Цифровой автограф: что такое электронная подпись и как ее оформить

Электронные подписи не новое изобретение. В России стандарты цифровой подписи существуют уже более 30 лет. Ее использование позволяет отказаться от бумажного документооборота: не нужно распечатывать файл, выводить автограф ручкой, а затем сканировать результат, чтобы обратно оцифровать. Достаточно особым образом закодировать документ прямо на компьютере или в смартфоне. Юридически электронная подпись имеет ту же силу, что и сделанная от руки.

Рассказываем, как устроена электронная подпись, зачем она нужна и как ее сделать.

Что не является электронной подписью

В первую очередь важно запомнить: электронная подпись (ЭП) не имеет ничего общего с изображением ‎автографа, которое подставляют в документ, имитируя подпись от руки. В некоторых случаях можно использовать второй вариант вполне легально. Но это называется «факсимиле».

По закону ставить факсимиле разрешается только на бумаги, которые не связаны прямо или косвенно с финансами. Категорически запрещается так подписывать доверенности, кадровые и бухгалтерские документы, налоговые отчеты, договоры о сделках с недвижимостью, вексели.

Единственное исключение — люди с нарушением зрения. Им можно использовать факсимиле в банковских квитанциях, когда они снимают, обменивают или кладут на счет наличные. Впрочем, в таких ситуациях в любом случае применяют не цифровое факсимиле, а физическое — специальный штамп с вырезанным на нем автографом.

Три компонента электронной подписи

Для электронной подписи нужны три элемента: ее сертификат, открытый ключ и закрытый. Далее мы подробнее разберем, что это такое и как работает.

Сертификат подписи — это файл, в котором указаны:

• уникальный номер подписи;

• срок, в течение которого ей можно пользоваться;

• статус — простая или усиленная, квалифицированная или нет (об этом мы тоже еще поговорим);

• данные владельца;

• открытый ключ;

• наличие закрытого ключа;

• информация о центре, который выпустил сертификат.

Этот документ доступен всем желающим. Именно с его помощью можно проверить, кто поставил электронную подпись, настоящая ли она, не просрочена ли. Для этого нужно воспользоваться специальным федеральным сервисом.

На одного человека может быть оформлено неограниченное количество электронных подписей. Например, сотруднику компании одна нужна для работы, как представителю организации, а вторая — для личных целей. В таком случае для каждой ЭП выпускается отдельный сертификат. Все они отображаются в личном кабинете на портале «‎Госуслуги».‎

Закрытый ключ — это, собственно, тот уникальный набор символов, который используется компьютером, чтобы зашифровать документ, когда человек хочет поставить на файл электронную подпись. Этот код владелец ЭП должен хранить в строжайшей тайне.

Открытый ключ вместе с подписанным документом получает адресат. С его помощью файл можно расшифровать обратно. Он же позволяет проверить, что после того, как бумага была подписана, ее содержание не менялось.

Как устроена электронная подпись

Так как же все это работает? Представьте себе, что тайный агент хочет передать зашифрованную записку. Он придумывает ее содержание, а затем берет томик из своей библиотеки и по определенному принципу меняет слова своего послания на другие, с нужной страницы. Адресат получает донесение, открывает такую же книгу и с ее помощью восстанавливает настоящий текст.

Электронная подпись устроена похожим образом. В нашем примере роль закрытого ключа играет правило, как заменять слова при составлении записки. А открытый ключ — это книга.

Когда человек использует электронную подпись, с помощью закрытого ключа для документа за несколько секунд генерируется уникальная последовательность цифр. Ее называют «‎хэш-сумма». Это и есть сама ЭП.

Она либо генерируется в виде отдельного файла, либо невидимо вшивается непосредственно в структуру подписываемого документа. В первом случае подпись называют «‎открепленной», а во втором — «‎присоединенной».‎‎ Открепленные подписи, как правило, имеют расширение .sig или .p7s. Внутри них не понятный для человека текст, а набор символов.

С помощью открытого ключа тот, кто проверяет подлинность ЭП, тоже генерирует хэш-сумму, а затем сравнивает свой результат с первоначальным. Если значения совпали, значит, в файл после подписания не вносили изменения — подпись действующая, документ с ней имеет юридическую силу. Фактически получатель даже не «‎расшифровывает записку»,‎ а пытается с помощью «‎той же книги» составить аналогичную.‎

Естественно, обладатели электронной подписи ничего не шифруют и не вычисляют вручную. Все автоматически делают компьютерные алгоритмы, программы. Их называют «‎средства криптографической защиты информации»‎ (СКЗИ). Именно через них документ обрабатывают с помощью обоих ключей.

