Так нужна ли при получении госуслуг физлицу электронная подпись?

Многие опубликовали новость о госуслугах. Но о том, понадобится ли еще КЭП, только здесь. Спасибо

Не особо авторы/журналисты утруждают себя использовать правильные термины: тут и "стоимость ЭЦП" - ЭЦП уж 5 лет по закону нет, да и ЭЦП "не продается" (УЦ продают сертификаты).

Никто еще не видел в природе живьем простую электронную подпись, а будто бы только она "устраняет ограничения на использование документов, выдаваемых органами и организациями в электронной форме" :-)

Кто решил, что она дорогостоящая? В сравнении с чем? В государстве нет ничего бесплатного! Давно были у нотариуса/врача/... или оплачивали пошлины за "услуги" государства, живущего на деньги налогоплательщиков? И никто (пока) не запрещает использовать неэлектронные варианты взаимодействия!

Отмена ЭП для получения госуслуг - верный шаг. Для некоторых и регистрация на портале госуслуг вызывает значительные сложности, не говоря уже об использовании ЭП. 

Хотя можно обратиться в МФЦ - там зарегистрируют. По факту при таком способе человек пройдет идентификацию, а зачем тогда КЭП? Еще и при входе на портал вводится логин/пароль (простая ЭП по сути). Прошли идентификацию, а еще с нас просят КЭП.

По этому списку похоже, что он включает оформление/выдачу документов, влекущих финансовые последствия, требующих особого контроля со стороны государства в связи с использованием национального богатства, обеспечения безопасности (например, использование водных, земельных ресурсов, надзор в сфере строительства). Такие отношения, как правило, требуют использования в электронных документах аналогов собственноручной подписи - т.е. только КЭП.

Мысль хорошая, но все-таки не стоит ожидать, что ЭП не понадобится совсем. Где электронный документооборот - там будет ЭП, других инструментов нет.

Вадим, а можно посмотреть живьем на КЭП?)

Вы сами себе противоречите:

и

и

Законодатель любую электронную подпись считает АСП!

Роберт, разумеется! УКЭП (как и УНЭП) это криптосообщение, которое "зависит" от подписанного документа. Можно ее "пощупать", а имея средство электронной подписи, и проверить ее, в т.ч. убедиться в действительности сертификата подписанта. Когда говорят про ПЭП, создаваемую "с помощью" логинов/паролей, забывают, что любая электронная подпись - это, прежде всего, "информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию". Пока никто не показал эту "информацию", являющуюся ПЭП, и не продемонстрировал, как ее можно проверить. Где-то тут были попытки представить хэш за ПЭП, но это не ПЭП, т.к. для расчета хэша нужно иметь криптосредство, а это уже минимум УНЭП.

Под это определение вполне подпадает поле в базе данных о том, под каким логином заходил пользователь, создавший информацию (например, история в СЭД). Информация в нем получается без использования хэш-функции, но вполне "присоединена" к документу. Неизменность документа при этом не обеспечивает, конечно.

Т.е. если в таком поле БД будет написано "ПЭП=С приветом Вася", то ответственность "за все" будет нести Вася?

А если Вася против того, что в некотором поле БД некто напишет его логин? Он будет правовыми способами доказывать свою непричастность к ЭД. В конечном счете, в суд будете предъявлять запись поля БД? Как докажете связь содержимого поля БД с авторством Васи (для оценки доказательств используется почерковедческая экспертиза традиционных документов и экспертиза действительности электронной подписи для электронных документов)?

Не надо путать аутентификацию в информационных системах и обеспечение юридической силы электронных документов с применением электронной подписи...

Вадим.  Пощупать и посмотреть УКЭП можно только в рамках системы с использованием средств ЭП. Я ровно тоже могу сказать и о простой электронной подписи). Простая электронная подпись работает в рамках системы, в которой мы договорились, что она может использоваться. Вопрос применения простой ЭП -  это не технологический вопрос, по-моему, это методологический вопрос. (Не знаю, смог ли я правильно сформулировать по-русски))) И простая электронная подпись в СЭД уже давно используется) Например, в "канцелярских сэд" уже давно можно нажимать на кнопочку "Согласовано" при работе с проектом документа. И при надобности можно получить информацию: кто, когда, с какого места нажимал эту кнопочку, и пользователю при запросе можно выдавать в удобном окошечке эту информацию) И привязать нажатие на кнопочку к ЭД в СЭД тоже можно. Но повторюсь, эта ПЭП будет работать в рамках конкретной СЭД, где средством ПЭП будут выступать компоненты СЭД. А вопрос про то, что кем-то вдруг в БД может быть записано про "Васю Пупкина" взамен Пети Уткина я отнесу к организации "доверенной среды". Я нечто подобное могу спросить и про систему где УКЭП используется.

Могут ли жить системы, где используется ПЭП? А почему нет? Вот пример аналогия. У нас в России более 100 млн жителей и у подавляющего большинства из них стоят дверные замки, которые вскрываются за минуты)))  И это -"вскрываются за минуты" совсем не мешает существовать этой системе). И еще пример. Да, действительно, мы иногда пользуемся услугами нотариуса, но в подавляющем большинстве случаев мы используем свою бесплатную рукописную подпись)

Нажимать можно :-) . Но подпись-то отсутствует как таковая. И информация в журналах учета, где отображаются события в системе, не может считаться электронной подписью.

В отличии от ПЭП в ИС без криптографии, УКЭП может быть проверена (и проведена экспертиза) с использованием сертифицированных СЭП, и в отрыве от ИС (нормальные системы имеют механизмы экспорта документов и подписей, для их проверки альтернативными средствами - не все же используют нестандартные криптосообщения или только картинкой сигнализируют о наличии, и даже о действительности, подписи). 

Конечно, и я не против. Только пока их нет, т.к. пока нет технологий, альтернативных криптографическим.

Допускаю, что я не внятно объяснил выше. Попробую еще раз...

Вопрос к ПЭП на логинах/паролях в данном месте не в том, что она надежнее или НЕ надежнее криптографии (и криптографические методы отличаются - поэтому используются в УКЭП только сертифицированные средства, и лицензирование рынка, и аккредитация УЦ). Я лишь о том, что идут разговоры про существование ПЭП, а ее (собственно электронную подпись) никто не видел ни разу. Вот появится технология - будут смотреть, изучать, оценивать уровень надежности, возможность применения в "незначимых" ИС и т.д. и т.п. А пока что обычную аутентификацию (собственно не защищающую документы) пытаются заменить модным термином ПЭП :-) Кстати, и подпись-то нужна не везде, и не всегда, а только там где действительно появляются документы. И банковские карты в банкоматах/терминалах/POS тристалет работают на аутентификации по PIN.

На ЕПГУ много ли документов транспортируется? Может потому и не нужна подпись на ЕПГУ, а достаточно аутентификации по логину/паролю. Хотя и тут засада с безопасностью - 21 век на дворе, а персональные данные всех (а нет - только тех, кто подключился) граждан страны защищены паролем, передаваемым по незащищенному каналу, но это другая тема. Не говоря уж о том, что невозможно обеспечить достоверность определения автора (чего будто бы делает ПЭП) не убедившись в целостности/подлинности (чего не должна делать ПЭП) документа.

Как бы ни хотелось Вам так думать, это - вопрос права. Официально толковать нормы право может только Конституционный Суд. Во всех иных случаях то или иное толкование права - это позиция стороны в споре.

В законе об ЭП есть такое определение ПЭП: информация в электронной форме, которая присоединена (!!!!!!!!!!!!!) к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Если вы пойдете в суд, и будете утверждать, что логи действий пользователей (нажимание разных кнопочек), сохраняемые в СЭД - и есть ПЭП, то придется доказывать, что логи присоединены именно к подписываемому документу и однозначно определяют лицо. Где неопровержимые доказательства, что сам документ не был подменен позднее, а сами логи не были подправлены разработчиками или сисадминами? То есть вам придется доказывать, что в принципе математически невозможно изменить после подписания или документ или ПЭП, чтобы это не осталось незамеченным. Мне не известен какой-то другой способ связывания двух кусков электронных данных, как ассиметричное криптопреобразование. Но это уже УЭП.

В ПЭП все прекрасно, кроме того, что это пока технически нереализуемо.

Потому, что люди еще не обжигались. Так же и СЭД - пока нет споров по поводу документов в СЭД, их авторства и неизменности, кнопочек "Согласовать" и Подписать" хватает. После проигранного спора организация, скорее всего, задумается о более адекватном способе минимизации своих рисков.

Подсчитают расходы на покупку средств ЭП, ежегодные расходы на покупку ключей с сертификатами для каждого пользователя, расходы на построение доверенный среды ЭП и решат оставить как есть)))

Не будем придираться, что сформулированное Вами - это определение ЭП))

Про "присоединение".  Я Вам, например, в рамках технологии ЭП в СЭД могу сказать, что там все замечательно присоединяется))) Открываем карточку электронного документа, переходим на закладку "Подписи" и видим это присоединение. И это "присоединение", авторство, целостность, дата формирования ЭП будет контролироваться СЭДом. И мне этого будет достаточно в рамках данной системы. Понимаете, не надо стараться технологию УКЭП натягивать на технологию ПЭП. Иначе мы получим дорогую технологию ЭП, которая не будет использоваться массово ни организациями ни гражданами. 

Кстати) В организации я скорее всего столкнусь с ситуацией компрометации ключа электронной подписи, чем с ситуацией, в которой админ лезет в базу данных СЭД и правит запись таблицы, где зафиксирован факт нажатия на кнопку "Подписать" Ивановым Иваном Ивановичем". 

Почему Вы считаете, что ПЭП должна обладать этим свойством - "проверка ее вне системы формирования"? Если уж возникла необходимость экспертизы, то пусть эксперт приходит в нашу организацию и проверяет ЭП в рамках нашей СЭД. Это простая ЭП и не надо стараться из нее сделать аналог УКЭП.

Роберт, все в точности до наоборот!

Жили люди, не тужили, работали с аналогами собственноручной подписи по ст.160 ГК РФ, а с электронными документами - с учетом 1-ФЗ. Договаривались, в зависимости от уровня требований к документам, что крестик или "С приветом Вася!" или "Юстас" или еще что-то - это АСП Васи (кстати, это можно продолжать делать и сейчас!). Но кто-то предложил это нечто (на основе логинов/паролей), не являющееся электронной подписью как таковой, в масштабах страны назвать ПРОСТОЙ ЭЛЕКТРОННОЙ ПОДПИСЬЮ, не предложив технологию, и уравнять в правах с обычной криптографической электронной цифровой подписью. Эту картину мы и наблюдаем, и еще долго будем расхлебывать...

