Три вида электронной подписи вместо ЭЦП: что изменится для пользователей?
Десять лет назад был принят закон с похожим названием – «Об электронной цифровой подписи».
«Секретарь-референт»: Десять лет назад был принят закон с похожим названием – «Об электронной цифровой подписи»[1]. Как Вы считаете, насколько успешной была практическая «жизнь» старой электронной подписи?
Наталья Храмцовская: Если отнестись к Федеральному закону «Об электронной цифровой подписи» непредвзято, то нетрудно увидеть, что он сыграл значительную роль в освоении юридически значимого электронного документооборота.
Да, закон заработал не в полной мере, но не потому, что он был плох, а потому, что до поры до времени высшее руководство страны не рассматривало построение электронного правительства в качестве первоочередной задачи, а без давления «сверху» соответствующие ведомства так и не создали в стране единого пространства доверия.
В то же время закон (вместе со статьей 160 Гражданского кодекса Российской Федерации) заложил хорошую правовую основу, которая открыла путь для широкого применения электронной цифровой подписи (ЭЦП) как в государственном управлении, так и в деловой сфере. В настоящее время ЭЦП наиболее активно используется в таких областях, как сдача отчетности в электронном виде, электронные государственные закупки, системы «Клиент-банк» и «Интернет-банк», электронный документооборот государственных и муниципальных органов власти. Не всем, кстати говоря, известно, что в России ЭЦП используется куда активнее, чем во многих странах.
«СР»: Как используется ЭЦП в Европе и в мире в целом?
Н.Х.: В передовых странах ЭЦП – это, в общем-то, нишевая технология, преимущественно используемая в специфических взаимоотношениях. ЭЦП непопулярна в США, и за последнее время она несколько сдала позиции в Европе, несмотря на все усилия Евросоюза по расширению сферы ее применения. Последним примером стало решение Германии отказаться от обязательного использования ЭЦП при передаче электронных счетов-фактур.
Причиной этого является то, что это сложная и недешевая технология, применение которой часто не дает никаких осязаемых преимуществ перед использованием более простых инструментов. Кроме того, пока никак не удается наладить трансграничное признание ЭЦП и до сих пор не решена непростая проблема среднесрочного и длительного хранения документов, подписанных ЭЦП.
Не нужно, однако, путать использование ЭЦП с иными вариантами применения тех же самых технологий – например, для идентификации личности в электронных системах или для обеспечения аутентичности и целостности документов при их архивном хранении, динамика использования которых более положительная.
«СР»: Большинство наших читателей встречались со старой ЭП, пожалуй, только в системах «Клиент-банк» и в системах электронных торгов. Такие механизмы электронной подписи видятся частному потребителю как специализированные, «заточенные» под конкретные приложения. Была ли возможность в рамках старого закона завести человеку универсальную личную электронную подпись, которая могла бы идентифицировать его во всем цифровом мире, то есть во всем многообразии возможных приложений: для получения документов из госструктур и отправки своих документов в эти структуры, для заключения договоров купли–продажи в цифровом виде без личного присутствия (приобрести автомобиль, квартиру, дачу, гараж и т.д.) и совершения соответствующих денежных сделок, заключения контракта на выполнение работ, договора медицинского страхования и т.д. без личного присутствия?
Н.Х.: Возможность существования универсальной личной электронной подписи старым законом не отрицалась. Дело, однако, здесь не столько в законе, сколько в создании технической, организационной и правовой инфраструктуры, обеспечивающей реальное принятие документов, подписанных такой подписью. Если ведомство или коммерческая организация по каким-либо причинам не в состоянии проверить подпись, подписанный ею документ принят не будет, и вся универсальность останется только в теории.
Кроме того, далеко не все считают универсальные электронные подписи, а также возможность совершения ответственных сделок без личного присутствия заинтересованного лица либо его представителя такой уж хорошей идеей. Если у человека украдут ключевую информацию универсальной подписи, он может за считанные минуты потерять все…
«СР»: В целом смогла ли старая электронная подпись стать реальным заменителем обычной подписи гражданина (или юридического лица) в электронных коммуникациях? Если нет, то что этому мешало? Если смогла, зачем понадобилось ее менять на другую электронную подпись и придумывать для нее новый закон?
