Что такое генерация электронной подписи
КСКПЭП – квалифицированный сертификат ключа проверки электронной подписи.
КЭП – квалифицированная электронная подпись.
Криптопровайдер – средство защиты криптографической защиты информации. Программа с помощью которой генерируется закрытая часть электронной подписи и которая позволяет производить работу с электронной подписью. Данная галочка проставляется автоматически.
Экспортируемый ключ – возможность копирования электронной подписи на другой носитель. При отсутствии галочки копирование электронной подписи будет невозможно.
ЛКМ – левая кнопка мыши.
ПКМ – правая кнопка мыши.
CRM-AGENT – приложение, разработанное специалистами УЦ для упрощения процедуры генерации ключевой пары, создания запроса и записи сертификата.
После посещения удостоверяющего центра и прохождения процедуры сверки личности, на указанную Вами в заявлении электронную почту, УЦ прислал письмо, содержащее ссылку для генерации. Если Вы не получали письма, обратитесь к Вашему менеджеру или в Техническую поддержку УЦ по контактному номеру из этого руководства.
При открытии ссылки, появится первоначальное предупреждение. Ознакомьтесь с ним, если для хранения КЭП вы используете носитель Jacarta LT . Подробнее о носителях в Таблице 1 ниже. Если используете иной носитель, то нажмите кнопку «Закрыть».
Рекомендуется отключить антивирусное ПО перед загрузкой программы !
Рис.2 – Запрос доступа
Рис.3 – Доступ к хранилищу сертификатов
Нажмите «Продолжить» и, в появившемся окне, «Предоставить доступ» (Рис.4).
Рис.4 – Доступ к хранилищу сертификатов 2
Если не появилась кнопка «Продолжить»
Если после установки приложения « crm - agent » , ссылка на скачивание приложения не исчезла, причиной может быть блокировка подключения вашей системой безопасности.
Для устранения ситуации необходимо:
Отключить антивирус, установленный на вашем компьютере;
Открыть новую вкладку в браузере;
Ввести в адресную строку браузера адрес без пробелов - 127.0.0.1:90 – и перейти (нажать Enter на клавиатуре);
В случае, если у вас отсутствуют предустановленные криптопровайдеры, после этапа предоставления доступа появятся ссылки для скачивания КриптоПРО (Рис.5).
Рис.5 – Загрузка КриптоПРО
Это важно: приложение « crm - agent » обнаруживает любые криптопровайдеры на компьютере, и, если у Вас установлена отличная от КриптоПРО CSP программа (например, VipNET CSP ), свяжитесь со специалистами технической поддержки УЦ для консультации.
Нажмите на ссылку «КриптоПРО 4.0» на странице генерации или на аналогичную ссылку ниже для загрузки файла установки КриптоПРО на компьютер.
После окончания загрузки откройте zip -архив с помощью соответствующей программы-архиватора (например, Win - RAR ). Внутри будет сам файл установки КриптоПРО. Запустите его и установите с параметрами по умолчанию. В процессе установки у Вас может появиться следующее окно:
Рис.5 – Установка КриптоПРО
Пропустите окно, нажав «Далее». Установка КриптоПРО завершена.
Подписи можно хранить в реестре компьютера, на обычных флеш-накопителях и на специальных usb -токенах. Список токенов, пин-коды и ссылки на ПО представлены в таблице ниже (Таблица 1).
Таблица 1 – Драйверы для защищенных носителей
Тип USB-носителя
Внешний вид USB-носителя
Ссылка на загрузку драйверов
ruToken
12345678
eToken
1234567890
JaCarta LT
1234567890
MS-Key
11111111
Esmart *
12345678
JaCarta LT Nano
JaCarta ГОСТ
JaCarta S/E
1234567890
Визуально определите ваш носитель.
Для работы с одним из этих носителей необходимо установить драйвер. Перейдите по соответствующей ссылке, скачайте драйвер и установите его на компьютер. Установку драйвера проводите с параметрами по умолчанию.
Рис.6 – Начало формирования запроса
Откроется дополнительное окно с предложением выбрать, куда записать КЭП (Рис.7). Есть возможность выбрать в качестве носителя:
Реестр – хранилище «внутри» компьютера;
Диск X > – обычный флэш-накопитель;
ARDS JaCarta 0, Activ Co Rutoken 0 и т . п . – защищенный токен .
Рис.7 – Выбор носителя
Передвигая ползунок, выберите носитель для хранения КЭП и нажмите «ОК». Если был выбран «Реестр», то система в дальнейшем предупредит о возможном риске. Продолжите, если Вы осознанно выбрали реестр в качестве носителя для КЭП. Если случайно, то повторите формирование запроса повторно.
Это важно: в качестве хранилища КЭП для электронных торговых площадок можно использовать только защищенный носитель — токен. Если нет токена или драйвер установлен, но сам токен не работает, то свяжитесь со специалистами технической поддержки УЦ для консультации.
После выбора носителя откроется окно генерации «Датчик случайных чисел» (Рис.8). Для заполнения шкалы необходимо быстро и часто нажимать на цифровые клавиши на клавиатуре или передвигать мышь в пределах окна. Может потребоваться повторить процедуру несколько раз.
Рис.8 – Датчик случайных чисел
По окончанию процесса откроется окно с предложением задать пароль (Рис.8) для контейнера, если был выбран обычный флеш-накопитель или реестр. Рекомендуется не задавать пароль и пропускать данный пункт нажатием кнопки «ОК» без ввода и подтверждения пароля.
Рис.8 – Ввод пароля
Если вы выбрали в качестве носителя токен, тогда необходимо ввести pin -код . Стандартные pin -коды носителей указаны в Таблице 1 выше. Выбрать токен для хранения и пройти датчик случайных чисел может потребоваться дважды, так как на данный момент выпускается две аналогичные КЭП: по старому ГОСТ 2001 и по новому ГОСТ 2012.
Это важно: количество попыток ввода pin ограничено и, если pin введен неверно несколько раз, то носитель может быть заблокирован. В таком случае, свяжитесь со специалистами технической поддержки УЦ для консультации.
Рис.9 – Завершение генерации
Завершена процедура по созданию закрытой части ключа электронной подписи и отправка запроса на сертификат. Если в качестве носителя у Вас флеш-накопитель (флешка), то доступ к файлам электронной подписи открыт пользователям и антивирусному ПО. В таком случае есть риск утери закрытой части, после чего потребуется перевыпуск. Чтобы обезопасить себя от нежелательных последствий хранения КЭП на флеш-накопителе, сохраните копию папки с флеш-накопителя на своём компьютере и заархивируйте скопированный образец.
Это важно: категорически не рекомендуется осуществлять действия с этими файлами: перенос, изменение наименования, редактирование. При утере электронной подписи, требуется платный перевыпуск КЭП. Создавать копию созданной в процессе генерации папки – безопасно.
Спустя 5 минут после завершения этапа генерации, обновите страницу генерации, нажав клавишу F5 или соответствующую кнопку в браузере. Если запрос на выпуск сертификата уже одобрили, появится страница для записи сертификата в контейнер ключа (Рис.10). По ссылке из пункта 1 «Скачайте бланк для подписи» на этой странице скачайте бланк сертификата, распечатайте его. Владелец сертификата, на чье имя была выпущена КЭП, должен подписать бланк.
Рис.10 – Сертификат одобрен
Подписанный документ необходимо отсканировать и загрузить скан на сервер нашего удостоверяющего центра с помощью кнопки на этой же странице. После этого станут доступны две ссылки (Рис.11).
Рис.11 – Бланк загружен
Кликните на ссылку «Записать сертификат на ключевой носитель», откроется дополнительное окно (Рис.12).
Рис.12 – Запись сертификата
Рис.12 – Завершение записи сертфиката
Все готово, электронная подпись успешно создана. Для проверки работоспособности КЭП, откройте письмо, которое придёт после создания КЭП. В письме будет содержаться ссылка на сервис по подписанию закрывающих документов с помощью электронной подписи. Пройдите процедуру подписания и скачайте подписанные документы.
Электронная подпись – это шифрованный набор метаданных, закрепляющийся за определенным гражданином после верификации его личности (путем проверки документов). А каким образом происходит генерация ключа электронной подписи, что вообще представляет собой данный процесс? К каким вариациям ЭЦП может применяться данное действие?
