Электронная подпись

6. Основанием для отказа  в аккредитации удостоверяющего  центра является его несоответствие  требованиям, установленным частью 3 настоящей статьи, или наличие  в представленных им документах  недостоверной информации.

7. Аккредитованный удостоверяющий  центр должен соблюдать требования, на соответствие которым он  аккредитован, в течение всего  срока его аккредитации. В случае  возникновения обстоятельств, делающих  невозможным соблюдение указанных  требований, удостоверяющий центр  немедленно должен уведомить  об этом в письменной форме уполномоченный федеральный орган. Аккредитованный удостоверяющий центр при осуществлении своих функций и исполнении принятых обязательств должен соблюдать требования, установленные для удостоверяющих центров статьями 13 - 15, 17 и 18 настоящего Федерального закона. Уполномоченный федеральный орган вправе проводить проверки соблюдения аккредитованными удостоверяющими центрами требований настоящего Федерального закона в течение всего срока их аккредитации. В случае выявления несоблюдения аккредитованным удостоверяющим центром указанных требований уполномоченный федеральный орган обязан выдать этому удостоверяющему центру предписание об устранении нарушений в установленный срок и приостановить действие аккредитации на данный срок с внесением информации об этом в перечень, указанный в пункте 4 части 3 статьи 8 настоящего Федерального закона. Аккредитованный удостоверяющий центр уведомляет в письменной форме уполномоченный федеральный орган об устранении выявленных нарушений. Уполномоченный федеральный орган принимает решение о возобновлении действия аккредитации, при этом он вправе проверять фактическое устранение ранее выявленных нарушений и в случае их неустранения в установленный предписанием срок аннулирует аккредитацию удостоверяющего центра.

8. На государственные органы, органы местного самоуправления, государственные и муниципальные  учреждения, осуществляющие функции  удостоверяющих центров, не распространяются  требования, установленные пунктами 1 и 2 части 3 настоящей статьи.

9. Головной удостоверяющий  центр, функции которого осуществляет  уполномоченный федеральный орган,  не подлежит аккредитации в  соответствии с настоящим Федеральным  законом.

Статья 17. Квалифицированный  сертификат

1. Квалифицированный сертификат  подлежит созданию с использованием  средств аккредитованного удостоверяющего  центра.

2. Квалифицированный сертификат  должен содержать следующую информацию:

1) уникальный номер квалифицированного  сертификата, даты начала и  окончания его действия;

2) фамилия, имя и отчество (если имеется) владельца квалифицированного  сертификата - для физического  лица либо наименование, место  нахождения и основной государственный  регистрационный номер владельца  квалифицированного сертификата  - для юридического лица;

3) страховой номер индивидуального  лицевого счета владельца квалифицированного  сертификата - для физического  лица либо идентификационный  номер налогоплательщика владельца  квалифицированного сертификата  - для юридического лица;

4) ключ проверки электронной  подписи;

5) наименования средств  электронной подписи и средств  аккредитованного удостоверяющего  центра, которые использованы для  создания ключа электронной подписи,  ключа проверки электронной подписи,  квалифицированного сертификата,  а также реквизиты документа,  подтверждающего соответствие указанных  средств требованиям, установленным в соответствии с настоящим Федеральным законом;

6) наименование и место  нахождения аккредитованного удостоверяющего  центра, который выдал квалифицированный  сертификат, номер квалифицированного  сертификата удостоверяющего центра;

7) ограничения использования  квалифицированного сертификата  (если такие ограничения устанавливаются);

8) иная информация о  владельце квалифицированного сертификата  (по требованию заявителя).

3. Если заявителем представлены  в аккредитованный удостоверяющий  центр документы, подтверждающие  его право действовать от имени  третьих лиц, в квалифицированный  сертификат может быть включена  информация о таких правомочиях  заявителя и сроке их действия.

4. Квалифицированный сертификат  выдается в форме, требования  к которой устанавливаются федеральным  органом исполнительной власти  в области обеспечения безопасности.

