Главная / FAQ / ЭЦП, ЭП, КЭП, УКЭП, СКПЭП, сертификат электронной подписи. В чём отличия?
ЭЦП, ЭП, КЭП, УКЭП, СКПЭП, сертификат электронной подписи. В чём отличия?
- 19 июля 2022
- Обновлено 25 ноября 2022
Проверено на актуальность: 16.11.2022 г.
Обычно всеми этими терминами называют одно и то же — это «квалифицированный сертификат ключа проверки электронной подписи» — «КСКПЭП» или просто «сертификат»! Это хоть и не привычно, но именно так правильно, согласно 63-ФЗ, называется то, что выдаёт удостоверяющий центр пользователям!
Пожалуй, трудно найти сферу с более запутанной терминологией, чем электронная подпись! Разберём подробнее каждый термин.
Электронная подпись (ЭЦП, ЭП) это реквизит конкретного электронного документа, который создан в результате криптографического преобразования с помощью закрытого ключа пользователя.
На практике сложилось так, что чаще всего пользователи говорят «ЭЦП» (электронная цифровая подпись) имея в виду ключи (открытый и закрытый) и сертификат ключа проверки электронной подписи. Аббревиатура «ЭЦП» пришла из 1-ФЗ «электронной цифровой подписи» от 10.01.2002. Этот закон утратил силу, но термин «ЭЦП» прочно прижился! В новом законе уже фигурирует термин «ЭП» (электронная подпись). Слово «цифровая» опустили, т.к. это является синонимом слова «электронная».
Даже на нашем сайте вы чаще всего увидите именно это обозначение. Так как именно это самое распространённое обозначение сертификата, хоть эта формулировка и не совсем точная.
По данным сервиса Яндекс.Wordstat пользователи поисковика Яндекс используют фразу «получить ЭЦП» в 10 раз чаще чем «получить КЭП».
Мы стараемся быть ближе к нашим клиентам, поэтому тоже используем «неправильный» термин.
КЭП (УКЭП) — усиленная квалифицированная электронная подпись. То же самое что и ЭЦП (ЭП), только с уточнением, что подпись создана с помощью именно квалифицированного сертификата.
Разберём подробнее что значит усиленная и квалифицированная.Усиленная — используется средство криптозащиты информации (например КриптоПро CSP).Квалифицированная — сертификат электронной подписи выдаётся аккредитованным удостоверяющим центром.
Таким образом, практически все электронные подписи, созданные с помощью сертификатов полученных в удостоверяющих центрах, усиленные квалифицированные, за исключением случаем когда клиент заказывает именно неквалифицированный сертификат для внутреннего ЭДО.
КСКПЭП, квалифицированный сертификат
«Квалифицированный сертификат ключа проверки электронной подписи» или «квалифицированный сертификат» — именно этот термин наиболее правильный. Согласно ст.2 63-ФЗ «Об электронной подписи»:
Сертификат ключа проверки электронной подписи — электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи; квалифицированный сертификат ключа проверки электронной подписи — сертификат ключа проверки электронной подписи, соответствующий требованиям, установленным настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, созданный аккредитованным удостоверяющим центром либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи, и являющийся в связи с этим официальным документом
Простыми словами: Квалифицированный сертификат ключа проверки электронной подписи подтверждает, что документ подписан именно тем лицом чьи данные содержатся в сертификате. Сертификат содержит ФИО, ИНН, СНИЛС, e-mail, данные ЮЛ (если пользователь сотрудник ЮЛ) что позволяет однозначно определить подписанта.
Этот термин и наиболее верный с точки зрения закона, на практике он применяется реже всего.
Удостоверяющий центр при обращении пользователя за «электронной подписью» выдаёт именно «Квалифицированный сертификат ключа проверки электронной подписи».
Возникает вопрос, а что же такое ключ проверки электронной подписи. Во время выпуска сертификата пользователь генерирует уникальную пару ключей — закрытый ключ и открытый ключ. Закрытый ключ известен только пользователю и именно с помощью него подписываются все электронные документы и создаётся электронная подпись (про которую мы писали выше). А вот открытый ключ является общедоступным, с помощью него проверяется подлинность электронной подписи, а сертификат (КСКПЭП) подтверждает что открытый ключ принадлежит конкретному лицу.
Закрытый ключ, открытый ключ и сертификат хранятся в контейнере, который записывается на USB-токен, флешку, жёсткий диск или реестр операционной системы.
ЭЦП, ЭП, КЭП, УКЭП, СКПЭП, сертификат электронной подписи. В чём отличия? обновлено: 25 ноября, 2022 автором:
2 ответа
- Интересно. Было бы также правильно указать дату составления материала и дату его проверки на акутальность.
Спасибо за отзыв.
Пожелание учтено - Спасибо за отзыв.
Пожелание учтено
Добавить комментарий
Время на прочтение
Я расскажу о Федеральном законе от 6 апреля 2011 г. N63-ФЗ «Об электронной подписи»: что он, зачем он, а главное, как обывателю его использовать. Рассмотрю проблемы, с которыми я столкнулся, и их решения. Этот пост направлен больше в сторону социума, поэтому для технарей будет присутствовать некая избыточная информация.
Немного теории
Что вообще такое подпись? По Википедии это уникальная совокупность символов, написанных от руки, с применением определенных оформительных приёмов, служащая для идентификации человека.
Мы подписываем документ, следовательно, соглашаемся с его содержимым, оставляя неповторимый отпечаток. Электронная подпись по той же Вики это реквизит электронного документа, позволяющий установить:
- отсутствие искажения информации в электронном документе с момента подписания;
- принадлежность подписи владельцу.
Легко заметить аналогию. Как подпись ручная является неотъемлемым реквизитом документа бумажного, так и подпись электронная является реквизитом электронного же документа. Также как подпись ручная является уникальным символом, так и электронная подпись тоже уникальна.
Как подписываются бумаги, я думаю, всем известно, поэтому вкратце опишу, как подписывается электронная информация. Для этого используется асимметричная криптография, она так называется потому, что ее алгоритмы используют не один, а сразу два ключа: известный всем, «открытый» и известный лишь одному, «закрытый». А алгоритмы ассиметричной криптографии, соответственно, позволяют шифровать информацию одним из ключей и расшифровывать другим.
Для меня, владельца ключами, это дает некоторые преимущества:
- С одной стороны, любой человек может зашифровать некую информацию моим открытым ключом и быть уверенным в том, что ее расшифровать смогу только я;
- С другой стороны, я могу зашифровать информацию своим закрытым ключом, и любой человек, ухитрившийся расшифровать эту информацию моим открытым ключом, может быть уверен в том, что именно я, а никто другой, эту информацию шифровал.
Именно на этом, втором преимуществе и держится вся механика электронной подписи.
Перейдем к закону
Что такое «Электронная подпись» по законодателю? В терминах закона это информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
то есть электронная подпись это всего лишь некая информация, связывающая два объекта: подписываемый документ и подписавшее лицо.
Закон также вводит еще ряд определений:
Сертификат ключа проверки электронной подписи — электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Это не что иное, как сертификат открытого ключа.
Квалифицированный сертификат ключа проверки электронной подписи (он же квалифицированный сертификат) — сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.
Исключая бла-бла-бла, понимаем, что это тот же сертификат открытого ключа, который был выдан кем-то там очень важным, получившим аккредитацию.
Ключ электронной подписи — уникальная последовательность символов, предназначенная для создания электронной подписи.
Это наш закрытый ключ.
Ключ проверки электронной подписи — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.
А это наш открытый ключ.
Здесь я сразу обращу внимание на разницу, потому что, как говорится, мухи отдельно, а котлеты отдельно. Открытый ключ это открытый ключ, просто последовательность символов, а сертификат открытого ключа это уже целый документ, состоящий из открытого ключа и кое-чего еще.
Удостоверяющий центр — юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей.
Аккредитация удостоверяющего центра — признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона.
Помните разницу между квалифицированным и неквалифицированным сертификатом? Квалифицированный сертификат может выдать только аккредитованный центр.
Средства электронной подписи — шифровальные криптографические средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.
А это наш хард и софт.
Пропуская кучу строк закона об обязанностях всех перед всеми, скажу, что получить я захотел именно ключи для создания Квалифицированной электронной подписи. Почему? Потому что информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе. Тут прелесть в том, что если законом явно не сказано «гони бумагу, дружок», то можно обойтись лишь электронным носителем, а это открывает просто чудовищные перспективы. Случай навскидку. При приеме на работу работодатель обязан ознакомить под роспись работника с действующими локальными нормативными актами. Теоретически, если предъявить паспорт, пенсионное, военник можно дистанционно, а трудовую книжку переслать почтой, то ознакомить под роспись с каким-либо документом до изобретения ЭП, можно было только локально. А значит, мне для расширения моих возможностей нужно получить ключи.
Получение
Как я это делаю? Я смотрю в статью 18 закона и вижу, что для того, чтобы выдать мне сертификат, удостоверяющий центр должен лишь установить мою личность, а я, в свою очередь, предоставить ему два документа: паспорт и свидетельство обязательного пенсионного страхования. К счастью, оба эти документа у меня есть. Теперь остается дело за малым: найти ближайший аккредитованный удостоверяющий центр. В самом законе то место, где искать, описано больно витиевато: «Аккредитация удостоверяющих центров осуществляется уполномоченным федеральным органом». Где этот орган? Как его найти?
Я решил для начала поковыряться на сайте Минкомсвязи РФ и сразу же попал в точку. В соответствии с указом президента от 25.08.2010г. №1060 «О совершенствовании государственного управления в сфере информационных технологий», функции уполномоченного органа в области использования ЭЦП, в том числе ведение ЕГР сертификатов УЛ УЦ, возложены на Министерство связи и массовых коммуникаций Российской Федерации.
Но далее государство подкладывает обывателю свинью.
Свинья 1. На сайте профильного органа исполнительной власти отсутствует информация о получении ключей физическими лицами.
Много, достаточно много информации по старому закону, тому самому, который обошелся без присутствия в нем физических лиц, а информации по новому закону ноль. Ничего, я знаю про существование 59-ФЗ, поэтому пишу обращение в Минкомсвязи, тем более что восьмая статья закона «Об электронной подписи» прямо обязывает их хранить реестр аккредитованных удостоверяющих центров.
В этот же день, к счастью, я совершенно случайно узнал, что у нас в Питере выдает ключи ОАО Ростелеком, поэтому в тот же вечер отправился на Невский, 88 в центр обслуживания. Десять минут времени, 660 рублей денег, четыре-пять подписей под заявлением, разрешением на обработку персональных данных, ознакомлении со статьями почему-то старого закона и бумажной версией сертификата, и вот я счастливый обладатель маленького usb-устройства, напоминающего flash-накопитель, содержащего ключи и сертификат для создания электронной подписи. А спустя полчаса, дома, я, потирая руки, воткнул ключик в usb-порт и получил новую свинью от государства.
Свинья 2. В Windows XP eToken без дополнительных манипуляций не работает.
Статьей 18-й закона предусмотрено, что выдача квалифицированного сертификата сопровождается выдачей руководства по обеспечению безопасности. В моем случае это была бумаженция, в которой все инструкции по безопасности ограничивались надписью «при первом использовании, смените ПИН с 1234567890 на иной». Законодатель не посчитал необходимым выдачу инструкции по эксплуатации, поэтому я начал поиск с сайта госуслуг, мне казалось, я там видел что-то такое об электронной подписи. И действительно, на сайте предусмотрен вход по ЭП, а также довольно быстро нашлись CCID драйвер, плагин к браузеру для доступа и даже небольшой документ «Инструкция пользователя по работе с ЭП». Обратите внимание на раздел 3, «Подписание электронных документов». Оказывается тем ключиком, что я получил, можно подписывать лишь определенные услуги (кстати, та услуга, которая указана в инструкции, у меня отсутствует) лишь на сайте государственных услуг и лишь через браузер.
Свинья 3. Отсутствие средств создания электронной подписи вне сайта.
Сам закон не накладывает ограничений на использование электронной подписи, я получил средства создания электронной подписи абсолютно законным путем, а, следовательно, имею право использовать ее везде, где пожелаю. В следующей части, технической, я опишу, как обходится третья свинья, будет некоторое количество кода, терминологии, и даже один рабочий проект. А в третьей части я планирую вернуться обратно, к жгучей смеси социалки и юриспруденции, и устроить различным ведомствам нашей необъятной родины стресс-тест заявлениями, подписанными моей электронной подписью.
Цифровой документооборот входит в нашу жизнь уверенными шагами и если для юридических лиц это уже суровые будни, то многие физические лица могли с этим еще не столкнуться. Но со временем оставаться в стороне становится всё сложнее и нужно приспосабливаться к меняющимся условиям, иначе можно получить не совсем приятные последствия.
Заключение договоров — дело привычное. Их заключают в банках, в больницах, при покупке мебели, оплате обучения. Прочитать договор, проверить реквизиты юридического лица, с которым заключается договор, убедиться в наличии печати и подписи — стандартная процедура, которая уменьшает риск обмана. Однако приобретённые навыки работы с бумажными договорами не могут просто так перейти в цифровой мир в силу специфики электронных документов.
В этой статье хочется рассказать о своем опыте знакомства с российскими электронными подписями (ЭП), которые используются для подписания договоров с физическими лицами в том числе и страховыми компаниями, а также подводных камнях, на которые наткнулся при этом.
Для меня эта история началась при заключении договора со страховой компанией ООО СК “Сбербанк страхование”. После оформления мне показались подозрительными некоторые факты (небольшой спойлер: всё оказалось хорошо) и я стал разбираться, как же мне проверить, что полученный документ действительно выдан страховой компанией, а не некими третьими лицами.
Что же меня насторожило?
После расчёта суммы в калькуляторе на сайте и заполнения формы с паспортными и контактными данными мне на электронную почту пришло письмо, в котором кроме общей информации, полезных ссылок и контактов было 3 вложения: памятка, правила страхования и сам полис. Я ознакомился с документами, оплатил страховку и стал ждать подписанную версию полиса.
Через полчаса ожидания я стал волноваться, быстрый поиск показал, что у страховой компании есть аж 3 разных активных домена: www.sberbank-insurance.ru, www.sberins.ru и sberbankins.ru, что не добавляло мне уверенности в компании.
Звонок в контакт центр принёс информацию о том, что присланный полис и является финальным документом с ЭП страховой компании. Мне показалось странным, что компания отдаёт уже подписанный документ еще до факта оплаты клиентом и я стал проверять полученный pdf файл.
Глава первая
Все манипуляции с PDF документом приведены в чистой версии ОС Windows 10, русская домашняя редакция, как наиболее вероятной среде работы простого пользователя. Набор софта, используемый в статье, также является непрофессиональным и доступным для всех.
Для начала я открыл документ в просмотрщике Foxit Reader, который использую как основной:
Это выглядит очень и очень подозрительно — документ модифицирован непонятно кем, сертификат также не является доверенным. Система не может проверить цепочку доверия для данного сертификата и помечает его недействительным.
Кроме имени организации, которой выдан сертификат, видно наименование выдавшей его организации, ООО “ИТК”. Поиск по запросу “ООО ИТК сертификат” вывел меня на страницу Установка корневого сертификата Удостоверяющего центра ООО «ИТК». Это официальный сайт ООО «Интернет Технологии и Коммуникации», который является одним из удостоверяющих центров, выдающих сертификаты ЭП.
Снова открываем сертификат из документа. И чуда не произошло, цепочка доверия от корневого до конечного не строится!
Изучаем ЭП подробнее: в Foxit Reader есть дополнительная информация о свойствах подписи:
Ага, алгоритм хеширования ГОСТовский, ЭП создана в КриптоПро PDF. Возможно, Windows не знает про ГОСТ шифрование и поэтому ему нужен дополнительный криптопровайдер.
Идём на сайт КриптоПро, регистрируемся, скачиваем пробную версию КриптоПро CSP 5.0 на 3 месяца. Что будет дальше — не совсем понятно, возможно всё превратится в тыкву, посмотрим.
Снова открываем просмотр сертификата ЭП:
Выглядит уже лучше. Видно, что система считает сертификат действительным, построена цепочка от корневого сертификата через промежуточный.
Сообщение о проверке немного улучшилось, но всё равно Foxit Reader не может проверить сертификат (вероятно дело в ГОСТовском алгоритме):
В Adobe Acrobat Reader DC проверка тоже не успешна:
И на этом вроде бы можно остановиться: Foxit Reader подтверждает, что документ не был изменен после подписания, руками можно проверить, что сертификат подтверждается системой и действителен. Но всё же хочется довести дело до конца, чтобы хотя бы одна программа сказала: да, документ действителен, всё хорошо.
Вспоминаем, что полис подписан в программе КриптоПро PDF. Вероятно, что раз она может создавать такие подписи, то уж наверняка должна их и проверять. Ставим.
+1 триал версия на 90 дней, хотя вроде бы надпись при установке успокаивает, что при использовании продукта в Adobe Acrobat Reader DC лицензия не нужна.
Ура, долгожданное сообщение о том, что всё хорошо.
Подведем промежуточный итог. Для проверки действительности ЭП на документе нужно:
- Узнать, какой удостоверяющий центр выдал сертификат, которым подписан документ, установить его промежуточный и, если такого еще нет, корневой сертификат (в нашем случае из rar архива с Google Drive);
- Установить в систему криптопровайдер (вероятно, существуют другие криптопровайдеры, которые обучат Windows ГОСТовским криптоалгоритмам) КриптоПро CSP с триалом на 3 месяца и неизвестностью после;
- Для проверки подписи из Adobe Acrobat Reader DC установить КриптоПро PDF (без CSP он не ставится).
Вот такой алгоритм вырисовывается из поверхностного анализа темы за вечер. Проблема проверки цифровой подписи была решена, но видно трудности, которые могут возникнуть у рядового пользователя:
- Нужно понять, какого софта не хватает в системе и где его взять, из коробки ничего не работает. В данной статье приведены примеры на основе продуктов КриптоПро только потому, что это название встретилось в информации о создании ЭП. Нужно изучать тему в поиске аналогов;
- Проверка полноценно заработала только в Adobe Acrobat Reader DC, в Foxit Reader проверка ЭП неполная, нет долгожданной зелёной галочки. Нужно копать дальше, вероятно есть решения.
Глава вторая
Порывшись в почте, я нашел еще один электронный договор. По счастливой случайности, им тоже оказался страховой полис, но на этот раз еОСАГО от АО “Тинькофф Страхование”. Открываем сертификат, смотрим выпустившую сертификат организацию. Ей оказывается АО “Тинькофф банк”. Да, оказывается у них есть свой УЦ, который выдает сертификаты дочерним организациям (у Сбербанка тоже есть свой УЦ, но в дочерних структурах он не используется).
По отработанному алгоритму идём в поисковую систему с запросом “тинькофф сертификат”, находим официальный сайт УЦ АО Тинькофф Банк. Тут нас встречает изобилие ссылок на корневые сертификаты, списки отозванных сертификатов и даже видеоинструкция по их установке. Скачиваем “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34.10.2012”, на этот раз ссылка ведёт не на сторонний сервис, а на сайт банка. Формат файла P7B не очень известный, но открывается Windows без установки стороннего софта и показывает находящиеся в нём сертификаты. Здесь уже привычный корневой сертификат от Минкомсвязи (другой, не тот, что в первом случае) и промежуточный сертификат УЦ банка.
Ставим оба, проверяем сертификат в полисе. Но нет, сертификат не является доверенным, т.к. система не может подтвердить поставщика сертификата. На сайте УЦ было 2 ссылки на 2 цепочки сертификатов, один для ГОСТ Р 34.10.2001, другой для ГОСТ Р 34.10.2012. Полис был выпущен в этом году, логичнее бы его подписать уже более современным криптоалгоритмом (тем более уже есть версия ГОСТ от 2018 года, алгоритмы обновляются довольно часто), но давайте проверим старый.
В новом файле формата P7B оказывается уже 3 файла сертификатов. Можно поставить все 3, однако стоит заметить, что сертификат “Головного удостоверяющего центра” мы поставили в первой главе из RAR архива ООО “ИТК”, они идентичны. А сертификат с не очень говорящим названием “УЦ 1 ИС ГУЦ” поставил КриптоПро CSP, т.к. галочка об установке корневых сертификатов была установлена по-умолчанию в его инсталляторе. Единственным новым является сертификат АО “Тинькофф Банк”, который мы и ставим.
После установки сертификатов из “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34.10.2001” путь в сертификате прорисовался и система радостно сообщила, что он является доверенным. Adobe Acrobat Reader DC также подтвердил, что подпись действительна.
На этом приключения с проверкой ЭП на полисе еОСАГО завершаются. Заметно, что после того, как в системе уже установлен необходимый софт, а пользователь понимает принципы работы и поиска промежуточных сертификатов, то проверка подписи занимает уже меньше времени.
Но проблемные места по-прежнему видны: необходимо искать в интернете официальные сайты удостоверяющих центров, разбираться в инструкциях по установке сертификатов. Даже при установленных корневых сертификатах необходимо искать промежуточный, иначе цепочка доверия будет не полной и система не сможет подтвердить достоверность подписи.
Немного про корневые и промежуточные сертификаты
Проделав всю эту работу, меня не покидало чувство, что вся система построена не очень безопасно, требует от пользователя кучу дополнительных операций и доверия многим факторам: от поисковой системы, которая может не выдать первой строкой официальный сайт УЦ, до работы самого персонала УЦ, который выкладывает сертификаты без контрольных сумм на сторонние веб сервисы в проприетарных форматах контейнеров.
Однако просто списка недостаточно, нужны хотя бы ссылки на сайты этих УЦ, а также надо найти корневые сертификаты непосредственно от первоисточника, Минкомсвязи. Следующий точкой в поиске этой информации стал портал pravo.gov.ru, где перечислены ссылки на некоторые корневые сертификаты. Страница доступна только по http протоколу, контрольных сумм опять нет.
Приглядевшись, можно заметить, что первые 4 ссылки ведут на портал https://e-trust.gosuslugi.ru. Не совсем понятно, почему именно поддомен сайта госуслуг стал центральным в системе корневых сертификатов, но, кажется, тут приведена вся актуальная информация по корневым и промежуточным сертификатам.
На странице головного УЦ https://e-trust.gosuslugi.ru/MainCA приведены 10 корневых сертификатов от Минкомсвязи, для разных ГОСТ алгоритмов и с разными сроками действия. Тут же доступны слепки ключей, можно проверить, что скачанный сертификат никто не подменил. Сам сайт имеет сертификат от Thawte.
У сертификатов есть поле точки распространения списка отзывов (CRL), в котором прописан путь получения списка отозванных сертификатов. При проверке ЭП на каком-то документе кроме установки промежуточного и корневых сертификатов нужно также установить и последний список отозванных и обновлять его перед каждой проверкой (данная процедура автоматизируется специализированным софтом, но штатные средства вроде бы так не умеют). На портале e-trust у каждого сертификата указан путь к такому списку и он может отличаться от того, что написано в самом сертификате. Чему верить? Не совсем понятно.
В заключение статьи хочется отметить, что проверка ЭП на электронных документах по силам каждому, однако это не совсем тривиальный процесс, требующий некоторых знаний. Возможно, что в будущем этот процесс упростится. Кроме этого остается открытым вопрос проверки ЭП на мобильных устройствах, а ведь они сейчас стали основным инструментом пользователей, давно опередив персональные компьютеры.
После написания статьи осталось несколько открытых вопросов, которые хотелось бы обсудить с сообществом:
- аналоги КриптоПро, особенно opensource инструменты для создания и проверки ЭП;
- добавление валидации ЭП не только в Adobe Acrobat Reader DC, но и в Foxit Reader и другие;
- оставшиеся за пределами данной статьи проблемы, которые также важны и требуют внимания, но не проявились в моём случае.
UPD 0: В комментариях подсказали онлайн сервис на портале госуслуг для проверки ЭП документов: https://www.gosuslugi.ru/pgu/eds. К сожалению, не заработало в моём случае, но может быть полезно.
UPD 1: После написания статьи мне подсказали, что есть ещё один криптопровайдер, ViPNet CSP, который тоже может помочь с ГОСТовскими криптоалгоритмами в системе. Одновременная установка его с КриптоПро CSP под вопросом.
КДПВ: edar, Pixabay
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Всегда-ли вы проверяете ЭЦП в полученных электронных документах?
Проголосовали 72 пользователя.
Воздержались 28 пользователей.
Продолжая раскрывать тайное знание о цифровой подписи простым языком, разберем, что же нам надо для удобной и эффективной работы с ними, а также главное различие между лагерями S/MIME + X.509 и PGP.
Перед тем, как рассматривать особенности этих двух больших лагерей, стоит рассмотреть, какая информация нужна получателю для проверки подписи (а наш зашифрованный хэш уже вполне можно называть подписью), и в каком виде ее можно ему передать.
Значит, надо связать каждый открытый ключ с информацией о том, кому этот ключ принадлежит, и присылать это все одним пакетом. Тогда проблема реестра решается сама собой – пакет (а если более правильно, контейнер) с открытым ключом можно будет просто посмотреть и сразу понять его принадлежность.
Но эту информацию все так же надо связать с подписью, пришедшей получателю. Как это сделать? Надо соорудить еще один контейнер, на сей раз для передачи подписи, и в нем продублировать информацию о том, кто эту подпись создавал.
Продолжая нашу аналогию с красивым замком, мы пишем на ключе «Этот ключ открывает замок В. Пупкина». А на замке тоже пишем «Замок В. Пупкина». Имея такую информацию, получатель нашей коробочки не будет каждый из имеющихся у него ключей вставлять наугад в наш замок, а возьмет наш ключ и сразу его откроет.
А собственно, что «и»? Мы ведь пока так и не решили проблему, как донести до получателя информацию о том, какая хэш-функция применялась для хэша, а ведь для проверки подписи эта информация необходима! Решить ее можно достаточно просто: положить эту информацию в контейнер вместе с нашим открытым ключом. Ведь именно связка «хэширование – шифрование результата хеширования» считается процедурой создания цифровой подписи, а ее результат – подписью. А значит, достаточно логичным представляется объединение в связку алгоритма шифрования хэша и хэш-функции, с помощью которой он сформирован. И доставлять эту информацию тоже надо в связке.
Теперь, ненадолго вернемся к информации о подписывающем. Какого рода эта информация должна быть? ФИО? Нет, В. Пупкиных много. ФИО + год рождения? Так и родившихся в один день В. Пупкиных тоже предостаточно! Более того, это может быть Василий, Виктор, или даже Василиса или Виктория Пупкины. Значит, информации должно быть больше. Ее должно быть столько, чтобы совпадение всех параметров, по которым мы идентифицируем человека, было максимально невероятным.
Безусловно, такой пакет информации создать возможно. Вот только, работать с ним уже трудновато. Ведь надо наши контейнеры открытых ключей надо сортировать, хранить, использовать, в конце концов. А если для каждого использования придется указывать по полсотни параметров, то уже на втором контейнере станет понятно, что что-то надо менять. Решение этой проблемы, конечно же, было найдено.
Чтобы понять, в чем же оно заключалось, обратимся к бумажному документу, который есть у всех нас: к паспорту. В нем можно найти и ФИО, и дату рождения, и пол, и много другой информации. Но, главное, в нем можно найти серию и номер. И именно серия и номер являются той уникальной информацией, которую удобно учитывать и сортировать. Кроме того, они существенно короче всей оставшейся информации вместе взятой, и при этом все так же позволяют опознать человека.
Применяя этот же подход к контейнерам открытых ключей, мы получим, что у каждого контейнера должен быть некий номер, последовательность символов, уникальная для него. Эту последовательность символов принято называть идентификатором, а сами контейнеры – сертификатами, либо просто ключами.
Вот здесь и начинаются принципиальные различия в идеологиях OpenPGP и S/MIME + X.509. Для краткого понимания их, вернемся к нашей аналогии с паспортом.
Паспорт вы можете использовать при покупках билетов, при оформлении документов, для выдачи пропуска на какую-либо территорию и даже на территории других стран! То есть, вы используете его для идентификации вашей личности в самых различных, зачастую абсолютно не связанных друг с другом, местах, с самыми различными людьми. И везде ваш паспорт принимают. Гарантом того, что вы – это вы выступает третья сторона в ваших взаимоотношениях с другими: государство. Именно оно выдало вам ваш паспорт, специально оформленный, подписанный и заверенный, и именно поэтому ваш паспорт является таким универсальным документом.
С другой стороны, в кругу друзей, или внутри компании вам достаточно представиться так: «В. Пупкин из твоей группы в институте» или же «В. Пупкин из отдела продаж». И людям, с которыми вы контактируете в этом кругу уже не нужна третья сторона, они и так помнят Пупкина из группы с которым проучились пять лет, или Пупкина из отдела продаж, с которым недавно ходили обедать, и предоставленной вами информации им вполне достаточно.
Так же можно разделить и эти два лагеря.
Сертификат X.509 – это аналог нашего паспорта. Здесь сертификаты вам выдаются суровой третьей стороной, гарантом вашей личности: Удостоверяющим Центром (УЦ). Получающий ваши подписи человек всегда может обратиться в УЦ и спросить интересующую его информацию по вот этому конкретному сертификату.
PGP же (и стандарт OpenPGP, появившийся в дальнейшем) создавался на основе так называемых сетей доверия. Такая идея подразумевает, что обмениваются подписями люди, которым третья сторона для их взаимоотношений не нужна, а нужна только защита от нехороших лиц.
Конечно, с течением времени такое разделение стало уже достаточно условным, так как на данный момент и в S/MIME+X.509 и в PGP можно использовать методы лагеря соперников. Но все же, стандарты достаточно продолжительное время развивались параллельно и развились до той степени, что взаимная совместимость между ними стала невозможной.
Более популярным стандартном, в силу своей ориентированности на участие более компетентной третьей стороны, стал стандарт S/MIME + X.509, однако и у PGP есть некоторое количество козырей за пазухой, с помощью которых он не только не погибает, но и продолжает успешно развиваться.
Более подробное рассмотрение каждого из форматов, а также рекомендации, когда, где и какой из них использовать вы сможете прочитать уже в следующих статьях.
Из нашей статьи вы узнаете:
Что это такое
Сертификат ключа ЭЦП — это документ, несущий информацию о владельце. В открытом ключе зашифрованы данные о статусе владельца, реквизитах и полномочиях. Сертификат подтверждает принадлежность ключа конкретному лицу, отвечающему за его применение. Документ имеет электронный цифровой или бумажный вариант. Выдача сертификата электронного ключа происходит в удостоверяющем центре. Вся информация о сертификатах хранится в едином федеральном реестре. УЦ гарантирует соответствие предоставленных данных действительности, подтверждает личность владельца и защищает цифровой ключ от взлома.
Электронная цифровая подпись (ЭЦП) — аналог рукописного варианта подписи владельца. Используется в документообороте и при работе с электронными системами управления финансами. ЭП составляет электронный сертификат, выданный удостоверяющим центром. В ней зашифрованы данные о владельце, внесенные в базы единого реестра. ЭЦП применима в работе с судами, биржами, при сдаче документов в налоговые службы и т. д.
Цифровой аналог реальной подписи делится на квалифицированный и неквалифицированный тип. В зависимости от профиля у электронного сертификата есть уровень допуска для работы с теми или иными ресурсами. Квалифицированный вариант обладает самой высокой степенью защиты, благодаря чему его применяют в операциях с недвижимостью, финансами и для подписания документов. Подписание квалифицированным типом договоров или соглашений принимается в судах, на биржах, торгах. У квалифицированного сертификата шире область действия, поскольку он обеспечивает большую степень защиты.
Информация о сертификатах хранится в базах Единого реестра ЕСИА. Вносить данные имеют право удостоверяющие центры, прошедшие сертификацию. Все УЦ делятся на аккредитованные и неаккредитованные.
Для чего нужен сертификат
Рукописная подпись имеет юридическую силу, так как подтверждается присутствующей личностью. В электронном документообороте гарантией сделки служит квалифицированный сертификат, поскольку в нем содержится вся информация об участнике процесса, она подтверждает принадлежность ЭЦП владельцу.
Подделку или махинации с подписанием документов предотвращает ключ. Он кодируется методом криптографии, делится на открытый и закрытый. Кодирование настолько сложно, что полностью исключает взлом. Только владелец токена с подписью может внести данные в документ, засвидетельствовав свое согласие на сделку или передачу информации.
Открытый и закрытый ключ
Открытый ключ доступен лицам, участвующим в документообороте или сделке. Закрытый известен исключительно владельцу, его нельзя определить, используя открытый ключ. Выданный на них сертификат легализирует оба ключа, обеспечивает их взаимодействие с системой. Через него утверждаются сроки начала и окончания работы ключей.
Подпись на документе ставится открытым ключом. В момент проверки информации от открытого ключа к закрытому идет сигнал. Подпись проходит проверку на соответствие внесенных в базу данных о владельце. Если информация совпадает, идет подтверждение подлинности личности владельца. В таком случае сделка или акт подписания считаются легальными.
Какие УЦ могут выдавать усиленные сертификаты
Электронную подпись имеют право выдавать центры, получившие сертификацию в Едином федеральном центре. В каждом регионе работает от 20 до 50 таких заведений. Сертификация дает им правом собирать информацию о гражданах и работать с ней, выдавать сертификаты и создавать подписи. Полученная от граждан, юридических лиц и организаций информация заносится в Единый реестр, где используется для идентификации личности владельца подписи. Всего в России существует более 400 удостоверяющий центров.
Что такое аккредитованный удостоверяющий центр
Аккредитованный удостоверяющий центр (УЦ) — это организация, получившая доступ к Единому реестру, имеющая право на сбор и хранение ключевой информации. Она имеет право на создание квалифицированного электронного сертификата и распространение лицензий на криптографию. В распоряжении организации доступ к ПО, обеспечивающему кодировку, и управлению структурой ЭП.
Организация обслуживает серверы, с которых пользователи ЭЦП получают информацию и доступ к законодательной базе по подписям. УЦ обслуживает владельца подписи, обновляя дату истечения срока работы сертификата ЭП и устраняя ошибки в работе токена.
В УЦ можно продлить, аннулировать или заказать новую подпись. Чтобы подписывать документы в электронном виде, необходимо иметь квалифицированный электронный сертификат. Именно такую услугу оказывают УЦ.
Удостоверяющий центр выдает исключительно квалифицированные сертификаты. Получение в УЦ сертификата гарантирует достоверность и безопасность ключа электронной подписи. Для работы с кодами используется специальное ПО, обеспечивающее защиту исходных данных. Сертификат из центра гарантирует предотвращение подделок и взлома, для чего используется уникальная система шифрования.
Познакомиться со списком сертифицированных удостоверяющих центров можно на сайтах ФНС и Минкомсвязи. В специальном разделе по регионам указаны действующие организации. Здесь же можно проверить данные о закрытых и лишенных лицензий организациях, узнать, кому переданы права и полномочия после закрытия.
Из чего состоит сертификат ЭП
Электронная подпись имеет вид буквенно-цифрового кода или графического изображения. В работе с сертификатами используется специализированное ПО, обеспечивающее шифрование информации. Чтобы получить подпись, будущий владелец должен предоставить о себе достоверные данные, подав документы в удостоверяющий центр.
Составляющие сертификата подписи:
- стандарты, которым соответствует ключ;
- реквизиты выдавшего сертификат удостоверяющего центра;
- направление использования ЭЦП;
- полная информация об ограничениях и допусках в сфере применения;
- даты начала и окончания действия сертификата;
- информация о владельце (СНИЛС, Ф. И. О., прописка, льготы и т. д.);
- у физлиц или юрлиц — ИНН;
- наименование организации (в том числе неактуальные);
- адрес организации или юридического лица;
- контактные данные организации или лица (номер телефона, e-mail, индекс и т. д.);
- адреса точек распространения списка отозванных сертификатов.
Перед получением производится подробная проверка указанных данных. Только после подтверждения происходит выдача лицу электронного сертификата. Выполняются изготовление и передача носителя с ключом. Чтобы создать и подписать юридический документ, владельцу необходимо установить специализированное ПО.
На официальных порталах программ производителей выложен инструкции, как пользоваться ЭП в их программах (Microsoft Office, Acrobat Reader и других). Через установленное на ПК программное обеспечение наносится скрипт подписи. После нанесения ЭП документ не может быть изменен сторонними лицами.
Согласно 63-ФЗ, существует три вида электронных подписей (ЭП или ЭЦП): простая, неквалифицированная и квалифицированная. Каждая из них используется в различных целях. Простую подпись можно сделать самому, другие нужно заказывать в специальных удостоверяющих центрах. Процесс оформления подписей также отличается.
ЭЦП расшифровывается как электронная цифровая подпись. Это устаревшее понятие. Актуальная аббревиатура ЭП — электронная подпись, без слова «цифровая».
Расскажем, как и где получить электронную подпись, что для этого потребуется будущему владельцу, а также разберём, как происходит процедура оформления.
Виды электронной подписи
На сегодняшний день существует три вида электронных подписей. Их основное отличие между собой — это степень защиты, функционал, рамки правового поля и процесс получения. Рассмотрим характеристики каждой и определим, в чём между ними разница
Простая электронная подпись (ПЭП)
Получить простую электронную подпись можно в той информационной системе, в которой она используется. Часто пользователь может сделать её самостоятельно. Данная ЭЦП может только подтвердить личность и то, что действия происходят от имени конкретного лица. С её помощью нельзя подписать цифровой документ, заключить сделку, сдать отчётность или принять участие в торгах. Можно авторизоваться на веб-ресурсе или работать в личном кабинете.
Простая электронная подпись предоставляет пользователю минимальный уровень защиты.
Где используют простую электронную подпись
В отличие от простой, неквалифицированная подпись имеет более сложную техническую составляющую. Неквалифицированная электронная подпись формируется с помощью криптографических алгоритмов. При создании используется специализированное программное обеспечение. В составе НЭП имеются сертификат ЭЦП, закрытый и открытый ключ.
Закрытый ключ — это зашифрованная уникальная последовательность символов, которая формирует электронную подпись. Открытый ключ доступен всем участникам электронного документооборота. С помощью него проверяют достоверность ЭЦП.
Неквалифицированная электронная подпись записывается на ключевой носитель, компьютер или в информационную систему. Возможности использования НЭП ограничены. Так, порядок работы с неквалифицированной электронной подписью утверждают в учредительных документах компании и должностных инструкциях. В них прописывают, в каких случаях подпись имеет юридическую силу, какой уполномоченный сотрудник и для чего может её использовать.
Где используют неквалифицированную электронную подпись
Неквалифицированная электронная подпись используется для внутреннего документооборота. Например, ей заверяют кадровые документы, приказы, должностные и прочие инструкции. Чтобы работать с контрагентами и партнёрами, стороны должны заключить дополнительное соглашение. Оно придаст НЭП юридическую силу. Неквалифицированная электронная подпись не подходит для взаимодействия с госпорталами и участия в торгах.
Любое физическое лицо может работать с неквалифицированной электронной подписью в личном кабинете налогоплательщика. С такой НЭП можно сдавать налоговую декларацию на сайте ФНС. Данная подпись хранится на компьютере владельца или в защищённом облачном хранилище ведомства. Во втором случае ЭЦП будет работать на любом устройстве, которому доступен личный кабинет ФНС. В соответствии с 347-ФЗ, цифровые документы, переданные в ФНС с помощью «Личного кабинета налогоплательщика» и подписанные НЭП физлица, равнозначны их бумажным версиям.
Отправлять отчётность в контролирующие органы и взаимодействовать с государственными органами с помощью неквалифицированной ЭЦП через программы ЭДО нельзя. Для этого понадобится квалифицированная электронная подпись.
Квалифицированная электронная подпись (КЭП)
Так же как и неквалифицированная, квалифицированная подпись имеет сертификат, открытый и закрытый ключ и формируется с помощью технологии криптографии. Отличие в том, что формат и порядок работы с КЭП регулируется государством, дополнительные технические средства сертифицированы ФСБ, а закрытый ключ хранится только на ключевом носителе. Ей можно заверять любые цифровые документы. Квалифицированная электронная подпись приравнивается к рукописной без дополнительных соглашений и имеет самую высокую степень защиты.
Где используют квалифицированную электронную подпись
Квалифицированную электронную подпись используют нотариусы, ИП, руководители организаций, их работники и уполномоченные представители. КЭП позволяет взаимодействовать с партнёрами и клиентами, отправлять отчётность, работать с государственными порталами и участвовать в торгах по 44-ФЗ и 223-ФЗ.
С КЭП физическое лицо может дистанционно подать документы в вуз, устроиться на работу, оформить сделку, получить госуслуги, зарегистрировать себя в качестве ИП и прочее. Также с помощью квалифицированной электронной подписи гражданин вправе участвовать в электронных торгах по банкротству и продаже имущества должников.
Где получить электронную подпись и какова её стоимость
В зависимости от необходимого вида электронной подписи, порядок её получения различается.
Процесс оформления ПЭП
ПЭП имеет самый простой процесс оформления. Простая электронная подпись оформляется самостоятельно в той информационной системе, в которой будет использоваться. Обычно она предоставляется бесплатно. В редких случаях ПЭП имеет какую-либо цену. Сделать КЭП и НЭП самостоятельно нельзя.
Процесс оформления НЭП
Неквалифицированная электронная подпись оформляется в удостоверяющих центрах (УЦ) или на специальных порталах. За неквалифицированную подпись из УЦ необходимо будет заплатить. А вот НЭП личного кабинета ФНС выдаётся бесплатно. Лично посещать ведомство не требуется, оформление происходит в дистанционном формате. Важно помнить, что данная ЭЦП работает только на сайте ФНС.
Процесс оформления КЭП
Квалифицированную электронную подпись выдают только в удостоверяющих центрах. В зависимости от получателя, обращаться необходимо в различные УЦ.
Участники финансового рынка получают КЭП в удостоверяющем центре Банка России. Должностным лицам РФ выдают электронные подписи в УЦ Казначейства. Нотариусам, индивидуальным предпринимателям и руководителям организаций — в удостоверяющем центре ФНС или её доверенных лиц. Для данных категорий лиц услуга предоставляется бесплатно. Потребуется купить только ключевой носитель — USB-токен типа А. Он должен иметь сертификацию от ФСБ или ФСТЭК России. Например, подходят такие модели, как Рутокен ЭЦП 2.0.2100 и JaCarta-2 SE. Если у получателя уже есть токен, его можно использовать повторно. Для этого он должен соответствовать необходимым требованиям УЦ.
Выбрать подходящий ключевой носитель для КЭП рекомендуем в нашем интернет-магазине. В каталоге представлены только сертифицированные модели токенов.
Цена токенов различается в зависимости от модели:
- Токен без встроенного средства криптографической защиты информации (СКЗИ) стоит от 900 рублей. На него записываются сертификат и закрытый ключ ЭЦП. Требует дополнительной установки СКЗИ на компьютер. Программное обеспечение покупается отдельно. Рекомендуем к установке КриптоПро CSP. Данные токены нельзя использовать для ЕГАИС Росалкогольрегулирования.
- Цена токенов со встроенным СКЗИ начинается от 2000 рублей. В память устройства уже установлен криптопровайдер. Он будет работать до тех пор, пока не кончится срок действия сертификата. Дополнительно СКЗИ покупать не нужно
Работники юрлица и доверенные лица могут получить КЭП в удостоверяющих центрах, которые имеют аккредитацию Минцифры. Их список ограничен. Стоимость электронной подписи зависит не только от вида ключевого носителя, но и от купленных дополнительных услуг. Например, специалисты УЦ могут настроить рабочее место за пользователя или выпустить электронную подпись в ускоренном порядке. Цены у каждой компании на дополнительные услуги разные.
Ниже по порядку рассмотрим, как получить квалифицированную электронную подпись предпринимателям, руководителям юрлица и их работникам.
Порядок получения подписи руководителем юридического лица или ИП
Чтобы получить квалифицированную электронную подпись, ИП или директор должны лично явиться в налоговую. Предварительная запись не требуется. Выбрать можно любое удобное отделение УЦ ФНС или доверенный удостоверяющий центр, например УЦ «Основание». Актуальный список удостоверяющих центров ФНС можно посмотреть на сайте налоговой в разделе «Порядок выдачи электронных подписей».
- документ, удостоверяющий личность — паспорт;
- СНИЛС;
- ИНН;
- сертифицированный USB-токен типа А.
Процедура обслуживания клиентов налоговой осуществляется в порядке очереди и по графику выбранного отделения. Поэтому лучше запланировать визит заранее и выделить на него дополнительное время.
Для ускоренной процедуры выпуска квалифицированной ЭП юрлица и ИП рекомендуем воспользоваться услугой Получение КЭП в ФНС под ключ. Специалисты УЦ «Калуга Астрал» помогут сэкономить время на получение электронной подписи и настройку рабочего места, а пройти идентификацию и получить подпись вы сможете через филиалы нашего партнёра — УЦ «Основание».
Электронную подпись выдадут вместе с сертификатом. Он будет содержать в себе информацию о владельце, его ИНН, ОГРН или ОГРНИП, сведения об удостоверяющем центре и срок действия подписи.
Сертификат электронной подписи налоговой продлевают дистанционно. Процедура выполняется в личном кабинете налогоплательщика. Главное условие: ещё действующий сертификат ФНС. Им подписывается заявление на перевыпуск ЭЦП.
Как получить подпись сотруднику организации или физическому лицу, в том числе самозанятому
Самозанятые, работники юридического лица, доверенные лица получают подпись физического лица. Для этого необходимо обратиться в коммерческий УЦ. Перечень Аккредитованных удостоверяющих центров указан на сайте Министерства Цифрового развития. Для выбора подходящего отделения в строке поиска достаточно указать название, адрес или ИНН организации.
Для работы от лица индивидуального предпринимателя или директора организации с КЭП физлица необходимо использовать машиночитаемую доверенность. Она наделяет представителя необходимыми полномочиями.
Подробнее ознакомиться с понятием МЧД рекомендуем в нашей статье.
Чтобы заказать квалифицированную электронную подпись физлица, потребуются следующие документы:
- паспорт будущего владельца;
- заявление на выпуск КЭП;
- СНИЛС;
- ИНН.
В сертификате КЭП физлица указываются только персональные данные гражданина, без связи с каким-либо работодателем. Поэтому такую КЭП можно использовать в личных целях. Процедура оформления занимает от одного дня.
УЦ «Калуга Астрал» входит в перечень аккредитованных удостоверяющих центров и имеет все необходимые лицензии для выпуска электронных подписей для физлиц и работников ЮЛ. Подписи, выпущенные в «Астрал-ЭТ» и «1С-ЭТП», придают цифровым документам юридическую значимость и позволяют вести деятельность от имени компании.
Если работникам не требуется взаимодействовать с государственными органами или участвовать в торгах, не обязательно приобретать на них КЭП. Для внутреннего и кадрового документооборота, а также для взаимодействия с контрагентами можно сделать массовый выпуск НЭП для всех своих сотрудников. Решение интегрируется в систему ЭДО работодателя. Приобретать ключевые носители для каждого сотрудника при этом не требуется. ЭЦП будет храниться в облаке.
Для массового выпуска неквалифицированных электронных подписей сотрудников рекомендуем сервис «API УНЭП». Решение автоматизирует внутренние процессы кадрового документооборота и наделяет данные документы юридической силой.
Краткая пошаговая инструкция для получения электронной подписи
Чтобы приобрести электронную подпись, необходимо следовать данной инструкции:
- Определить, для каких нужд требуется электронная подпись.
- Выбрать подпись, токен и удостоверяющий центр исходя из своих потребностей.
- Сформировать и оставить заявку на получение ЭЦП.
- Представить необходимые документы.
- Оплатить счёт, если это коммерческий УЦ, и получить электронную подпись вместе с сертификатом.