Как работает электронная подпись?

У каждого цифрового документа, как и у бумажного, есть реквизиты: например, номер, дата, подпись. Конечно, это подпись не физическая, а электронная. Она является гарантом целостности и подлинности документа. 

Прежде чем выяснять принцип работы электронной подписи, полезно разобраться в ее видах:

1. Простая электронная подпись (ПЭП). Чтобы она появилась, достаточно идентифицировать и аутентифицировать пользователя, например, логином и паролем, или выслать ему уникальный код. Физически ПЭП – это запись в базе данных, в которой записан идентификатор (ID) человека и идентификатор документа. Сопоставления двух ID достаточно, чтобы состоялась простая электронная подпись. Важно: криптографические алгоритмы при создании ПЭП не применяются, поэтому она не может гарантировать, что в документ остался неизменным в том виде, в котором был подписан.

Простая подпись имеет силу, только если где-то закреплены правила ее использования. Это может быть локальный нормативный акт, если ПЭП используется внутри организации, либо соглашение сторон.

2. При создании усиленной неквалифицированной подписи (УНЭП) обязательно используется криптографическое преобразование. УНЭП создается с использованием средств электронной подписи и позволяет определить, вносились ли изменения в электронный документ после его подписания.

УНЭП гарантирует неизменность и привязку к конкретному лицу – за счет самих принципов и механизмов создания усиленной подписи. Как и в случае с ПЭП, УНЭП будет иметь силу, если есть ЛНА или соглашение сторон. 

3. Усиленная квалифицированная подпись (УКЭП). Также используется криптографическое преобразование. 

Все аспекты создания УКЭП контролирует государство: кем выдана, какие средства создания и проверки подписи используются. Получить такую подпись можно только в аккредитованном удостоверяющем центре (УЦ), а средства ЭП подлежат сертификации. УКЭП можно подписывать любые документы, если только нет отдельного исключения. Например, приказ на увольнение нельзя подписывать электронной подписью.

Итак, мы узнали, что подписи бывают простые (без шифрования) и усиленные (с криптографическими алгоритмами). Теперь выясним, что из себя представляет это шифрование и для чего вообще такие сложности со всеми этими алгоритмами.

Существует два вида криптографии (шифрования): симметричное и асимметричное. Для симметричного шифрования используется один ключ: и для шифрования, и для расшифровки. Поэтому этот ключ нужно сохранять в тайне и на стороне того, кто хочет передать информацию, и на стороне, принимающей информацию.

Для ЭП применяют асимметричное шифрование. Оно подразумевает использование двух разных ключей: открытого и закрытого. Открытый ключ не является тайной и может быть распространен среди всех участников документооборота. Закрытый ключ нужен только той стороне, которая будет расшифровывать подпись.

Закрытый и открытый ключи составляют ключевую пару. Открытый ключ может шифровать документ, а может расшифровывать, и наоборот. По сути, ключевая пара – обезличенный набор байт, который формируется средством электронной подписи (криптопровайдером).

Алгоритм ассиметричного шифрования затратен по вычислениям: чем больше документ, тем дольше бы он шифровался. Чтобы ускорить этот процесс и при этом обеспечить неизменность документа, используется хэш-функция.

Это математический алгоритм, который отображает данные произвольного размера в битовый массив (строку) фиксированного размера. Если совсем просто – упаковывает массив входных данных (наш ключ) в небольшую стандартную «коробку». Результат работы хэш-функции – так называемая хэш-сумма, 256 или 512 бит. Полученное число однозначно соответствует документу: поменяется хотя бы 1 бит – поменяется весь хэш. Два разных файла не имеют одинакового хэша. Так обеспечивается неизменность электронного документа.

Как подтвердить момент подписания документа? Для этого используют метки доверенного времени (МДВ). ЭП привязывает состояние документа к конкретному человеку, а метка доверенного времени – состояние документа к конкретному моменту времени.

МДВ подтверждается доверенной стороной – Time Stamping Authority. Такой стороной может выступать удостоверяющий центр, доверенная третья сторона или оператор ИС. Как это работает? Применяются те же алгоритмы асимметричной криптографии, только подписывается хэш документа одновременно с таймингом. Метку доверенного времени можно сохранить рядом с документом как доказательство состояния документа на момент времени.

Итак, мы разобрались, как подтверждать неизменность и время подписания документа. Остается вопрос идентификации подписанта. Действительно ли открытый ключ принадлежит этому человеку? Подтвердить это можно с помощью сертификата, который выпускает УЦ. Сертификат связывает обезличенный набор байт открытого ключа с личностью владельца ЭП.

Где происходит «магия» шифрования

А именно, где хранится ключ электронной подписи и происходит акт подписания? Есть три варианта: локально, на мобильном устройстве или в облаке.

Локально ключ ЭП может храниться, например, на флэшке, токене, смарт-карте. Акт подписи происходит на компьютере или на смарт-карте. Из плюсов этого способа – безопасность вашей подписи, ведь ключ не покидает токен для подписания. Кроме того, документы можно подписывать даже офлайн. Минусы тоже есть: компактный носитель легко потерять.

Мобильная подпись похожа на локальную, только в качестве носителя используется мобильный телефон, а в качестве средства подписания – сертифицированное мобильное приложение (Госключ, Sign.me). Однако, если потерять телефон, то подпись может быть скомпрометирована.

Еще один вариант – облачная подпись (вернее будет назвать ее дистанционной, как ее определяет 63-ФЗ «Об электронной подписи»). Закрытый ключ хранится на облачном сервере удостоверяющего центра. Акт подписания также происходит на этом сервере. Это удобно, ведь за безопасность ключа отвечает УЦ – потерять ключ физически невозможно. Есть только одно «но»: на данный момент нет сертифицированных средств для подписания облачной УКЭП, так что пока облачная квалифицированная подпись невозможна.