Журнал о системах электронного документооборота (СЭД)
Электронная цифровая подпись (ЭП)

Простая электронная подпись: успехи и практика

  10 комментариев Добавить в закладки

Алиса Муратова, аналитик Synerdocs.

Использование простой электронной подписи (далее – ПЭП) на сегодняшний день еще не является массовым. Однако и бизнес, и рядовые пользователи уже по достоинству извлекли пользу из ее применения. Количество отраслей, использующих ПЭП, с каждым годом только увеличивается. Что интересно, рынок в целом не позиционирует ее пару «логин/пароль» как подпись конкретного физического или юридического лица.

В одной из наших прошлых статей «Простая электронная подпись – широкие возможности» были рассмотрены основные моменты при работе с ПЭП, приведены примеры, возможности и перспективы ее использования. В данной статье мы еще глубже погрузимся в предметную область: поговорим о тех отраслях, где активно используется простая ЭП, а также постараемся представить, каким может стать положение простой электронной подписи в будущем.

Что говорит закон о простой электронной подписи?

Применение ПЭП обеспечивает электронному документу юридическую силу. Подробнее об этом написано в Федеральном законе РФ №63-ФЗ «Об электронной подписи». В частности, в статье 5 представлено определение простой ЭП:

«Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом».

При этом в статье 6 разъясняется, в каком случае документ считается подписанным ПЭП:

«Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия <…>».

Данные акты и соглашения устанавливают случаи признания электронных документов, подписанных ПЭП, равнозначными документам на бумажных носителях, подписанными собственноручной подписью и должны соответствовать требованиям статьи 9 данного закона.

Таким образом, главной особенностью ПЭП является то обстоятельство, что ее идентификация подразумевает собой визирование документа конкретным лицом. Однако идентификация определяет лишь лицо, подписавшее документ, но не устанавливает неизменность визы.

Где мы чаще всего сталкиваемся с простой электронной подписью?

В повседневной жизни мы используем простую подпись регулярно, но порой даже не осознаем этого и недооцениваем ее значения. Рассмотрим примеры.

Банковская сфера

Банки уже давно освоили процедуру подтверждения операций клиентом с помощью ПЭП и активно используют технологию простой ЭП в сервисах интернет-обслуживания. Особенность в том, что ключом простой ЭП можно считать SMS-пароль или одноразовые пароли с чека, распечатанные в банкомате или терминале банка. Доступ к услуге можно получить после заключения договора на обслуживание.

Банки заботятся о безопасности расчетов по банковским картам и предоставляют клиентам возможность подключать технологию 3D-secure, позволяющую совершать интернет-платежи в защищенном режиме. Процедура предполагает введение пароля, известного только пользователю, который выдается в офисах банка, далее устанавливается защищенное соединение, а оплата производится только после успешно пройденной идентификации. Это тоже некий вариант реализации ПЭП, где ключом является пароль, созданный пользователем, запрашиваемый при каждом подтверждении оплаты через сеть интернет.

Более того, сегодня банки оформляют кредиты посредством телефонного звонка, что является совершенно законным. Вы предоставляете необходимые данные, соглашаетесь с условиями и оставляете свой личный номер. Далее, согласно оферте, вам приходит SMS-код, который вы используете в качестве электронной подписи для формирования электронного документа. В случае идентичности SMS-кода, направленного банком, и SMS-кода, введенного в форме электронного документа для подтверждения передачи клиентом соответствующего распоряжении/заявления через интернет-банк, такая электронная подпись считается подлинной.

Брокерские организации

Брокеры также освоили ПЭП и используют ее в работе со своими клиентами. В данной ситуации клиенты брокеров подразделяются на две общеизвестные категории: физические и юридические лица. При этом обе категории обслуживаются через личный кабинет. Для физических лиц используются SMS-коды, которые приобретаются в офисах после заполнения соответствующей анкеты с указанием личных данных и номера мобильного телефона. Для юридических лиц применяются PIN-конверты, в которых содержится более 20 паролей. Для осуществления операций с ценными бумагами необходима установка специализированного программного обеспечения, когда открытый ключ хранится у брокера (направляется посредством электронной почты), а закрытый – у клиента.

Программное обеспечение позволяет обмениваться с брокером электронными документами, подписание которых происходит с помощью ПЭП. Права и обязанности сторон при работе со специализированном ПО с использованием простой ЭП зафиксированы в соответствующих правилах, которые также являются приложением к регламенту обслуживания клиентов.

Госучреждения

В организациях государственной и муниципальной власти подтверждение той или иной операции и получение услуг также происходит через личный кабинет – с помощью ввода уникальных логина и пароля. Но перед их получением гражданину необходимо посетить центр информатизации общества для подтверждения личности.