Для генерирования и проверки подписей могут использоваться разные профильные программы ПО. Какие именно рекомендуются именно в вашем случае, специалисты расскажут, когда будут оформлять электронную подпись.

Куда записывают закрытый ключ

Закрытый ключ хранится на специальном носителе. Это защищенное паролем устройство, напоминающее ‎флешку для компьютера или банковскую карту. Его называют «‎ключевым носителем» или «‎токеном»‎‎‎‎. Даже в формате ‎флешки‎ оно может иметь не только USB-разъем, но и оснащаться NFC-передатчиком. Это удобно для подписания документов на мобильных устройствах. ‎

По степени защищенности они делятся на пассивные и активные. К первому типу относят те, на которых есть только пароль, а ко второму — дополненные функциями СКЗИ. В последнем случае дополнительно устанавливать ПО для работы с ЭП не нужно.

Читайте по теме Электронную подпись «Госключ» теперь можно использовать в мессенджере МАХ 25 августа 2025

Разница не только в удобстве. Для работы пассивного токена в момент генерации подписи закрытый ключ ненадолго копируется в память основного устройства, на котором ЭП ставят на документ. Когда все готово, ключ сразу автоматически удаляют с ПК, планшета, телефона. Хотя все занимает считаные секунды, для злоумышленников это шанс перехватить ключ.

Использование активного носителя решает эту проблему. Единственный остающийся риск — преступник может физически похитить токен. Но при этом ему нужно еще и узнать пароль от него.

С учетом этих особенностей специалисты рекомендуют отдавать предпочтение активным ключевым носителям.

Типы ключей

Закрытый ключ может быть экспортируемым или неэкспортируемым. Это настраивается в момент его записи на носитель.

В первом случае после ввода пароля ключ можно скопировать с одного носителя на другой. Это иногда удобно пользователю. Но тогда контролировать хранение, использование и в будущем уничтожение токена нужно особенно тщательно. Требуется очень внимательно следить, чтобы не возникло неучтенных копий, которыми завладеют злоумышленники. И если так случилось, из-за существования дубликатов сложнее определить, кто именно неправомерно использовал электронную подпись.

Неэкспортируемые ключи нельзя скопировать при помощи стандартных СКЗИ, поэтому они более защищенные.

Есть и еще одна классификация. Выше мы упоминали, что для работы пассивного токена требуется ненадолго копировать ключ с ‎флешки на основное устройство. В этом случае ключ называют ‎извлекаемым. Он может быть как экспортируемым, так и нет.‎‎

Ключи на активных токенах со встроенным СКЗИ, соответственно, являются неизвлекаемыми.

Правила безопасности

Вне зависимости от типа токена стоит сменить заводской PIN-код на личный, который будет знать только его владелец. Причем длина пароля должна быть не менее шести знаков. Он должен включать специальные символы, прописные и строчные буквы. Впоследствии время от времени комбинацию лучше менять.

Придумывая шифр, придерживайтесь стандартных правил. Не используйте варианты типа qwerty, abcde, 12345, паспортные данные, клички питомцев. Их слишком легко подобрать.

Во время работы с электронной подписью не используйте на своих устройствах функцию «‎запомнить пароль».‎ Не записывайте PIN на бумаге, в общедоступных электронных заметках и тем более на самом токене. Не передавайте ключевой носитель другим людям и не оставляйте его на виду без присмотра.

Три вида электронных подписей

Не только закрытые ключи и токены, на которые они записаны, но и сами электронные подписи бывают нескольких видов: ‎простые‎ и ‎‎усиленные‎, ‎квалифицированные и ‎неквалифицированные. Они различаются по степени защищенности, а от этого, в свою очередь, зависит, для чего человек может использовать ЭП.

Простой электронной подписью (ПЭП) пользуется каждый из нас. Мы ежедневно делаем это, например, когда вводим код из СМС от банка при онлайн-покупках или называем число из приложения, получая заказы. Логин и пароль для входа в любой личный кабинет, электронную почту — это тоже ПЭП.‎

Можно ли заверять документы простой электронной подписью? Да. Например, она вшита в наш профиль на «‎Госуслугах». Каждый раз, когда мы подаем с его помощью какие-то заявления, они по умолчанию подписываются ПЭП.

