Электронная подпись: что это такое, как ее получить и где применять

Что такое электронная подпись и зачем она нужна?

Документы больше не нужно оформлять в бумажном виде, чтобы сделать их юридически значимыми. Все больше организаций переходят на новый формат, отправляя и подписывая важные документы, такие как контракты, в электронном виде. Но для этого понадобится специальное приложение, такое, как eSign, например. Приложения электронной подписи позволяют официально подписывать документы в цифровом виде. Электронная подпись — это просто распечатанная, нарисованная или созданная иным образом цифровая подпись на документе. Теоретически ее можно добавить в сотни приложений, от Microsoft Word до Photoshop, в зависимости от того, как все настроено.

Что такое электронная подпись и зачем она нужна?

Что такое простая электронная подпись (неквалифицированная)?

Регламент электронной идентификации и фидуциарных услуг (Регламент ЕС 910/2014 / EC — также известный как eIDAS) представляет собой сложный набор законов (включая технические стандарты), которые поднимают планку для предоставления электронных услуг в большинстве государств.

Регулярно вводятся новые термины и концепции, которые трудно понять, включая, например, электронные устройства и типы данных — идентификаторы, сертификаты, подписи, печати, временные метки, данные для создания — каждый из которых разделен на 3 уровня гарантии со значительными юридическими уровнями.

Простая электронная подпись — эта та, которая не получила подтверждения регулирующими органами. Она может быть заверена позже, но изначально она никакой юридической силы не несет, если компания, получающая подпись не прошла регистрацию в соответствующих органах. Иными словами, любая не заверенная подпись является простой.

Что такое квалифицированная электронная подпись?

Надежные поставщики услуг (TSP) несут ответственность за обеспечение электронной идентификации подписывающих лиц и услуг eID с использованием надежных механизмов аутентификации, цифровых сертификатов и электронных подписей. Любые изменения в данных должны быть четко указаны отправителю и получателю данных. Кроме того, дата и время любых изменений должны быть указаны с прикрепленной электронной отметкой времени.

В рамках eIDAS ведется список доверия, в котором указаны поставщики и услуги, получившие квалификационный статус. Если организации нет в этом списке, ей не разрешено предоставлять квалифицированные услуги доверия.

Основные принципы работы квалифицированной электронной подписи

И расширенные, и квалифицированные подписи должны оставаться под исключительным контролем подписавшего с высокой степенью уверенности. Кроме того, по закону оба варианта должны ссылаться на электронные данные, с помощью которых они были созданы. Также данные для создания электронной подписи должны быть защищены таким образом, чтобы исключить возможность не обнаруживаемых изменений данных.

QES имеет гораздо более высокий уровень безопасности и надежности. QES — это «усовершенствованная электронная подпись с цифровым сертификатом, зашифрованным с помощью безопасного (квалифицированного) устройства подписи» (Правительство Великобритании, 2014 год) через квалифицированного доверенного поставщика услуг.

Основные принципы работы квалифицированной электронной подписи

Как и где можно получить квалифицированную электронную подпись?

Все квалифицированные подписи должны быть сгенерированы с помощью генератора квалифицированных подписей (QSCD). Преимущества квалифицированной электронной подписи в технической безопасности и юридическом сопровождении.

Где и как применяется простая электронная подпись?

Простая электронная подпись применяется в документах, которые несут фактическую ценность, но не требуют нотариального заверения.

Где и как применяется квалифицированная электронная подпись?

Все данные для создания квалифицированной электронной подписи зашифрованы и хранятся в хранилище ключей базы данных и защищены ключом подписи, который никогда не оставляет HSM незашифрованным.

Насколько безопасно использовать квалифицированную электронную подпись?

Важно различать локальную и удаленную подпись. Локальная подпись — это когда конечный пользователь / потребитель держит личное устройство (например, смарт-карту), на котором хранится ключ подписи, а затем использует это устройство для инициирования процесса подписи. В этом случае смарт-карта и устройство чтения карт должны быть сертифицированы, чтобы стать QSCD.

Удаленная подпись — это когда ключ подписи защищен оборудованием TSP (аппаратный модуль безопасности в центре обработки данных), а подписывающая сторона удаленно (онлайн) получает доступ к ключу подписи, чтобы инициировать процесс подписи с какой-либо формой строгой аутентификации.

Выводы и советы

Для QES устройство для создания подписи и другие компоненты, участвующие в процессе активации подписи, также должны быть сертифицированы в соответствии с конкретными техническими требованиями максимальной безопасности, выдвинутыми ETSI (Standards Body). Проще говоря, QES повышает требования к безопасности и юридические гарантии, которые предоставляет AdES. Эти абсолютные требования обеспечивают более высокую техническую безопасность QES по сравнению с AdES. Выбор конкретного вида подписи — индивидуальное решение каждого.

Пожалуйста, опубликуйте свои комментарии по текущей теме статьи. За комментарии, отклики, подписки, лайки, дизлайки низкий вам поклон!

Пожалуйста, оставьте ваши отзывы по текущей теме материала. Мы очень благодарим вас за ваши комментарии, подписки, лайки, дизлайки, отклики!

Кристина Горбуноваавтор