Разница между квалифицированной и неквалифицированной электронной подписью подписью

Как сертификаты подписи PDF-документов SSL.com могут быть отправлены на защищенных аппаратных токенах?

Технические требования Adobe к цифровым подписям требуют, чтобы закрытые ключи для подписи документов генерировались и хранились на защищенном устройстве с двухфакторной аутентификацией, таком как USB-токен или аппаратный модуль безопасности (HSM). По этой причине SSL.com предоставляет возможность доставки своих сертификаты подписи документов on YubiKey FIPS 140-2 проверенные ключи безопасности. Эти дополнительные уровни безопасности обеспечивают безопасность вашего ключа и вашу цифровую идентификацию.Если у вас уже есть YubiKey FIPS, вы можете использовать засвидетельствование процесс заказа и установки сертификатов на устройство. Для корпоративных клиентов SSL.com может размещать ключи подписи документов на HSM для операций подписания томов. По запросу мы также можем отправить сертификаты подписи документов на токенах Gemalto.

“Маленький” нюанс

Чем отличается квалифицированная ЭЦП от неквалифицированной. На первый взгляд, единственным различием между неквалифицированной и квалифицированной ЭЦП является процедура сертифицирования.

Однако этот ”маленький” нюанс существенно влияет на возможности использования электронной подписи.

Некоторые современные технологии помогают обойтись вообще без сертификата, если они соответствуют ряду требований закона. Такая электронная подпись применима в большинстве видов отношений, если иные требования не установлены нормативным правовым актом или заранее не оговорены в официальном соглашении между участниками.

Квалифицированная электронная подпись что это такое. Квалифицированная ЭЦП покрывает максимально широкий спектр сфер отношений, включая использование государственных информационных систем и электронных площадок.

Сертификат на такую электронную подпись может быть выдан только аккредитованным центром (аккредитация при Минкомсвязи РФ). Программное и аппаратное (токен) средства криптозащиты такой ЭЦП сертифицированы ФСБ России.

Возможности и применение

Цифровая подпись позволяет обеспечить подтверждение подлинности сформированных и переданных в электронном виде документов в форматах doc, xml, pdf, jpeg и других. Когда документ подписан ЭЦП это ограничивает возможность посторонних лиц прочесть скрытую информацию, либо каким-то образом видоизменить ее.

Программы для работы с ЭЦП позволяют устанавливать уровень секретности информации и возможности работы с ней. Эта норма действует даже после окончания срока действия сертификата ключа (до отмены владельцем).

Сегодня используется:

Гражданами. Для подачи запросов, получения выписок из госреестров, защиты конфиденциальных данных, прочей официальной информации.
Компаниями. Конфиденциальный электронный документооборот, заключение договоров, сдача отчетности, участие в электронных торгах, работа с банками, дистанционное трудоустройство.
Нотариусами, адвокатами. Выдача электронных выписок документов, подтверждение договоров, подготовка запросов в государственные структуры, формирование исков для судов, арбитража, прочих значимых юридических действий.
Государственными (муниципальными) органами. Получение отчетов, выдача официальных разъяснений, лицензий, справок, ответов на запросы, статистической, архивной информации, прочих услуг.

Как выглядит

Лицо, оформляющее УКЭП, физически получает на руки такие документы (электронную информацию):

Сгенерированный системой с помощью криптографического алгоритма уникальный ключ (файл) что записывается на съемный носитель (диск, флешку)

Сертификат, подтверждающий оформление УКЭП. Представляет собой общую информацию о владельце, а также автоматически сформированный набор уникальных символов. Указывается информация о владельце, сроке действия, центре сертификации, ключ для проверки, область использования

Доступ к специализированному софту для подтверждения достоверности подписанной УКЭП информации. К примеру, для проверки подлинности подписи может использоваться программа КриптоПро

Цифровая подпись из облака, ПЭП «Работа России» и «Госключ»

В августе 2019 г. в России появилась услуга облачной электронной подписи. За первый год удостоверяющим центром «Росэлторг» было выдано более 13 тыс. таких подписей, из них более 8 тыс. — в Москве.

А с 1 января 2021 г. поправками к закону №63-ФЗ законодательно закрепилась возможность реализации технологии облачной подписи в отношении КЭП. В отличии от «обычной» КЭП, облачная подпись не имеет физического носителя, но позволяет подписывать цифровые документы с любых устройств. Удостоверяющему центру разрешается хранить ключ электронной подписи на своих серверах и информировать владельца КЭП об операциях с ключом. При этом центр обязуется обеспечить хранимый ключ от несанкционированного использования и несет весьма существенную финансовую ответственность за убытки в случае компрометации или несанкционированного использования ключа.

В 2021 г. начал функционировать портал «Работа России», одна из функций которого — ведение электронного кадрового документооборота, портал выступает посредником между работодателем и работником. Для работников портал предоставляет возможность получить бесплатную простую электронную подпись. Для этого нужно войти на портал «Работа России» с помощью логина и пароля от сайта «Госуслуги». В этом случае ПЭП выглядит как логин и пароль для входа на портал «Работа России».

Другой вариант «государственной» электронной подписи, «Госключ» (усиленная электронная подпись, выданная с использованием инфраструктуры электронного правительства), начал работать в экспериментальном режиме в середине июля 2021 г., в конце осени того же года в закон №377-ФЗ были внесены правки, разрешающие использовать «Госключ» для подписания любых документов, в том числе, трудовых договоров и договоров о материальной ответственности.

В августе 2021 г. было запущено приложение «Госключ» с помощью которого можно получить сертификат и сформировать бесплатную усиленную квалифицированную или неквалифицированную электронную подпись. Для получения НЭП нужна только подтвержденная учетная запись на Госуслугах. Если необходимо получить КЭП, то потребуются загранпаспорт нового образца (с биометрическими данными) и смартфон с NFC-модулем (для считывания загранпаспорта). По данным Минцифры России к середине ноября 2022 г. приложение скачали уже более 960 тыс. раз, с помощью «Госключа» было подписано свыше 620 тыс. документов и выдано более 850 тыс. сертификатов.

С помощью «Госключа» можно подписывать документы на Госуслугах, коммерческих площадках, интегрированных с «Госключом» (сотовые операторы, банки), также пользователь с подтвержденной учетной записью может направлять себе в приложение документы через специальный сервис на портале — «Подписание документов в «Госключе». Что касается юридической значимости «Госключа», то, так как данный вид электронной подписи одобрен законом, он приравнивается к собственноручной подписи.

Простая электронная подпись, или ПЭП

Простая подпись — это знакомые всем коды доступа из СМС, коды на скретч-картах, пары “логин-пароль” в личных кабинетах на сайтах и в электронной почте. Простая подпись создается средствами информационной системы, в которой ее используют, и подтверждает, что электронную подпись создал конкретный человек.

Где используется простая электронная подпись?

Простая электронная подпись чаще всего применяется при банковских операциях, а также для аутентификации в информационных системах, для получения госуслуг, для заверения документов внутри корпоративного электронного документооборота (далее — ЭДО).

Простую электронную подпись нельзя использовать при подписании электронных документов или в информационной системе, которые содержат гостайну.

Юридическая сила ПЭП

Простая подпись приравнивается к собственноручной, если это регламентирует отдельный нормативно-правовой акт или между участниками ЭДО заключено соглашение, где прописаны:

• правила, по которым подписанта определяют по его простой электронной подписи.
• обязанность пользователя соблюдать конфиденциальность закрытой части ключа ПЭП (например, пароля в паре “логин-пароль” или СМС-кода, присланного на телефон).

Во многих информационных системах пользователь должен сначала подтвердить свою личность во время визита к оператору систему, чтобы его ПЭП в будущем имела юридическую силу. Например, для получения подтвержденной учетной записи на портале Госуслуг, нужно лично прийти в один из центров регистрации с документом, удостоверяющим личность.

Судебная практика

Апелляционное определение Кемеровского областного суда от 30.08.2016 по делу № 33-10994/2016

суд признал факт правомерного принятия к исполнению поступавших в адрес банка платежных поручений, подписанных простой ЭП

Определение Приморского краевого суда от 07.04.2015 по делу № 33-2865

выписка из ИС подтверждает факт направления sms-сообщений, содержащих одноразовые пароли, необходимые для генерации простых ЭП, используемых для заверения платежных поручений

Постановление 13 ААС от 08.12.2016 по делу № А56-5002/2016

направление абоненту на указанный телефонный номер sms-сообщения с указанием индивидуального пароля является подтверждением авторства и легитимности электронных документов

Постановление 8 ААС от 25.07.2017 по делу № А70-1038/2017

Для чего нужна

ЭП применяется в ходе документооборота, при получении каких-либо государственных услуг, при сдаче отчетности в контролирующие органы и др. Документ, который подписан электронно, имеет юридическую силу подписанного собственноручно.

• простая (подтверждает факт подписания при помощи кодов, паролей либо иных средств);
• усиленная ЭЦП. В свою очередь, подразделяется на квалифицированную и неквалифицированную.

Обычно она выглядит как обычная флешка. Внутри хранится специальная программа — криптопрограмма закрытого и открытого ключей. Уточним, подобного рода программа — это специализированное программное обеспечение, предназначенное для работы с ЭЦП. Закрытый ключ представляет собой уникальную совокупность символов, известную только самому владельцу, а открытый — это файл, который несет в себе сведения о пользователе этого инструмента.

Что такое электронная подпись?

Соединенные штаты Закон об электронной подписи в глобальной и национальной торговле (ESIGN) (2000) определяет «электронную подпись» как «электронный звук, символ или процесс, прикрепленный или логически связанный с контрактом или другой записью, созданной, отправленной, переданной, полученной или сохраненной электронными средствами».На практике электронная подпись часто представляет собой просто изображение рукописной подписи (чаще всего сделанной пальцем или пером на сенсорной панели или экране). Решения для электронной подписи могут также включать методы однофакторной или многофакторной электронной аутентификации (например, PIN-код, пароль, аутентификация по электронной почте и т. д.).Без более конкретной информации об используемых процессах и технологиях термин «электронная подпись» не подразумевает каких-либо гарантий подтверждения подписи документа третьей стороной или целостности содержимого документа с момента его подписания. Это может привести к некоторым плохим практикам – например, владелец компании, в которой я работал, только что отсканировал свою подпись, которая могла быть вставлена ​​в контракты. Технически это «электронная подпись» в соответствии с законодательством США, но мы легко можем добиться большего!

ПЭП, НЭП и КЭП: в чем разница

Государство более десяти лет назад законодательно закрепило возможность подписывать документы с помощью цифры, выпустив 6 апреля 2011 г. закон № 63-ФЗ «Об электронной подписи». Данный закон различает два вида электронной подписи: простую электронную подпись (ПЭП) и усиленную. В свою очередь усиленная ЭП подразделяется на неквалифицированную электронную подпись (НЭП) и квалифицированную электронную подпись (КЭП).

Простая электронная подпись идентифицирует пользователя с помощью кодов и паролей. Примерами ПЭП являются пара «логин/пароль» на сайте, коды из SMS, коды на скретч-картах. Используется данный вид подписи для аутентификации в информационных системах, получения госуслуг, при проведении банковских операций и для заверения некоторых внутрикорпоративных документов (отпуска, инструкции).

А вот, для подписания юридических документов, в том числе — трудовых договоров, ПЭП не подойдет. Юридическую силу она имеет только в случае заключения соглашения между участниками электронного взаимодействия о признании простой электронной подписи равнозначной собственноручной подписи владельца. Применительно к кадровому документообороту — ПЭП может выпустить сам работодатель, использовать ее в своей информационной системе, действует она бессрочно.

Неквалифицированная электронная подпись создается посредством шифрования с использованием ключа электронной подписи. Таких ключей владельцу подписи выдается два: открытый и закрытый. Закрытый ключ с пин-кодом, с помощью которого генерируются электронные подписи, хранится у владельца, а открытый ключ доступен всем, с кем хозяин подписи ведет электронный документооборот. Для работы с неквалифицированной электронной подписью на оборудование необходимо дополнительно установить программу криптозащиты. НЭП подойдет для электронного документооборота внутри компании и с внешними контрагентами. Для признания юридической силы такой подписи опять же нужны заключенные соглашения между участниками ЭДО. НЭП также может выпустить работодатель и действует такая подпись в течении года.

Квалифицированная электронная подпись создается также как и неквалифицированная, но в обязательном порядке подкрепляется ключом проверки, указанном в квалифицированном сертификате. Программное обеспечение для работы с КЭП сертифицировано ФСБ России. Никаких дополнительных соглашений для признания юридической силы КЭП не нужно, юридическая сила КЭП признается автоматически. Перевыпускается данный вид подписи каждый год. Квалифицированной электронной подписью можно подписывать все документы и только она, в отличии от ПЭП и НЭП, подходит для подписания бухгалтерской и налоговой отчетности, кадровой отчетности в ФСС, ПФР и Росстат, регистрации и изменения ООО или ИП, трудовых и кадровых документов со стороны работодателя.

Руководителям юрлиц, индивидуальным предпринимателям (кроме профессиональных участников рынка ценных бумаг) и нотариусам сертификаты выдаются только в Удостоверяющем центре ФНС России или у его доверенных лиц; организациям финансового сектора и должностным лицам Банка России — в самом Банке; некоммерческим организациям «с госучастием» (госкомпаниям, госкорпорациям, государственным и муниципальным учреждениям), должностным лицам и организациям, подлежащим казначейскому сопровождению — в Федеральном казначействе; физлицам и лицам, действующим от имени юрлиц по доверенности — в аккредитованных удостоверяющих центрах.

В 2019–2021 гг. российский офис Deloitte проводил исследование российского рынка электронного кадрового документооборота, в частности изучал вопрос, как часто используются тот или иной тип электронной подписи (в одной компании могут использоваться несколько видов ЭП).

Видно, что самой популярной все три года была ПЭП, хотя ее доля снизилась за это время с 93% до 67% (46% опрошенных в 2021 г. использовали только ее). Популярность НЭП столько монотонно росла, доля КЭП достигла максимума в 2020 г., а в 2021-м — резко упала. Одной из причин этого может быть появление и рост популярности новых видов ЭП.

Отличие от других видов

В соответствии с законом 63 ФЗ, граждане, а также компании могут использовать:

Простая электронная подпись

Неквалифицированная электронная подпись

Квалифицированная электронная подпись

Отличаются по таким признакам:

Вид электронной подписи	Особенности	Где используется
Простая	Формируется по принципу логина и пароля, СМС подтверждений, специальных кодов на скетч-картах. Имеет минимальный уровень защиты.	Для входа в личный кабинет в банке, на работе, в государственном, либо коммунальном учреждении, для получения информации, не требующей юридического подтверждения достоверности.
Усиленная неквалифицированная	Формируется в специализированном удостоверяющем центре. Заявитель получает открытый и закрытый ключ ЭЦП, связанные между собой. Закрытый находится на специальном носителе (флешка, диск, файл на компьютере), имеет код доступа, известный только владельцу. Открытый общедоступный и позволяет подтвердить личность подписанта документа.	В процессе осуществления электронного документооборота между сторонами. Такая подпись равнозначна «живой» только в том случае, если стороны заблаговременно договорились об этом. Во избежание разногласий, сторонам целесообразно оформить регламент (привила) использования ЭЦП.
Усиленная квалифицированная	Проходит те же процедуры, что предусмотрены для неквалифицированной цифровой подписи. При этом подпись усовершенствована. Тут обязательно выдается квалифицированный сертификат (может быть в бумажном, либо электроном виде). Для работы с подобными ключами применяют только сертифицированное программное обеспечение. Удостоверяющий центр проходит аккредитацию на государственном уровне.	Для сдачи налоговой отчетности и обмена информацией с ФНС, ПФР, участия в электронных торгах на условиях закона 44 ФЗ, закона 223 ФЗ, получения данных и услуг в МФЦ, а также других госструктурах, внутреннего и внешнего электронного документооборота. Наличие на документе УКЭП обеспечивает ему значимость, аналогичную бумажному документу.

Мнение эксперта
Владимир Аникеев
Специалист отдела технической поддержки

Помните, вид ЭЦП напрямую зависит от дальнейшего его практического применения. Поэтому, если вам необходим ключ для защиты данных личного кабинета, достаточно использовать простую ЭЦП.