Еще раз. Если нужна "а-ля электронная подпись" в СЭД, договаривайтесь с Василием, что если в логе СЭД будет написано "во время Ч Вася подписал документ.txt", то сама эта запись является АСП Василия под документом документ.txt. НУ НЕТ ТУТ НИКАКОЙ ЭЛЕКТРОННОЙ ПОДПИСИ! И никто никогда ни с какой экспертизой ЭП в СЭД к вам не придет.

Разве?

---Но кто-то предложил это нечто (на основе логинов/паролей), не являющееся электронной подписью как таковой, в масштабах страны назвать ПРОСТОЙ ЭЛЕКТРОННОЙ ПОДПИСЬ---

А я Вам объясню почему такое произошло. Потому что технологию УКЭП массово гражданам и организациям использовать практически невозможно: дорого, неунифицировано, бардак с терминологией.

Ну, нравится Вам АСП, называйте АСП))) Но в законе написано ПЭП.))) А про присоединение, я выше написал. На уровне представления данных (документов) "СЭД" все прекрасно присоединяется)))

Тут не соглашусь. ЭЦП/КЭП - все унифицировано и терминологически стандартно (пока не добавили технологически отсутствующую ПЭП), и даже в НЭП все соблюдено. Дорого - это относительно чего? Если хочется "бесплатно", то это может быть сделано только государством, но опять таки за счет ВСЕХ налогоплательщиков, а не тех граждан, кому это действительно нужно, и мы можем только догадываться, какие у государства будут траты из бюджета на это. В части невозможности - все возможно и массово используется (и уже давно и стабильно) там, где это целесообразно (в т.ч. экономически выгодно), не надо людей вводить в заблуждение. Проблемы у ЭЦП были (в части единого пространства доверия), в КЭП их решили, в части дополнительных требований различных государственных ИСОП к квалисерту - до конца пока не смогли, но это другая песнь. Не забываем, что подпись нужна для защиты документов, придания им, в конечном счете, юридической силы, не нужно результаты идентификации/аутентификации/авторизации или действий пользователя в ИС считать подписью.

И электронная подпись тоже бесплатна, конечно средство ЭП и услуги УЦ в большинстве случаев дороже шариковой ручки, но ручка не может "придать" документу скорость электромагнитной волны и иные электронные удобства.

Нет в этом "присоединении" электронной подписи электронного документа, это обычный журнал учета/log. Если достаточно журнала учета, то электронная подпись документа (ни КЭП, ни НЭП, ни ПЭП) и не нужна! Тема исчерпана.

Спасибо за замечание за мою не точно выраженную мысль. Про унификацию я тоже подумал после написания, что некорректно выразился. Что имелось ввиду.  Часто совсем недостаточно бывает получения одного ключа с сертификатом. Если я не ошибаюсь, разные торговые площадки требуют разных ключей с сертификатами. Это только один пример. Поправьте если не прав.

Про терминологический бардак. Имелось ввиду некорректное использование терминологии "даже регулятором на сайте". Это же близко к Вашим высказываниям?

И не говорите, что технология замечательная, люди "плохие". Меня отдельная замечательная технология не интересует. Меня интересует в ЦЕЛОМ СИСТЕМА использования этой технологии.

-----И электронная подпись тоже бесплатна----

Ок, ТЕХНОЛОГИЯ использования УКЭП дорога. И если электронный сервис будет требовать от гражданина использования УКЭП, то этим сервисом граждане практически пользоваться не будут.

Внутри организации всем сотрудникам организации в рамках внутреннего электронного документооборота никогда не будут выданы ключи и сертификаты для формирования УКЭП. Это дорого. 

Да дался Вам этот лог))) В СЭД технология простой ЭП - это отдельный сервис. Это не аналог, например, журнала регистрации событий в ОС. 

И в заключении дискуссии. С точки зрения адепта традиционной рукописной подписи (не меня) УКЭП - это тоже не подпись))). Он Вам скажет: МОЯ подпись - это то, что могу сформировать ТОЛЬКО Я. Она зависит от моих биометрических характеристик. А УКЭП - это не ПОДПИСЬ. Там нет нормального "присоединения"))) АВТОРА к подписи))).  Что это за технология в рамках которой техничка, которая зашла помахать тряпкой в кабинет генерального директора, при определенных условиях сможет подписать документ организации от имени этого генерального директора?))) 

Так что вопрос "а что такое подпись" -  это вопрос в том числе и веры)))

Спасибо за Ваши аргументированные замечания.

Да, разные организаторы/операторы информационных систем требуют разные сертификаты: кому то нужен неквалифицированный, кому-то квалифицированный, но с дополнительным требованием (обычно тут можно совместить все в одном сертификате). В ИСОП, как правило, доптребований к квалисерту нет. 

Любая система состоит из разных технологий/средств. Если на Серверы, ПК, сетевое оборудование, ОС, СУБД, ПО СЭД, услуги ISP деньги нашли, а на СКЗИ и услуги УЦ (и МЭ, IDS/IPS, антивирус,...) нет, то неправильно определена стоимость системы вцелом. Это касается всех систем, от локальных СЭД до крупных государственных интернет порталов. Если в сегменте G2B государство как бы не считает затраты бизнеса, в G2C так уже не сделаешь (тут стоимость ПК/ПО и услуг ISP подразумеваются, но никто о них не задумывается, а СКЗИ и услуги УЦ - обижают/заставляют покупать никому не нужное, но по сути они ничем не отличаются, к примеру, от необходимости покупки ПК/ОС/антивируса и услуг ISP).

В сегменте B2B, да и в G2C и B2C все работает, как уже ранее говорил, если есть экономическая целесообразность (и подают документы для поступления в столичные вузы, и регистрируют из Ижевска сделки с недвижимостью во Владивостоке, и т.д.).

Да, это экономически нецелесообразно, если нет документов, точнее создания документов или юридически значимых действий с ними. Обычно достаточно журналов учета.

Разве? Любая программа может писать любые события с нужной детализацией в журнал приложений ОС или в некий свой. Разница в том, что документ обычно может быть передан из одной системы в другую в согласованном формате (передан в другую организацию, в суд). Вот тут ему нужна подпись, а не запись в журнале.

Наконец-то разобрались, что подпись нужна для подписания документа, а если в ЕПГУ документа как такового нет, то и средства электронной подписи не нужны, достаточно идентификации/аутентификации/авторизации (но и ее нужно делать а) по защищенному каналу, и б) с соответствующим органом власти/местного самоуправления).

Это не мое) Я другим закончил)

Это из исходной темы :-)

P.S Это, конечно, шедевр) Вообщем покупай средства ЭП и каждый год Ключ ЭП с сертификатом и ты получишь каждый год возможность формировать БЕСПЛАТНУЮ ЭП))))

Странно, что вас развеселила достаточно простая мысль. Квалифицированная электронная подпись (совокупность байт, сгенерированная при помощи сертификата и криптосредств для подписываемого документа) действительно бесплатна. Я не встречал, чтобы УЦ или производитель криптосредств брал деньги за каждую подпись. Вы же не называете электронной подписью сертификат? Этим пусть грешат неспециалисты :) 

И ведь покупают, потому что при помощи этих инструментов можно подписать документ и отправить его через оператора ЭДО или участвовать в электронных торгах. И знаете, плата за сертификат и криптосредства может быть на порядки меньше затрат на отправку документов почтой, я уже не говорю о повышении скорости доставки, что прямо может повлиять на сокращение сроков оплаты товара. Так что здесь тоже мне лично непонятно, что вы нашли смешного.

ну, если у них цена риска меньше стоимости использования КЭП, то да. Только, возможно, в этом случае вообще можно обойтись без электронной подписи - хватит авторизации пол логину/паролю и т.п.

Так замечательно присоединяется, что можно (админу или разработчику) спокойно заменить в базе файл, к которому "присоединены" эти ваши закладки и кнопочки, что рядовому пользователю только останется развести руками. Если то, что вы называете ПЭП, не может гарантировать неизменность документа после подписания и авторство, то это не подпись - это дрянь какая-то. Все приведенные вами "технологии" как раз не могут гарантировать НЕВОЗМОЖНОСТЬ изменения документа после подписания. А если не могут - это не подпись. 

Понятно, что в подавляющем большинстве случаев никто не будет подменять подписанные "тем, что вы называете ПЭП" документы в СЭД - это может быть экономически бессмысленным. И споров, когда потребуется в суде однозначно доказывать неизменность документа после его "подписания", тоже может не быть. И этих ваших кнопочек и вкладок будет действительно достаточно чтобы пользователи поверили, что изменить "подписанные" документы в СЭД нельзя. Потому, что это никому не нужно. И КЭП может быть в рамках этой системы не нужна, потому, что это лишние затраты. Если нечего охранять, зачем тратиться на дорогостоящие замки?

Но это не повод называть эти СЭД-ухищрения электронной подписью, пусть даже и простой, поскольку они МАТЕМАТИЧЕСКИ, ОДНОЗНАЧНО, ДОКАЗЫВАЕМО, ПРОВЕРЯЕМО не могут гарантировать неизменность документа после подписания и его авторство.

Собственно, это я и хотел сказать.  

------Странно, что вас развеселила достаточно простая мысль. Квалифицированная электронная подпись (совокупность байт, сгенерированная при помощи сертификата и криптосредств для подписываемого документа) действительно бесплатна. Я не встречал, чтобы УЦ или производитель криптосредств брал деньги за каждую подпись. Вы же не называете электронной подписью сертификат? Этим пусть грешат неспециалисты :)-----

Ну, я считаю, что если я купил средства ЭП, и ключ ЭП с квалифицированным сертификатом ключа проверки электронной подписи на 3 (условных) рубля, то если я за год сформирую одну подпись, то она будет без учета других расходов стоить 3 рубля. Если две подписи поставлю, то 1,5 рубля. И так далее. С увеличением количества подписей цена их будет падать, но они не будут бесплатными. Я средства ЭП с ключом и сертификатом покупаю не как красивую вазу, чтобы она у меня стояла на столе и я любовался ею. Я их покупаю, чтобы подписи формировать. 

Я Вас не понимаю))) О каком сертификате идет речь? Я в своих сообщениях под сертификатом понимаю  "Сертификат ключа проверки электронной подписи" (статья 14 закон об ЭП). Почитайте пожалуйста и, привлекая Вашу математику, объясните мне, что, как и каким алгоритмом  Вы генерируете этим сертификатом?) И если сможете мне объяснить, то увы такая подпись не будет являться УКЭП)

Я АБСОЛЮТНО не против использования УКЭП, я против, когда УКЭП лезет в сферу, где достаточно использования ПЭП. И адептами УКЭП разворачиваются дискуссии, что ПЭП не существует в природе)

Нельзя никакую технологию рассматривать в отрыве от системы, в которой она используются) В рамках СЭД все обеспечивается, в том числе "НЕВОЗМОЖНОСТЬ" изменения документа после подписания. 

Вот Вы меня в суд все время отправляете))) А я Вам скажу, что УКЭП сегодня не менее уязвима, чем ПЭП. Вы мне про математику, а я Вам про компрометацию ключа ЭП, я Вам про непонимание ЛПР технологии ЭП) Он вообще в суде сможет доказать, что это ОН сформировал подпись? 

Кстати, не забудьте пжл про "Я Вас не понимаю))) О каком сертификате идет речь?"

1. Там, где достаточно аутентификации и нет документов, никакая подпись не нужна. 2. Там, где нужна подпись, работают на законных основаниях электронная подпись (УКЭП/УНЭП/ПЭП) и другие АСП. 3. То, что пока нет технологии для ПЭП, это отдельная песнь (в т.ч. постановка темы "ПЭП обеспечивает авторство, но не подлинность документа (НЕ "позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания")").

Никто ни в какую сферу не лезет, в новости сказано: УКЭП практически не нужна на ЕПГУ. Это и понятно: там где нет документа - достаточно аутентификации. А вот если в ЕПГУ "появляется" документ, то без УКЭП не обойтись.

Хотя, Минкомсвязь увлеклась своими "услугами", дошло уже до их "подписывания":

Абсолютно согласен) Мне особенно понравилось справедливое "и другие АСП". Т.е. УКЭП/УНЭП/ПЭП - это тоже АСП. 

Подожду возможное высказывание Сергея, и отпишусь по итогам моих умозаключений)))

Возможно, я как-то скомкано объяснил, что Вы не поняли. Что хотелось сказать: усиленная электронная подпись - это результат ассиметричного криптопреобразования хэша документа при помощи закрытого ключа. Проверка осуществляется при помощи ассиметричного преобразования электронной подписи при помощи открытого ключа (получаем изначальное значение хэша документа) и сравнения его с вычисленным хэшем для полученного документа. Если эти значения совпадают, то подписанный документ не изменился. Авторство гарантируется тем, что закрытый ключ известен только автору электронной подписи. Сертификат представляет собой тоже электронный документ, подписанный сертификатом УЦ. Сертификат может содержать сведения о владельце. 

Если говорить про математику, то используются алгоритмы Диффи-Хеллмана, Ривеста-Шамира-Адлемана, эллиптических кривых. Закрытый ключ может содержаться в сертификате ключа проверки электронной подписи. Если мы говорим про усиленную квалифицированную электронную подпись, то нам для подписания документа необходим сертификат (содержащий закрытый ключ), выпущенный аккредитованным УЦ. Расширенная электронная подпись может включать в себя штамп времени, сертификат ответ OCSP-сервера.

То есть, если документ был изменен, мы можем это математически (при помощи указанных алгоритмов) это доказать.

А какой алгоритм используется для получения "ПЭП" в вашей СЭД? 

Подозреваю, что то, что Вы называете ПЭП, является просто реквизитами документа в вашей СЭД. Рядовой пользователь их (или тело документа) не сможет изменить, а админу или разработчику в абсолютном большинстве это даром не нужно. Но это не есть ЭП, как это написано в законе об ЭП. 

Это кто сказал, что нельзя! Используют, и очень широко. И вот усиленная цифровая подпись позволяет проверить документ как раз вне системы, в которой он был подписан - нужны только криптосредства и инфраструктура PKI. Инфраструктура - это не система. Можно выгрузить документ и подпись, передать их по каналу связи или на носителе, и получатель сможет проверить УЭП, даже если не является пользователем системы (СЭД).

А вот с вашей "простой" электронной подписью такой номер уже не пройдет! Вы не сможете "приклеить" вашу "ПЭП" к документу так, что при помощи какого-нибудь математического алгоритма можно будет доказать факт внесения изменений в документ или его неизменности.

А кто вам предлагает везде использовать УКЭП? Я - нет. Пользуйтесь тем, чем хотите. А вот как может быть достаточно технологии, которой нет - я тоже не понимаю :)

Вы забыли про "Алису и Боба"))) Вечером прокомментирую, сейчас времени нет.  А здесь есть что комментировать)

Для начала давайте закончим с популярной криптографией для чайников) Мне она знакома достаточно давно) 

Мои комментарии.

"Ключ электронной подписи" / "закрытый ключ" НЕ МОЖЕТ содержаться "в сертификате ключа проверки электронной подписи" / "сертификате открытого ключа". Смотрите: статья 14 закон об ЭП, X.509, RFC 5280. 

Если же у Вас "ключ электронной подписи содержится в сертификате ключа проверки электронной подписи", то эта уже другая сущность, это уже какой-то другой "сертификат", мне неведомый). В законе об эп такой сущности НЕТ) Чем Вы там подписываете мне действительно не понятно) Объясните пжл, с обязательной отсылкой к ДОКУМЕНТАМ) 

А почему Вы считаете, что алгоритм формирования подписи - это только "математический (криптографический) алгоритм"? Например, алгоритм формирования традиционной рукописной подписи не предполагает использование математики (криптографии).

Вы себе не представляете, но в "старом" законе "об эцп" эцп была определена как "реквизит электронного документа..."))) Но я, конечно, понимаю, что Вы имеете ввиду. 

