Михаил Губин - Защищаем информацию с помощью электронной подписи. Издание третье

С 1 января 2019 года регистрация в ЕРУЗ является обязательной для всех участников закупок, будь то физическое лицо, индивидуальный предприниматель либо юридическое лицо. Система ЕРУЗ также избавляет участников закупок от входа по электронной подписи на физическом носителе, как как авторизация производится через портал gosuslugi.ru и информация берется из профиля организации на Госуслугах.

ГОСТ (Государственный Стандарт) – это система норм, описывающая ту или иную электронную подпись в действии. В настоящее время на все без исключения электронные подписи действует ГОСТ Р 34.11 2012 (кратко ГОСТ 2012), введенный в действие приказом Федерального агентства по техническому регулированию и метрологии №215-ст от 7 августа 2012 года в качестве национального стандарта Российской Федерации с 1 января 2013 года.

Также работает ГОСТ 34.11—2018 (кратко ГОСТ 2018), являющийся межгосударственным и который был принят Межгосударственным советом по метрологии, стандартизации и сертификации (протокол №54 от 29 ноября 2018 года). Приказом Федерального агентства по техническому регулированию и метрологии №1059-ст от 4 декабря 2018 г. введен в действие в качестве национального стандарта Российской Федерации с 1 июня 2019 года. Электронные подписи любят давать сюрпризы пользователям. Не успеешь привыкнуть к одному ГОСТу, как на его смену приходит другой. Такой вот круговорот стандартов.

Ранее пользователи использовали устаревший ГОСТ Р 34.10—2001 (кратко ГОСТ 2001), принятый постановлением Госстандарта России №380-ст от 12 сентября 2001 года. Но время идет, требуются все более мощные способы защиты информации, и ГОСТ 2012 начал потихоньку вытеснять ГОСТ 2001 с персональных компьютеров пользователей. Фактически, ГОСТ 2001 уже запрещен, выпуск электронных подписей по нему не производится, а сам ГОСТ 2001 не работает с 1 января 2020 года. Пользователям, которые его использовали в 2019 году, выводилась вот такая табличка:

Действующий ГОСТ 2012 можно изобразить в виде небольшой блок-схемы.

На самом деле, схема очень проста. Для проверки подписи необходимо прочитать контрольную сумму, сформированную ранее при процессе подписи документов электронной подписью. Такую подпись формирует, например, программа КриптоАРМ и сам плагин, через который браузеры работают с КриптоПро CSP.

Цепочка сертификатов – это логический элемент, с помощью которого выявляется связь между удостоверяющим центром и конечным пользователем. Кроме того, цепочка сертификатов принимает непосредственное участие в процедуре отзыва сертификатов пользователей. Отзыв сертификата производится в том случае, если пользователь не оплатил электронную подпись, либо ее отозвал самостоятельно по какой либо причине.

Цепочку сертификатов можно установить самостоятельно, но рекомендуется это делать с помощью специализированной программы, которая имеется у каждого удостоверяющего центра. Эта программа автоматически устанавливает необходимую цепочку сертификатов, но есть и универсальные программы, позволяющие установить цепочки всех удостоверяющих центров сразу. Такая программа имеется, например, у удостоверяющего центра ИжТендер.

Также, цепочка сертификатов является самой важной в работе электронной подписи. Без нее не будет работать ни один сертификат электронной подписи, а значит, нельзя будет подписать никакие данные. Вот почему очень важно следить за корректностью цепочки сертификатов и устанавливать ее недостающие звенья.

Какие элементы имеет цепочка сертификатов? Давайте рассмотрим ее на примере цепочки из моей электронной подписи.

Как мы видим, цепочка сертификатов построена не абы как. Самым верхним является сертификат Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (Минкомсвязь) России, поскольку именно Минкомсвязь вместе с ФСБ России разрешает всем без исключения удостоверяющим центрам вести свою деятельность. После сертификата Минкомсвязи идет сертификат текущего удостоверяющего центра – это общество с ограниченной ответственностью «Сертум-Про», входящее в состав компании СКБ «Контур». Самым последним в цепочке выступает мой сертификат. У вас цепочки сертификатов будут иметь похожую структуру, причем Минкомсвязь будет обязательным элементом, а удостоверяющий центр и название компании либо физического лица будут уже вашими.