Неэкспортируемый ключ эцп что это
Как и где можно хранить электронную подпись
Защищенные носители для квалифицированной электронной подписи
Токен (eToken, Рутокен и др.)
Надежный и удобный носитель в виде USB-брелока. Подходит для большинства применений, кроме ЕГАИС. С его помощью можно отправить отчет в налоговую или Росстат, подписать договор и участвовать в электронных торгах. Чтобы подписывать документы с помощью токена, на компьютер нужно установить средство криптографической защиты информации (СКЗИ).
Токен со встроенным СКЗИ (Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta PKI/ГОСТ/SE)
Носитель, который похож на обычный токен, но обладает встроенным СКЗИ. Используя электронную подпись на таком носителе, вы сможете подписывать документы на любом компьютере без покупки дополнительного ПО. Рутокен ЭЦП подходит для дистанционного банковского обслуживания, работы на госпорталах, сдачи отчетности и документооборота. Он не предназначен для работы с торговыми площадками и ЕГАИС. Рутокен ЭЦП 2.0, как и JaCarta PKI/ГОСТ/SE, используются только для работы с ЕГАИС.
Дополнительная защита электронной подписи
Доступ к подписи по пин-коду
На каждом съемном носителе электронной подписи установлен пин-код — комбинация символов, после ввода которой вы получаете доступ к подписи. Вводится пин-код каждый раз при подписании документа или любом другом обращении к ЭП. По умолчанию код стандартный, но вы можете убрать его совсем или поменять на свой. Мы подготовили инструкцию по смене для Рутокен, eToken, JaCarta. Если нужно, обратитесь в УЦ, и наш специалист поможет сменить пин-код.
Защита подписи от копирования
Ключи электронной подписи по умолчанию разрешено копировать на другие носители. Если хотите, вы можете включить защиту от копирования. Для этого при оформлении заявки сообщите менеджеру, что вам нужен неэкспортируемый ключ электронной подписи. В этом случае скопировать подпись с носителя будет невозможно, так как при любой попытке экспорта файлов система будет выдавать ошибку.
Незащищенные носители для квалифицированной электронной подписи
Теоретически ЭП можно записать на любой съемный носитель. Но файлы на USB-диске, дискете или другом носителе никак не защищены. Если злоумышленники их украдут и расшифруют, то смогут подписывать любые документы. Поэтому мы не рекомендуем хранить файлы электронной подписи на подобных носителях.
Запись ЭП в реестр ноутбука — популярный, но тоже небезопасный вариант хранения подписи. Любой, кто получит доступ к системе, сможет подписывать документы или создать копию ключа. Если понадобится переехать на другое рабочее место, то для переноса ключа электронной подписи понадобится помощь квалифицированного специалиста. ЭП можно и вовсе потерять, если с компьютером что-то случится.
О чем нужно помнить при хранении квалифицированной ЭЦП
Один носитель — для одного сотрудника
Если записать ЭП разных сотрудников на один носитель, то нарушится конфиденциальность закрытых ключей. И по закону все подписи будут считаться недействительными.
Нельзя передавать свою ЭП другому человеку
Электронная подпись — это аналог собственноручной. Она служит идентификатором владельца. Если отдать ЭП другому человеку, а он подпишет документ, с которым вы не согласны, то оспорить это решение не удастся.
Нельзя хранить ЭП в открытом доступе
Квалифицированную электронную подпись нужно хранить в сейфе или другом защищенном месте. Носитель, который просто лежит на столе, легко украсть, чтобы подписать пару «лишних» документов. А когда вы это заметите, то даже в суде не сможете доказать свою непричастность.
При смене реквизитов меняйте и ЭП
Компания изменила свое название, владелец ЭП уволился или поменял должность? Меняйте подпись. Не затягивайте с этим, чтобы не столкнуться с пачкой платежек, подписанных неизвестно кем, и не нарушать п. 1 ст. 2 Федерального закона №63-ФЗ «Об электронной подписи», требующий обеспечить точную идентификацию владельца ЭП. Для замены электронной подписи обратитесь к менеджеру, который ее выдавал. Или свяжитесь с удостоверяющим центром «Тензор» удобным для вас способом.
Вовремя продлевайте ЭП
Если не продлить электронную подпись, она станет недействительной. И вы не сможете подписать ни один электронный документ, пока не получите новую ЭП в удостоверяющем центре. О том, как продлить электронную подпись, читайте в нашей статье.
Защитите рабочее место
Антивирусное ПО защищает вас от любых неприятных сюрпризов. Вирусы способны имитировать поведение владельца подписи, чтобы подписать несколько нужных злоумышленнику документов. И доказать, что подпись ставили не вы, будет тяжело.
Не храните пароли на бумажках
Это правило — основа компьютерной безопасности. Оно относится не только к электронным подписям, но и ко всем другим сферам. Пароль от токена, заботливо записанный на стикере возле компьютера, несказанно обрадует злоумышленника.
Получаем подпись в ФНС: как выбрать носитель
Чтобы бесплатно получить подпись в ФНС, индивидуальный предприниматель, юридическое лицо или нотариус должны приобрести специальный токен. Токен — это носитель электронной подписи, он служит для хранения ключа ЭП и его использования.
В этой статье мы разберёмся в том, какие носители существуют, в чём разница между ними и расскажем, как с ними работать и какие ошибки могут возникнуть во время их эксплуатации.
Какие носители бывают
Все токены внешне напоминают флешку и выполняют её функции — выступают в качестве носителя. Однако, в отличие от обычной флешки, токены являются защищёнными носителями: на них устанавливается пароль и в них встроены криптографические алгоритмы. Это сделано для того, чтобы максимально обезопасить хранимую на них электронную подпись от компрометации, то есть доступа постороннего лица к защищённой информации.
Мы лишь вскользь упомянем о том, что хранить электронную подпись можно и на компьютере, но это небезопасно. В то же время, с 1 января 2022 года, получить подпись для юридических лиц, индивидуальных предпринимателей и нотариусов можно будет только в удостоверяющем центре ФНС. И получатель должен иметь при себе токен, на который и будет загружен ключ.
К носителям выставлены определённые требования: они должны быть сертифицированы и соответствовать формату USB Type-A. К этому типу можно отнести следующие токены:
В чём разница
Носители различают по следующим критериям: производитель, внешний вид, аппаратная криптография, объём защищённой памяти, цена, дополнительные опции, поддержка тех или иных операционных систем и необходимое программное обеспечение для работы.
Токены могут различаться также и по максимальному количеству электронных подписей, которые можно на них установить. Например, если размер носителя 64 Кб, то на него можно установить до 8 электронных подписей.
Объём защищённой памяти варьируется от 32 до 128 Kb, в зависимости от производителя. Некоторые модели могут содержать дополнительную flash-память для автоматического запуска необходимого программного обеспечения. Большинство токенов поддерживает множество версий Windows, а также Mac OS X и GNU/Linux.
Несмотря на все отличия, носители служат одной цели. Мы рекомендуем при выборе токена обращать внимание на то, подходит лишь ваша операционная система или нет для работы с данным носителем. При необходимости можно покупать карту с дополнительными опциями.
Как работать с носителями
Порядок получения электронной подписи на токен выглядит следующим образом:
Чтобы полноценно работать с установленной на токен электронной подписью, нужно выполнить ещё несколько действий. Главное — на компьютер нужно установить криптопровайдер « КриптоПро CSP », это требование налоговой. Остальное зависит от выбранного носителя: нужно будет установить драйвер для работы с токеном.
Порядок работы с носителями очень прост: в случае с Рутокеном, который является самым распространённым российским носителем, достаточно установить драйвер и воткнуть сам токен в гнездо USB. Настройка носителя осуществляется в специальной панели управления, которая устанавливается вместе с драйвером.
После выполненных действий электронную подпись можно будет использовать по назначению: подписывать электронные документы, работать с государственными порталами и участвовать в закупках.
Какие могут возникнуть ошибки
Во время работы с токеном могут возникать ошибки, которые может исправить либо сам пользователь, либо организация, выдавшая носитель. Рассмотрим основные ошибки, которые возникают при работе с Рутокеном.
Носитель ключа электронной подписи нужно хранить в недоступном для посторонних лиц месте, чтобы избежать компрометации. Использовать его нужно чётко в соответствии с прилагаемой инструкцией, а при возникновении проблем — пользоваться вышеуказанными методами их решения или обращаться в службу поддержки.
Извлечение ключа из токена с неизвлекаемым ключом
Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них СКЗИ КриптоПРО CSP и токен с неизвлекаемым ключом (Рутокен ЭЦП или JaCarta ГОСТ), мы получим сертифицированные СКЗИ, обеспечивающие 100%-ную защиту от кражи ключей с токена. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент…
Конфигурация тестового стенда
Методика тестирования
Проведение тестирования
Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.