‎Простая электронная подпись не предполагает серьезного шифрования документа. Поэтому ПЭП может только подтвердить, что файл отправил конкретный человек. А вот проверить, изменял ли кто-то содержимое, не получится.

Когда нужна защита документооборота, используют усиленную неквалифицированную электронную подпись (УНЭП). Это полноценный цифровой аналог подписи от руки, который можно применять, например, при заключении договора на оказание услуг или оформлении кадровых бумаг.

Получить УНЭП можно онлайн‎, личный визит в специальный центр для этого не нужен. Хотя при желании офлайн-вариант тоже доступен. Закрытый ключ не обязательно записывают на отдельный токен. Он может храниться в облачном хранилище или непосредственно на мобильном устройстве.

Именно эта простота накладывает ограничение на сферу использования такой электронной подписи. Ей нельзя заверять документы, которые подаются в государственные реестры, например при регистрации нового юрлица. Для бумаг, содержащих гостайну, она тем более не подойдет.

Усиленная квалифицированная электронная подпись (УКЭП) как раз придумана для тех случаев, когда УНЭП не годится. Оформить квалифицированную подпись можно лично в удостоверяющем центре. Причем не в любом, а только в аккредитованном Минцифры России. Дистанционный формат доступен руководителям юрлиц и ИП через сайт налоговой при условии, что они зарегистрированы в государственной Единой биометрической системе.

За счет таких строгих требований власти на 100% уверены в том, кто владелец подписи. Требования к хранению закрытого ключа тоже более жесткие. Поэтому УКЭП разрешается использовать, например, при регистрации прав на недвижимость или для подписания счетов-фактур для исчисления НДС при сделках.

Есть и еще один важный нюанс, отличающий УКЭП от УНЭП. Чтобы неквалифицированная электронная подпись юридически приравнивалась к собственноручной, требуется дополнительное соглашение сторон.

Например, продавец и покупатель перед использованием УНЭП во время сделки должны письменно подтвердить, что они согласны с таким способом заверять документы. Если же применяется УКЭП, эта формальность не нужна.

Вместе с тем в некоторых ситуациях не подойдет даже УКЭП. Журналы прохождения инструктажей по охране труда, приказы об увольнении, акты о несчастных случаях на производстве, физические трудовые книжки подписывают только от руки.

Как оформить неквалифицированную подпись

Бесплатно онлайн получить УНЭП можно, например, в приложении «Госключ‎». Такая подпись требуется в ряде случаев, когда человек хочет оформить документы через «‎Госуслуги»:

• подписать договор купли-продажи автомобиля;

• по ОСАГО возместить убытки после ДТП;

• получить ИНН;

• дать согласие на получение налоговых уведомлений или отказаться от этого;

• отправить в ФНС декларацию 3-НДФЛ для получения налогового вычета.

Чтобы зарегистрироваться в «‎Госключе», понадобятся подтвержденная учетная запись на «‎Госуслугах» и привязанный к ней номер телефона — на него придет СМС с кодом активации.‎‎

После этого для оформления УНЭП физическому лицу нужно дополнительно подтвердить личность с помощью действующего загранпаспорта нового образца или Единой биометрической системы. Офлайн это можно сделать в МФЦ или банке.

Читайте по теме Что такое «Госключ», и как он помогает вести бизнес? 08 июля 2022

Для взаимодействия только с ФНС в личном кабинете на портале налоговой можно получить УНЭП непосредственно на сайте федеральной службы.

Для различных внешних бумаг «‎Госключ» тоже подходит.‎ Но не для всех — используемая система документооборота должна быть интегрирована с приложением. Если это не так, придется обращаться в подходящий удостоверяющий центр. Например, у «Россетей» и «Росатома» такие центры собственные, корпоративные.

Оформление УНЭП в сторонних организациях может быть платным. Для физических лиц цены стартуют от пары тысяч рублей. При этом, если электронная подпись нужна для исполнения должностных обязанностей, расходы может взять на себя работодатель.

Как получить квалифицированную подпись

Как мы уже упоминали, УКЭП оформляют только в удостоверяющих центрах, аккредитованных Минцифры России. Руководители юрлиц и индивидуальные предприниматели получают ее бесплатно, но только в ФНС или службе, которой налоговики доверяют.

Понадобятся паспорт, СНИЛС и ИНН. У представителей иностранных организаций дополнительно запросят ИНН компании, код причины постановки на учет (КПП), номер записи об аккредитации (НЗА) и нотариальную доверенность, подтверждающую, что руководитель наделен полномочиями на территории РФ.

Также инициировать получение УКЭП для юрлица или ИП можно в приложении «‎Госключ». Предварительно нужно оформить на себя там неквалифицированную подпись.‎ Но после этого все равно потребуется прийти в один из центров ФНС лично.

Дистанционный формат взаимодействия с ФНС возможен только с использованием биометрии. Понадобятся регистрация в Единой биометрической системе, подтвержденная учетная запись на «‎Госуслугах», компьютер с камерой и микрофоном, а также токен для записи ключа. Пройти процедуру можно через личный кабинет организации или ИП на сайте налоговой.

Также получить УКЭП через сайт ФНС разрешается, если у руководителя организации или индивидуального предпринимателя уже есть одна действующая квалифицированная подпись, оформленная через налоговую лично. При этом следует использовать для записи тот же токен.

Физлица и рядовые сотрудники компаний могут обратиться в любой аккредитованный Минцифры удостоверяющий центр. Но придется заплатить. Расценки зависят от конкретного места. Бесплатно УКЭП оформляется через «‎Госключ».‎

Физлица могут в «Госключе‎» с помощью квалифицированной подписи, например, регистрировать права на недвижимость и оформлять запрет на действия с ней без своего личного участия, исправлять сведения в ЕГРН, подавать заявление на развод. Можно заключить договор с мобильным оператором на оказание услуг связи или с вузом — на платное обучение. Там же УКЭП подписывают обращения в суд. На работе «Госключ» позволит подписывать договоры, приказы, заявления на отпуск.

Отметим, что представителям малого и среднего бизнеса с оформлением электронных подписей всех видов помогает Корпорация ‎МСП. Достаточно подать заявку на портале мсп.рф и оплатить услугу — от 1,5 тыс. рублей в зависимости от региона и типа ЭП. Примерно через три дня подпись будет готова, можно забирать токен в выбранном удостоверяющем центре.

Дополнительное условие для пользования ЭП на рабочем месте

Сотрудникам организаций или ИП, которым требуется подписывать документы в электронном виде, мало получить УКЭП физлица в удостоверяющем центре или через «‎Госключ». Помимо этого руководитель должен оформить на работника машиночитаемую доверенность (МЧД)‎.

МЧД — это цифровой аналог обычной бумажной доверенности. Он выглядит как файл с разрешением .xml, в который помещена информация, кто и кому выписал документ, какие полномочия он дает, а еще о информационной системе, где доверенность хранится.

Цифровую доверенность оформляют в личном кабинете организации или ИП на «‎Госуслугах».‎ В частности, она позволяет человеку подавать на портале заявления от имени своего работодателя. Также есть и другие системы хранения МЧД.

Читайте по теме Заверяй, но проверяй: как работают машиночитаемые доверенности 29 августа 2023

Насколько хорошо защищены электронные подписи

Ранее мы уже рассказывали, что влияет на безопасность. Простая электронная подпись, то есть пары логин-пароль в различных вариациях, защищена настолько, насколько аккуратно владелец этим инструментом пользуется. Важно следить, на каких ресурсах вводишь данные, не сообщать коды из СМС мошенникам, периодически менять пароли, делать их сложными. И даже в этом случае, к сожалению, никто не застрахован от хакерских атак на серверы компаний и утечек данных.

Усиленные подписи более безопасны. Даже простейшие из них имеют многоуровневый механизм усиленной криптозащиты. Когда токен и пароль от закрытого ключа в безопасности, взломать подпись практически невозможно — для этого потребуется слишком много вычислительных ресурсов. Компьютер, выполняющий миллион операций в секунду, должен будет работать более 10²⁵ лет, чтобы найти ключ для ЭП, зашифрованной по наиболее часто встречающемуся в России алгоритму.

Если токен потерян, нужно сообщить об этом в выдавший его удостоверяющий центр или налоговую. Они отзовут сертификат, и пользоваться подписью станет невозможно. Учитывайте: так же поступят, если специалисты узнают, что владелец давал ключевой носитель посторонним людям добровольно.

После блокировки по любой причине потребуется оформить новую ЭП. Также это понадобится, когда закончится срок действия подписи. В зависимости от типа он составляет 12–15 месяцев.

Даже учитывая некоторые имеющиеся риски, которые мы перечислили, электронные подписи гораздо безопаснее тех, что сделаны от руки на бумаге. Подделать ЭП нельзя, отказаться от своей подписи — тоже. Кроме того, цифровой вариант удобнее: не нужно ничего распечатывать, а потом сканировать, скорость документооборота выше.