Как проверить элек­тронную подпись

Разбираемся, как хорошо защищены электронные подписи и можно ли их взломать
7
Как проверить элек­тронную подпись
Аватар автора

Дмитрий Новик

подписывает документы

Страница автора

Электронная подпись подтверждает авторство, защищает данные и позволяет подписывать документы удаленно.

Кроме того, она фиксирует состояние документа на момент подписания. Проверка подписи зависит от ее вида. Иногда используют специальные инструменты, а иногда нужно полагаться на свою внимательность и навыки работы с компьютером.

Расскажу, как проверить документ, подписанный электронной подписью, и можно ли ее подделать или взломать.

Как защищена электронная подпись

Электронная подпись, ЭП, — это специально сгенерированный файл с цифрами, который прикрепляется к документу. Она бывает трех видов: простая, неквалифицированная и квалифицированная. Защищенность каждого вида ЭП зависит от требований законов и от системы, где она сформирована.

Как защищена простая электронная подпись. ПЭП — это логин и пароль, которые подтверждают, что вы авторизовались в системе. Иногда нужно дополнительно ввести код, который приходит на номер телефона. Например, чтобы сделать покупку в интернет-магазине. Такая подпись равнозначна обычной.

ПЭП уязвима, ее относительно легко подделать. Например, если кто-то узнает ваш пароль, то сможет получить доступ к аккаунту. Поэтому такая подпись используется для операций, где последствия подделки не критичны.

Вот как защищена простая электронная подпись:

  1. Уникальная пара — логин и пароль.
  2. Двойная аутентификация через смс.
  3. Сторонние информационные системы, например Google Authenticator.
  4. Случайный запрос конфиденциальных данных из системы или ответ на секретный вопрос.

Как защищена неквалифицированная электронная подпись. Для формирования НЭП используются криптографические методы, которые уже не так просто обойти. В законе указаны требования к средствам электронной подписи. Вот как защищена НЭП:

  1. Уникальная пара — логин и пароль.
  2. Двухфакторная аутентификация.
  3. Пин-код в системе.
  4. Настройки системы, где происходит подписание.
  5. Криптографические методы обработки информации для подписания документа.

Специальная программа — криптопровайдер — генерирует уникальную последовательность символов. Она привязывается к двум файлам: открытый ключ и закрытый ключ. Первый доступен всем, кто работает в системе, а второй хранится только у владельца подписи.

В закрытой части хранится конфиденциальная информация. С ее помощью генерируются электронные подписи на документах. Эта часть защищена пин-кодом. С помощью закрытого ключа документ шифруется, то есть подписывается.

Открытая часть документ дешифрует, то есть показывает, кем он документ и когда. Так можно удостовериться, что документ не изменяли с момента подписания конкретным человеком.

Есть множество алгоритмов шифрования информации. Для НЭП подходит любой, который устраивает вас и владельца системы. Иногда можно выбрать шифрование, но чаще всего используется стандартный вариант, встроенный в программу.

НЭП можно встретить в государственных системах. Например, сайт ФНС рекомендует сгенерировать ЭП для взаимодействия с налоговой
НЭП можно встретить в государственных системах. Например, сайт ФНС рекомендует сгенерировать ЭП для взаимодействия с налоговой

Как защищена квалифицированная электронная подпись. Это самый надежный вид электронной подписи. Она подтверждена квалифицированным сертификатом, который отвечает требованиям ФСБ.

Программу, в которой работают с КЭП, тоже сертифицирует ФСБ.

Пример моей личной КЭП: ее выпустил УЦ компании «СКБ Контур» с разрешения ФСБ
Пример моей личной КЭП: ее выпустил УЦ компании «СКБ Контур» с разрешения ФСБ

Физические лица могут получить КЭП в удостоверяющем центре, который прошел сертификацию ФСБ и аккредитован Минцифры. Руководителям компаний и ИП КЭП выдает налоговая инспекция. Но ее также можно получить в аккредитованном удостоверяющем центре — он выступает в роли посредника.