Квалифицированная подпись

Квалифицированная роспись является усовершенствованным вариантом ЭЦП. Обладает юридической силой. Усиленный вид автографа включает в себя специальный лицензионный дистрибутив софта и проверочный сертификат для ключа рассматриваемого элемента. Автограф с высоким уровнем защиты выполняет несколько функций. ЭЦП унифицирует личность гражданина, поставившего автограф, а также информирует о внесении поправок в ранее составленную и заполненную юридическую бумагу. Посторонние лица в этом случае, не имеют возможности редактировать документ.

Квалифицированная подпись используется в следующих целях:

• Передача специального счета – фактора.
• Усиленной подписью обязательно заверяются документы о назначении экспертизы, акты о грядущих проверках и решения об установке обеспечительных мер. Подписанием бумаги занимается налоговая организация.
• Используется эмитентами для связи с информационным агентством.
• Используется в отчетах разных финансовых учреждений. Без нее не обходятся ломбарды, страховые компании, кооперативы потребительского кредитования и другие предприятия, занимающиеся микрофинансовыми операциями.
• Квалифицированный вариант применяется для получения определенных государственных услуг. Свидетельствует о согласии гражданина на обработку его персональных данных.
• Цифровое подтверждение требуется в момент устройства на дистанционную работу и при последующем сотрудничестве с работодателем.
• При участии в виртуальных торгах. Виртуальные закупки на торговых площадках невозможны без специальной аккредитации. Такую процедуру проходят как организаторы торгов, так и участники мероприятия. По завершении аккредитации каждый гражданин получает усиленную подпись.

Квалифицированная роспись гарантирует надежную защиту персональной информации. Иногда при заполнении ценных бумаг используют другой вид реквизита.

Являются ли цифровые подписи законными и осуществимыми?

Да. В Соединенных Штатах Электронные подписи в глобальной и национальной торговле (ESIGN) Закон придает электронным подписям (включая цифровые подписи) тот же правовой статус, что и собственноручным подписям. Федеральный закон США, как он определен в законе ESIGN, в целом допускает принудительное исполнение как электронных, так и цифровых подписей. Однако простые электронные подписи не обеспечивают гарантий подлинности, целостности и неотказуемости, предлагаемых цифровыми подписями на основе сертификатов. 

Как и в Соединенных Штатах, электронная подпись также юридически допустима в Европейском Союзе. Положение Европейского Союза об электронной идентификации и трастовых услугах (eIDAS) распознает все электронные подписи, но придает больший вес PKIна основе цифровых подписей. eIDAS признает три различных типа электронных подписей, а также электронные печати, предназначенные для использования юридическими лицами, такими как корпорации и другие организации: 

• Электронные подписи. eIDAS определяет «электронную подпись» как «данные в электронной форме, которые присоединены к другим данным в электронной форме или логически связаны с ними и которые используются подписывающей стороной для подписи». 
• Расширенные электронные подписи должны быть однозначно связаны с подписавшим и идентифицировать его, должны быть созданы с использованием данных подписи, которые подписавший может использовать под своим исключительным контролем, и любые подписанные данные должны быть защищены от подделки. Этим условиям может соответствовать цифровой сертификат, выданный ЦС, например сертификат SSL.com. Сертификаты подписи документов.
• Квалифицированные электронные подписи имеют тот же юридический статус, что и рукописные подписи. Для квалифицированной электронной подписи требуется цифровой идентификатор на основе сертификата, выданный квалифицированным поставщиком услуг доверия ЕС (TSP), и должен быть изготовлен с помощью «квалифицированного устройства для создания электронной подписи», такого как токен USB.
• Электронные печати похожи на электронные подписи, но обычно связаны с юридическими, а не с физическими лицами. EIDAS различает электронный, продвинутый, и квалифицированные пломбы в соответствии с теми же критериями, которые используются для подписей.

Согласно определению eIDAS, квалифицированные электронные подписи и расширенные электронные подписи на основе сертификатов также будут считаться типами цифровых подписей, так как этот термин обычно используется в США.

Сертификаты подписи документов SSL.com нам доверяют во всем мире для цифровой подписи и сертификации документов Adobe PDF с помощью безопасных цифровых подписей. Кроме того, наши сертификаты для подписи документов могут быть зарегистрированы в нашей облачной службе подписи eSigner, которая позволяет нашим пользователям добавлять к своим документам цифровые подписи и временные метки, которым доверяют во всем мире, из любого места, без необходимости использования USB-токенов, HSM или другого специального оборудования.

В чем различия квалифицированной и неквалифицированной ЭЦП

Разница между ними заключается в следующем: ЭЦП первого типа включает в себя все признаки неквалифицированной, но дополняется сертификатом безопасности ключа. Этот незначительный факт существенно влияет на безопасность и сферу применения.

Создается в результате криптографического преобразования информации и с использованием средств ЭЦП.

Позволяет определить подписавшее лицо и обнаружить внесение изменений в цифровой документ.

Обладает признаками неквалифицированной.

Для ее создания требуются средства ЭЦП, обладающие подтверждением в соответствии с требованиями закона.

Есть ключ проверки, он указан в сертификате.

Разница между квалифицированной и неквалифицированной электронной подписью подписью

Это комбинация цифровых данных, с помощью которых можно идентифицировать личность. Простой пример — логин и пароль, которые вводим на сайтах для авторизации, или смс-код, который присылают на телефон для входа в личный кабинет. Это электронная подпись для повседневной жизни.

Как получить

Простую электронную подпись (ПЭП) можно создать с помощью программного обеспечения, например:

Для оформления простого электронного сертификата (подписи) нужно создать документ, открыть меню «Файл», выбрать пункт «Защита документа», а потом выбрать «Добавить цифровую подпись». Если подпись создаётся впервые, программа выдаст запрос на получение программного обеспечения от партнеров. В этом случае поможет русскоязычная версия приложения «Карма», которое установит подпись в операционную систему.После завершения всех действий нужно сохранить файл.

Приложение КриптоПро CSP

Этот метод сложнее, зато с помощью этого ПО можно создать усиленные ключи.

Ещё один способ — получить заверенную простую электронную подпись в удостоверяющем центре, где сертификат запишут на USB-токен. Этот вариант подойдёт тем, кто создаёт документы в текстовых программах: с помощью сертификата получится защитить документ от плагиата и подтвердить авторство.

Где можно применять

• Для регистрации или авторизации на интернет-сайтах.
• В качестве ключа доступа к файлам и базам данных, защищенным паролем.
• Для заверения электронных документов.

Недостатки

Простая электронная подпись не имеет юридической силы. Её нельзя использовать для подачи документов в государственные инстанции, а также для участия в торгах по 44-ФЗ и 223-ФЗ.

Чтобы при помощи ПЭП можно было подписывать обычные документы (например, договоры с контрагентами), нужно составить соглашение о простой электронной подписи. Такое соглашение должно содержать пункты об обязанности соблюдать конфиденциальность сведений и правила определения подписавшего лица — подлинности подписи. И подписывать его придётся всем сторонам, участвующим в электронном взаимодействии. Иначе все документы, подписанные ПЭП, закон признает недействительными.

Электронная подпись физического и юридического лица

Усиленная квалифицированная подпись может быть выпущена для физического лица или юридического лица (организации).

Если владельцем сертификата (ЭП) является физическое лицо, то в сертификате указывается ФИО, ИНН и СНИЛС данного физического лица.

В сертификате, выпущенном на должностное лицо организации, дополнительно будут содержаться сведения о наименовании организации. Такая КЭП чаще всего используется для работы с Казначейством в системе удаленного финансового документооборота, на портале закупок согласно Федерального закона «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» от 05.04.2013 N 44, в ГИИС Электронный бюджет, на официальном сайте для размещения информации о государственных (муниципальных) учреждениях, для размещения информации об осуществлении государственного (муниципального) финансового аудита в сфере бюджетных правоотношений» в ГИС ЕСГФК. С помощью такой подписи можно подтвердить аккаунт физического лица на Госуслугах без всякого личного визита.

Если владельцем сертификата (ЭП) является юридическое лицо, то в сертификате указывается ИНН, ОГРН и название юридического лица.

Также может быть (но не обязательно) указано ФИО руководителя, действующего без доверенности согласно сведениям из ЕГРЮЛ (примечание: после вступления в силу поправок в Федеральный закон № 63 “Об электронной подписи”). Такой тип КЭП обычно используется для работы с некоторыми полномочиями в ГИИС Электронный бюджет Минфина, в ГИС ГМП, СБИС. Такой тип подписи используется на Госуслугах для создания аккаунта организации.