Электронная подпись: что это такое, как ее получить и где применять
- Что такое электронная подпись и зачем она нужна?
- Что такое простая электронная подпись (неквалифицированная)?
- Что такое квалифицированная электронная подпись?
- Основные принципы работы квалифицированной электронной подписи
- Как и где можно получить квалифицированную электронную подпись?
- Насколько безопасно использовать квалифицированную электронную подпись?
- Выводы и советы
Что такое электронная подпись и зачем она нужна?
Документы больше не нужно оформлять в бумажном виде, чтобы сделать их юридически значимыми. Все больше организаций переходят на новый формат, отправляя и подписывая важные документы, такие как контракты, в электронном виде. Но для этого понадобится специальное приложение, такое, как eSign, например. Приложения электронной подписи позволяют официально подписывать документы в цифровом виде. Электронная подпись - это просто распечатанная, нарисованная или созданная иным образом цифровая подпись на документе. Теоретически ее можно добавить в сотни приложений, от Microsoft Word до Photoshop, в зависимости от того, как все настроено.
Что такое простая электронная подпись (неквалифицированная)?
Регламент электронной идентификации и фидуциарных услуг (Регламент ЕС 910/2014 / EC - также известный как eIDAS) представляет собой сложный набор законов (включая технические стандарты), которые поднимают планку для предоставления электронных услуг в большинстве государств.
Регулярно вводятся новые термины и концепции, которые трудно понять, включая, например, электронные устройства и типы данных - идентификаторы, сертификаты, подписи, печати, временные метки, данные для создания - каждый из которых разделен на 3 уровня гарантии со значительными юридическими уровнями.
Простая электронная подпись - эта та, которая не получила подтверждения регулирующими органами. Она может быть заверена позже, но изначально она никакой юридической силы не несет, если компания, получающая подпись не прошла регистрацию в соответствующих органах. Иными словами, любая не заверенная подпись является простой.
Что такое квалифицированная электронная подпись?
Надежные поставщики услуг (TSP) несут ответственность за обеспечение электронной идентификации подписывающих лиц и услуг eID с использованием надежных механизмов аутентификации, цифровых сертификатов и электронных подписей. Любые изменения в данных должны быть четко указаны отправителю и получателю данных. Кроме того, дата и время любых изменений должны быть указаны с прикрепленной электронной отметкой времени.
В рамках eIDAS ведется список доверия, в котором указаны поставщики и услуги, получившие квалификационный статус. Если организации нет в этом списке, ей не разрешено предоставлять квалифицированные услуги доверия.
Основные принципы работы квалифицированной электронной подписи
И расширенные, и квалифицированные подписи должны оставаться под исключительным контролем подписавшего с высокой степенью уверенности. Кроме того, по закону оба варианта должны ссылаться на электронные данные, с помощью которых они были созданы. Также данные для создания электронной подписи должны быть защищены таким образом, чтобы исключить возможность не обнаруживаемых изменений данных.
QES имеет гораздо более высокий уровень безопасности и надежности. QES - это «усовершенствованная электронная подпись с цифровым сертификатом, зашифрованным с помощью безопасного (квалифицированного) устройства подписи» (Правительство Великобритании, 2014 год) через квалифицированного доверенного поставщика услуг.
Как и где можно получить квалифицированную электронную подпись?
Все квалифицированные подписи должны быть сгенерированы с помощью генератора квалифицированных подписей (QSCD). Преимущества квалифицированной электронной подписи в технической безопасности и юридическом сопровождении.
Где и как применяется простая электронная подпись?
Простая электронная подпись применяется в документах, которые несут фактическую ценность, но не требуют нотариального заверения.
Где и как применяется квалифицированная электронная подпись?
Все данные для создания квалифицированной электронной подписи зашифрованы и хранятся в хранилище ключей базы данных и защищены ключом подписи, который никогда не оставляет HSM незашифрованным.
Насколько безопасно использовать квалифицированную электронную подпись?
Важно различать локальную и удаленную подпись. Локальная подпись - это когда конечный пользователь / потребитель держит личное устройство (например, смарт-карту), на котором хранится ключ подписи, а затем использует это устройство для инициирования процесса подписи. В этом случае смарт-карта и устройство чтения карт должны быть сертифицированы, чтобы стать QSCD.
Удаленная подпись - это когда ключ подписи защищен оборудованием TSP (аппаратный модуль безопасности в центре обработки данных), а подписывающая сторона удаленно (онлайн) получает доступ к ключу подписи, чтобы инициировать процесс подписи с какой-либо формой строгой аутентификации.
Выводы и советы
Для QES устройство для создания подписи и другие компоненты, участвующие в процессе активации подписи, также должны быть сертифицированы в соответствии с конкретными техническими требованиями максимальной безопасности, выдвинутыми ETSI (Standards Body). Проще говоря, QES повышает требования к безопасности и юридические гарантии, которые предоставляет AdES. Эти абсолютные требования обеспечивают более высокую техническую безопасность QES по сравнению с AdES. Выбор конкретного вида подписи - индивидуальное решение каждого.