А давайте отталкиваться от определения ЭП в законе "Об ЭП". Меня оно полностью устраивает и с точки зрения "присоединения"   и с точки зрения "определения лица, подписывающего информацию". А также от статьи 9 "Использование ПЭП"

Что у меня есть?

1. СЭД (система электронного документооборота). В ней понятие ПЭП закреплено в руководствах пользователя и администратора, в справочной системе, в глоссарии СЭД. Технология ПЭП в СЭД настраивается: Администратор СЭД  определяет, кто может подписывать документы, и какие виды документов могу подписываться ПЭП. Технологические операции по формированию, проверки ПЭП для пользователя схожи с операциями по формированию КЭП. Есть, конечно, разница) При подписании документа не запрашивается ключ ЭП (он фактически вводился при входе пользователя в СЭД) , а на этапе проверки ПЭП нет возможности просмотра сертификата ключа проверки ЭП (его просто нет в технологии ПЭП)

2. У меня есть регламент использования ПЭП в моей организационной системе. И ни одному нормативному документу этот документ противоречить не будет. 

3. У меня есть соглашение использования ПЭП участниками информационного взаимодействия. И все участники с ним согласились.

Могу и дальше продолжить. 

Вы, конечно, можете сказать, что это не технология вовсе и что ПЭП в ней не создается. Это Ваше право, мы вас в нашу организационную систему не приглашаем)))

Так это элементы одной, по сути, системы) У вас же "единое пространство доверия")

У нас все приклеивается в рамках СЭД))) А вот Вы идите в суд и доказывайте своими математическими алгоритмами факт некомпрометации ключа, и что ключ ЭП физически существуют только на одном носителе, с которым ЛПР не расстается ни днем ни ночью))) Предлагаю носитель с ключом вшить в задницу ЛПР и каждый год его менять))

Не забудьте пжл дать Ваши пояснения, каким сертификатом Вы подписываете документы? В суде пригодится)))

P.S. Почему я хочу, чтобы использовался именно термин ПЭП, а не АСП? Электронный документооборот - преемник традиционного бумажного. И чтобы этот электронный документооборот, "электронное взаимодействие гражданина" и на уровне государства, в том числе стали массовым явлением необходима преемственность, в том числе и терминологии.

Извиняюсь за Ашипки)))))

Вот в этом и проблема. Сочинятели закона 63-ФЗ это тоже хотели. Но электронное взаимодействие и электронный документооборот это разные вещи! Для взаимодействия достаточно идентификации/аутентификации участников (в т.ч. по логину/паролю в надежно защищенном канале), а для документооборота нужна, кроме этого, еще защита документа от подделки, реализуемая электронной подписью. А ПЭП по закону не защищает документ от модификации, поэтому не может служить его подписью (ну невозможно быть автором документа, который можно бесконтрольно редактировать!). Поэтому и нет преемственности, и сплошная путаница в терминологии, и разруха в головах. АСП - фундаментальное понятие с ясным смыслом и договорными взаимоотношениями относительно ее сущности, нежели ПЭП, которую хотят выдать "терминологически и преемственно" за электронную подпись.

Я понимаю, что снисходительно-насмешливый тон в комментариях сейчас в тренде, а усилиями г-на Конашенкова (Начальник Управления пресс-службы и информации Министерства обороны Российской Федерации) и г-жи Захаровой (директор Департамента информации и печати Министерства иностранных дел РФ) даже выведен на международный уровень. Но мы с вами, надеюсь, умные люди и прекрасно понимаем, что понтами часто пытаются компенсировать недостаток интеллекта или аргументов. Так что давайте не будем опускаться до этих простых и совершенно неэффективных в приличном обществе приемов, хорошо? То, что до Вас никто не использовал столько обсценной лексики и "иронии" в комментариях было не потому, что никто до этого не додумался, просто здесь было принято уважать не только собеседников, но и себя. Надеюсь, что это не изменится и в будущем :)

А теперь к делу.

Ок, тут я напутал, я имел в виду просто закрытый ключ. Он действительно не может содержаться в сертификате ключа проверки электронной подписи.

Для рукописных подписей за многие века накопилось очень много криминалистических методик проверки авторства рукописной подписи. Тем более, что физическая природа пишущего состава (пасты, чернил, крови) и бумаги позволяет получить множество данных, в том числе авторства, времени подписания и т.п. Даже если человек пишет другой рукой или ногой, можно определить его по особенностям написания отдельных букв. Так что для рукописных физических подписей асимметричное криптопреобразование не нужно.

ИМХО, стоило бы процитировать определение ЭЦП до конца: электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Если дочитать определение до конца, то можно сделать три вывода: 1. ЭЦП может быть получена только путем криптопреобразования с использованием закрытого ключа. 2. ЭЦП гарантирует авторство и неизменность документа. 3. ЭЦП является просто реквизитом электронного документа, а не электронного документа в информационной системе. Таким образом, по старому закону ваши галочки, кнопочки, надписи в СЭД не являются электронной цифровой подписью. Думаю, что Вы этого и не собираетесь утверждать.

Локальные правовые акты (это я про регламенты и соглашения про использование СЭД и "ПЭП" в организации) могут (при отсутствии противоречий с законами и подзаконными актами) регулировать максимум трудовые правоотношения. И электронные документы в корпоративных СЭД составляются в рамках преимущественно трудовых правоотношений. Скажу более, в электронном виде в СЭД остаются только те документы, которые не требуется хранить длительное время. Кадровые документы будут распечатаны и  подписаны собственноручной подписью, а потом будут храниться десятки лет. Тут даже КЭП не выглядит альтернативой теплой ламповой собственноручной подписи, не говоря уже про какие-то кнопочки в СЭД.

Разумеется, в СЭД можно создать документ, участвующих в гражданско-правовых отношениях (проект договора, доп. соглашение, счет и т.п.) или административных правоотношениях (ответ на запрос ФНС), но для отправки контрагенту документ надо будет или перевести в бумажный вид и подписать собственноручной подписью или отправлен через ЮЗЭДО-оператора. Разумеется, в рамках предварительно заключенных соглашений документ может быть отправлен и без всякой подписи через email, но либо гарантией его неизменности будет отправка через независимого от пользователей- отправителей и получателей провайдера, либо изменять документ сторонам нет смысла или экономической необходимости. Очень давно, около 5 лет назад Наталья Храмцовская упоминала одно арбитражное дело, где суд в качестве доказательства принял обычный документ (что-то типа Word или Excel), запросив у email-провайдера логи. Размер предоставленных документов соответствовал данным логов, поэтому суд посчитал, что именно эти документы и участвовали в обмене. Точно не помню, возможно, в своих блогах я ссылался на этот кейс. Но и в этом случае гарантией неизменности документа была не "ПЭП" в СЭД, а его передача через независимого и предоставившего логи оператора.

Резюмируя вышесказанное, замечу:

1. В локальных актах вы можете простой электронной подписью называть что угодно, никто с вами спорить не будет, проверять не придет. Вы можете этой "ПЭП" подписывать внутренние документы, относящиеся к некоторым (скорее всего, не к кадровым) трудовым правоотношениям.

2. Фактически, под "ПЭП" будут подразумеваться авторизация пользователей в СЭД и разные записи в служебных областях данных.

3. В рамках СЭД можно декларировать "авторство" и "неизменность" электронных документов. Участники СЭД с этим могут согласиться, так как даже подделка документа после подписания "ПЭП" не приведет к каким-либо юридическим последствиям. Скорее всего, никому не будет нужно изменять документы после "подписания" также из-за отсутствия интереса и юридических последствий.

Интересно, а почему Вы только говорите про компрометацию закрытого ключа? Или компрометировать логин/пароль к СЭД сложнее? И доказывать некомпрометацию логина/пароля будет не проще, чем закрытого ключа. Думаю, что споры по поводу авторства и неизменности документов в СЭД будут гораздо реже доходить до суда именно в силу малозначительности (если не сказать отсутствия) юридических последствий этих действий.

Все сказанное выше не является рекламой или попыткой навязать усиленную подпись там, где она не нужна и (или) избыточна.

Но по роду деятельности в последнее время все чаще сталкиваюсь со случаями, когда организации плюсом к авторизации в системе пол логину/паролю/сертификату КЭП хотят подписывать квалифицированной электронной подписью документы, которые раньше вполне себе свободно ходили без подписи. Видимо, в их кейсах гарантия авторства и неизменности важнее затрат, в том числе на изменение собственных бизнес-процессов.

Я извиняюсь, если Вас обидел. Просто Ваш тон сообщений показался мне нравоучительным. Потом моя провокация удалась и сколько интересного Вы написали. Еще раз извиняюсь.

Во многом соглашусь.

И действительно ПЭП не заменяет УКЭП для электронного документа и рукописную подпись для бумажного.

Я же написал "Но я, конечно, понимаю, что Вы имеете ввиду"

Нет, не сложнее. Я к тому, что все указывают на уязвимости ПЭП, не замечая проблем технологии КЭП/УКЭП.

С этим разобрались. Но какой сертификат все-таки Вы используете для подписания документов?

Я не зря написал про преемственность. Обращаясь в "министерство" я бумажку-жалобу подписываю. Так же должно быть и в рамках "электронного" взаимодействия. И в рамках этого взаимодействия у гражданина должен быть выбор, какую подпись ставить ПЭП (если это возможно) или УКЭП.

Что бы Вы не писали про "массовое использование УКЭП гражданами", массовым это использование не является. Я регулярно студентам юристам заочникам задаю вопрос "Используется ли вами или в организации ЭП?". Единицы из многих сотен отвечают "да". Это доли процента. Понимаю, что КЭП в организациях ставят не они, но они как граждане этой технологией не пользуются.  Интересна статистика от вас Вадим и Сергей. Сколько граждан (не ИП) у вас купили ключи с сертификатами. И интересно для решения каких задач? Можно просто порядок цифр.

В рамках этого электронного взаимодействия электронные документы создаются.

Я не зря написал про преемственность. Обращаясь в "министерство" я бумажку-жалобу подписываю. Так же должно быть и в рамках "электронного" взаимодействия. И в рамках этого взаимодействия у гражданина должен быть выбор, какую подпись ставить ПЭП (если это возможно) или УКЭП.

Что бы Вы не писали про "массовое использование УКЭП гражданами", массовым это использование не является. Я регулярно юристам заочникам задаю вопрос "Используется ли вами или в организации ЭП". Единицы из многих сотен отвечают "да". Это доли процента. Понимаю, что КЭП в организациях ставят не они, но они как граждане этой технологией не пользуются.  Интересна статистика от вас Вадим и Сергей. Сколько граждан (не ИП) у вас купили ключи с сертификатами. И интересно для решения каких задач? Можно просто порядок цифр.

