифицированный сертификат с помощьюПортала «Формирование запросов на сертификаты» информационной системы «Удостоверяющий центр Федерального казначейства».
Для работы на портале «Формирование запросов на сертификаты» убедитесь, что на Вашем автоматизированном рабочем месте установлены:
3. Предоставить в РЦР следующий комплект документов:
4. Получить сертификат
5. Установить Сертификат на рабочем месте
Для этого необходимо установить:
- Корневые сертификаты в соответствии с Инструкцией по установке корневых сертификатов ГУЦ и УЦ ФК;
- Личный сертификат в соответствии с Инструкцией по установке личного сертификата.
- Если сертификат будет использоваться для работы в ГИИС “Электронный бюджет”, необходимо предоставить в РЦР заявку на подключение к ГИИС “Электронный бюджет”(образцы заявок представлены в разделе ГИС-Электронный бюджет).
Дополнительно настроить рабочее место для Работы с ЭП:
- Настройка рабочего места для работы с СУФД;
- Настройка рабочего места для работы с ЕИС;
- Настройка рабочего места для работы в Электронном Бюджете.
Если на следующий день после получения сертификата, Ваша новая подпись так и не отобразилась на портале СУФД, то Вам необходимо отправить письмо на электронную почту
ufk73-oto@roskazna.ru с темой письма «сертификат» (если тема не указывается, письмо автоматически уходит в спам). В самом письме необходимо указать ФИО подписантов, чьи сертификаты не привязаны и логин организации в СУФД, также прикрепить файлы с расширением .cer, помещенные в архив rar или zip
Адрес электронной почты для направления вопросов в РЦР: ufk73_rcr@roskazna.ru
Порядок получения сертификата
ПОРЯДОК ПОЛУЧЕНИЯ КВАЛИФИЦИРОВАННЫХ СЕРТИФИКАТОВ КЛЮЧЕЙ ПРОВЕРКИ ЭЛЕКТРОННОЙ ПОДПИСИ
Уважаемые клиенты!
1. Получить (при необходимости) средства криптографической защиты информации (далее – СКЗИ).
Для этого предоставить:
а) документы в соответствии с Порядком приема-передачи средств криптографической защиты информации Управления Федерального казначейства по Московской области (количество запрашиваемых лицензий на СКЗИ не должно превышать количество сотрудников (владельцев сертификата), наделенных правом подписи электронных документов);
б) оптический носитель однократной записи (CD-R, DVD-R).
В случае возникновения вопросов по выдаче СКЗИ обращаться по телефону:
8(495)214-97-44
2. Создать запрос на квалифицированный сертификат с помощью Портала «Формирование запросов на сертификаты» информационной системы «Удостоверяющий центр Федерального казначейства».
Для работы на портале «Формирование запросов на сертификаты» убедитесь, что на Вашем автоматизированном рабочем месте установлены:
– Интернет-браузер InternetExplorer версии 9.0 и выше;
– Средство криптографической защиты информации «КриптоПро CSP» версии 4.0;
– КриптоПро ЭЦП Browser Plugin версии 2.0
Перед формированием запроса на получение сертификата рекомендуется:
– проверить привязку документа удостоверяющего личность к ИНН физического лица (проверить можно тут https://service.nalog.ru/inn.do);
– проверить паспорт РФ по списку недействительных российских паспортов (проверить можно тут http://сервисы.гувм.мвд.рф/info-service.htm?sid=2000).
Для формирования воспользуйтесь Инструкцией по работе на портале.
После подачи запроса, на указанный при генерации адрес электронной почты, будет направлено оповещение:
– в случае успешно пройденных проверок по сервисам Системы межведомственного электронного взаимодействия (СМЭВ), придет приглашение на сдачу документов;
– в случае отрицательной проверки по сервисам СМЭВ, будет направлен отказ.
«Типовые рекомендации для получателей квалифицированных сертификатов в ТОФК»
После устранения расхождений данных в соответствующих органах, необходимо повторно направить запрос.
3. Предоставить в Региональный центр регистрации (далее – РЦР)/Удаленный региональный центр регистрации (далее – УРЦР) следующий комплект документов:
ВНИМАНИЕ! Предоставление документов для изготовления квалифицированного сертификата ключа проверки электронной подписи и выдача сертификата осуществляется после идентификации лица, обратившегося за получением сертификата, и подтверждения его правомочия обращаться за получением сертификата. Идентификация проводится при личном присутствии по основному документу, удостоверяющему личность
*Клиентам Управления (г. Москва, ул. Дербеневская, д. 5, каб. 102), необходимо заказать пропуск в здание Управления за один рабочий день до посещения по тел.: 8(495)214-97-43.
а) заявление на получение квалифицированного сертификата ключа проверки ЭП, распечатанное и подписанное в одном экземпляре;
б) доверенность от лица организации на владельца сертификата;
Доверенность оформляется от Руководителя организации (или лица, его замещающего, с предъявлением документа, подтверждающего полномочия действовать от имени Заявителя (Организации)) на владельца сертификата.
*В случае получения Сертификата руководителем (Врио, Ио) организации представляется документ, подтверждающий его полномочия, либо копия документа, заверенная организацией, издавшей данный документ.
в) В случае получения Сертификата руководителем подведомственной организации (филиал, подразделение и т.д.), а также его сотрудников представляется документ, подтверждающий его полномочия действовать и подписывать документы от имени головной организации. Рекомендуемая форма доверенности.
г) Доверенность на подписание документов от имени Заявителя в подсистеме бюджетного планирования государственной интегрированной информационной системы «Электронный бюджет».
4. Получить сертификат.
В течение шести рабочих дней после предоставления документов в РЦР/УРЦР, на адрес электронной почты, указанный при формировании запроса, придет уведомление о готовности сертификата.
Теперь по Борщеву HTTPS
- Очевидно, что на своей стороне вы можете только сгенерировать приватный ключ и запрос на подпись сертификата.
- При генерировании запроса в качестве Common Name обязательно нужно указывать ServerName вашего виртуального хоста и все алиасы, которые вы пропишете для него в конфигурации веб-сервера. Например, domain.tld и www.domain.tld, хотя «www» CA обычно сами добавляют при выпуске сертификатов. Чаще всего можно указать просто *.domain.tld (чтобы запросить так называемый wildcard certificate), но возможно ли это, нужно узнавать у конкретного CA, а также четко понимать последствия такого решения. Как правило, общедоступные CA не дают в качестве алиаса использовать IP-адрес.
- При генерировании запроса не стоит указывать challenge password, иначе вам придется вводить его вручную при каждом рестарте веб-сервера.
- Обычно общедоступные CA — это маститые конторы вроде Comodo,
Symantecи GoDaddy. Выпуск сертификата стоит денег, а хорошего сертификата — много денег. Впрочем, помимо них относительно недавно существует Let’s Encrypt — бесплатный проект, которому склонны доверять многие, но я бы очень хорошо подумал, какие ресурсы и при каких обстоятельствах защищать их сертификатами. - Эти ребята договорились с другими ребятами таким образом, что последние предустанавливают сертификаты (публичные части ключей, т.е. ca.crt из прошлого примера) этих CA в свои браузеры. То есть о PKI как таковой речи быть не может. Просто все договорились верить определенным компаниям. Это не плохо, так как HTTPS в конечном итоге нужен для шифрования трафика, а шифровать его можно и самоподписанной парой ключей. Скорее, тут вопрос престижа, чтобы не светить на весь интернет предупреждением о просроченном/недействительном сертификате.
- Некоторые особо одаренные CA предлагают для удобства сгенерировать приватный ключ и CSR за вас. Этого делать не надо. Надеюсь, понятно, почему.
- О сроке действия сертификатов. Всегда нужно заранее продумать систему их своевременного обновления. Особенно это актуально для сертификатов от Let’s Encrypt, срок действия которых составляет всего 3 месяца (на момент написания).
- И о договоренностях между «этими ребятами». Как оказалось после давешней фееричной истории с Google и Symantec, теперь нужно уметь подстелить соломки и на такой «веселый» случай.
Простая электронная подпись
Технически она реализуется путем авторизации в СЭД с помощью логина и пароля (они выступают в роли «ключа»), так что любое действие пользователя – согласование документа или подтверждение, что с документом ознакомлен, – фиксируется в системе. Этот на первый взгляд весьма простой трюк позволяет наладить внутри компании быстрый обмен документами, ускорить согласование, подписание, ознакомление с документами без бумажной волокиты и лишней беготни с листочками из кабинета в кабинет.
Обязательное условие для внедрения такой подписи — подготовка регламентных документов. Это самый важный и сложный этап, поскольку необходимо продумать и прописать все действия: какие документы, в соответствии с Административным регламентом или другим нормативно-правовым актом, можно «подписывать», «согласовывать», с какими можно «ознакомиться» с помощью ЭП. Также возможность использования ЭП в качестве замены собственноручной подписи на электронных документах должна быть прописана в трудовом договоре с сотрудником. То есть после того, как сотрудник авторизовался в системе, все его действия регистрируются, и более того, факт ознакомления с документами, содержащимися в СЭД, или выполнения определенных действий в системе может быть доказан в ходе судебного разбирательства. Но правовые последствия таких действий для работника и работодателя будут иметь место только в случае если в компании принят в установленном порядке локальный акт, регламентирующий использование СЭД и вытекающие из этого права и обязанности сотрудников и работодателя.
Для чего может использоваться простая ЭП:
согласование документов
визирование внутренних документов
исполнение документов
утверждение резолюций
ознакомление с документами и резолюциями
Кому пригодится:
всем сотрудникам организации
Необходимая инфраструктура:
СЭД
Домен (в случае, если авторизация в СЭД происходит на основании доменных учетных записей пользователей)
Бюджет:
Внедрение СЭД (если в организации СЭД не внедрена)
Доработка СЭД (если в организации СЭД внедрена)
Поддержка и администрирование СЭД
Разработка нормативных документов по использованию ЭП
Квалифицированная электронная подпись
Квалифицированная электронная подпись (КЭП) может использоваться во всех перечисленных выше случаях с учетом ограничений, номенклатуры документа, который подписывается данным сертификатом.
В этом случае обмен документами происходит на площадке оператора электронного документооборота (ЭДО), и все действия по использованию КЭП регламентируются оператором. Плохая новость — за каждый пересылаемый через оператора документ придется платить (как правило, применяется оплата за объем).
Целесообразно заранее проанализировать, с кем организация будет обмениваться документами, и каким оператором ЭДО пользуется большинство партнеров, чтобы максимизировать эффект от перехода на электронный документооборот.
Бюджет на проект по внедрению УКЭП увеличивается ещё и за счет количества сотрудников, которым необходим сертификат. Средняя стоимость сертификата может варьироваться от 3 до 5 тысяч рублей в год. И скорее всего, всем сотрудникам организации такая подпись не требуется. Для ознакомления с документом или подтверждения факта согласования достаточно простой электронной подписи или усиленной неквалифицированной. Квалифицированный сертификат, как правило, нужен только тем сотрудникам, которые уполномочены подписывать документы, отправляемые за пределы организации: первое лицо организации, главный бухгалтер, директора департаментов и т.п.
Для более надеждой защиты в подпись можно встроить информацию о том, когда документ был подписан (так называемый штамп времени). Время подписи получается от специальных центров штампов времени, которые считаются точными и надёжными источниками времени. Такая электронная подпись называется улучшенной. Большинство современных СКЗИ поддерживают работу с улучшенными квалифицированной и неквалифицированной подписью, а аккредитованные удостоверяющие центры, выпускающие сертификаты, зачастую предоставляют услуги по предоставлению штампов времени своим клиентам.
Главным образом, такая подпись необходима для:
Генерального директора
Главного юриста
Главного бухгалтера
Других сотрудников, уполномоченных подписывать документы от имени компании
Необходимая инфраструктура:
СЭД с поддержкой интеграции с СКЗИ
СКЗИ
Бюджет:
От 1000 рублей ежегодно на получение квалифицированных сертификатов * количество сотрудников.
От 2700 рублей на для клиентских компонент СКЗИ * количество сотрудников.
От 5 рублей * количество документов, передаваемых через оператора ЭДО внешним контрагентам.
Какие бывают электронные подписи
Электронная подпись на документе — это аналог собственноручного автографа, оставленного на бумажном носителе. Закон №63-ФЗ определяет два вида электронной подписи (ЭП):
- простая электронная подпись имеет минимальную степень защиты,
- усиленная электронная подпись представляет собой шифрованный файл с двумя ключами и сертификатом для проверки.
Что такое простая электронная подпись
Простая электронная подпись (ПЭП) представляет собой несложное буквенно-цифровое обозначение, позволяющее пользователю авторизоваться в той или иной информационной системе, совершать в ней разрешенные операции. Чаще всего ПЭП представлена парой логин-пароль, где логином является электронный адрес или телефонный номер, а пароль сгенерирован самим пользователем или системой, с которой он намеревается взаимодействовать.
Сама по себе ПЭП не имеет юридической силы. К собственноручной подписи её можно приравнять, если об этом заключено специальное соглашение на сайте, внутри корпорации или между деловыми партнерами. Так, онлайн-банк одобрит перевод денег со счета, если получит подтверждение в виде цифрового кода, присланного на телефон или электронную почту клиента. Особое соглашение с клиентом позволяет приравнять сочетание «номер телефона + СМС-код» к личной подписи клиента. Кроме банковских операций, простую ЭП применяют:
- при обороте электронной документации внутри компании;
- для аутентификации и просмотра информации на государственных сайтах;
- для общения между деловыми партнерами, если между ними есть соглашение.
В системе ЕСИА подача запросов и доступ к электронным услугам на сайтах разрешается лишь после того, как получатель ключа ПЭП лично явится с паспортом в МФЦ, где будет идентифицирована его личность.
Что такое усиленная неквалифицированная электронная подпись (НЭП)
Усиленная ЭП – это созданный в дополнение к документу специальный файл с шифром. Его назначение – удостоверить личность автора и гарантировать неизменность информации в источнике. В отличие от ПЭП усиленную электронную подпись подделать практически невозможно: она генерируется специалистами, получившими от ФСБ лицензию на работу с программами шифрования. Без специального ключа открыть документ с такой подписью не удастся. Усиленную ЭП используют для подписи документов, которые на бумажном носителе должны иметь печать.
Усиленная подпись может быть неквалифицированной (НЭП) и квалифицированной (КЭП). Разница между ними – в степени доверия государства. НЭП генерируется для внутреннего электронного документооборота по произвольному криптографическому алгоритму, она действительна только для тех корреспондентов корпорации, с которыми имеется договор о признании юридической силы данной подписи. Без предъявления такого договора арбитражный суд признает контракт, подписанный НЭП, недействительным. Сервис Налоговой инспекции генерирует для своих пользователей НЭП для подписания документов по налоговой отчетности из личного кабинета на сайте. Не используется НЭП на портале Госуслуг, на ресурсах ПФР и ФСС, Росреестр, Росстат и др.
Постановка целей
Зачастую внутри организации отсутствует четкая формулировка цели внедрения ЭП, поэтому на первом этапе важно правильно определить, для чего и для кого она нужна, и заранее проанализировать затраты на реализацию проекта. Существует несколько типов ЭП – простая, усиленная квалифицированная и неквалифицированная.. Чаще всего под ЭП понимается именно усиленная квалифицированная ЭП (УКЭП), которая включает в себя полный «боекомплект» – она требует приобретения сертификата у аккредитованного Минкомсвязью России удостоверяющего центра, установки средств криптографической защиты информации (СКЗИ) и ежегодную плату за перевыпуск сертификатов
Конечно, она имеет самые широкие возможности использования, но такая ЭП нужна далеко не для всех задач и тем более не для всех сотрудников.
Чаще всего под ЭП понимается именно усиленная квалифицированная ЭП (УКЭП), которая включает в себя полный «боекомплект» – она требует приобретения сертификата у аккредитованного Минкомсвязью России удостоверяющего центра, установки средств криптографической защиты информации (СКЗИ) и ежегодную плату за перевыпуск сертификатов. Конечно, она имеет самые широкие возможности использования, но такая ЭП нужна далеко не для всех задач и тем более не для всех сотрудников.
В законе прописано, что участники имеют право «использовать электронную подпись любого вида по своему усмотрению, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия».
Чтобы понять, какая ЭП нужна компании, необходимо сперва проанализировать объем внутреннего и внешнего электронного документооборота компании (как существующего на данный момент, так и планируемого после завершения проекта по внедрению ЭП). Если обмен электронными документами происходит только внутри компании, то возможно достаточно будет использовать простую электронную подпись. Её основная функция – подтверждение авторства, идентификация личности.
OpenVPN: как это бывает
- a.ivanov-office.key — его приватный ключ, самая мякотка, которую нужно хранить как зеницу ока и никому не показывать (аналог в SSH — файл id_rsa);
- a.ivanov-office.csr — Certificate Signing Request, запрос на подпись сертификата, в котором описано, для кого нужно выписать сертификат, сгенерирован на основе предыдущего файла, чтобы не «палить» приватный ключ (для работы самого OpenVPN нафиг не нужен);
- a.ivanov-office.crt — вожделенный сертификат, который он предъявляет OpenVPN серверу, чтобы тот разрешил ему подключение (по сути это публичная часть ключа);
- ca.crt — сертификат нашего CA, чтобы OpenVPN клиент предъявил его серверу, чтобы тот сопоставил его с приватной частью, которая лежит у него, и убедился, что сертификат подписывал именно он, а не кто-то другой. «Деталька», которая обозначает принадлежность OpenVPN клиента Иванова А.А. к PKI, в которой работает сервер.