Читайте в статье
Что такое «генерация ключа»
Генерация ключа – процесс создания уникального набора мета-данных. Подбирается он случайным образом, сам процесс требует от пользователя выполнения хаотичных действий с мышью (или тачпадом). Специальное ПО при этом считывает координаты и на их основе создает шифр, который в будущем и используется в генерации ключа ЭЦП. Технология построена таким образом, чтобы полностью устранить возможность присвоения одинакового ключа ЭЦП двум личностям. Теоретически – это может произойти, но шанс составляет менее 0,0000000001%. Используемый стандарт шифрования именуется как ГОСТ 28147-89 (согласно действующим законодательным нормативам).
Ещё стоит заметить, что генерация электронных подписей разных видов несколько отличается. Ключ для квалифицированной ЭЦП создается только в управляющем центре. А вот неквалифицированный ключ можно создать самостоятельно, а уже впоследствии – зарегистрировать его как свой персональный. Для этого как раз и выполняется генерация ключа, который впоследствии отправляется в удостоверяющий центр вместе с документами.
Генерация запроса
Как сгенерировать электронную подпись самостоятельно, а после – зарегистрировать её? Для этого необходимо:Главное преимущество самостоятельной генерации ключа ЭП – это экономия личного времени. Однако это актуально только в тех случаях, если в качестве заказчика электронной подписи является опытный пользователь ПК. В других же случаях проще будет напрямую обратиться в управляющий центр – организация самостоятельно сгенерирует запрос.
Работа с клиентом СЭД «АРМ»
Программа крайне проста, работает под управлением даже старых версий Windows, легко запускается в MacOS и Linux-дистрибутивах при использовании Wine (набор библиотек для эмуляция программной среды Windows).
Программа не требует обязательной установки, распространяется в виде portable-версии, занимает буквально пару мегабайт.
Итак, после запуска клиента СЭД «АРМ» необходимо:
- выбрать «Создать запрос на сертификат»;
- выбрать необходимые пункты (в большинстве случаев – «АСФК»);
- отметить пункт «Формировать квалифицированный сертификат» (если не отметить – получится неквалифицированный ключ, состоящий из двух файлов);
- нажать «Далее», ввести запрашиваемые персональные данные;
- создать сертификат и сохранить его на жестком диске.
Важный нюанс: если происходит генерация квалифицированной подписи, то в разделе «Криптопровайдер» необходимо выбрать «MyCryptoPro 2.0» (можно и другой, в зависимости от того, какое ПО впоследствии планирует использовать пользователь).
Крайне важно при генерации запроса тщательно проверить все введенные данные, в том числе и ФИО, данные ИНН и так далее. Малейшая ошибка приведет к тому, что в будущем созданным ключом ЭЦП воспользоваться не получится – он попросту не будет признан легитимным и, как следствие, не пройдет процедуру верификации.
Какие нюансы следует учесть
Далеко не все удостоверяющие центры поддерживают такой механизм создания электронной подписи самостоятельно пользователем. Все эти нюансы следует уточнять самостоятельно, обратившись к представителю того или иного УЦ. А вот само ПО скачать можно на их официальном сайте (их адреса и остальные контактные данные можно получить на сайте Минкомсвязи или Единого Государственного портала электронных подписей).
Также необходимо заблаговременно уточнять необходимые роли для использования ЭЦП. Их список впоследствии указывается при генерации ключа в клиенте СЭД «АРМ». Не следует отмечать абсолютно все роли без надобности – это приведет только к увеличению конечной стоимости создания ЭЦП и рутокена. Соответственно, если выполняется генерация электронной подписи для налоговой, то в ролях (в устаревших версиях программы указывается как «цели») следует отметить «Финансовый орган».
Ещё важная особенность – при генерации запроса указывается ИНН не организации, а именно физического лица, которому впоследствии будет принадлежать ЭЦП. А уже впоследствии в налоговой электронную подпись можно закрепить за организацией (в том числе за юридическим лицом). Данный норматив действует еще с 2015 года.
Работа с открытым и закрытым ключом
После отправки сгенерированного запроса для неквалифицированной подписи пользователю в течение нескольких дней предоставят открытый и закрытый ключ. Первый используется для проверки авторства ЭЦП, второй – для генерации открытого ключа, его рекомендуется хранить именно на рутокене, ни в коем случае не предоставлять третьим лицам.
Закрытый ключ также может использоваться для генерации и установки сертификата непосредственно в операционную систему (с помощью КриптоПро – программа автоматически распознает рутокены, в интерактивной форме позволяет установить и настроить использование ЭЦП).