Агентская сеть

Если с перечисленными отраслями все достаточно прозрачно, то иная ситуация обстоит с агентскими сетями. Напомним, что агентская сеть — это организационно оформленная совокупность агентов, работающих от имени и в интересах компании. Агентские сети предполагают наличие правильной сегментации рынка и присутствие в каждом из сегментов агентов, продвигающих услуги на рынок. Агента и организацию связывает огромное количество документов, такие как агентские и субагентские договоры, календарные планы, дополнительные соглашения, отчеты, которые активно передаются через интернет-порталы.

В этом случае ПЭП выглядит как личный кабинет/портал для агента, где вводятся данные о продажах тех или иных продуктов и формируются отчеты. Для подтверждения личности, к примеру, может быть заключен договор с одним из филиалов организации.

Страхование

По официальному сообщению Банка России, к 1 января 2017 года страховые компании, работающие на рынке ОСАГО, будут обязаны продавать электронные полисы обязательного автострахования по всей стране. Напомним, об этой инициативе было известно еще в 2013 году, а сами продажи электронного ОСАГО стартовали с 1 июля 2015 года. На сегодняшний день такие полисы предлагают 15 страховщиков из 81, имеющих лицензии на ОСАГО.

При чем же тут электронная подпись? Дело в том, что использование усиленной квалифицированной электронной подписи при покупке ОСАГО серьезно ударило бы по карману плательщика. Во-первых, это расходы на покупку и установку СКЗИ. Во-вторых, затраты на ежегодный перевыпуск. Для чего это делать, если плательщик, к примеру, намеревается покупать ОСАГО раз в год? Преимуществом онлайн-страхования является оперативность оформления и выпуска полиса, поэтому данная проблема решилась посредством использования простой ЭП, где подписание происходит посредством SMS-сообщения.

Сетевой бизнес

В последнее время обороты набирает так называемый сетевой бизнес. Если раньше вести его было достаточно тяжело, то сейчас, с появлением новых интернет-технологий, эта задача значительно упростилась. Подвиды сетевого бизнеса в интернете включают в себя:

●    интернет-магазины,

●    торговые площадки (например, AliExpress, где сайт выступает посредником между продавцом и покупателем),

●    дистанционное обучение и консультации (продажи медицинских и юридических консультаций),

●    разработка и продвижение сайтов,

●    информационный бизнес (продажа рекламы и доступа к информации), даже так называемый МЛМ-бизнес, где товар распространяется через интернет, хотя существуют компании, которые принципиально запрещают реализовывать товар через интернет.

Во всех этих видах сетевого маркетинга, инструментов взаимодействия между клиентом и продавцом является личный кабинет, где логин и пароль выступают своего рода электронной подписью.

E-mail

Ежедневно используемая нами электронная почта тоже может быть защищена двухэтапной аутентификацией, своеобразной ПЭП. Процедура довольно известная. Пользователь вводит пароль каждый раз, когда входит в аккаунт, далее необходимо ввести специальный код, который можно получить по SMS, с помощью голосового вызова или приложения, установленного на телефоне. Код не понадобится, если есть токен – его необходимо просто вставить в USB-порт компьютера.

Что может ожидать в будущем?

Несомненно, ПЭП заняла в нашей жизни определенную нишу, однако ее использование многие ставят под сомнение. «Что это за подпись такая, – задаются вопросом пользователи, – если при ее краже злоумышленники могут изменить пароли, которыми мы пользуемся, например, в интернет магазинах или онлайн-банках?» Но ведь с другой стороны точно так же могут подделать собственноручную подпись на бумаге и в обычной жизни. Использование же простой ЭП значительно упрощает множество операций, совершаемых человеком сегодня.

Использование ПЭП решает задачи по подтверждению важных операций/действий пользователя, позволяет подписывать и отправлять сообщения, обмениваться электронными документами, получать государственные и муниципальные услуги. При этом для осуществления самой процедуры подписания используются технологии пары логин-пароль, SMS-коды, PIN-конверты, открытый и закрытый ключи.

Предполагается создать единое электронное пространство доверия, в котором пользователь сможет использовать одну-единственную электронную подпись при любой необходимости.

Заместитель главы Федеральной антимонопольной службы Анатолий Голомзин сообщил журналистам о том, что сейчас ведутся работы над подготовкой предложений по унификации электронной подписи для ее использования в различных сферах. Иначе говоря, предполагается создать единое электронное пространство доверия, в котором пользователь сможет использовать одну-единственную электронную подпись при любой необходимости. Если подобное пространство появится, то прогнозирование уровня развития интернет-рынка станет более чем возможным. Скажется ли это на ПЭП, или же ПЭП приобретет иной статус, более весомый, решит только время.

