- Специальный корреспондент
Электронные подписи используют в России с начала 2000-х годов, и во многих сферах наряду с электронным документооборотом (ЭДО) они стали обязательными. Самая надёжная и безопасная — квалифицированная электронная подпись.
Несмотря на широкое распространение ЭДО, немало людей скептически относится к цифровой сфере. На этом фоне появление возможности сделать электронную подпись онлайн, без визита в удостоверяющий центр, только усилило сомнения в безопасности её получения и применения. Отдельный момент — идентификация по биометрии, которая обязательна при . Её сдача для хранения в Единой биометрической системе (ЕБС) сама по себе вызывает опасения утечки данных и получения к ним доступа посторонних лиц.
Справедливы ли все опасения или они не более чем мифы, далёкие от реального положения дел, — объясняем с правовой и технической точек зрения.
Миф 1. Удалённое оформление КЭП — способ обойти требование закона об обязательном личном присутствии заявителя.
На самом деле никакого механизма обхода нет. Дистанционная идентификация заявителя прямо , как один из возможных вариантов. Правда, для этого нужно выполнить одно из требований:
1. Есть действующий квалифицированный сертификат ЭП.
2. Есть загранпаспорт нового образца — с чипом, на который записана биометрия.
3. Есть подтверждённая биометрия в ЕБС.
Таким образом, заявителя при получении КЭП идентифицируют либо по действующему квалифицированному сертификату, либо по биометрическим данным (лицо и голос).
Ещё один довод в пользу законности дистанционного подтверждения личности — этот при выпуске КЭП предпринимателям и юрлицам при регистрации нового бизнеса.
Миф 2. Получение КЭП онлайн с помощью биометрии небезопасно.
Идентифицируя заявителя по биометрии, удостоверяющий центр использует её только для сопоставления данных. Проверка почти такая же, как и при личном присутствии, только не по паспорту, а по биометрии. Биометрическую информацию УЦ не копирует и у себя не хранит, а доступ к ней носит разовый характер — только в момент подтверждения личности заявителя для выпуска сертификата КЭП.
Вопрос безопасности сдачи биометрии, её хранения в ЕБС не входит в сферу ответственности удостоверяющих центров. Это государственный уровень. Данные хранят в ЕБС в зашифрованном виде, отдельно от персональных сведений. Все технологии защиты не афишируют. На текущий момент не было информации о взломе ЕБС и утечках данных.
Миф 3. Получение КЭП дистанционно — возможность обмануть систему и оформить подпись на другое лицо.
Под обманом, как правило, понимают использование дипфейков — синтезированных биометрических данных другого человека, которые создают с помощью ИИ, в том числе для прохождения идентификации по лицу. Однако при подтверждении личности по биометрии в случае получения КЭП такие технологии не работают. Система проверки не видит заявителя, она обращается к биометрическим данным, уже сохранённым в ЕБС или на чипе загранпаспорта. А при сдаче биометрии требуется личное присутствие.
Миф 4. Приложение Госключ, которое используют для дистанционной идентификации, могут взломать, получить доступ к КЭП и подписать поддельные документы.
Такие опасения связаны с информации об использовании мошенниками многоступенчатой схемы, где один из этапов — получение доступа к личному кабинету Госуслуг, а затем подписание через Госключ нужных документов. Но это не взлом системы. Мошенники обманом заставляют жертву сообщить данные для доступа на Госуслуги — так же, как заставляют сообщать коды из СМС для доступа в банковское приложение, для перевода денег.
В рамках онлайн-получения КЭП Госключ — сервис для обмена информацией и подписания документов КЭП. Средства создания и проверки подписи (открытый и закрытый ключи) поступают в личный кабинет на сайте удостоверяющего центра. Их нужно записать на сертифицированный носитель (USB-токен). Полученная таким образом КЭП не связана с Госключом или Госуслугами. Что же касается НЭП и КЭП, которые выпущены в Госключе, то доступ к ним, как правило, злоумышленники получают вместе с доступом к мобильному устройству — так быстрее и проще.
Для удалённой идентификации заявителя по биометрии необходимо приложение Госключ. Это государственный сервис, разработка Минцифры, входит в экосистему Госуслуг. Его нужно скачать и установить на мобильное устройство. Чтобы пройти идентификацию по загранпаспорту, у смартфона или планшеты должен быть NFC-модуль.
Основной функционал приложения — электронная подпись онлайн. В сервисе доступен выпуск сертификатов НЭП и КЭП и подписание документов. Эти подписи можно использовать только в приложении и на устройстве, где оно установлено. Это сокращает возможности применения ЭП, поэтому и требуется получение ещё одной КЭП — стандартной, выпускаемой коммерческим УЦ. И в рамках этой задачи Госключ служит инструментом для подтверждения личности заявителя и подписания онлайн-заявки в удостоверяющий центр.
Минцифры и разработчики не делятся информацией о безопасности приложения и защиты от угроз. Но это вполне можно объяснить желанием предотвратить возможные попытки взлома. И на сегодняшний день таких случаев зафиксировано не было.
Основные функции Госключа — получение и использование НЭП и КЭП. При этом можно получить две квалифицированных ЭП:
Что нужно для :
1. Скачать и установить Госключ.
2. Авторизоваться с помощью учётной записи Госуслуг.
3. Выпустить НЭП.
4. Сформировать заявку, подтвердить личность с помощью биометрии и выпустить квалифицированный сертификат мобильной электронной подписи.
Для выпуска КЭП удостоверяющим центром нужно направить онлайн-заявку, получить и подписать мобильной КЭП документы, подтвердить личность и получить сертификат и закрытый ключ в личном кабинете на сайте УЦ. Файлы рекомендуется записать на защищённый носитель (USB-токен) — это самый надёжный вариант и он позволит использовать КЭП на любом устройстве. Можно перенести на рабочий ПК, но это ограничит использование подписи одним устройством. И это не самый надёжный вариант, особенно если доступ к ПК могут получить другие лица.
В режиме онлайн можно продлить действие сертификата, перевыпустить, заблокировать его и взамен получить новый.
Когда срок действия сертификата будет подходить к концу, владельцу придёт уведомление об этом. Чтобы продолжать пользоваться КЭП, нужно получить новый сертификат, и при этом необязательно обращаться в УЦ, где была получена подпись. Услуга доступна дистанционно, использовать биометрию не понадобится — личность заявителя подтверждают с помощью старого, но ещё действующего сертификата. Нужно выбрать тариф, подать онлайн-заявку, оплатить счёт и получить новые средства создания КЭП в личном кабинете на сайте УЦ.
Бывает, что подпись скомпрометирована. Например, утрачен USB-токен, или есть подозрение, что кто-то посторонний воспользовался подписью. В этом случае сертификат нужно отозвать (заблокировать), обратившись с заявлением в удостоверяющий центр. Пока это не сделано, считается, что все действия с КЭП выполнены владельцем сертификата, даже если подписью на самом деле воспользовалось другое лицо. После блокировки необходимо получить новые средства создания КЭП — сертификат и закрытый ключ. Новый сертификат нужно получить и ещё в двух случаях: если срок действия старого истёк или изменились персональные данные владельца. Для этого обращаются в офис УЦ или действуют дистанционно — точно так же, как при удалённом получении КЭП через Госключ.
ИП и юрлица оформляют КЭП в Удостоверяющем центре ФНС. Процедура требует личного посещения ИФНС, где проходит идентификация личности предпринимателя и руководителя организации. Но продлить срок действия сертификата (обновить его) можно дистанционно — через личный кабинет ИП или юрлица. А если возникнут сложности, поможет сервис удостоверяющего центра: специалист удалённо подключится к рабочему месту, перевыпустит КЭП, установит сертификат и настроит ПК для работы с электронной подписью.
Дистанционное получение КЭП взамен сертификата с истекающим сроком действия возможно только при наличии USB-токена с ключами ЭП. И ещё одно обязательное условие — данные организации, руководителя или ИП в ЕГРЮЛ/ЕГРИП не изменились. Если срок действия сертификата истёк, придётся получать новую КЭП в стандартном порядке.
Несмотря на широкое распространение ЭДО, немало людей скептически относится к цифровой сфере. На этом фоне появление возможности сделать электронную подпись онлайн, без визита в удостоверяющий центр, только усилило сомнения в безопасности её получения и применения. Отдельный момент — идентификация по биометрии, которая обязательна при . Её сдача для хранения в Единой биометрической системе (ЕБС) сама по себе вызывает опасения утечки данных и получения к ним доступа посторонних лиц.
Справедливы ли все опасения или они не более чем мифы, далёкие от реального положения дел, — объясняем с правовой и технической точек зрения.
Разоблачаем основные мифы о получении КЭП онлайн
Миф 1. Удалённое оформление КЭП — способ обойти требование закона об обязательном личном присутствии заявителя.
На самом деле никакого механизма обхода нет. Дистанционная идентификация заявителя прямо , как один из возможных вариантов. Правда, для этого нужно выполнить одно из требований:
1. Есть действующий квалифицированный сертификат ЭП.
2. Есть загранпаспорт нового образца — с чипом, на который записана биометрия.
3. Есть подтверждённая биометрия в ЕБС.
Таким образом, заявителя при получении КЭП идентифицируют либо по действующему квалифицированному сертификату, либо по биометрическим данным (лицо и голос).
Ещё один довод в пользу законности дистанционного подтверждения личности — этот при выпуске КЭП предпринимателям и юрлицам при регистрации нового бизнеса.
Миф 2. Получение КЭП онлайн с помощью биометрии небезопасно.
Идентифицируя заявителя по биометрии, удостоверяющий центр использует её только для сопоставления данных. Проверка почти такая же, как и при личном присутствии, только не по паспорту, а по биометрии. Биометрическую информацию УЦ не копирует и у себя не хранит, а доступ к ней носит разовый характер — только в момент подтверждения личности заявителя для выпуска сертификата КЭП.
Вопрос безопасности сдачи биометрии, её хранения в ЕБС не входит в сферу ответственности удостоверяющих центров. Это государственный уровень. Данные хранят в ЕБС в зашифрованном виде, отдельно от персональных сведений. Все технологии защиты не афишируют. На текущий момент не было информации о взломе ЕБС и утечках данных.
Миф 3. Получение КЭП дистанционно — возможность обмануть систему и оформить подпись на другое лицо.
Под обманом, как правило, понимают использование дипфейков — синтезированных биометрических данных другого человека, которые создают с помощью ИИ, в том числе для прохождения идентификации по лицу. Однако при подтверждении личности по биометрии в случае получения КЭП такие технологии не работают. Система проверки не видит заявителя, она обращается к биометрическим данным, уже сохранённым в ЕБС или на чипе загранпаспорта. А при сдаче биометрии требуется личное присутствие.
Миф 4. Приложение Госключ, которое используют для дистанционной идентификации, могут взломать, получить доступ к КЭП и подписать поддельные документы.
Такие опасения связаны с информации об использовании мошенниками многоступенчатой схемы, где один из этапов — получение доступа к личному кабинету Госуслуг, а затем подписание через Госключ нужных документов. Но это не взлом системы. Мошенники обманом заставляют жертву сообщить данные для доступа на Госуслуги — так же, как заставляют сообщать коды из СМС для доступа в банковское приложение, для перевода денег.
В рамках онлайн-получения КЭП Госключ — сервис для обмена информацией и подписания документов КЭП. Средства создания и проверки подписи (открытый и закрытый ключи) поступают в личный кабинет на сайте удостоверяющего центра. Их нужно записать на сертифицированный носитель (USB-токен). Полученная таким образом КЭП не связана с Госключом или Госуслугами. Что же касается НЭП и КЭП, которые выпущены в Госключе, то доступ к ним, как правило, злоумышленники получают вместе с доступом к мобильному устройству — так быстрее и проще.
Дистанционное получение КЭП через Госключ: уникальность и безопасность решения
Для удалённой идентификации заявителя по биометрии необходимо приложение Госключ. Это государственный сервис, разработка Минцифры, входит в экосистему Госуслуг. Его нужно скачать и установить на мобильное устройство. Чтобы пройти идентификацию по загранпаспорту, у смартфона или планшеты должен быть NFC-модуль.
Основной функционал приложения — электронная подпись онлайн. В сервисе доступен выпуск сертификатов НЭП и КЭП и подписание документов. Эти подписи можно использовать только в приложении и на устройстве, где оно установлено. Это сокращает возможности применения ЭП, поэтому и требуется получение ещё одной КЭП — стандартной, выпускаемой коммерческим УЦ. И в рамках этой задачи Госключ служит инструментом для подтверждения личности заявителя и подписания онлайн-заявки в удостоверяющий центр.
Минцифры и разработчики не делятся информацией о безопасности приложения и защиты от угроз. Но это вполне можно объяснить желанием предотвратить возможные попытки взлома. И на сегодняшний день таких случаев зафиксировано не было.
Как получить электронную подпись дистанционно через Госключ
Основные функции Госключа — получение и использование НЭП и КЭП. При этом можно получить две квалифицированных ЭП:
- мобильную, которая будет работать в приложении;
- стандартную, которую можно использовать на любом устройстве.
Что нужно для :
1. Скачать и установить Госключ.
2. Авторизоваться с помощью учётной записи Госуслуг.
3. Выпустить НЭП.
4. Сформировать заявку, подтвердить личность с помощью биометрии и выпустить квалифицированный сертификат мобильной электронной подписи.
Для выпуска КЭП удостоверяющим центром нужно направить онлайн-заявку, получить и подписать мобильной КЭП документы, подтвердить личность и получить сертификат и закрытый ключ в личном кабинете на сайте УЦ. Файлы рекомендуется записать на защищённый носитель (USB-токен) — это самый надёжный вариант и он позволит использовать КЭП на любом устройстве. Можно перенести на рабочий ПК, но это ограничит использование подписи одним устройством. И это не самый надёжный вариант, особенно если доступ к ПК могут получить другие лица.
Как продлить электронную подпись дистанционно
В режиме онлайн можно продлить действие сертификата, перевыпустить, заблокировать его и взамен получить новый.
Когда срок действия сертификата будет подходить к концу, владельцу придёт уведомление об этом. Чтобы продолжать пользоваться КЭП, нужно получить новый сертификат, и при этом необязательно обращаться в УЦ, где была получена подпись. Услуга доступна дистанционно, использовать биометрию не понадобится — личность заявителя подтверждают с помощью старого, но ещё действующего сертификата. Нужно выбрать тариф, подать онлайн-заявку, оплатить счёт и получить новые средства создания КЭП в личном кабинете на сайте УЦ.
Бывает, что подпись скомпрометирована. Например, утрачен USB-токен, или есть подозрение, что кто-то посторонний воспользовался подписью. В этом случае сертификат нужно отозвать (заблокировать), обратившись с заявлением в удостоверяющий центр. Пока это не сделано, считается, что все действия с КЭП выполнены владельцем сертификата, даже если подписью на самом деле воспользовалось другое лицо. После блокировки необходимо получить новые средства создания КЭП — сертификат и закрытый ключ. Новый сертификат нужно получить и ещё в двух случаях: если срок действия старого истёк или изменились персональные данные владельца. Для этого обращаются в офис УЦ или действуют дистанционно — точно так же, как при удалённом получении КЭП через Госключ.
Дистанционное получение и продление сертификата, выпущенного на имя предпринимателя или руководителя юрлица
ИП и юрлица оформляют КЭП в Удостоверяющем центре ФНС. Процедура требует личного посещения ИФНС, где проходит идентификация личности предпринимателя и руководителя организации. Но продлить срок действия сертификата (обновить его) можно дистанционно — через личный кабинет ИП или юрлица. А если возникнут сложности, поможет сервис удостоверяющего центра: специалист удалённо подключится к рабочему месту, перевыпустит КЭП, установит сертификат и настроит ПК для работы с электронной подписью.
Дистанционное получение КЭП взамен сертификата с истекающим сроком действия возможно только при наличии USB-токена с ключами ЭП. И ещё одно обязательное условие — данные организации, руководителя или ИП в ЕГРЮЛ/ЕГРИП не изменились. Если срок действия сертификата истёк, придётся получать новую КЭП в стандартном порядке.