Связанные с сертификатами квалифицированные ЭП имеют ту же юридическую силу, что и собственноручная подпись. Вот как защищена квалифицированная подпись:

  1. Уникальная пара из логина и пароля, сопоставимая с данными из открытой части ключа.
  2. Настройки системы, где происходит подписание.
  3. Пин-код.
  4. Законодательно одобренные криптографические методы обработки информации для создания подписи документа.

Технически в квалифицированной ЭП все работает так же, как и в неквалифицированной, но шифрование надежнее. Закрытая часть ключа, как правило, хранится на компьютере пользователя или специальном USB-токене. Можно скопировать и на обычную флешку, но это небезопасно. Если ее украдут, злоумышленники могут подписать документ за вас. Но для этого они должны узнать пин-код.

USB⁠-⁠токен выглядит как обычная флешка. Стоит примерно 1700 ₽
USB⁠-⁠токен выглядит как обычная флешка. Стоит примерно 1700 ₽

Как проверить документ с электронной подписью

Чтобы проверить документ с неквалифицированной и квалифицированной электронной подписью, придется узнать про еще одну техническую особенность. Есть три типа ЭП в документе: открепленная, присоединенная и встроенная.

Открепленная подпись чаще всего используется в России. Для нее генерируется новый файл в формате SIG, SGN или P7S. Исходный документ не меняется. Процесс подписания происходит быстрее, чем с остальными видами ЭП, а общий размер файлов меньше.

Присоединенная подпись также означает, что создается файл формата SIG или SGN, но исходный файл помещается внутрь нового. Прочитать его можно только с помощью криптопровайдера.

Встроенная подпись генерируется внутри программы, например Word, Excel или Acrobat Reader. То есть ЭП создает сама программа, а не криптопровайдер. Подпись работает как дополнительный реквизит — вроде авторства или времени создания. Такой формат удобен, но не полностью отвечает требованиям российского законодательства, поэтому встречается редко.

Убедиться, что документ подписан корректно и валидно, можно с помощью онлайн-сервисов. Они похожи по функциям и отличаются в основном интерфейсом. Пользоваться ими легко — достаточно подгрузить нужные файлы и нажать кнопку проверки. Вот список популярных:

Госуслуги. Есть старая и новая версия. В первой доступна проверка сертификата, присоединенной и отсоединенной ЭП. В новой работает только проверка отсоединенной подписи, поскольку это самый популярный способ.

Новый сайт подходит для проверки электронных документов от государственных органов. Они чаще всего используют формат SIG. При попытке загрузить SGN — ошибка
Новый сайт подходит для проверки электронных документов от государственных органов. Они чаще всего используют формат SIG. При попытке загрузить SGN — ошибка
Старый сайт функциональнее, хоть и морально устарел. Проверяет файлы со всеми популярными расширениями, включая SGN
Старый сайт функциональнее, хоть и морально устарел. Проверяет файлы со всеми популярными расширениями, включая SGN

Сайт мэра Москвы. Можно проверить отсоединенную и присоединенную ЭП. Также есть функция подписания документов, но работает со сбоями.

Портал Минцифры. Здесь можно проверить только НЭП и документы с отсоединенной ЭП. Актуально для государственных систем, где разрешено использование НЭП.

«Криптопро DSS». Можно проверить сертификат, отсоединенную ЭП в формате CMS и присоединенную ЭП. Также доступна проверка файлов, созданных в Word и Excel, а также PDF со встроенной подписью.

«КриптоАРМ». Программа для подписания и проверки документов. Работает со всеми типами ЭП. Бесплатный пробный период — 14 дней.

«Контур-крипто». Позволяет проверить сертификат, открепленную и прикрепленную КЭП. Работает во всех браузерах без дополнительных настроек. Бесплатно доступно 30 проверок на 30 календарных дней. Для этого достаточно указать файл с подписью, система сама распознает тип и либо попросит загрузить файл с отсоединенной ЭП, либо запустит проверку.

