21.12.2011

Какой вид электронной подписи использовать?

Для меня (я в тему электронной подписи не сильно лезу) всегда существовал вопрос. Вот есть у нас ФЗ "Об электронной подписи", устанавливающий общие требования к ЭП. И есть проекты документов ФСБ, устанавливающие требования к конкретным видам ЭП - простой и усиленной. Но какой вид и когда использовать для меня всегда оставалось вопросом. И вот тут наткнулся на проект "Методики определения минимальных требований к электронной подписи, используемой для заверения документов, предоставляемых при обращении за получением государственных и муниципальных услуг", подготовленной Минэкономразвития. Да, он только для госуслуг, но и это уже нмало. На ее основе можно и свое что-то сделать и не требовать во всех случаях применять только усиленную квалифицированную ЭП.

15 коммент.:

pushkinist комментирует...

ого, любопытный док, спасибо)

кстати во всех случаях и так не требуют применять только усиленную квалифицированную ;)

Michael комментирует...

ИМХО выбор вида ЭП зависит от аппетита к юридическим рискам.

Прямые финансовые риски напрямую не предусмотрены нашим бухучетом, только через суд.

msm комментирует...

Насколько я понимаю, вид использования подписей зависит от того где она используется. Например, если есть возможность обеспечить "согласование сторон" и закрепить на бумаге риски и допущения, то запросто можно использовать простую или усиленную. Маленькое НО (если требования к используемому где либо ещё не прописаны). Если нет возможности заранее договорится (как это происходит в е-услугах) то придётся использовать квалифицированную подпись, которая даёт презумпцию действительности, но и требует в замен всё сертифицированное использовать.

Евгений Буковский комментирует...

Для получения госуслуг через "единую точку входа" gosuslugi.ru как минимум необходимо иметь там учетку, верифицированную через бумажное подтверждение по почте. Те в этом случае пара логин-пароль используется как "простая неквалифицированная" в терминологии 63-ФЗ электронная подпись.
Но можно использовать и "усиленную (как бы квалифицированную)" подпись УЦ ЭП РТК (на eTocken ГОСТ), если есть техническая возможность ее получить. Цена вопроса сейчас 660 рублей (цена токена). Получал себе 2 недели назад.

pushkinist комментирует...

привязываться к возможному ущербу, как в предложенной методике, все-таки несколько тупиковый способ имхо.
если взять к примеру, ДБО, там ущерб может быть довольно существенный, но это не повод использовать там КЭП, потому что сама по себе она ничего не гарантирует и ущерб предотвратить не может.

Алексей Лукацкий комментирует...

Евгений, я попытался вчера получить себе усиленную квалифицированную ЭП. Когда увидел, что мне нужно куда-то отдать мой паспорт, послал все подальше.

pdidenko комментирует...

А как без паспорта, если это, по сути, цифровой аналог бумажного паспорта?

Алексей Лукацкий комментирует...

А нотариально заверенную копию свидетельства о постановке на учет в налоговом органе зачем?

msm комментирует...

Вот нашёл в одной европейской бумажке вот такую строчку:
Signature quality = {eID quality, hash quality, public key quality}
= {(certificate quality, independent assurance), hash quality, public key quality}

Так что, на мой взгляд, отвечая на вопрос какой вид подписи использовать, следует соотнести это с конкретной информационной системой и чтобы она внутри себя определила не ниже какого качества она хочет использовать подписи, чтобы это было допустимо по рискам.

pushkinist комментирует...

Алексей, это в РТ?
было бы интересно почитать отдельный пост "как я получал электронную подпись" или хотя бы развернутый комментарий ;)

2msm:
электронная подпись может быть и без хэш-функции и без сертификата, следовательно ссылаться на доки, в которых качество подписи является функцией от этих параметров - некорректно.
по поводу рисков: давайте определимся о каких рисках идет речь? риски чего и чьи предлагается рассматривать при выборе вида подписи?
про связь подписи с ущербом я уже чуть выше коментил.

msm комментирует...

2pushkinist:
1. Простой подписи без крипта в Европе нет как минимум в части электронных документов с подписями которые предполагают трансграничный обмен, насколько припоминаю 25 февраля 2011 года был выпущен специальный документ закрепляющий данный факт (насколько помню там остались Cades, Xades и Pades), т.е. технической нейтральностью уже наелись.
2. На тему рисков - это проблема прикладного уровня определить чего она боится и совершенно очевидно, что разные системы потребуют разного качества.

pushkinist комментирует...

1. ну а зачем тогда на европу ссылаться, если у нас другие порядки и другие подписи? :)
2. это ответ не на те вопросы, что я спрашивал, а какие-то общие слова, увы

Евгений Буковский комментирует...

Алексей,
у меня паспорт и СНИЛС взяли, сверили и сразу же вернули. Учетка на госуслугах у меня уже была.
НО! Заверенную копию сертификата на токен по требованию моему не дали и Регламент УЦ ЭП РТК показать не смогли..

Евгений Буковский комментирует...

Кстати, есть мнение, что квалифицированных подписей сейчас в принципе быть не может, ибо нет аккредитованных УЦ! Но есть подписи приравненные к квалифицированным.

Евгений Буковский комментирует...

"Нотариально заверенную копию свидетельства о постановке на учет в налоговом органе" с меня не требовали при выдаче ЭП.