 

Ещё материалы автора
Похожие записи
Комментарии (10)
Вадим Майшев 09 августа 2016 г. 10:30  

Не вводите читателя в заблуждение! Все примеры, которые приведены, не являются использованием Простой электронной подписи, а лишь обеспечивают аутентификацию.

«Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом».

А собственно электронная подпись:

- информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

В случае использования логинов/паролей/кодов/SMS/PIN и т.д. подписи, как таковой, не формируется! Нет пока такой технологии.

Однако идентификация определяет лишь лицо, подписавшее документ, но не устанавливает неизменность визы.

:-) Простая подпись не  позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания - для чего она нужна? Ее проверить невозможно (ее нет в документе, хотя должна быть, и нет средств для проверки), а отказаться от подписи легко (подписал, но не это)!

 

Алиса Муратова 30 августа 2016 г. 11:05  
В случае использования логинов/паролей/кодов/SMS/PIN и т.д. подписи, как таковой, не формируется! Нет пока такой технологии.

Данную технологию использует на сегодняшний день, как минимум ОАО «Сбербанк», в дополнении к их регламенту это явно прописано.

Простая подпись не  позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания - для чего она нужна? Ее проверить невозможно (ее нет в документе, хотя должна быть, и нет средств для проверки), а отказаться от подписи легко (подписал, но не это)!

Да, мы подтверждаем факт формирования документа и подписания его ПЭП, однако в случае изменения документа призвать автора к ответственности не представляется возможным. Этот вопрос решается довольно просто. Во-первых, ценность информации, которая защищается с помощью ПЭП, должна быть ниже, чем средства на воспроизведение искажений, взлом простой ЭП и т.п. Во-вторых, должен быть документ, регламентирующий использование этой ПЭП в конкретной определенной системе, с которым пользователь ПЭП должен быть ознакомлен (договор, оферта, соглашение и т.п.) Мы говорим лишь на уровне понятий, а как именно эта процедура реализована в той или иной системе, это уже другой вопрос.

Например, когда мы оформляем полис ОСАГО в режиме онлайн, мы вводим свои личные данные (Ф.И.О., паспортные данные, телефон и т.д.), далее соглашаемся с условиями договора посредством смс, и отправка договора приравнивается к ПЭП, следует оплата. Отсюда и ответ на ваш вопрос «Для чего нужна?». Мы отправили «заявление о намерениях», подтвердили фактической оплатой, и даже если бы кто-то воспользовался номером нашего телефона для регистрации заявки, оплату в любом случае совершим мы сами.

Даже при подтверждении личности на портале госуслуг есть уточнение в договоре о том, что «пара логин/пароль – это простая электронная подпись».

К тому же ПЭП более широко распространена на западе, где бизнес строится на доверии, и здесь именно КЭП является более неудобной формой подписания документов. У нас в России, к сожалению, привыкли ожидать от всех «подвоха», и желание подстраховать себя выше, чем сокращение затрат.

 

 

Вадим Майшев 31 августа 2016 г. 10:02  
Данную технологию использует на сегодняшний день, как минимум ОАО «Сбербанк», в дополнении к их регламенту это явно прописано.

Тут наружу вылазит желание ПАО СБЕРБАНК унифицировать ПЭП и КЭП, но сделать это нереально ввиду разности сущностей этих подписей. Они сами противоречат себе: с одной стороны, термин ПЭП из закона, с другой - "Простая электронная подпись (ПЭП) – значение Хэш-функции, вычисленное по всем реквизитам электронного доку- мента (номер лицевого счета, номер телефона, номер обязательства и т.д.), паролю, введенному Клиентом при входе в Систему, и одноразовому паролю, передаваемому Клиенту посредством SMS-сообщений и подтверждающему реквизиты получателя средств и/или реквизиты плательщика, если он использовался при совершении операции, а в случае одписа- ния Кредитной документации – реквизиты Уполномоченного лица Клиента и реквизиты подписываемого документа / сообщения."

Дело в том, что надежные хэш-функции это криптографическое средство, откуда следует, что эта подпись усиленная (не Простая).
!?! Банк говорит, что знает пароль пользователя для входа в систему - это наводит на неприятные мысли.
Даже при подтверждении личности на портале госуслуг есть уточнение в договоре о том, что «пара логин/пароль – это простая электронная подпись».

:-) Из-за него и появилась эта правовая сущность, неподкрепленная техническим решением.

К тому же ПЭП более широко распространена на западе, где бизнес строится на доверии, и здесь именно КЭП является более неудобной формой подписания документов. 

Никто никогда в России не запрещал договариваться о своих аналогах собственноручной подписи по ГК РФ - хоть крестики с галочками используйте! Для чего ПЭП ставить в один ряд с УНЭП и УКЭП?

У нас в России, к сожалению, привыкли ожидать от всех «подвоха», и желание подстраховать себя выше, чем сокращение затрат.

Вероятно, люди сталкивались с бременем доказывания в судебных инстанциях?

 

Исхаков Роберт 31 августа 2016 г. 17:46  

Я человек нерусский))) и меня вдвойне смущает интерпретация понятия ПЭП как комбинации логина и пароля. Что для меня нерусского понимается под подписью? Это то, что формируется в момент выполнения действия "подписание документа" и привязывается к конкретному документу. Предельно все понятно с бумажным документом - подпись сформировалась, когда я с использованием средства создания подписи (шариковая ручка) выполнил физическое действие - подписание.  Тоже можно сказать и про УНЭП и УКЭП. Есть конкретный документ, есть "шариковая ручка" - средство ЭП и есть действие - подписание документа. И каждый раз это уникальная подпись, как и в случае с бумажным документом.

И в дополнение к моим сомнениям. Корректна ли очень часто используемая формулировка: "Руководитель получил электронную подпись и теперь может подписывать электронные документы"?  Или вот с портала госуслуг:

 "Как получить усиленную квалифицированную электронную подпись?

Чтобы получить усиленную квалифицированную электронную подпись, обратитесь в один из аккредитованных удостоверяющих центров." 

Вадим Майшев 01 сентября 2016 г. 11:50  
меня вдвойне смущает интерпретация понятия ПЭП как комбинации логина и пароля.

Логин и пароль это не подпись, а средства с помощью которых собственно подпись должна сформироваться.

При аутентификации (которую пытаются назвать ПЭП) ничего не создается, при положительном результате происходит авторизация. При собственно подписи с помощью средств ЭП происходит создание от подписываемого электронного документа кое-чего, проверяя которое с помощью о5же средств ЭП можно убедиться в конечном счете в юридической значимости электронного документа. 

Корректна ли очень часто используемая формулировка:

Разумеется, нет. Получить в принципе можно а) ключ электронной подписи, б) сертификат ключа проверки электронной подписи (непосредственная функция УЦ - его изготовление и сопровождение) и в) средство электронной подписи. А уже с их помощью можно самостоятельно формировать электронные подписи электронных документов, а также использовать их в других криптографических сервисах на основе PKI (аутентификация, шифрование файлов/дисков и сеансов/каналов связи и т.д.).

 

Исхаков Роберт 01 сентября 2016 г. 17:17  
Логин и пароль это не подпись, а средства с помощью которых собственно подпись должна сформироваться.

Я бы определил пару "логин и пароль" как некий аналог ключа ЭП,  А в качестве средства формирования ПЭП выступают компоненты информационной системы.

P.S. Пробежался "по диагонали" по пп рф 33 от 21.01.2013 с "Правилами использования простой электронной подписи при оказании государственных и муниципальных услуг". И таки да, Ключ - это пара "логин и пароль", а вот утверждения, что "логин и пароль" могут считаться ПЭП не встретил. Может невнимательно читал)? Это я к утверждению Алисы: "Даже при подтверждении личности на портале госуслуг есть уточнение в договоре о том, что «пара логин/пароль – это простая электронная подпись»  

Вадим Майшев 02 сентября 2016 г. 11:05  
Пробежался "по диагонали" по пп рф 33 от 21.01.2013 с "Правилами использования простой электронной подписи при оказании государственных и муниципальных услуг".

Обсуждалось тут, туттут и тут.

 

Исхаков Роберт 12 сентября 2016 г. 14:46  

Не по теме статьи, но раз уж отвечают))) еще вопрос про формулировку, которая стала стандартной для отрасли, корректна ли? "Подписание документа с использованием (при помощи) Сертификата, подписание документа Сертификатом, и другие подобные формулировки".  Я понимаю, что ключ ЭП и ключ проверки ЭП, создаваемые при помощи средства ЭП, связаны, но в состав Сертификата ключа проверки ЭП согласно закону об ЭП ключ ЭП не входит. Или речь идет (встретил и такую формулировку, корректна ли она?) о Сертификате ключа ЭП?