Результат проверки отобразится на экране. Можно скачать протокол, чтобы использовать как формализованный документ
Результат проверки отобразится на экране. Можно скачать протокол, чтобы использовать как формализованный документ

Как проверить сертификат квалифицированной подписи

Можно проверить не только сам документ с подписью, но и сертификат квалифицированной подписи, чтобы убедиться, что он действует. Для этого нужна его открытая часть. Экспортировать ее можно по инструкции с сайта-разработчика или штатными средствами ОС.

Как проверить сертификат на устройстве с Windows. Перейдите в «Поиск» → «Сертификаты» → «Сертификаты — текущий пользователь» → «Личное» → «Реестр» → «Сертификаты» → выберите нужный сертификат → вкладка «Состав». Там есть вся информация о сертификате: кто владелец, когда выпущен и когда закончится, кем выпущен и так далее.

Если информация нужна в отдельном файле, например для регистрации в системе электронного документооборота, то во вкладке «Состав» → «Копировать в файл» → «Далее» → кликните «Нет, не экспортировать закрытый ключ» → выберите пункт с нужным форматом экспорта → «Далее» → присвойте имя файла. В выбранной папке появится файл формата CER, в котором будет необходимая информация о сертификате.

Как проверить сертификат в системах электронного документооборота. Нажмите на кнопку «Показать сертификат» или «Скачать открытую часть ключа».

Как проверить сертификат онлайн. На сайте «Криптопро» или на госуслугах. Достаточно перетащить файл с открытой частью ключа, и система проверит все за несколько секунд.

Сайт покажет основные данные, заложенные в сертификат, и его статус
Сайт покажет основные данные, заложенные в сертификат, и его статус

По открытой части ключа сервисы могут проверить валидность самого сертификата: действительно ли его выпустил указанный аккредитованный удостоверяющий центр и не отозван ли он из-за нарушений конфиденциальности. Список одобренных Минцифры УЦ обновляется.

Как узнать срок действия электронной подписи

Узнать срок действия ЭП можно в системе, где она работает, или с помощью специальных программ.

Простая электронная подпись действительна, пока владелец системы не прекратит ее работу. Например, отключение ящика электронной почты можно считать окончанием срока действия ЭП.

Неквалифицированная электронная подпись обычно работает 12 или 18 месяцев. Это стандартный общепринятый срок, который могут уменьшить или увеличить в зависимости от требований безопасности системы.

Проверить срок действия в Windows можно так: перейдите в «Поиск» → «Сертификаты» → «Сертификаты — текущий пользователь» → «Личное» → «Реестр» → «Сертификаты» → выберите нужный сертификат → «Состав» → «Действителен по». В строке указано точное время до секунд. Если у вас macOS, можно воспользоваться онлайн-проверкой на одном из сайтов, указанных выше.

Квалифицированная электронная подпись действует год для физических лиц или 15 месяцев для руководителей компаний и ИП.

Иногда бывает, что ключ электронной подписи действует год, а сертификат к нему — до 12 лет. Например, так делает Центральный банк России, чтобы по истечении ключа проверять подлинность подписи еще долгое время. Проверить срок действия квалифицированной ЭП можно так же, как и неквалифицированной. Срок действия сертификата указан в самом документе.

Можно ли подделать или взломать электронную подпись

Все зависит от вида используемой подписи и целей злоумышленника.

Простую электронную подпись можно скомпрометировать. Но проблема не в подписании документов, а в получении доступа к информации. Например, при взломе банковского аккаунта злоумышленник подписывает документ для получения кредита. Но сам факт подписания не так уж важен. Страшнее — компрометация всего личного кабинета и действия мошенников.

Защититься от мошенничества с простой ЭП можно так:

  1. Использовать стойкие и неповторяющиеся пароли.
  2. Подключить двухфакторную аутентификацию.
  3. Не передавать персональные данные другим людям без необходимости.
  4. Внимательно реагировать на уведомления от приложений банков и портала госуслуг.

Неквалифицированную электронную подпись взломать можно, если разработчики программы, где используется такая ЭП, пренебрегают информационной безопасностью. Например, применяют старые стандарты шифрования или не обновляют средства для формирования подписи. В действительности такого почти не происходит.

Квалифицированную электронную подпись, выпущенную по всем правилам регуляторов РФ, взломать практически невозможно. Это потребует слишком больших вычислительных ресурсов.

Бывает такое, что при подписании документа подменяют информацию. Но, во-первых, это можно сделать в необновленных системах, а во-вторых, только в ограниченном количестве программ.

Если у вас НЭП или КЭП, нужно выполнять рекомендации разработчиков программы и никому не передавать свой пин-код от закрытой части ключа.

Иногда под взломом понимают вырезание и копирование отметки об электронной подписи в другой документ. Но это мелкое мошенничество, которое легко раскрыть.

В таком сценарии злоумышленник берет реальный PDF-файл с подписью уполномоченного лица, в графическом редакторе вырезает отметку и копирует в другой файл. Такая фальшивка не пройдет проверку в сервисах, а содержание штампа часто противоречит смыслу документа.

Взять отметку об использовании ЭП можно из тысяч мест. Например, в выписке из ЕГРЮЛ есть штамп с двуглавым орлом и упоминанием ФНС. Его можно скопировать и вставить в другой документ, что может ввести в заблуждение
Взять отметку об использовании ЭП можно из тысяч мест. Например, в выписке из ЕГРЮЛ есть штамп с двуглавым орлом и упоминанием ФНС. Его можно скопировать и вставить в другой документ, что может ввести в заблуждение

Что в итоге

  1. Простую электронную подпись проверить сложно, но обычно проверка и не требуется. НЭП и ПЭП можно проверить с помощью специальных инструментов. У НЭП при выпуске должна быть инструкция для проверки, а для КЭП есть множество сервисов и программ.
  2. Инструменты проверки бесплатные и отличаются в основном интерфейсом. У некоторых есть ограничения на количество проверяемых файлов, но никто не запрещает пользоваться несколькими или с нескольких аккаунтов.
  3. Самое просто мошенничество с ЭП — вырезать и переставить штамп. Такой документ не пройдет проверку ни в одном из сервисов. Подлог будет виден невооруженным взглядом.

Мы постим кружочки, красивые карточки и новости о технологиях и поп-культуре в нашем телеграм-канале. Подписывайтесь, там классно: @t_technocult

Дмитрий НовикПользуетесь электронной подписью? С какими проблемами сталкиваетесь? Расскажите в комментариях:
  • Смузивый ИТ-бояринВ коллекцию перлов от дорогой редакции: "С помощью закрытого ключа документ шифруется, то есть подписывается. Открытая часть документ дешифрует..." Так шифруется или подписывается? А потом дешифруется или проверяется подпись?1
  • сапер ВодичкаСмузивый, написано же >Открытая часть документ дешифрует, то есть показывает, КЕМ ОН ДОКУМЕНТ И КОГДА вот чего не ясного 😀?1
  • Miss BurpleКЭП можно конечно скопировать на простую флешку, но работать она будет сомнительно, а где-то вообще не работать. И то просто так скопировать ключи, выданные ФНС не получится.0
  • Дмитрий Новиксапер, тут косяк да. На самом деле, когда он документ.0
  • Дмитрий НовикВ этом контексте подписи без шифрования быть не может.0
  • Смузивый ИТ-бояринДмитрий, не останавливайтесь, пожалуйста :)0
  • сапер ВодичкаВолны перекатывались через мол и падали вниз стремительным домкратом1
  • Леонид КостоусовНапример, "МТС Инвестиции" не принимают документы, подписанные УКЭП.0