Н.Х.: ЭЦП смогла заменить обычную подпись в ряде важных сфер деятельности, и это не так уж мало. Однако это дорогая и сложная для рядового пользователя технология, которую совсем не обязательно использовать во взаимоотношениях, где не требуется повышенная степень защиты. Стало ясно, что ориентация исключительно на ЭЦП мешает созданию эффективного электронного правительства и внедрению электронных государственных услуг. В конце концов, мы ведь при использовании банковских карт (а это наши деньги!) обходимся без ЭЦП, и так же спокойно оплачиваем сейчас услуги в инфоматах.
Новый закон решает, с моей точки зрения, две ключевые задачи: легализует использование более простых средств подписания, в первую очередь в сфере оказания государственных услуг, а также позволяет привести отечественное законодательство в соответствие с европейским (хотя и не полностью), в котором система трех видов электронных подписей без каких-либо проблем существует с конца прошлого века.
«СР»: Поясните, пожалуйста, чем отличаются друг от друга три типа электронной подписи, описанные в новом законе? Придется ли гражданам разбираться в этих типах, чтобы пользоваться какими-либо госуслугами в электронном виде или особенности этих типов электронной подписи будут скрыты от пользователя? Что нужно знать гражданам, чтобы не оказаться в ситуации «незнание закона не освобождает от ответственности»?
Н.Х.: Первый тип – это простая электронная подпись, в качестве которой могут выступать ввод логина и пароля, нажатие соответствующей кнопки в программе или на устройстве. Вполне возможно, что, как и во всех развитых странах, простой подписью будут признаваться, например, и набранное простым текстом имя в конце сообщения, пересылаемого по электронной почте.
Два подвида усиленной электронной подписи (неквалифицированная и квалифицированная), по сути, подразумевают использование все тех же ЭЦП. Главное отличие квалифицированных подписей заключается в том, что средства их создания нужно будет приобрести в удостоверяющем центре, имеющем соответствующую государственную аккредитацию.
Думаю, что продвигаемая сейчас идея универсальных идентификационных карт ориентирована, с одной стороны, на упрощение взаимодействия гражданина с государством по принципу «вставил карту – ввел пин-код – далее следуй указаниям», а с другой стороны, на этих же картах всем гражданам могут быть выданы средства создания универсальных квалифицированных подписей. В любом случае наиболее массовые услуги будут, скорее всего, реализованы предельно просто. Однако при использовании усиленных подписей желательно разобраться в требованиях законодательства, чтобы потом не обивать безуспешно пороги судов (что сейчас уже не редкость).
«СР»: Используется ли простая электронная подпись за рубежом?
Н.Х.: Простая электронная подпись, только что появившаяся у нас, давно уже существует в европейском законодательстве. Простой подписью признается, например, набранное простым текстом имя, графическое изображение подписи, нажатие кнопки выполнения операции на веб-странице или экране инфомата и т.п. В США и других странах английского права основной упор в законодательстве и судебной практике делается на намерение лица подписать документ, и функции подписи на законном основании может выполнять любой символ, «смайлик» и даже звук (в этих странах, правда, существенно иной порядок использования документов в качестве доказательств вообще и электронных документов и информации в частности).
«СР»: Где можно получить новую электронную подпись? Каким образом обеспечиваются (или должны обеспечиваться) гарантии того, что граждане смогут пользоваться этой электронной подписью без проблем (без дополнительного обучения)?
Н.Х.: Думаю, что те же самые удостоверяющие центры, что выдавали ЭЦП, будут выдавать те же средства создания подписей, но уже под новым названием.
Смена названия не меняет сути вопроса: как показывает опыт, даже правильному использованию логина/пароля желательно обучать. Идея же использования ЭЦП/усиленной подписи без обучения ничуть не лучше предложения выдавать права без обучения навыкам вождения.
«СР»: Сколько сейчас стоит ЭЦП и во сколько гражданам и организациям будут обходиться новые виды подписей?
Н.Х.: По данным газеты «Ведомости» [2], сейчас стоимость выдачи ЭЦП находится в пределах 2–10 тысяч рублей. Для большинства наших граждан это дороговато по сравнению с получаемой от электронных услуг выгодой, и если цены не удастся существенно снизить, то массовое использование ЭЦП и, соответственно, наиболее значимых государственных услуг в электронном виде окажется под вопросом.
Это понимают и в Министерстве связи и массовых коммуникаций. Пресс-секретарь министра связи и массовых коммуникаций Елена Лашкина высказала точку зрения, что в ближайшем будущем цена на электронные подписи должна радикально снизиться и будет практически равняться стоимости носителя. По ее мнению, «за носитель усиленной электронной подписи, сертифицированной ФСБ, нужно будет заплатить 500–600 руб., а в перспективе – 300 руб. Для неквалифицированной усиленной электронной подписи можно купить любую USB-флэшку (от 100 руб.). А простая электронная подпись вообще не требует записи на носитель, это просто набор логина и пароля [3]».
«СР»: Обычную подпись человек может поставить на любых документах, бланках, квитанциях. Каким образом можно обеспечить такие же возможности для электронной подписи, чтобы она была работоспособна в любых организациях, где требуется подписывать серьезные документы с обязательствами: договоры, финансовые операции со своим банковским счетом в любом банке и т.п.? Чем будет обеспечиваться «прозрачный» переход гражданина из одного учреждения в другое со своей личной электронной подписью?
Н.Х.: Универсальность электронной подписи возможна лишь в идеальном мире, в котором из законодательства убраны все положения, требующие в определенных случаях обычной подписи и синей печати; в котором создано единое пространство доверия, а все организации и частные лица имеют необходимое для проверки подписей работоспособное оборудование и программное обеспечение. Вряд ли подобные условия будут созданы в ближайшие годы. Надо быть реалистами и видеть, что сфера применения электронной подписи будет постоянно расширяться, но еще очень долго будут существовать и бумажные документы, и специализированные электронные подписи, рассчитанные на подписание строго определенного круга документов.
«СР»: Поясните, пожалуйста, можно ли рассматривать электронную подпись как факт аутентификации [4] человека (то есть подтверждения того, что именно такой-то человек подписал документ)? Но в офлайновой жизни в существенных ситуациях, скажем в суде, в банке или при заключении договора с какой-либо сервисной компанией, подразумевающих денежные расчеты, пени и т.п., бумажный документ является лишь одним из нескольких обязательных условий. Кроме документа с личной подписью присутствует документ, подтверждающий личность, а также сама личность, как две капли воды похожая на фотографию в паспорте. А как в случае с электронной подписью в электронных коммуникациях? Электронная подпись берет на себя все функции подтверждения личности или наряду с ней должен присутствовать какой-либо «цифровой паспорт» (отпечатки пальцев и т.д.)?
Н.Х.: Любая подпись подтверждает, с одной стороны, что она совершена именно данным лицом, а с другой – намерение данного лица (например, согласие с текстом документа).
Далее, электронная подпись – это (пока что) просто вид подписи, и не более того. По умолчанию она не заменяет иные документы, которые в ряде случаев необходимо предъявить, и не отменяет требований к личному присутствию лица (если они есть).
В то же время в отдельных взаимоотношениях, если это будет предусмотрено законодательством или договоренностью заинтересованных сторон, усиленная и особенно усиленная квалифицированная подпись вполне может заменить некоторые документы.
«СР»: Если электронная подпись определенным образом подтверждает личность человека, можно ли ее использовать для подписи не только документов, но и, скажем, графических изображений, подобно тому как это делают художники на своих офлайновых полотнах? Что граждане смогут подписывать электронной подписью, помимо электронных документов?
Н.Х.: Технически это можно сделать, но лучше никогда так не поступать. Дело в том, что существует технология ЭЦП, и, имея необходимые средства, ЭЦП можно создать для любого электронного объекта. Однако есть правовое понятие подписи: подпись – в первую очередь волеизъявление подписанта. Чтобы понять разницу, представьте себе, что вас попросили, не глядя, подписать графический объект, а потом оказалось, что это графический образ текста, в котором вы уступаете свои права другому лицу.
Если нужно обеспечивать целостность электронных объектов или подтверждать их авторство, следует использовать отдельную подпись, в параметрах которой отражено, для каких целей она может быть использована.
«СР»: Легко ли подделать электронную подпись, уничтожить или заменить на документе другой? Можно ли украсть чью-либо электронную подпись? Говорят, необходимость в новом законе об электронной подписи возникла в связи с решением запустить в 2012 году универсальную электронную карту (УЭК). Какими способами ЭП может быть связана с УЭК? Есть ли риск, что вместе с украденными данными УЭК злоумышленник получит и личную ЭП владельца карты?
Н.Х.: Украсть массово используемые средства создания ЭЦП не так уж сложно, и это уже стало распространенным явлением. Подделать ЭЦП очень сложно, если только речь не идет об исторических ЭЦП, когда использованные для их создания алгоритмы по мере развития вычислительной техники оказались «сломаны» (с ранними алгоритмами это уже произошло).
Если заменить ЭЦП на подпись, созданную для другого документа, это будет сразу же обнаружено при проверке.
Существует также ряд относительно несложных способов мошенничества – например, когда контрагентам предлагается подписать документ, содержащий встроенный код. Подпись будет успешно проверяться, а вот визуальное представление объекта может меняться при этом любым заданным образом.
Простые электронные подписи защищены, как правило, слабее, чем усиленные электронные подписи, созданные с использованием технологии ЭЦП.
Универсальная электронная карта может быть использована в качестве защищенного носителя ключевой информации для создания подписей. Для доступа к функциональности создания подписи, скорее всего, помимо основного пин-кода карты, потребуется ввести еще один пин-код. Риск, конечно, есть, причем мошенники вряд ли будут взламывать защиту самой карты – куда проще украсть нужные пин-коды, установив, например, в подходящих местах микровидеокамеры и устройства, запоминающие все нажатия клавиш.
«СР»: Ситуация с кражей электронной подписи, на первый взгляд, выглядит хуже, чем с обычной подписью – последнюю труднее подделать, и она обычно сопровождается предъявлением удостоверения личности с фотографией. С этой точки зрения электронная подпись выглядит более простой – достаточно украсть только ее, чтобы получить возможность действовать от имени пострадавшего по всем доступным каналам, скажем продавать недвижимость, переводить деньги на другие счета и т.п. Видимо, на практике электронная подпись будет гораздо более защищенной от злоумышленников, чем описано выше. За счет чего?
Н.Х.: Представление о том, что физическую подпись труднее подделать, – миф. Физические подписи при оперативной работе, например, банка проверяются по карточке подписей – и общей похожести обычно достаточно. Судебная экспертиза, конечно, подделки обычно выявляет, но к тому времени ущерб, как правило, уже нанесен.
Удостоверение личности с фотографией в эпоху развитой полиграфии – тоже защита слабая.
На самом деле ЭЦП/усиленная электронная подпись обеспечивает существенно более высокий уровень защиты. Но, конечно, нужно позаботиться о должной защите своих средств создания подписи. Не случайно в европейском законодательстве одним из условий признания подписи квалифицированной является применение для ее создания высокозащищенного устройства создания подписи.
Способов обеспечить относительно безопасное использование ЭЦП несколько, но все они требуют затрат и жертв своими удобствами. В частности, простым, дешевым и довольно эффективным методом является отказ от универсальности подписи и ограничение сферы ее применения, а также, возможно, величины транзакций.
Можно, конечно, использовать высокозащищенные устройства создания подписи – типа токенов с одноразовыми паролями, в которых подпись создается внутри токена и закрытый ключ никогда не выходит наружу и где токен (или, скорее, микрокомпьютер) сам может показать пользователю, что же он на самом деле подписывает, но это обойдется в копеечку. Рядовые же пользователи могут оказаться легкой добычей для мошенников.
«СР»: Можно ли утратить электронную подпись? Заблокировать ее (как банковскую карту)? Восстановить или получить новую? Сложно ли это будет сделать?
Н.Х.: Если оставить в стороне простую электронную подпись, то речь идет о свойствах все той же ЭЦП, о которых уже написано немало. Все возможно, в соответствии с положениями законодательства и/или контрактными договоренностями. Все это много лет успешно работает.
«СР»: Где надо хранить электронную подпись, чтобы с ней ничего не случилось?
Н.Х.: На самом деле на носителе информации хранится не сама электронная подпись, а специальные ключи, при помощи которых она создается при каждом подписании электронного документа. Так что от надежности и защищенности носителя информации зависит очень многое.
В настоящее время существует несколько методов хранения, но одним из самых надежных (и дорогостоящих) считается хранение ключей на смарт-картах и в специальных высокозащищенных USB-токенах, в которых пары ключей генерируются аппаратно, и ключи подписания (закрытые ключи) никогда не покидают устройство и не могут быть извлечены или перехвачены. Если речь идет об операциях с деньгами и недвижимостью, то на защищенных носителях лучше не экономить.
«СР»: Многие организации уже используют в своей работе старую ЭЦП. Придется ли им менять бизнес-процессы, модернизировать информационные системы, нести дополнительные затраты, изменять схемы работ со старыми клиентами для того, чтобы начать работать с новой электронной подписью?
Н.Х.: Организации могут сохранить бизнес-процессы, но им, возможно, придется переработать свою внутреннюю нормативную базу, например заменив ЭЦП на усиленную электронную подпись. Еще раз подчеркну, с принятием нового закона вместо старых ЭЦП мы будем использовать все те же ЭЦП, но под другим названием, и к ним, возможно, будут предъявляться несколько иные требования.
«СР»: Как Вы считаете, станет ли появление новой электронной подписи тем толчком к активному использованию электронных коммуникаций граждан и государства, которое так давно ожидается?
Н.Х.: Легализация простой электронной подписи не создает нового явления. Такая подпись фактически существовала и раньше, но раньше она удовлетворяла требованиям законодательства только в случае заранее заключенного соглашения сторон. Сейчас просто снимается правовой барьер, который мешал широко использовать простую подпись при оказании государственных услуг и в коммерческой деятельности, и это, на мой взгляд, положительный фактор. Насколько сильно он повлияет на активизацию электронного взаимодействия с гражданами, покажет время. Как мне кажется, еще очень большой процент нашего населения в принципе не готов к использованию электронных госуслуг, какими бы удобными они ни стали.
Что же касается усиленной электронной подписи, то пока что это будет главным образом «реинкарнация» ЭЦП под другим названием.
«СР»: Наталья Александровна, спасибо за интересную беседу!
[1] От 10.01.2002 № 1-ФЗ.
[2] Валерий Кодачигов. Подпись на выбор // Ведомости, 14 апреля 2011 г.
https://www.vedomosti.ru/newspaper/article/258529/podpis_na_vybor
[3] Там же.
[4] Аутентифика́ция (англ.
Authentication) – проверка принадлежности субъекту доступа предъявленного им идентификатора;
подтверждение подлинности.
Источник: "Секретарь-референт" №6 2011
Комментарии 2
Спасибо за этот важный и очень актуальный материал!
Наталья Александровна, скажите, пожалуйста, правильно ли я поняла отдельные аспекты статьи:
Закон об электронной подписи был принят в 2002, затем был дополнен/доработан в 2011 году. И если не ошибаюсь, его первая редакция была еще в 90-х годах? Поясните, пожалуйста, в чем принципиальная разница законов 2002 и 2011 гг.?
В статье Вы говорите об идее универсальных идентификационных карт. Если я правильно понимаю, принцип действия у такой карты подразумевается таким же как у привычной зарплатной карты, с которой пришел в банк, вставил в терминал и оплатил коммунальные услуги? Только в случае наличия идентификационной карты гражданин сможет оформлять определенные закупки, оформляя договора?
Универсальная электронная карта (УЭК) изначально создавлась для использования с электронными госуслугами, но логично было ее использовать и для расчетов. Поэтому проект, как я понимаю, разваивается и в этом направлении.