Как проверить элек­тронную подпись

Электронная подпись подтверждает авторство, защищает данные и позволяет подписывать документы удаленно.

Кроме того, она фиксирует состояние документа на момент подписания. Проверка подписи зависит от ее вида. Иногда используют специальные инструменты, а иногда нужно полагаться на свою внимательность и навыки работы с компьютером.

Расскажу, как проверить документ, подписанный электронной подписью, и можно ли ее подделать или взломать.

Электронная подпись, ЭП, — это специально сгенерированный файл с цифрами, который прикрепляется к документу. Она бывает трех видов: простая, неквалифицированная и квалифицированная. Защищенность каждого вида ЭП зависит от требований законов и от системы, где она сформирована.

Как защищена простая электронная подпись. ПЭП — это логин и пароль, которые подтверждают, что вы авторизовались в системе. Иногда нужно дополнительно ввести код, который приходит на номер телефона. Например, чтобы сделать покупку в интернет-магазине. Такая подпись равнозначна обычной.

ПЭП уязвима, ее относительно легко подделать. Например, если кто-то узнает ваш пароль, то сможет получить доступ к аккаунту. Поэтому такая подпись используется для операций, где последствия подделки не критичны.

Вот как защищена простая электронная подпись:

1. Уникальная пара — логин и пароль.
2. Двойная аутентификация через смс.
3. Сторонние информационные системы, например Google Authenticator.
4. Случайный запрос конфиденциальных данных из системы или ответ на секретный вопрос.

Как защищена неквалифицированная электронная подпись. Для формирования НЭП используются криптографические методы, которые уже не так просто обойти. В законе указаны требования к средствам электронной подписи. Вот как защищена НЭП:

1. Уникальная пара — логин и пароль.
2. Двухфакторная аутентификация.
3. Пин-код в системе.
4. Настройки системы, где происходит подписание.
5. Криптографические методы обработки информации для подписания документа.

Специальная программа — криптопровайдер — генерирует уникальную последовательность символов. Она привязывается к двум файлам: открытый ключ и закрытый ключ. Первый доступен всем, кто работает в системе, а второй хранится только у владельца подписи.

В закрытой части хранится конфиденциальная информация. С ее помощью генерируются электронные подписи на документах. Эта часть защищена пин-кодом. С помощью закрытого ключа документ шифруется, то есть подписывается.

Открытая часть документ дешифрует, то есть показывает, кем он документ и когда. Так можно удостовериться, что документ не изменяли с момента подписания конкретным человеком.

Есть множество алгоритмов шифрования информации. Для НЭП подходит любой, который устраивает вас и владельца системы. Иногда можно выбрать шифрование, но чаще всего используется стандартный вариант, встроенный в программу.

Как защищена квалифицированная электронная подпись. Это самый надежный вид электронной подписи. Она подтверждена квалифицированным сертификатом, который отвечает требованиям ФСБ.

Программу, в которой работают с КЭП, тоже сертифицирует ФСБ.

Физические лица могут получить КЭП в удостоверяющем центре, который прошел сертификацию ФСБ и аккредитован Минцифры. Руководителям компаний и ИП КЭП выдает налоговая инспекция. Но ее также можно получить в аккредитованном удостоверяющем центре — он выступает в роли посредника.

Связанные с сертификатами квалифицированные ЭП имеют ту же юридическую силу, что и собственноручная подпись. Вот как защищена квалифицированная подпись:

1. Уникальная пара из логина и пароля, сопоставимая с данными из открытой части ключа.
2. Настройки системы, где происходит подписание.
3. Пин-код.
4. Законодательно одобренные криптографические методы обработки информации для создания подписи документа.

Технически в квалифицированной ЭП все работает так же, как и в неквалифицированной, но шифрование надежнее. Закрытая часть ключа, как правило, хранится на компьютере пользователя или специальном USB-токене. Можно скопировать и на обычную флешку, но это небезопасно. Если ее украдут, злоумышленники могут подписать документ за вас. Но для этого они должны узнать пин-код.