5. В случае аннулирования  квалифицированного сертификата,  выданного аккредитованному удостоверяющему  центру, выдавшему квалифицированный  сертификат заявителю, либо в  случае аннулирования или истечения  срока аккредитации удостоверяющего  центра квалифицированный сертификат, выданный аккредитованным удостоверяющим  центром заявителю, прекращает  свое действие.

6. Владелец квалифицированного  сертификата обязан:

1) не использовать ключ  электронной подписи и немедленно  обратиться в аккредитованный  удостоверяющий центр, выдавший  квалифицированный сертификат, для  прекращения действия этого сертификата  при наличии оснований полагать, что конфиденциальность ключа  электронной подписи нарушена;

2) использовать квалифицированную  электронную подпись в соответствии  с ограничениями, содержащимися  в квалифицированном сертификате  (если такие ограничения установлены).

Статья 18. Выдача квалифицированного сертификата

1. При выдаче квалифицированного  сертификата аккредитованный удостоверяющий  центр обязан:

1) установить личность  заявителя - физического лица, обратившегося  к нему за получением квалифицированного  сертификата;

2) получить от лица, выступающего  от имени заявителя - юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата.

2. При обращении в аккредитованный  удостоверяющий центр заявитель  указывает на ограничения использования  квалифицированного сертификата  (если такие ограничения устанавливаются)  и представляет следующие документы,  подтверждающие достоверность информации, предоставленной заявителем для  включения в квалифицированный  сертификат, либо их надлежащим  образом заверенные копии:

1) основной документ, удостоверяющий  личность, страховое свидетельство  государственного пенсионного страхования  заявителя - физического лица  или учредительные документы,  документ, подтверждающий факт внесения записи о юридическом лице в Единый государственный реестр юридических лиц, и свидетельство о постановке на учет в налоговом органе заявителя - юридического лица;

2) надлежащим образом заверенный  перевод на русский язык документов  о государственной регистрации  юридического лица в соответствии  с законодательством иностранного  государства (для иностранных  юридических лиц);

3) доверенность или иной  документ, подтверждающий право  заявителя действовать от имени  других лиц.

3. При получении квалифицированного  сертификата заявителем он должен  быть под расписку ознакомлен  аккредитованным удостоверяющим  центром с информацией, содержащейся  в квалифицированном сертификате.

4. Аккредитованный удостоверяющий  центр одновременно с выдачей  квалифицированного сертификата  должен выдать владельцу квалифицированного  сертификата руководство по обеспечению  безопасности использования квалифицированной  электронной подписи и средств квалифицированной электронной подписи.

Статья 19. Заключительные положения

1. Сертификаты ключей подписей, выданные в соответствии с  Федеральным законом от 10 января 2002 года N 1-ФЗ "Об электронной цифровой  подписи", признаются квалифицированными  сертификатами в соответствии  с настоящим Федеральным законом.

2. Электронный документ, подписанный  электронной цифровой подписью  до даты признания утратившим  силу Федерального закона от 10 января 2002 года N 1-ФЗ "Об электронной  цифровой подписи", признается  электронным документом, подписанным  квалифицированной электронной  подписью в соответствии с  настоящим Федеральным законом.

Статья 20. Вступление в силу настоящего Федерального закона

1. Настоящий Федеральный  закон вступает в силу со  дня его официального опубликования.

2. Федеральный закон от 10 января 2002 года N 1-ФЗ "Об электронной  цифровой подписи" (Собрание законодательства  Российской Федерации, 2002, N 2, ст. 127) признать утратившим силу с  1 июля 2012 года.

Президент Российской Федерации Д. Медведев

 

Что такое электронная  цифровая подпись?

Немногие точно представляют, что  такое электронная цифровая подпись. Некоторые понимают под этим отсканированный  графический образ ручной подписи, несколько ближе к истине представление  как о какой-то цифровой метке - аналоге  мастичной печати. Насколько возможно кратко ниже представлена попытка ответить на этот вопрос.

В соответствии с Федеральным законом  от 10.01.2002 №1-ФЗ "Об электронной цифровой подписи", в котором определены условия, при соблюдении которых  электронная цифровая подпись в  электронном документе признается равнозначной собственноручной подписи  в документе на бумажном носителе:

электронная цифровая подпись - реквизит электронного документа, предназначенный  для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого  ключа электронной цифровой подписи  и позволяющий идентифицировать владельца сертификата ключа  подписи, а также установить отсутствие искажения информации в электронном  документе

Для того, чтобы было более понятно, каков механизм формирования электронной цифровой подписи, как результата криптографического преобразования (шифрования), ниже приводится обобщенная схема "традиционного" криптографического преобразования:

Это так называемая система криптографического преобразования с симметричным ключом. Она предполагает наличие одного закрытого ключа как у Отправителя, так и у Получателя. Отправитель на закрытом ключе Ks зашифровывает передаваемое сообщение M с помощью определенного криптографического алгоритма и, в зашифрованном виде, отправляет его Получателю. Алгоритм криптографического преобразования определяется соответствующим стандартом. Получатель с помощью точно таких же закрытого ключа Ks и криптографического алгоритма расшифровывает (восстанавливает) принятое шифрованное сообщение M(K). Такая криптосистема обладает хорошей устойчивостью к дешифрованию. Недостаток такой криптосистемы в том, что закрытым ключом владеют минимум два человека, при компрометации ключа у одного из них, компрометируется вся система в целом. Это приводит также к тому, что в такой криптографической системе невозможно определить, кто ответственен за компрометацию закрытого ключа.

В отличие от криптографической  системы с симметричным ключом, в  системе с асимметричными ключами  зашифрование и расшифрование осуществляются на разных, математически связанных (парных) ключах. В такой системе Отправитель изготавливает себе ключевую пару - закрытый Ks и открытый Kp ключи. Закрытый ключ Ks остается у отправителя, открытый Kp передается всем получателям. Сообщение, зашифрованное на закрытом ключе Ks, может быть расшифровано только на открытом ключе Kp:

Таким образом, в этой криптографической  системе закрытым ключом Ks владеет только один человек. Соответственно, так зашифровать сообщение M, что оно будет расшифровано с помощью парного открытого ключа Kp, может только владелец закрытого ключа Ks. Алгоритмы асимметричного криптографического преобразования также стандартизированы. Главным достоинством такой системы является владение закрытым ключом Ks только одного человека и его единоличная ответственность за компрометацию этого ключа. Недостаток этой системы - сложность алгоритмов, что снижает скорость криптографического преобразования.

Свойство криптографической системы  с асимметричными ключами предоставлять  закрытый ключ Ks только одному человеку используется для формирования реквизита электронного документа - электронной цифровой подписи.

Механизм формирования электронной  цифровой подписи представлен на рисунке ниже. Владелец закрытого  ключа подписи Ks вычисляет по стандартному алгоритму хэш-функцию от подписываемого сообщения. Хэш-функция похожа на контрольную сумму символов сообщения, но обладает чувствительностью даже к перестановке символов сообщения. Далее хэш-функция зашифровывается на закрытом ключе Ks асимметричным криптографическим алгоритмом.

Проверка электронной цифровой подписи производится с использованием парного открытого ключа Kp. Механизм проверки представлен на рисунке ниже:

Для проверки вычисляется хэш-функция H(M) сообщения и расшифровывается с помощью открытого ключа  Kp электронная цифровая подпись (восстанавливается зашифрованная хэш-функция H(De)). Далее хэш-функции H(M) и H(De) сравниваются. При их совпадении делается вывод о верности электронной цифровой подписи. В противном случае делается вывод о не верной электронной цифровой подписи.

Положительный результат проверки позволяет сделать два важных вывода:

• электронная цифровая подпись сформирована с помощью закрытого ключа, парного открытому, используемому при проверке (подтверждение авторства);
• подписанное сообщение не было изменено после подписывания (подтверждение отсутствия искажения информации в сообщении).