Матчасть
То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется функциональным ключевым носителем (ФКН) (доп. инфо).
Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.
Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).
Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.
По-новому взглянем на наш тестовый стенд
В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:
В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.
Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.
Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.
Как сделать, чтобы все было хорошо?
Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:
1. Купить специальную версию библиотеки СКЗИ:
— для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP.
— для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.
2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.
Получается, что Рутокен ЭЦП и JaCarta ГОСТ не являются токенами с неизвлекаемым ключом?
Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть КриптоАРМ Стандарт 5 Плюс. Он это умеет. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.
Новые правила работы с электронной подписью в 2022 году. Изменения в 63‑ФЗ
С 1 июля 2021 года постепенно меняются сценарии работы с сертификатами электронных подписей (ЭП). Сергей Казаков, руководитель УЦ Контура, подробно разъяснил, какие сертификаты пока можно применять, где получить новый и что для это надо сделать.
В 2021-2022 годах в силу вступают поправки к Федеральному закону № 63-ФЗ «Об электронной подписи» и появляются подзаконные акты. Они вводят новые правила получения и работы с электронной подписью в организациях, у индивидуальных предпринимателей и нотариусов.
Даты основных изменений:
Где получать новую электронную подпись в 2021 и 2022 годах
Получение ЭП в 2021 году
До конца 2021 года всем — и руководителям, и сотрудникам, и ИП — можно по-прежнему получать электронные подписи в УЦ. Главное, чтобы этот УЦ был аккредитован по требованиям 63-ФЗ. Найдите удобный УЦ в перечне Минцифры РФ или уточните в УЦ, в котором вы раньше уже получали сертификат.
Для руководителей организаций, ИП и нотариусов появилась альтернатива — они могут также обратиться за новой электронной подписью в ФНС. До 1 января 2022 года делать это можно по желанию.
Получение ЭП в 2022 году
В 2022 году сценарий получения изменится. Куда именно обращаться за новой ЭП, будет зависеть от того, кто получает подпись — первое лицо компании или работник.
Руководители компаний, ИП и частные нотариусы будут получать подписи ФНС — непосредственно в отделении инспекции или в офисе доверенного лица налоговой.
Если в 2022 году на руках останется действующая подпись Контура или другого УЦ, получившего аккредитацию по новым правилам 63-ФЗ, то ей можно продолжать пользоваться, пока ее срок действия не закончится. Экстренно обращаться в ФНС или УЦ 1 января 2022 года, чтобы получить подпись, соответствующую новому законодательству, не обязательно — ни руководителю, ни сотруднику. Сделать это можно в спокойном режиме, когда текущая подпись аккредитованного УЦ будет подходить к концу.
Как получить ЭП руководителю
В налоговой
Для работы с подписью, нужно установить средство криптозащиты на компьютер — программу КриптоПро CSP. Чтобы запустить программу, на нее нужно купить лицензию. После этого настройте компьютер и браузер так же, как делали это с прошлой ЭП, установить подпись.
Электронную подпись ФНС выдает бесплатно. Но это относится только к файлам ЭП, которые запишут на токен. Отдельно нужно купить токен и лицензию на КриптоПро CSP.
Кроме того, подпись налоговой выдается в единственном экземпляре и защищена от копирования — поэтому всем сотрудникам, которые подписывают электронные документы компании, понадобится купить свои подписи. Также в подпись не включают никаких расширений, которые дают доступ к специализированным площадкам и порталам. Пока порталы не отказались от расширений полностью, использовать ЭП ФНС на них не получится.
У доверенных лиц ФНС
Доверенные лица налоговой — это «помощники ФНС», в которых можно получить ЭП налоговой. Это будут УЦ, выбранные из числа прошедших переаккредитацию. Полный перечень доверенных лиц станет известен в конце 2021 года.
Для получения также необходимо личное обращение и тот же набор документов. В офисе «помощников» можно будет сразу получить токен, а также КриптоПро CSP. В некоторых УЦ помогут и с настройкой компьютера, проконсультируют по работе с подписью.
Обратите внимание: вышеизложенные способы подходят только для руководителей коммерческих компаний, ИП и нотариусов. Должностные лица бюджетной сферы должны будут получать ЭП Федерального Казначейства. А первые лица банков и финансовых организаций — Центробанка. Сроки те же — после 1 января 2022 года.
Как получить ЭП сотруднику
Работники, обслуживающая бухгалтерия, другие уполномоченные лица — все, кто подписывает документы компании — с 1 января должны при смене электронной подписи получать ЭП нового типа. Это будет ЭП физического лица.
Такие подписи будут выдаваться в УЦ, прошедших переаккредитацию. Также потребуется личный визит, предъявление паспорта и СНИЛС. Отличие от подписи руководителя — подпись будет без запрета на копирование или включение расширений.
В файле подписи будут указаны только ФИО физлица. Чтобы доказать правомочность своих действий от имени компании, нужна электронная доверенность (она же — машиночитаемая доверенность, МЧД).
Этот новый инструмент еще не разработали для широкого применения. Пока понятная общая схема работы при сдаче отчетности в ФНС: сначала руководителю нужно подписать доверенность на сотрудника в налоговой, а когда ее примут, сотрудник сможет сдавать отчетность от лица компании.
Пока единицы информационных систем принимают электронные доверенности. Электронные подписи можно применять обычным способом.
В 2022 году планируется переходный период для электронных доверенностей. Нормативных документов еще нет, но, вероятно, до определенного срока сотрудники смогут использовать доверенность по желанию.
Вопросы о работе с ЭП в 2022 году
Какие подписи будут работать в 2022 году?
Как электронные подписи ФНС будут работать на порталах с расширениями
У ряда порталов и площадок свои требования к ЭП. Например, нужны специальные расширения (OIDы) для работы с электронными закупками, в системах СМЭВ, и Росреестра. При этом по закону расширения не требуются, и сейчас многие площадки от них отказываются.
Пока OIDы еще нужны, используйте ту же подпись, что и раньше. ЭП ФНС для них не подойдет. Следите за объяснениями налоговой и площадок.
Как работать с ЕГАИС Алкоголь
Сейчас торговым точкам нужна ЭП, чтобы продавать спиртное. Обычно используется одна на всю компанию — создаются ее копии. ЭП налоговой так использовать не получится.
Налоговая разъяснила, что ЕГАИС начнет принимать электронные подписи по новым требованиям закона. Предполагаются два возможных сценария:
Росалкогольрегулирование пока разрабатывает формат необходимой электронной доверенности.
Получить электронную подпись (КЭП) в налоговой
Государство меняет правила, по которым бизнес получает и работает с квалифицированными электронными подписями (КЭП). Изменения начались в июле этого года, когда налоговые стали выдавать бизнесу бесплатные КЭП наряду с удостоверяющими центрами, но главные перемены — впереди.
UPD: 20 октября СМИ написали, что реформу подписи перенесут на год: машиночитаемые доверенности, про которые тут идет речь, станут обязательными с 2023 года, а в 2022 году сотрудники, которые должны были ими пользоваться, продолжат получать подписи старого формата.
Что такое электронные подписи
Электронная подпись — это аналог подписи на бумаге, ей можно заверять документы дистанционно с компьютера. Такие подписи бывают трех видов:
Простые электронные — существуют в виде одноразовых кодов или паролей подтверждения. Используются на Госуслугах.
Усиленные неквалифицированные подписи — более надежные. Подходят, чтобы подписывать внутренние документы и договоры от контрагентов, счета и акты для клиентов. Физлица могут использовать их для работы в личном кабинете налогоплательщика на сайте ФНС.
Усиленные квалифицированные подписи, или КЭП, — самые защищенные. Их используют при взаимодействии с госорганами, например, для подачи деклараций в налоговую, для участия в торгах и чтобы подписывать документы для клиентов и поставщиков. Еще усиленная КЭП позволяет отслеживать, не вносили ли изменения в документ после его подписи, а если вносили — перестает действовать и документ надо переподписывать.
Как устроена и как работает квалифицированная подпись
КЭП состоит из двух частей — непосредственно подписи (то есть закрытого ключа, который используется при ее формировании) и сертификата ключа (он содержит открытый ключ), который эту подпись удостоверяет. Сама подпись хранится на токене (защищенной паролем и криптографией флешке) и доступна только ее владельцу. Сертификат общедоступен и позволяет проверять подпись.
Чтобы пользоваться КЭП, нужен тот самый токен с ключом и специальная программа криптозащиты информации на компьютере. Работает КЭП только на Windows. Чтобы подписать документ со своего компьютера, нужно вставить токен и запустить эту программу. Сейчас есть второй вариант — когда подпись хранится не на токене, а на сервере УЦ. Ошибочно это называют облачной подписью, но это тот же файл, просто на другом носителе.
Подписывать документы можно на госпорталах или через сервис для электронного документооборота (например, через «Диадок» или 1С ЭДО).
Раньше квалифицированные подписи выдавали в специальных коммерческих удостоверяющих центрах, но с этого года правила поменяли, передав полномочия налоговым. С 2022 года выдавать КЭПы бизнесу будут только они.
Что меняется: передача функций УЦ в налоговые и новые доверенные центры
Сначала удостоверяющих центров стало намного меньше, потому что их обязали пройти переаккредитацию по более строгим правилам. В 2020 до нововведений УЦ было 500, сейчас — осталось около 250. Они будут выдавать квалифицированные подписи руководителям компаний, ИП и нотариусам до 2022 года, а потом начнут работать только с физлицами.
Полученные в аккредитованных по новым правилам УЦ подписи будут действовать как обычно — год, а значит, их можно будет использовать в 2022 до истечения срока годности. Подписи, полученные в УЦ без новой аккредитации, с 1 января потеряют свою силу. Чтобы продолжить пользоваться своей подписью в следующем году, проверьте, что она выдана УЦ, прошедшим аккредитацию. Если у УЦ нет аккредитации, получайте новую сейчас.
Еще с 2022 появятся ДУЦ — доверенные удостоверяющие центры ФНС, которые проходят аккредитацию по еще более строгим правилам. Они тоже смогут выдавать КЭПы бизнесу. Пока таких ДУЦ на сайте ФНС значится два — это Сбербанк и Аналитический центр.
Новые подписи будут неэкспортируемыми, то есть будут храниться только на токене, а не в так называемом облачном виде на удаленном сервере, как можно сейчас. Пользоваться вашей подписью сможете только вы, при этом появятся машиночитаемые доверенности, про которые расскажем чуть ниже.
Как получить КЭП в налоговой
Сейчас получать подпись можно в любом УЦ налоговой, а не только по месту регистрации. Это делается только лично по предварительной записи. Можно записаться через личный кабинет юрлица или ИП. С собой надо принести документы по списку ниже (или их нотариальные копии) и токен для записи сертификата. Из документов нужны:
Что касается токена, то он:
Такой токен можно купить в самой налоговой (но лучше заранее узнать о наличии в вашем отделении) или у дистрибьюторов. Документы к нему не нужны, потому что в УЦ его проверят на соответствие.
В налоговой вы проходите процесс идентификации и получаете токен с подписью. Выданные в налоговых КЭП действуют 15 месяцев.
С 2022 года налоговая собирается добавить функцию идентификации без личного присутствия при помощи действующей КЭП. Это похоже на так называемое безбумажное продление электронной подписи, которое практикуют УЦ: они перевыпускают подписи, используя действующую подпись клиента.
Что меняется: одна подпись на компанию и машиночитаемые доверенности
По старым правилам, можно выпустить несколько подписей от имени компании — например, на владельца, директора и бухгалтера. В 2022 года это изменится: руководитель будет получать одну подпись на юрлицо, а ИП — на предпринимателя. Это связано с тем, что в подписях старого образца была вшита информация о компании, в новых КЭПах такого не будет. Другие сотрудники (или сторонние лица, которые оказывают вам услуги согласно соответствующему договору) будут получать квалифицированные подписи как физлица.
Сотрудник (или подрядчик), не уполномоченный подписывать документы от компании, будет использовать машиночитаемые доверенности, заверенные КЭП руководителя.
Машиночитаемая доверенность — это доверенность, созданная в электронной форме и подписанная электронной подписью представителя компании/ИП, имеющего право на выполнение действий от компании/ИП без доверенности (уполномоченный представитель).
Правила получения и хранения машиночитаемой доверенности правительство должно утвердить к концу года. Сейчас есть проект правительственного постановления, где содержатся требования к МЧД.
ФНС не объявляла об этом официально, но, скорее всего, подавать декларации в налоговую электронно будет уполномочен бухгалтер — сейчас это может делать только руководитель. В таком случае заверение через машиночитаемую доверенность будет не нужно.
Мы будем следить за новостями от налоговой и расскажем, когда появятся подробности.