Чтобы проверить документ с неквалифицированной и квалифицированной электронной подписью, придется узнать про еще одну техническую особенность. Есть три типа ЭП в документе: открепленная, присоединенная и встроенная.

Открепленная подпись чаще всего используется в России. Для нее генерируется новый файл в формате SIG, SGN или P7S. Исходный документ не меняется. Процесс подписания происходит быстрее, чем с остальными видами ЭП, а общий размер файлов меньше.

Присоединенная подпись также означает, что создается файл формата SIG или SGN, но исходный файл помещается внутрь нового. Прочитать его можно только с помощью криптопровайдера.

Встроенная подпись генерируется внутри программы, например Word, Excel или Acrobat Reader. То есть ЭП создает сама программа, а не криптопровайдер. Подпись работает как дополнительный реквизит — вроде авторства или времени создания. Такой формат удобен, но не полностью отвечает требованиям российского законодательства, поэтому встречается редко.

Убедиться, что документ подписан корректно и валидно, можно с помощью онлайн-сервисов. Они похожи по функциям и отличаются в основном интерфейсом. Пользоваться ими легко — достаточно подгрузить нужные файлы и нажать кнопку проверки. Вот список популярных:

Госуслуги. Есть старая и новая версия. В первой доступна проверка сертификата, присоединенной и отсоединенной ЭП. В новой работает только проверка отсоединенной подписи, поскольку это самый популярный способ.

Сайт мэра Москвы. Можно проверить отсоединенную и присоединенную ЭП. Также есть функция подписания документов, но работает со сбоями.

Портал Минцифры. Здесь можно проверить только НЭП и документы с отсоединенной ЭП. Актуально для государственных систем, где разрешено использование НЭП.

«Криптопро DSS». Можно проверить сертификат, отсоединенную ЭП в формате CMS и присоединенную ЭП. Также доступна проверка файлов, созданных в Word и Excel, а также PDF со встроенной подписью.

«КриптоАРМ». Программа для подписания и проверки документов. Работает со всеми типами ЭП. Бесплатный пробный период — 14 дней.

«Контур-крипто». Позволяет проверить сертификат, открепленную и прикрепленную КЭП. Работает во всех браузерах без дополнительных настроек. Бесплатно доступно 30 проверок на 30 календарных дней. Для этого достаточно указать файл с подписью, система сама распознает тип и либо попросит загрузить файл с отсоединенной ЭП, либо запустит проверку.

Можно проверить не только сам документ с подписью, но и сертификат квалифицированной подписи, чтобы убедиться, что он действует. Для этого нужна его открытая часть. Экспортировать ее можно по инструкции с сайта-разработчика или штатными средствами ОС.

Как проверить сертификат на устройстве с Windows. Перейдите в «Поиск» → «Сертификаты» → «Сертификаты — текущий пользователь» → «Личное» → «Реестр» → «Сертификаты» → выберите нужный сертификат → вкладка «Состав». Там есть вся информация о сертификате: кто владелец, когда выпущен и когда закончится, кем выпущен и так далее.

Если информация нужна в отдельном файле, например для регистрации в системе электронного документооборота, то во вкладке «Состав» → «Копировать в файл» → «Далее» → кликните «Нет, не экспортировать закрытый ключ» → выберите пункт с нужным форматом экспорта → «Далее» → присвойте имя файла. В выбранной папке появится файл формата CER, в котором будет необходимая информация о сертификате.

Как проверить сертификат в системах электронного документооборота. Нажмите на кнопку «Показать сертификат» или «Скачать открытую часть ключа».

Как проверить сертификат онлайн. На сайте «Криптопро» или на госуслугах. Достаточно перетащить файл с открытой частью ключа, и система проверит все за несколько секунд.

По открытой части ключа сервисы могут проверить валидность самого сертификата: действительно ли его выпустил указанный аккредитованный удостоверяющий центр и не отозван ли он из-за нарушений конфиденциальности. Список одобренных Минцифры УЦ обновляется.

Узнать срок действия ЭП можно в системе, где она работает, или с помощью специальных программ.

Простая электронная подпись действительна, пока владелец системы не прекратит ее работу. Например, отключение ящика электронной почты можно считать окончанием срока действия ЭП.

Неквалифицированная электронная подпись обычно работает 12 или 18 месяцев. Это стандартный общепринятый срок, который могут уменьшить или увеличить в зависимости от требований безопасности системы.

Проверить срок действия в Windows можно так: перейдите в «Поиск» → «Сертификаты» → «Сертификаты — текущий пользователь» → «Личное» → «Реестр» → «Сертификаты» → выберите нужный сертификат → «Состав» → «Действителен по». В строке указано точное время до секунд. Если у вас macOS, можно воспользоваться онлайн-проверкой на одном из сайтов, указанных выше.

Квалифицированная электронная подпись действует год для физических лиц или 15 месяцев для руководителей компаний и ИП.

Иногда бывает, что ключ электронной подписи действует год, а сертификат к нему — до 12 лет. Например, так делает Центральный банк России, чтобы по истечении ключа проверять подлинность подписи еще долгое время. Проверить срок действия квалифицированной ЭП можно так же, как и неквалифицированной. Срок действия сертификата указан в самом документе.

Все зависит от вида используемой подписи и целей злоумышленника.

Простую электронную подпись можно скомпрометировать. Но проблема не в подписании документов, а в получении доступа к информации. Например, при взломе банковского аккаунта злоумышленник подписывает документ для получения кредита. Но сам факт подписания не так уж важен. Страшнее — компрометация всего личного кабинета и действия мошенников.

Защититься от мошенничества с простой ЭП можно так:

1. Использовать стойкие и неповторяющиеся пароли.
2. Подключить двухфакторную аутентификацию.
3. Не передавать персональные данные другим людям без необходимости.
4. Внимательно реагировать на уведомления от приложений банков и портала госуслуг.

Неквалифицированную электронную подпись взломать можно, если разработчики программы, где используется такая ЭП, пренебрегают информационной безопасностью. Например, применяют старые стандарты шифрования или не обновляют средства для формирования подписи. В действительности такого почти не происходит.

Квалифицированную электронную подпись, выпущенную по всем правилам регуляторов РФ, взломать практически невозможно. Это потребует слишком больших вычислительных ресурсов.

Бывает такое, что при подписании документа подменяют информацию. Но, во-первых, это можно сделать в необновленных системах, а во-вторых, только в ограниченном количестве программ.

Если у вас НЭП или КЭП, нужно выполнять рекомендации разработчиков программы и никому не передавать свой пин-код от закрытой части ключа.

Иногда под взломом понимают вырезание и копирование отметки об электронной подписи в другой документ. Но это мелкое мошенничество, которое легко раскрыть.

В таком сценарии злоумышленник берет реальный PDF-файл с подписью уполномоченного лица, в графическом редакторе вырезает отметку и копирует в другой файл. Такая фальшивка не пройдет проверку в сервисах, а содержание штампа часто противоречит смыслу документа.

1. Простую электронную подпись проверить сложно, но обычно проверка и не требуется. НЭП и ПЭП можно проверить с помощью специальных инструментов. У НЭП при выпуске должна быть инструкция для проверки, а для КЭП есть множество сервисов и программ.
2. Инструменты проверки бесплатные и отличаются в основном интерфейсом. У некоторых есть ограничения на количество проверяемых файлов, но никто не запрещает пользоваться несколькими или с нескольких аккаунтов.
3. Самое просто мошенничество с ЭП — вырезать и переставить штамп. Такой документ не пройдет проверку ни в одном из сервисов. Подлог будет виден невооруженным взглядом.