В рамках этого электронного взаимодействия электронные документы создаются.

Да, есть за мной такой грешок. Приношу ответные извинения :) Впредь буду стараться избегать нравоучительного тона.

У нас свой УЦ, выпускает сертификаты клиентам и сотрудникам. У меня "криптопрошный сертификат", я его использую для подписания тестовых документов в нашем ЭДО-сервисе в рамках тестирования отдельных решений. Мои должностные обязанности не включают подписание внешних документов (бумажных и электронных).

Еще раз. Если создаются документы, то это документооборот с подписью, если нет - подпись не нужна!

Еще раз. В новости про это и говорится! Нет документа - идентификация/аутентификация (не имеющая (пока) под собой технологии ПЭП), есть документ - подпись (УКЭП).

Еще раз. А кто спорит? Вот появятся "массовые" информационные системы, тогда и будет "массово". Но в погоне за "указанной 70% массовостью" за налоговые деньги граждан насоздавали всяческие "многофункциональные и/или порталы", а как поняли, что это никому не надо в созданном виде, начали сокращать количество "услуг", не требовать подпись (ведь документов и нет), систему защищенного документооборота трансформировать в беззащитную (ведь у пользователя нет "платных и поэтому дорогих" средств защиты) систему заявок на прием (да, и это тоже надо делать, но не так, и не за такие деньги) и отображения персональных данных из защищенного контура в "наружный личный кабинет", находящуюся в коммерческой организации. Идея была хорошая, но для ее реализации нужны защищенные сервисы с документами, а их почти нет, т.к. за некачественную административную реформу не накажут, а за необеспеченную "указанную 70% массовость" запросто. Вот и запускаются марафоны и соревнования по массовой "регистрации" под разным соусом оСНИЛСованных граждан , ведь не важно качество, а нужно количество граждан в системе.

Еще раз. И тут дело вообще не в подписи и ее массовости. Там, где она нужна и экономически целесообразна, она работает и давно. И не надо манипулировать, что цена СКЗИ и услуг УЦ сдерживает "массовость", и поэтому наша "бесплатная преемственная ПЭП" - наше все, в технических требованиях к рабочему месту пользователя массового сервиса это лишь одна из статьей расходов. А для записи на прием не надо раздеваться отдавать ВСЕ свои персональные данные, а для просмотра ВСЕХ своих персональных данных в личном кабинете не надо подключаться к третьей стороне по логину/паролю в незащищенном канале.

Тут ничего не скажу - сижу очень далеко от УЦ.

Не, этот тезис я не оспаривал, я только выразил свое несогласие с тем, что ПЭП существует :)

В организации не так много лиц, подписывающих внешние документы с контрагентами, поэтому отношение количества сертификатов к численности сотрудников всегда будут доли процента. Еще вопрос, кто идет получать второе юридическое высшее. Руководителей в этом потоке не так много. По крайней мере, в нашем потоке их было немного :)

Сервисами ЭДО сейчас тоже пользуются <10% организаций в России. Некоторые считают, что, тем не менее, у этого рынка большое будущее.

Что то я Вас не пойму. А что для Вас есть документ? 

Для меня. Электронный документ: Документ, информация которого представлена в электронной форме. ГОСТ Р 7.0.8-2013. 

Если гражданин даже только формы заполняет, то документ создается. 

Документы в ИС могут храниться в виде записей таблиц. Пример - системы автоматизации кадрового делопроизводства. И вообщем-то любая учетная система.

У этого рынка очень большое будущее) И не только потому, что электронные счет-фактуры обязывают отправлять через оператора ЭДО, и отчетность в НО предоставлять только в электронном виде))) Был у меня дипломник (ца), с которым мы сравнили расходы по пересылке бумажных и электронных документов) Почта России - это чудовищные расходы)

И все-таки можно посмотреть структуру Вашего "криптопрошнего сертификата",  которым Вы подписываете документы.? Он же соответствует X.509?

И чем Вы там подписываете мне все-таки не понятно.

ГОСТ Р ИСО 15489-1-2007: 3.3 с 7.2.2, 7.2.3 и 7.2.4.

Конечно, при условии обеспечения 7.2.2, 7.2.3 и 7.2.4.

Не уверен, что подобные системы именно хранят сами документы.

Ой-вей! Все забываю, что подписываю закрытым ключом :)

Да, часто там хранятся именно данные. Данные могут экспортироваться из системы в виде документов (человеко- или машиночитаемых), Например, для печати или обмена через сервис ЭДО. Но в самой системе это данные (записи в таблицах БД, файлах данных и т.п.). Причем при экспорте данные подтягиваются из нескольких разных таблиц, так что не очень понятно, что в данном случае, применительно к ИС, называть документом.

То же относится и с другим учетным (ERP, биллинг и т.п.) системам.

Вот Вы "все забываете", а наши граждане (например, руководители) ВЕРЯТ, что они получают электронные подписи)))) и подписывают сертификатами))) 

Вообще интересно, а откуда это пошло: "Получить электронную подпись и подписывать сертификатом"?

 Вы возьмите, например, регламент аккредитованного удостоверяющего центра (я нашел в сети). Там же все нормально и с подписями и с сертификатами)

Про "Ой-вей" хотел написать, но не буду.

Совокупность данных и метаданных уже не может считаться документом?

Вероятно, может: