Сертификаты электронной подписи

Автор вСтатьи

Сертификат ключа проверки электронной подписи – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

В процессе формирования электронного ключа (электронный ключ ЭП), данные о его владельце сохраняются в отдельный файл. Этот файл и является сертификатом ключа подписи. Проверить сертификат ЭП можно, например, на портале госуслуг .

Выделяют также квалифицированный сертификат ключа проверки электронной подписи – сертификат, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.

Сертификат открытого ключа подписи содержит в себе открытый ключ, сведения о владельце ЭП, а также о том удостоверяющем центре, который оформлял и выдавал ключ. По этим данным осуществляется проверка сертификата ЭП. Таким образом, сертификат ключа можно сравнить с неким электронным удостоверением участника системы документооборота. Он должен содержать следующую информацию:

  1. даты начала и окончания срока его действия;
  2. ФИО – для физических лиц, наименование и место нахождения – для юридических лиц или иная информация, позволяющая идентифицировать владельца сертификата ключа проверки электронной подписи;
  3. ключ проверки электронной подписи;
  4. наименование используемого средства электронной подписи и (или) стандарты, требованиям которых соответствуют ключ электронной подписи и ключ проверки электронной подписи;
  5. наименование удостоверяющего центра, который выдал сертификат ключа проверки электронной подписи;
  6. иная информация для проверки сертификата ЭП, предусмотренная частью 2 статьи 17 ФЗ №63, – для квалифицированного сертификата.

Сертификат ключа подписи выдается на 1 год (как получить сертификат ключа подписи – ), и по истечении данного срока становится недействительным. Для того чтобы продолжить работать в системе электронной документации, следует продлить сертификат.

При любом изменении реквизитов владельца ключа (смена руководителя организации, названия и т. д.), а также компрометации закрытого ключа требуется отозвать действующий сертификат и получить новый (сертификат ключа проверки электронной подписи образец – загрузить).

← Вернуться в Энциклопедию

Теги: электронная подписьсертификат эп

Принцип работы

Наглядное объяснение принципа работы сертификатов открытого ключа на примере установки ПО от стороннего разработчика пользователем в Интернете

Сертификаты, как правило, используются для обмена зашифрованными данными в больших сетях. Криптосистема с открытым ключом решает проблему обмена секретными ключами между участниками безопасного обмена, однако не решает проблему доверия к открытым ключам. Предположим, что Алиса, желая получать зашифрованные сообщения, генерирует пару ключей, один из которых (открытый) она публикует каким-либо образом. Любой, кто желает отправить ей конфиденциальное сообщение, имеет возможность зашифровать его этим ключом, и быть уверенным, что только она (так как только она обладает соответствующим секретным ключом) сможет это сообщение прочесть. Однако описанная схема ничем не может помешать злоумышленнику Давиду создать пару ключей, и опубликовать свой открытый ключ, выдав его за ключ Алисы. В таком случае Давид сможет расшифровывать и читать, по крайней мере, ту часть сообщений, предназначенных Алисе, которые были по ошибке зашифрованы его открытым ключом.

Идея сертификата — это наличие третьей стороны, которой доверяют две другие стороны информационного обмена. Предполагается, что таких третьих сторон немного, и их открытые ключи всем известны каким-либо способом, например, хранятся в операционной системе или публикуются в журналах. Таким образом, подлог открытого ключа третьей стороны легко выявляется.

Сертификат открытого ключа выдаётся центром сертификации и состоит из таких полей как:

  • сам открытый ключ владельца сертификата,
  • срок действия,
  • имя эмитента (центра сертификации),
  • имя владельца сертификата
  • и, самой важной части, цифровой подписи.

Цифровая подпись гарантирует невозможность подделки сертификата. Она является результатом криптографической хеш-функции от данных сертификата, зашифрованным закрытым ключом центра сертификации. Открытый ключ центра сертификации является общеизвестным, поэтому любой может расшифровать им цифровую подпись сертификата, затем вычислить хеш самостоятельно и сравнить, совпадают ли хеши. Если хеши совпадают — значит сертификат действительный и можно не сомневаться, что открытый ключ принадлежит именно тому с кем мы собираемся устанавливать соединение.

Если Алиса сформирует сертификат со своим публичным ключом, и этот сертификат будет подписан третьей стороной (например, Трентом), любой, доверяющий Тренту, сможет удостовериться в подлинности открытого ключа Алисы. В централизованной инфраструктуре в роли Трента выступает удостоверяющий центр. В сетях доверия Трент может быть любым пользователем, и следует ли доверять этому пользователю, удостоверившему ключ Алисы, решает сам отправитель сообщения.

В SSL используется целая цепочка доверия: сертификат подписывается закрытым ключом владельца сертификата, находящегося выше в цепи.

Формальное описание

Пусть имеются две стороны информационного обмена — A {\displaystyle A} , B {\displaystyle B} , желающие обмениваться сообщениями конфиденциально, и третья сторона T {\displaystyle T} (играющая роль удостоверяющего центра), которой доверяют A {\displaystyle A} и B {\displaystyle B} .

  1. Стороне A {\displaystyle A} принадлежит пара ключей ( K A o {\displaystyle KA_{o}} , K A s {\displaystyle KA_{s}} ), где K A o {\displaystyle KA_{o}} — открытый ключ, а K A s {\displaystyle KA_{s}} — закрытый (секретный) ключ стороны A {\displaystyle A} .
  2. Стороне T {\displaystyle T} принадлежит пара ключей ( K T o {\displaystyle KT_{o}} , K T s {\displaystyle KT_{s}} ).

A {\displaystyle A} регистрируется у T {\displaystyle T} (посылает запрос на подпись), указывая данные о себе и свой K A o {\displaystyle KA_{o}} . Сторона T {\displaystyle T} посредством определенных механизмов «удостоверяет личность» стороны A {\displaystyle A} и выдает стороне A {\displaystyle A} сертификат C {\displaystyle C} , устанавливающий соответствие между субъектом A {\displaystyle A} и ключом K A o {\displaystyle KA_{o}} . Сертификат C {\displaystyle C} содержит:

  1. ключ K A o {\displaystyle KA_{o}} ,
  2. идентификационные данные субъекта A {\displaystyle A} ,
  3. идентификационные данные удостоверяющей стороны T {\displaystyle T} ,
  4. подпись стороны T {\displaystyle T} , которую обозначим S T {\displaystyle ST} . Подпись S T {\displaystyle ST} — это хеш (набор символов, хеш-сумма/хеш-код), полученный в результате применения хеш-функции к данным сертификата C {\displaystyle C} , зашифрованный стороной T {\displaystyle T} с использованием своего закрытого ключа K T s {\displaystyle KT_{s}} .
  5. и другую информацию.

A {\displaystyle A} посылает стороне B {\displaystyle B} свой сертификат C {\displaystyle C} . B {\displaystyle B} проверяет цифровую подпись S T {\displaystyle ST} . Для этого B {\displaystyle B}

  1. самостоятельно вычисляет хеш от данных сертификата C {\displaystyle C} ,
  2. расшифровывает ЭЦП сертификата S T {\displaystyle ST} с помощью всем известного K T o {\displaystyle KT_{o}} , получив другой хеш,
  3. проверяет равенство этих двух хешей.

Если полученные хеши равны — ЭЦП корректна, а это подтверждает, что K A o {\displaystyle KA_{o}} действительно принадлежит A {\displaystyle A} .

Теперь B {\displaystyle B} , зная открытый ключ A {\displaystyle A} и зная, что он принадлежит именно A {\displaystyle A} , может шифровать этим открытым ключом все последующие сообщения для A {\displaystyle A} . И только A {\displaystyle A} сможет их расшифровать, так как K A s {\displaystyle KA_{s}} известен только A {\displaystyle A} .

Структура сертификата

Электронная форма сертификата определяется стандартом X.509. Перечень обязательных и необязательных полей, которые могут присутствовать в сертификате, определяется данным стандартом, а также законодательством. Согласно законодательству России и Украины (закон «Об электронной цифровой подписи») сертификат должен содержать следующие поля:

Украина Россия
уникальный регистрационный номер сертификата + +
даты и времени начала и окончания срока действия сертификата + +
фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца + +
открытый ключ + +
наименование и реквизиты ЦС + +
наименование криптографического алгоритма + +
информацию об ограничении использования подписи + +
указание на страну выпуска сертификата +

Кроме этого в сертификат могут вноситься дополнительные поля.

Бумажный сертификат должен выдаваться на основании подтверждающих документов и в присутствии лица с последующим заверением подписями работника УЦ и носителя закрытого ключа.

> Российские стандарты

В России действуют свои криптографические стандарты. Использование их совместно с сертификатами описано в RFC4491: Using GOST with PKIX.

> См. также

  • Цифровой сертификат
  • Цепочка доверия
  • Wildcard-сертификат

Примечания

Для удостоверения и защиты электронного документа используется электронная подпись – с ее помощью можно идентифицировать владельца сертификата ключа и установить, что информация, предоставленная в электронном виде, не имеет искажений.

Электронные подписи (ЭП) бывают разных видов (ст. 5 закона об ЭП № 63-ФЗ от 06.04.2011):

  • Простая ЭП подтверждает факт составления документа определённым лицом (то есть установить личность того, кто подписал документ);

  • Неквалифицированная усиленная ЭП – тоже позволяет установить лицо, подписавшее документ, а также определить, были ли внесены изменения в документ после его подписания (создается с помощью средств ЭП);

  • Квалифицированная усиленная ЭП содержит все признаки неквалифицированной подписи, плюс — обладает следующими признаками: ключ ее проверки содержится в специальном «документе» (квалифицированный сертификат ключа проверки электронной подписи), а средства, которые используются при создании и проверке подписи, соответствуют требованиям законодательства.

Давайте разберемся, что такое сертификат ключа ЭП, зачем он нужен и каким образом его можно получить.

Сертификат ключа электронной подписи

Сертификат ключа подписи – оформленный на бумаге либо электронный документ, включающий в себя ключ ЭП для подтверждения того, что подпись подлинная, и для определения владельца сертификата ключа.

Сертификат ключа проверки электронной подписи создается и выдается только специальной организацией — удостоверяющим центром (УЦ), который имеет соответствующую аккредитацию. Сертификат может быть выдан заявителю только при установлении его личности или соответствующих полномочий (если лицо представляет заявителя). Таким образом, получение сертификата ключа проверки электронной подписи возможно только при установлении личности получателя.

УЦ также устанавливает сроки, в течение которых будет действовать сертификат, аннулирует выданные ранее сертификаты (сертификат электронной подписи может быть аннулирован центром, где был выдан), ведет реестр всех сертификатов, в т.ч. когда-то выданных и уже прекративших свое действие.

Срок хранения сертификата в УЦ определен в договоре, составленном между центром и владельцем сертификата (владелец сертификата ключа проверки электронной подписи – это лицо, которому был выдан созданный специальным УЦ сертификат ключа проверки). Сертификаты ключей подписи действительны в течение ограниченного срока.

Заявление на изготовление сертификата ключа подписи (образец) можно скачать на официальном сайте УЦ – единой формы для данного документа не предусмотрено и каждый центр вправе разработать свой шаблон заявления.

Как распечатать сертификат электронной подписи? Как мы говорили ранее, сертификат может быть выдан как на бумаге, так и в электронном виде. Если сертификат выдан в электронном виде, то владелец сертификата вправе запросить также копию сертификата, оформленную на бумажном носителе (заверенную удостоверяющим центром).

Квалифицированный сертификат электронной подписи содержит следующую информацию:

  • Уникальный номер сертификата, дату, когда сертификат начинает действовать и дату, когда его действие заканчивается;

  • Информацию, которая позволяет установить владельца сертификата. Если сертификат ключа электронной подписи принадлежит юрлицу, то такой информацией будет наименование компании, место ее нахождения, ИНН, ОГРН. Если владельцем сертификата является физлицо, то идентифицирующими данными будут ФИО физлица, если физлицо является предпринимателем – ФИО, ОГРНИП;

  • Сертификат ЭЦП содержит уникальный ключ проверки;

  • Приводится наименование УЦ, выдавшего сертификат;

  • Ограничения при использовании сертификата (если они определены).

Таким образом, чтобы получить сертификат электронной подписи, необходимо обратиться в специальную организацию (УЦ) и предоставить следующие документы:

  • Основной документ удостоверения личности;

  • Если заявитель – физлицо, то необходимо предоставить номер СНИЛС, ИНН. Если заявитель – юрлицо, то необходимо предоставить ОГРН, если заявитель является ИП — номер ОГРНИП;

  • Доверенность или другой документ, который подтвердит полномочия представителя.

Проверка сертификата ЭЦП

Чтобы убедиться, что электронный документ имеет юридическую силу, необходимо проверить, действительна ли электронная подпись, которой он подписан. В информационных системах ЭДО, как правило, есть встроенная система проверки, однако в некоторых случаях проверить сертификат электронной подписи придется самостоятельно (если по какой-либо причине участники электронного документооборота взаимодействуют друг с другом вне системы – например, сделка может заключаться без использования системы ЭДО).

Как проверить сертификат ЭЦП? Для этого необходимо обратиться к специальным программам (сервисам), в которых присутствует данная возможность. С помощью специального плагина или сервиса можно установить владельца определенной подписи, а также узнать, действителен ли сертификат.

Уникальный номер сертификата ЭЦП — где посмотреть? Это можно сделать с помощью специального программного обеспечения, которое вам понадобится установить на свой ПК для работы с электронным документооборотом. Сертификат ключа подписи — определенная последовательность различных символов, которая является уникальной. Номер сертификата обычно содержатся в специальной вкладке, где можно посмотреть состав сертификата: издателя (УЦ), срок действия, серийный номер.

Читайте также: Ответственность за использование чужой ЭЦП

Интересные статьи: