Что такое генерация ключей
Как происходит генерация ключа электронной подписи, что необходимо учесть
В настоящее время субъекты все чаще используют систему электронного документооборота. Для идентификации и придания таким документам юридической силы используется ключ ЭЦП.
Она не только определяет, кто является подписантом документа, но и защищает целостность его структуры. Ее созданием занимаются специализированные удостоверяющие центры, которыми для этого используется генерация электронной подписи.
Понятие «генерации ключа»
Ключ ЭЦП представляет собой уникальную комбинацию зашифрованных символов. Генерация ключей ЭП это процесс формирования данной уникальной комбинации.
Набор символов создается случайным образом путем осуществления манипуляции мышки на компьютере или тачпада на ноутбуке под контролем специализированной программы, определяющей координаты.
С помощью них соответствующие программные обеспечения создает соответствующий шифр. Процесс построен таким образом, чтобы ключ всегда генерировался уникальным, без повторения шифров. Теоретически такая возможность все-таки существует, но она равна 0,0000000001%.
При этом важно учитывать, какая создается ЭЦП. Если это усиленная квалифицированная, то она может выпускаться только специализированными удостоверяющими центрами. Для ее генерирования применяется рассмотренный выше процесс.
Неквалифицированную могут формировать и другие субъекты, тогда используются шаблоны шифрования. После его создания нужно просто его зарегистрировать в удостоверяющем центре.
Для усиленных ЭЦП используются сразу два ключа – закрытый и открытый. Удостоверяющий центр генерирует закрытый. Открытый ключ создается при установке ЭЦП на компьютер.
Простая ЭЦП может создаваться (генерироваться) даже самим пользователем. При этом обращаться в удостоверяющий центр нет необходимости.
Как происходит генерация ключа
Ключи генерируются либо в удостоверяющих центрах, либо самим субъектом. Генерация ключа в удостоверяющих центрах происходит по рассмотренному выше алгоритму.
Если субъект принимает решение самостоятельно сгенерировать ключ, ему нужно выполнить следующее:
Самостоятельная генерация сертификата доступна только опытным пользователям. Главное ее преимущество – экономия времени.
Однако, лучше всего генерировать ЭЦП в удостоверяющих центрах.
Работа с клиентом СЭД «АРМ»
Работа с этой программой очень проста. Она запускается даже на устаревших версиях Windows, а в системах MacOS и Linux ее можно запустить при помощи среду эмуляции Wine.
Кроме этого, программу не нужно устанавливать — достаточно просто распаковать содержимое из архива.
Алгоритм использования программы очень прост:
Если необходимо создать квалифицированный сертификат, то требуется выбирать при запросе криптопровайдера выбирать пункт «MyCryptoPro 2.0» либо другой, исходя из дальнейших целей использования указанного сертификата.
В процессе заполнения данных по сертификату крайне важно тщательно проверять всю указываемую информацию, особенно ФИО пользователя, его ИНН и т. д.
Если будет допущена хоть мелкая ошибка (например, опечатка или пропущена буква), то ключом в дальнейшем нельзя будет пользоваться — он не пройдет проверку данных и будет объявлен нелегитимным.
Работа с открытым и закрытым ключом
После того, как пользователь произвел генерацию запроса на неквалифицированную подпись, после проверку ему предоставляют открытый и закрытый ключи:
Закрытый ключ также может применяться для создания и установки сертификата в систему. Это обычно производится при помощи криптографического комплекса «Крипто Про», который автоматически находит рутокены и предлагает выполнить действия с имеющимися на них ключами.
Квалифицированная подпись выдается удостоверяющим центром только на защищенном рутокене. Такую подпись отличает от остальных использование более современных методов шифрования.
Генерация открытых сертификатов и ключей для использования в системе Windows осуществляется через криптографический комплекс «Крипто Про».
Что нужно учесть
Нужно помнить, что не все удостоверяющие центры могут пользоваться программой «СЭД АРМ» для создания электронной подписи.
Подробности данной процедуры необходимо уточнять напрямую в выбранном УЦ. При этом необходимая программа либо скачивается с их сайта, либо необходимый функционал предоставляется в личном кабинете.
Необходимо заблаговременно определить все роли, которые будут назначены электронной подписи. Далее, данное роли нужно будет указать при процедуре генерации ключа в «СЭД АРМ».
Нельзя указывать абсолютно все роли — это не только может привести к серьезному удорожанию конечной ЭЦП, но и в некоторых случаях, отказе в регистрации сертификата.
Так, если подпись была сформирована для налогового органа, то в качестве роли необходимо выбирать пункт «Финансовый орган».
При создании подписи в поле «ИНН» необходимо вписывать не налоговой код организации, а самого физического лица, на которого выпускается электронная подпись.
А далее, при обращении в налоговый орган, данная подпись может быть прикреплена непосредственно к компании. Данное правило было введено в 2015 году.
Что если не генерируется электронная подпись
В случае, если для генерации электронной подписи используется клиент «СЭД АРМ», то при выполнении этого процесса могут возникать ошибки.
Чаще всего они решаются следующими способами:
Однако не все удостоверяющие центры используют данную программу и предоставляют свой механизм создания электронной подписи, обычно напрямую через сайт.
В этом случае проблемы могут решаться следующими способами:
Инструкция по генерации ключа электронной подписи
КСКПЭП – квалифицированный сертификат ключа проверки электронной подписи.
КЭП – квалифицированная электронная подпись.
Криптопровайдер – средство защиты криптографической защиты информации. Программа с помощью которой генерируется закрытая часть электронной подписи и которая позволяет производить работу с электронной подписью. Данная галочка проставляется автоматически.
Экспортируемый ключ – возможность копирования электронной подписи на другой носитель. При отсутствии галочки копирование электронной подписи будет невозможно.
ЛКМ – левая кнопка мыши.
ПКМ – правая кнопка мыши.
CRM-AGENT – приложение, разработанное специалистами УЦ для упрощения процедуры генерации ключевой пары, создания запроса и записи сертификата.
После посещения удостоверяющего центра и прохождения процедуры сверки личности, на указанную Вами в заявлении электронную почту, УЦ прислал письмо, содержащее ссылку для генерации. Если Вы не получали письма, обратитесь к Вашему менеджеру или в Техническую поддержку УЦ по контактному номеру из этого руководства.
Рис.1 – Страница генерации
Нажмите на ссылку «Скачать приложение» для начала загрузки. Если ничего не произошло после нажатия, кликните по ссылке ПКМ > «Открыть ссылку в новой вкладке». После скачивания приложения запустите установку.
В процессе установки приложения « crm — agent » появится сообщение с запросом доступа (Рис.2).
Рис.2 – Запрос доступа
После окончания установки приложения вернитесь на страницу с генерацией. Появится сообщение о «Предоставлении доступа» (Рис.3).
Рис.3 – Доступ к хранилищу сертификатов
Нажмите «Продолжить» и, в появившемся окне, «Предоставить доступ» (Рис.4).
Рис.4 – Доступ к хранилищу сертификатов 2
Если не появилась кнопка «Продолжить»
Для устранения ситуации необходимо:
Отключить антивирус, установленный на вашем компьютере;
Открыть новую вкладку в браузере;
После появления сообщения об ошибке, вернитесь на страницу с генерацией и повторите Пункт 2 данной инструкции.
В случае, если у вас отсутствуют предустановленные криптопровайдеры, после этапа предоставления доступа появятся ссылки для скачивания КриптоПРО (Рис.5).
Рис.5 – Загрузка КриптоПРО
Это важно: приложение « crm — agent » обнаруживает любые криптопровайдеры на компьютере, и, если у Вас установлена отличная от КриптоПРО CSP программа (например, VipNET CSP ), свяжитесь со специалистами технической поддержки УЦ для консультации.
Нажмите на ссылку «КриптоПРО 4.0» на странице генерации или на аналогичную ссылку ниже для загрузки файла установки КриптоПРО на компьютер.
Рис.5 – Установка КриптоПРО
Пропустите окно, нажав «Далее». Установка КриптоПРО завершена.
Таблица 1 – Драйверы для защищенных носителей
Внешний вид USB-носителя
Ссылка на загрузку драйверов
ruToken
12345678
eToken
1234567890
JaCarta LT
1234567890
MS-Key
11111111
Esmart *
12345678
JaCarta LT Nano
JaCarta ГОСТ
JaCarta S/E
1234567890
Визуально определите ваш носитель.
Для работы с одним из этих носителей необходимо установить драйвер. Перейдите по соответствующей ссылке, скачайте драйвер и установите его на компьютер. Установку драйвера проводите с параметрами по умолчанию.
Теперь Вы можете приступать к формированию запроса на сертификат. На экране у вас появится сообщение об этом (Рис.6). Нажмите кнопку «Продолжить» для начала формирования запроса.
Рис.6 – Начало формирования запроса
Откроется дополнительное окно с предложением выбрать, куда записать КЭП (Рис.7). Есть возможность выбрать в качестве носителя:
Реестр – хранилище «внутри» компьютера;
Диск < X > – обычный флэш-накопитель;
Рис.7 – Выбор носителя
Передвигая ползунок, выберите носитель для хранения КЭП и нажмите «ОК». Если был выбран «Реестр», то система в дальнейшем предупредит о возможном риске. Продолжите, если Вы осознанно выбрали реестр в качестве носителя для КЭП. Если случайно, то повторите формирование запроса повторно.
Это важно: в качестве хранилища КЭП для электронных торговых площадок можно использовать только защищенный носитель — токен. Если нет токена или драйвер установлен, но сам токен не работает, то свяжитесь со специалистами технической поддержки УЦ для консультации.
После выбора носителя откроется окно генерации «Датчик случайных чисел» (Рис.8). Для заполнения шкалы необходимо быстро и часто нажимать на цифровые клавиши на клавиатуре или передвигать мышь в пределах окна. Может потребоваться повторить процедуру несколько раз.
Рис.8 – Датчик случайных чисел
По окончанию процесса откроется окно с предложением задать пароль (Рис.8) для контейнера, если был выбран обычный флеш-накопитель или реестр. Рекомендуется не задавать пароль и пропускать данный пункт нажатием кнопки «ОК» без ввода и подтверждения пароля.
Это важно: количество попыток ввода pin ограничено и, если pin введен неверно несколько раз, то носитель может быть заблокирован. В таком случае, свяжитесь со специалистами технической поддержки УЦ для консультации.
При успешном завершении генерации появится следующее (Рис.9) сообщение:
Рис.9 – Завершение генерации
Завершена процедура по созданию закрытой части ключа электронной подписи и отправка запроса на сертификат. Если в качестве носителя у Вас флеш-накопитель (флешка), то доступ к файлам электронной подписи открыт пользователям и антивирусному ПО. В таком случае есть риск утери закрытой части, после чего потребуется перевыпуск. Чтобы обезопасить себя от нежелательных последствий хранения КЭП на флеш-накопителе, сохраните копию папки с флеш-накопителя на своём компьютере и заархивируйте скопированный образец.
Это важно: категорически не рекомендуется осуществлять действия с этими файлами: перенос, изменение наименования, редактирование. При утере электронной подписи, требуется платный перевыпуск КЭП. Создавать копию созданной в процессе генерации папки – безопасно.
Спустя 5 минут после завершения этапа генерации, обновите страницу генерации, нажав клавишу F5 или соответствующую кнопку в браузере. Если запрос на выпуск сертификата уже одобрили, появится страница для записи сертификата в контейнер ключа (Рис.10). По ссылке из пункта 1 «Скачайте бланк для подписи» на этой странице скачайте бланк сертификата, распечатайте его. Владелец сертификата, на чье имя была выпущена КЭП, должен подписать бланк.
Рис.10 – Сертификат одобрен
Подписанный документ необходимо отсканировать и загрузить скан на сервер нашего удостоверяющего центра с помощью кнопки на этой же странице. После этого станут доступны две ссылки (Рис.11).
Рис.11 – Бланк загружен
Кликните на ссылку «Записать сертификат на ключевой носитель», откроется дополнительное окно (Рис.12).
Рис.12 – Запись сертификата
Рис.12 – Завершение записи сертфиката
Все готово, электронная подпись успешно создана. Для проверки работоспособности КЭП, откройте письмо, которое придёт после создания КЭП. В письме будет содержаться ссылка на сервис по подписанию закрывающих документов с помощью электронной подписи. Пройдите процедуру подписания и скачайте подписанные документы.
Как происходит генерация ЭЦП: что это, порядок действий
Электронная подпись – это шифрованный набор метаданных, закрепляющийся за определенным гражданином после верификации его личности (путем проверки документов). А каким образом происходит генерация ключа электронной подписи, что вообще представляет собой данный процесс? К каким вариациям ЭЦП может применяться данное действие?
Что такое «генерация ключа»
Генерация ключа – процесс создания уникального набора мета-данных. Подбирается он случайным образом, сам процесс требует от пользователя выполнения хаотичных действий с мышью (или тачпадом). Специальное ПО при этом считывает координаты и на их основе создает шифр, который в будущем и используется в генерации ключа ЭЦП. Технология построена таким образом, чтобы полностью устранить возможность присвоения одинакового ключа ЭЦП двум личностям. Теоретически – это может произойти, но шанс составляет менее 0,0000000001%. Используемый стандарт шифрования именуется как ГОСТ 28147-89 (согласно действующим законодательным нормативам).
Ещё стоит заметить, что генерация электронных подписей разных видов несколько отличается. Ключ для квалифицированной ЭЦП создается только в управляющем центре. А вот неквалифицированный ключ можно создать самостоятельно, а уже впоследствии – зарегистрировать его как свой персональный. Для этого как раз и выполняется генерация ключа, который впоследствии отправляется в удостоверяющий центр вместе с документами.
Генерация запроса
Главное преимущество самостоятельной генерации ключа ЭП – это экономия личного времени. Однако это актуально только в тех случаях, если в качестве заказчика электронной подписи является опытный пользователь ПК. В других же случаях проще будет напрямую обратиться в управляющий центр – организация самостоятельно сгенерирует запрос.
Но для окончания процесса верификации личности все равно потребуется либо отправить на проверку нотариально заверенные документы, либо лично явиться в удостоверяющий центр (можно и третьим лицам при наличии доверенности). Как правило, верификацию в УЦ необходимо пойти всего один раз, а при продлении срока действия ЭЦП документы предоставлять уже не потребуется. Срок действия электронной подписи составляет на данный момент 12 месяцев. В будущем планируется увеличить этот период, также разрешив закреплять электронную подпись за номером телефона (для этого уже разработано специальное ПО).
Работа с клиентом СЭД «АРМ»
Программа крайне проста, работает под управлением даже старых версий Windows, легко запускается в MacOS и Linux-дистрибутивах при использовании Wine (набор библиотек для эмуляция программной среды Windows).
Программа не требует обязательной установки, распространяется в виде portable-версии, занимает буквально пару мегабайт.
Итак, после запуска клиента СЭД «АРМ» необходимо:
Важный нюанс: если происходит генерация квалифицированной подписи, то в разделе «Криптопровайдер» необходимо выбрать «MyCryptoPro 2.0» (можно и другой, в зависимости от того, какое ПО впоследствии планирует использовать пользователь).
Крайне важно при генерации запроса тщательно проверить все введенные данные, в том числе и ФИО, данные ИНН и так далее. Малейшая ошибка приведет к тому, что в будущем созданным ключом ЭЦП воспользоваться не получится – он попросту не будет признан легитимным и, как следствие, не пройдет процедуру верификации.
Какие нюансы следует учесть
Далеко не все удостоверяющие центры поддерживают такой механизм создания электронной подписи самостоятельно пользователем. Все эти нюансы следует уточнять самостоятельно, обратившись к представителю того или иного УЦ. А вот само ПО скачать можно на их официальном сайте (их адреса и остальные контактные данные можно получить на сайте Минкомсвязи или Единого Государственного портала электронных подписей).
Также необходимо заблаговременно уточнять необходимые роли для использования ЭЦП. Их список впоследствии указывается при генерации ключа в клиенте СЭД «АРМ». Не следует отмечать абсолютно все роли без надобности – это приведет только к увеличению конечной стоимости создания ЭЦП и рутокена. Соответственно, если выполняется генерация электронной подписи для налоговой, то в ролях (в устаревших версиях программы указывается как «цели») следует отметить «Финансовый орган».
Ещё важная особенность – при генерации запроса указывается ИНН не организации, а именно физического лица, которому впоследствии будет принадлежать ЭЦП. А уже впоследствии в налоговой электронную подпись можно закрепить за организацией (в том числе за юридическим лицом). Данный норматив действует еще с 2015 года.
Работа с открытым и закрытым ключом
После отправки сгенерированного запроса для неквалифицированной подписи пользователю в течение нескольких дней предоставят открытый и закрытый ключ. Первый используется для проверки авторства ЭЦП, второй – для генерации открытого ключа, его рекомендуется хранить именно на рутокене, ни в коем случае не предоставлять третьим лицам.
Закрытый ключ также может использоваться для генерации и установки сертификата непосредственно в операционную систему (с помощью КриптоПро – программа автоматически распознает рутокены, в интерактивной форме позволяет установить и настроить использование ЭЦП).
Квалифицированные же ключи выдаются только на USB‑токенах защищенных от перезаписи. Принцип работы с ними аналогичен, главное отличие – использование более современных методов шифрования метаданных (с сертифицированным криптографическим алгоритмом, согласно ГОСТ 28147-89).
Генерация же открытых ключей и сертификатов для установки в систему также выполняется через КриптоПро (запуск приложения выполняется из «Панели управления» в среде Windows).
Итого, что такое генерация электронной подписи? Это процесс создания уникального набора мета-данных с криптошифрованием и присвоение созданного ЭЦП гражданину. Выполняется это в удостоверяющих центрах с использованием специализированного оборудования и ПО. Генерация запроса на получение электронной подписи – это формирование открытого сертификата с указанием личных данных пользователя, на основании которых и будет создана ЭЦП.
Как происходит генерация ЭЦП?
Как известно, электронная подпись объединяет в себе два вида ключей – открытый и закрытый. Генерация ЭЦП заключается в записи этих ключей на специальный носитель памяти, в качестве которого может выступать eToken, RuToken, флеш-карта или другое устройство.
Процесс генерации ЭЦП
Закрытый ключ электронной подписи генерируется в удостоверяющем центре. В соответствии с регламентом УЦ заявитель при передаче пакета документов администратору центра должен представить свое удостоверение личности. После этого администратор при помощи специализированного оборудования генерирует ключи электронной подписи. Заявитель получает единственную копию закрытого ключа, которую необходимо хранить на надежно защищенном устройстве памяти. Далее регистрируется сертификат ЭЦП и заносится в реестр удостоверяющего центра.
Документы заверяются с помощью закрытого ключа, но он работает только в паре с открытым ключом. К его хранению важно отнестись со всей серьезностью, так как он может полностью заменить собственноручную подпись. Таким образом, любые договора, отчеты, счета-фактуры и другие цифровые документы, подписанные ЭП, имеют юридическую силу, так что оспорить это не удастся. Хранить закрытый ключ ЭЦП рекомендуется на устройстве RuToken, так как в нем реализован российский стандарт шифрования информации ГОСТ 28147-89. Открытый ключ в свою очередь необходим для проверки авторства подписи, он находится в свободном доступе.
После того как генерация ЭЦП завершена ее владелец получает возможность регистрироваться и участвовать в аукционах и торгах на электронных площадках, пользоваться государственными услугами через Интернет, подтверждать авторство и подлинность различных документов и т.д. В настоящее время ни одна компания, которая хоть как-то зависит от электронной коммерции, не может легко обходиться без электронной подписи. Дело в том, что электронная коммерция внедряется все в новые и новые направления бизнеса. Обладатели ЭП получают доступ к огромному рынку, где есть возможность для стремительного роста и расширения своего бизнеса.