Вадим Майшев 20 сентября 2016 г. 13:03  
Не по теме статьи, но раз уж отвечают)))

Раз уж спрашивают :-) Исходные данные такие:
ГОСТ Р 34.10- 2012: «3.1.9 процесс формирования подписи (signature process): Процесс, в качестве исходных данных которого используются сообщение, ключ подписи и параметры схемы ЭЦП, а в результате формируется цифровая подпись. (ИСО/МЭК 14888-1:2008 [4])
п.5 ст. 2 63-ФЗ: «ключ электронной подписи — уникальная последовательность символов, предназначенная для создания электронной подписи»
ч.2.1 ст. 15 63-ФЗ: «Аккредитованный удостоверяющий центр для подписания от своего имени квалифицированных сертификатов обязан использовать квалифицированную электронную подпись, основанную на квалифицированном сертификате…»
ч.2 ст. 19 63-ФЗ: «Электронный документ, подписанный электронной подписью, ключ проверки которой содержится в сертификате ключа проверки электронной подписи…»
Таким образом, ГОСТ формирует ЭЦП с ключом подписи (ГОСТ не знает про сертификаты), а ФЗ создает ЭП с ключом электронной подписи (ФЗ знает про сертификаты, но только в усиленной ЭП).
При этом, ФЗ раньше (ст.19) связку с сертификатом проводил в виде «подпись, ключ проверки которой в сертификате», а сейчас (ст.15) законодатель «опустился до просторечия» — «подпись, основанная на сертификате» и «для подписания использовать подпись», что, по всей видимости, уже стало нормой.
Ключ проверки ЭП юридически никому не нужен, он всегда распространяется в сертификате ключа проверки ЭП (! относится только к усиленной ЭП, для простой ЭП ключ проверки ЭП в принципе не предусмотрен, т.е. ее невозможно, вероятно, исходя из того, что это никому не нужно, проверить). Сертификата ключа ЭП точно не существует в природе. Все сложности из-за того, что непрофессионалы не видят связи между ключом ЭП и сертификатом (ключа проверки ЭП). Что уж говорить, если регулятор отправляет «получать ЭП в УЦ».
IMHO правильная технологическая конструкция — подпись сформированная (документ подписанный) с применением ключа подписи, ключ проверки которой содержится в сертификате.

 

Исхаков Роберт 25 сентября 2016 г. 22:24  

Вадим, спасибо за комментарии. Подведу итоги для себя из своей норы. "Туман мозга моего" в части терминологии предметной этой области) А что творится у ЛПР, который эту технологию использует и подписывает документы? Будь я "плохим мальчиком", я бы задумался о перспективе доказательства в суде факта компрометации ключа ЭП. Руководитель не владеет технологией и не понимает, что он делает при подписании ЭД) Он ли подписал документ? Если приводить аналогию с бумажным документом: "А как могла появиться рукописная подпись на бумажном документе, если руководитель не знает алфавита и не умеет писать?"

Сейчас обсуждают
Роман Гудков 17 января 2017 г. 10:10  
Недостающие документы, необходимые для заключения договора, можно представить в электронной форме, прибегнув к помощи нотариуса.

Ульяна, а можно ли таким образом оформить карточку с образцами подписей? Или в карточке должна быть только собственноручная "живая" подпись? 

Вадим Майшев 16 января 2017 г. 11:27  

Не особо авторы/журналисты утруждают себя использовать правильные термины: тут и "стоимость ЭЦП" - ЭЦП уж 5 лет по закону нет, да и ЭЦП "не продается" (УЦ продают сертификаты).

Никто еще не видел в природе живьем простую электронную подпись, а будто бы только она "устраняет ограничения на использование документов, выдаваемых органами и организациями в электронной форме" :-)

А проблема в том, что граждане вынуждены оформлять дорогостоящую электронно-цифровую подпись, чтобы обжаловать постановления в электронном виде.

Кто решил, что она дорогостоящая? В сравнении с чем? В государстве нет ничего бесплатного! Давно были у нотариуса/врача/... или оплачивали пошлины за "услуги" государства, живущего на деньги налогоплательщиков? И никто (пока) не запрещает использовать неэлектронные варианты взаимодействия!

Александр Валеев 16 января 2017 г. 08:22  
«Большинство услуг и сервисов на портале требуют только простой электронной подписи, однако некоторые услуги, действительно, нужно подписывать квалифицированной электронной подписью. На сегодняшний день это необходимая технология, и она продолжит действовать», — заявил замглавы Минкомсвязи России Алексей Козырев. На сайте Минкомсвязи приведен весь список госуслуг, для которых нужна ЭЦП (XLSX,  187,5 КБ).

Многие опубликовали новость о госуслугах. Но о том, понадобится ли еще КЭП, только здесь. Спасибо

Больше комментариев