Квалифицированные же ключи выдаются только на USB‑токенах защищенных от перезаписи. Принцип работы с ними аналогичен, главное отличие – использование более современных методов шифрования метаданных (с сертифицированным криптографическим алгоритмом, согласно ГОСТ 28147-89).
Генерация же открытых ключей и сертификатов для установки в систему также выполняется через КриптоПро (запуск приложения выполняется из «Панели управления» в среде Windows).
Итого, что такое генерация электронной подписи? Это процесс создания уникального набора мета-данных с криптошифрованием и присвоение созданного ЭЦП гражданину. Выполняется это в удостоверяющих центрах с использованием специализированного оборудования и ПО. Генерация запроса на получение электронной подписи – это формирование открытого сертификата с указанием личных данных пользователя, на основании которых и будет создана ЭЦП.
Как известно, электронная подпись объединяет в себе два вида ключей – открытый и закрытый. Генерация ЭЦП заключается в записи этих ключей на специальный носитель памяти, в качестве которого может выступать eToken, RuToken, флеш-карта или другое устройство.
Процесс генерации ЭЦП
Закрытый ключ электронной подписи генерируется в удостоверяющем центре. В соответствии с регламентом УЦ заявитель при передаче пакета документов администратору центра должен представить свое удостоверение личности. После этого администратор при помощи специализированного оборудования генерирует ключи электронной подписи. Заявитель получает единственную копию закрытого ключа, которую необходимо хранить на надежно защищенном устройстве памяти. Далее регистрируется сертификат ЭЦП и заносится в реестр удостоверяющего центра.
Документы заверяются с помощью закрытого ключа, но он работает только в паре с открытым ключом. К его хранению важно отнестись со всей серьезностью, так как он может полностью заменить собственноручную подпись. Таким образом, любые договора, отчеты, счета-фактуры и другие цифровые документы, подписанные ЭП, имеют юридическую силу, так что оспорить это не удастся. Хранить закрытый ключ ЭЦП рекомендуется на устройстве RuToken, так как в нем реализован российский стандарт шифрования информации ГОСТ 28147-89. Открытый ключ в свою очередь необходим для проверки авторства подписи, он находится в свободном доступе.
После того как генерация ЭЦП завершена ее владелец получает возможность регистрироваться и участвовать в аукционах и торгах на электронных площадках, пользоваться государственными услугами через Интернет, подтверждать авторство и подлинность различных документов и т.д. В настоящее время ни одна компания, которая хоть как-то зависит от электронной коммерции, не может легко обходиться без электронной подписи. Дело в том, что электронная коммерция внедряется все в новые и новые направления бизнеса. Обладатели ЭП получают доступ к огромному рынку, где есть возможность для стремительного роста и расширения своего бизнеса.
В настоящее время субъекты все чаще используют систему электронного документооборота. Для идентификации и придания таким документам юридической силы используется ключ ЭЦП.
Она не только определяет, кто является подписантом документа, но и защищает целостность его структуры. Ее созданием занимаются специализированные удостоверяющие центры, которыми для этого используется генерация электронной подписи.
Понятие «генерации ключа»
Ключ ЭЦП представляет собой уникальную комбинацию зашифрованных символов. Генерация ключей ЭП это процесс формирования данной уникальной комбинации.
Набор символов создается случайным образом путем осуществления манипуляции мышки на компьютере или тачпада на ноутбуке под контролем специализированной программы, определяющей координаты.
С помощью них соответствующие программные обеспечения создает соответствующий шифр. Процесс построен таким образом, чтобы ключ всегда генерировался уникальным, без повторения шифров. Теоретически такая возможность все-таки существует, но она равна 0,0000000001%.
Создание ЭЦП с шифрованием происходит в соответствии с существующим ГОСТ 28147-89, по алгоритмам, утвержденным ФСБ.
При этом важно учитывать, какая создается ЭЦП. Если это усиленная квалифицированная, то она может выпускаться только специализированными удостоверяющими центрами. Для ее генерирования применяется рассмотренный выше процесс.
Неквалифицированную могут формировать и другие субъекты, тогда используются шаблоны шифрования. После его создания нужно просто его зарегистрировать в удостоверяющем центре.
Для усиленных ЭЦП используются сразу два ключа – закрытый и открытый. Удостоверяющий центр генерирует закрытый. Открытый ключ создается при установке ЭЦП на компьютер.
Простая ЭЦП может создаваться (генерироваться) даже самим пользователем. При этом обращаться в удостоверяющий центр нет необходимости.
Как происходит генерация ключа
Ключи генерируются либо в удостоверяющих центрах, либо самим субъектом. Генерация ключа в удостоверяющих центрах происходит по рассмотренному выше алгоритму.
Если субъект принимает решение самостоятельно сгенерировать ключ, ему нужно выполнить следующее:
Самостоятельная генерация сертификата доступна только опытным пользователям. Главное ее преимущество – экономия времени.
Однако, лучше всего генерировать ЭЦП в удостоверяющих центрах.
Работа с клиентом СЭД «АРМ»
Работа с этой программой очень проста. Она запускается даже на устаревших версиях Windows, а в системах MacOS и Linux ее можно запустить при помощи среду эмуляции Wine.
Кроме этого, программу не нужно устанавливать — достаточно просто распаковать содержимое из архива.
Алгоритм использования программы очень прост:
Если необходимо создать квалифицированный сертификат, то требуется выбирать при запросе криптопровайдера выбирать пункт «MyCryptoPro 2.0» либо другой, исходя из дальнейших целей использования указанного сертификата.
В процессе заполнения данных по сертификату крайне важно тщательно проверять всю указываемую информацию, особенно ФИО пользователя, его ИНН и т. д.
Если будет допущена хоть мелкая ошибка (например, опечатка или пропущена буква), то ключом в дальнейшем нельзя будет пользоваться — он не пройдет проверку данных и будет объявлен нелегитимным.
Работа с открытым и закрытым ключом
После того, как пользователь произвел генерацию запроса на неквалифицированную подпись, после проверку ему предоставляют открытый и закрытый ключи:
- Первый необходимо применять, когда требуется проверить авторство подписи на документе.
- Второй используется для создания открытого ключа, он должен храниться только на рутокене и ни в коем случае не предоставляться третьим лицам.
Закрытый ключ также может применяться для создания и установки сертификата в систему. Это обычно производится при помощи криптографического комплекса «Крипто Про», который автоматически находит рутокены и предлагает выполнить действия с имеющимися на них ключами.
Квалифицированная подпись выдается удостоверяющим центром только на защищенном рутокене. Такую подпись отличает от остальных использование более современных методов шифрования.
В некоторых случаях для их создания должны использоваться программные комплексы, сертифицированные ФСБ.
Генерация открытых сертификатов и ключей для использования в системе Windows осуществляется через криптографический комплекс «Крипто Про».
Что нужно учесть
Нужно помнить, что не все удостоверяющие центры могут пользоваться программой «СЭД АРМ» для создания электронной подписи.
Подробности данной процедуры необходимо уточнять напрямую в выбранном УЦ. При этом необходимая программа либо скачивается с их сайта, либо необходимый функционал предоставляется в личном кабинете.
Необходимо заблаговременно определить все роли, которые будут назначены электронной подписи. Далее, данное роли нужно будет указать при процедуре генерации ключа в «СЭД АРМ».
Нельзя указывать абсолютно все роли — это не только может привести к серьезному удорожанию конечной ЭЦП, но и в некоторых случаях, отказе в регистрации сертификата.
Так, если подпись была сформирована для налогового органа, то в качестве роли необходимо выбирать пункт «Финансовый орган».
При создании подписи в поле «ИНН» необходимо вписывать не налоговой код организации, а самого физического лица, на которого выпускается электронная подпись.
А далее, при обращении в налоговый орган, данная подпись может быть прикреплена непосредственно к компании. Данное правило было введено в 2015 году.
Что если не генерируется электронная подпись
В случае, если для генерации электронной подписи используется клиент «СЭД АРМ», то при выполнении этого процесса могут возникать ошибки.
Чаще всего они решаются следующими способами:
- Временное отключение установленной на компьютере антивирусной программы, добавление директории с программой в исключения антивируса;
- Перерегистрация в системе библиотеки функций midas.dll
- Если на компьютере установлен криптопровайдер «Крипто Про», необходимо проверить, чтобы в числе генераторов случайных чисел был добавлен также в систему биологический ДСЦ;
- Добавление программы «СЭД АРМ» в исключения «Брандмауэра Windows».
Однако не все удостоверяющие центры используют данную программу и предоставляют свой механизм создания электронной подписи, обычно напрямую через сайт.
В этом случае проблемы могут решаться следующими способами:
Читайте также: