Сертификат и ключ в чем разница
В чем разница между сертификатом и ключом в отношении SSL?
Всякий раз, когда я пытаюсь что-то понять о SSL, мне всегда трудно отследить, что означают «ключ» и «сертификат». Боюсь, что многие люди используют их неправильно или взаимозаменяемо. Есть ли стандартная разница между ключом и сертификатом?
Сертификат содержит открытый ключ.
Сертификат, помимо того, что содержит открытый ключ, содержит дополнительную информацию, такую как издатель, для чего предполагается использовать сертификат, и другие типы метаданных.
Как правило, сертификат сам подписывается центром сертификации (ЦС) с использованием закрытого ключа ЦС. Это проверяет подлинность сертификата.
Эти две картины вместе объяснили мне все:
Допустим, компания A имеет пару ключей и должна опубликовать свой открытый ключ для публичного использования (он же ssl на своем веб-сайте).
Таким образом, открытый ключ компании A, подписанный действительным секретным ключом CA, называется сертификатом компании A.
Позвольте мне объяснить на примере.
В обычной PKI на основе пар ключей есть закрытый ключ и открытый ключ.
В системе на основе сертификатов есть закрытый ключ и сертификат. Сертификат содержит больше информации, чем открытый ключ.
Демонстрация (Вы можете создать сертификат и закрытый ключ): http://www.selfsignedcertificate.com/
Вы можете скачать открыть файл закрытого ключа и файл сертификата, вы видите, что файл сертификата содержит много информации, как показано ниже. 
Вы можете сопоставить свой сгенерированный сертификат (открытие текстовым редактором) и закрытый ключ (открытие текстовым редактором) с этого сайта: https://www.sslshopper.com/certificate-key-matcher.html
Если сертификат соответствует личному ключу клиента, клиент уверен, что сертификат выдан клиентом или доверенным агентом клиента (CA).
У этого простого подхода есть несколько недостатков. Серверы должны иметь возможность обновляться до более надежных ключей с течением времени («ротация ключей»), что заменяет открытый ключ в сертификате новым. К сожалению, теперь клиентское приложение должно быть обновлено из-за изменения конфигурации сервера. Это особенно проблематично, если сервер не находится под контролем разработчика приложения, например, если это сторонний веб-сервис. Этот подход также имеет проблемы, если приложение должно общаться с произвольными серверами, такими как веб-браузер или приложение электронной почты.
Чтобы устранить эти недостатки, серверы обычно настраиваются с помощью сертификатов от известных издателей, называемых центрами сертификации (CA). хост-платформа (клиент) обычно содержит список известных CA, которым она доверяет. Подобно серверу, CA имеет сертификат и закрытый ключ. При выдаче сертификата для сервера CA подписывает сертификат сервера, используя свой закрытый ключ. Затем клиент может проверить, что на сервере есть сертификат, выданный центром сертификации, известным платформе.
Следующий пример сделает эти концепции немного более конкретными. В приведенном ниже фрагменте командной строки команда s_client инструмента openssl просматривает информацию о сертификатах сервера Википедии. Он указывает порт 443, потому что это по умолчанию для HTTPS. Команда отправляет выходные данные openssl s_client в openssl x509, который форматирует информацию о сертификатах в соответствии со стандартом X.509. В частности, команда запрашивает субъект, который содержит информацию об имени сервера, и издателя, который идентифицирует CA.
Как видите, благодаря этой дополнительной информации, отправляемой ЦС на серверы, клиент может легко узнать, взаимодействует ли он со своим сервером или нет.
Что такое сертификат ключа проверки электронной подписи
Сертификат электронной подписи — это бумажный или электронный документ, позволяющий проверить подлинность электронной подписи, он подтверждает принадлежность ключа проверки электронной подписи владельцу сертификата. Сертификат ЭЦП выпускается удостоверяющим центром, который занимается выдачей и обслуживанием сертификатов электронной подписи. Термин «сертификат ключа проверки» или «открытый ключ» подразумевает, что этот документ содержит все данные о владельце закрытого ключа электронной подписи, в том числе и данные по удостоверяющему центру, который выпустил подпись. Удостоверяющий центр, выдавший сертификат, отвечает за достоверность данных, которые содержатся в нём.
Какие сведения содержатся в сертификате ключа проверки электронной подписи
В сертификате ключа проверки электронной подписи обязательно присутствуют следующие сведения:
Также сертификат может содержать сведения об области своего применения, дополнительную информацию о владельце и издателе сертификата, адрес службы актуальных статусов сертификатов, адрес службы штампов времени и другую информацию.
Квалифицированный сертификат ключа проверки электронной подписи можно получить только в удостоверяющем центре, прошедшем аккредитацию Минкомсвязи. «Инфотекс Интернет Траст» — аккредитованный удостоверяющий центр.
Как получить сертификат открытого ключа
Для начала работы с ЭЦП обратитесь в удостоверяющий центр за сертификатом ключа проверки электронной подписи (СКПЭП). Заполните онлайн-заявку, оплатите выставленный счёт, получите на электронную почту, указанную в заявке, оповещение о готовности сертификата и подготовьте документы для вашей идентификации. Затем подойдите в ближайший офис, чтобы получить сертификат ключа проверки электронной подписи.
Если в период срока действия электронной подписи реквизиты организации изменились, произошла смена ответственного лица или ключ был скомпрометирован (к нему получили доступ третьи лица), обратитесь в удостоверяющий центр для его замены. Пользоваться электронной подписью можно только в течение срока действия её сертификата, который составляет один год.
Как работает электронная подпись
Одно из полезных применений асимметричного шифрования — работа с электронной подписью. Рассказываем, как устроена ЭП изнутри и где она применяется.
Что такое электронная подпись
Электронная подпись — это технология, которая помогает подтвердить подлинность электронного документа: договора, справки, выписки или чего-то ещё.
Если упрощённо, работает так:
👉 Есть некий документ, подписанный ЭП
👉 С помощью специальной программы можно проверить подлинность этой подписи и документа
✅ Если программа говорит, что всё окей, то мы можем быть уверены: документ подписал именно тот, кто в нём указан; и с момента подписания в документе ничего не изменилось.
❌ Или программа может сказать, что подпись не совпала. Это значит, что либо документ подписал другой человек, либо после подписания кто-то изменил этот документ (например, дописал ноль в стоимость контракта). Так мы поймём, что этому документу нельзя доверять.
С технической точки зрения ЭП — небольшой файлик, который прилагается к искомому документу. Файлик пересылается вместе с основным документом, его можно передавать по открытым каналам связи, в нём нет ничего секретного.
Электронная подпись нужна, чтобы защищать договоры, выдавать официальные справки, заключать сделки и участвовать в торгах по госзакупкам.
Основа ЭП — асимметричное шифрование
Как работает: сертификаты
Электронная подпись состоит из двух принципиальных частей:
Грубо говоря, ЭП должна гарантировать, что документ подписали именно вы и что вы подписали именно этот документ.
В сертификате хранятся данные о владельце подписи:
Но смысл сертификата не в том, что там хранятся эти данные, а в том, кто эти данные туда положил. В России сертификаты и ЭП выдают специальные удостоверяющие центры — это компании, которые гарантируют, что сертификат выдаётся именно тому, кто в этом сертификате указан.
Чтобы получить сертификат, вы приходите лично в эту компанию (удостоверяющий центр), показываете документы, фотографируетесь. Вас заносят в базу удостоверяющего центра и выдают ключи электронной подписи. Так все участники электронного документооборота будут уверены, что все документы, подписанные вашими ключами, подписаны именно вами.
Как работает: алгоритмы шифрования
Допустим, вы уже сходили в удостоверяющий центр и получили на флешке сертификат и ключ электронной подписи. Теперь нужно скачать специальный софт, который и будет подписывать ваши документы и проверять чужие на подлинность.
Проблема в том, что ЭП основана на алгоритмах асимметричного шифрования, а их много: разложение на простые множители, дискретное логарифмирование, эллиптические кривые и множество других. Ключ из одного алгоритма не подойдёт для использования в другом, поэтому в России договорились использовать стандарт шифрования ГОСТ Р 34.10-2012, основанный на эллиптических кривых. Все государственные органы работают только с таким алгоритмом и не принимают другие ЭП.
Это значит, что нам нужен специальный софт, в котором уже есть этот алгоритм. Чаще всего используют КриптоПРО, реже — ViPNet CSP. С помощью этих программ можно подписать документы и проверить сертификаты на подлинность.
Принцип работы электронной подписи
Электронная подпись — это асимметричное шифрование наоборот: вы зашифровываете закрытым ключом, а расшифровать может кто угодно с помощью открытого ключа, который доступен всем.
👉 Если открытый ключ подходит к сообщению и расшифровывает его, значит, оно было зашифровано именно этим закрытым ключом — то есть именно вами.
А что если подменят сам сертификат?
Все сертификаты, которые выдаёт удостоверяющий центр, тоже подписываются электронной подписью. Чтобы проверить подлинность сертификата, можно зайти на официальный сайт удостоверяющего центра и скачать открытый ключ для проверки. Если хеш самого сертификата совпадает с хешем, который мы получили с помощью открытого ключа с сайта — значит, и сам сертификат подлинный.
Виды электронной подписи (ЭП или ЭЦП)
В России в электронном документообороте можно использовать три вида подписи: простую, усиленную неквалифицированную и усиленную квалифицированную. Посмотрим, чем они отличаются друг от друга, при каких условиях равнозначны собственноручной и придают подписанным файлам юридическую силу.
Виды электронной подписи
Простая электронная подпись, или ПЭП
Простая подпись — это знакомые всем коды доступа из СМС, коды на скретч-картах, пары “логин-пароль” в личных кабинетах на сайтах и в электронной почте. Простая подпись создается средствами информационной системы, в которой ее используют, и подтверждает, что электронную подпись создал конкретный человек.
Где используется простая электронная подпись?
Простая электронная подпись чаще всего применяется при банковских операциях, а также для аутентификации в информационных системах, для получения госуслуг, для заверения документов внутри корпоративного электронного документооборота (далее — ЭДО).
Простую электронную подпись нельзя использовать при подписании электронных документов или в информационной системе, которые содержат гостайну.
Юридическая сила ПЭП
Простая подпись приравнивается к собственноручной, если это регламентирует отдельный нормативно-правовой акт или между участниками ЭДО заключено соглашение, где прописаны:
Во многих информационных системах пользователь должен сначала подтвердить свою личность во время визита к оператору систему, чтобы его ПЭП в будущем имела юридическую силу. Например, для получения подтвержденной учетной записи на портале Госуслуг, нужно лично прийти в один из центров регистрации с документом, удостоверяющим личность.
Неквалифицированная электронная подпись, или НЭП
Усиленная неквалифицированная электронная подпись (далее — НЭП) создается с помощью программ криптошифрования с использованием закрытого ключа электронной подписи. НЭП идентифицирует личность владельца, а также позволяет проверить, вносили ли в файл изменения после его отправки.
Человек получает в удостоверяющем центре два ключа электронной подписи: закрытый и открытый. Закрытый ключ хранится на специальном ключевом носителе с пин-кодом или в компьютере пользователя — он известен только владельцу и его нужно держать в тайне. С помощью закрытого ключа владелец генерирует электронные подписи, которыми подписывает документы.
Открытый ключ электронной подписи доступен всем, с кем его обладатель ведет ЭДО. Он связан с закрытым ключом и позволяет всем получателям подписанного документа проверить подлинность ЭП.
То, что открытый ключ принадлежит владельцу закрытого ключа, прописывается в сертификате электронной подписи. Сертификат также выдается удостоверяющим центром. Но при использовании НЭП сертификат можно не создавать. Требования к структуре неквалифицированного сертификата не установлены в федеральном законе № 63-ФЗ “Об электронной подписи”.
Где используется неквалифицированная электронная подпись?
НЭП можно использовать для внутреннего и внешнего ЭДО, если стороны предварительно договорились об этом.
Юридическая сила НЭП
Участникам ЭДО нужно соблюдать дополнительные условия, чтобы электронные документы, заверенные НЭП, считались равнозначными бумажным с собственноручной подписью. Сторонам нужно обязательно заключить между собой соглашение о правилах использования НЭП и взаимном признании ее юридической силы.
Квалифицированная электронная подпись или КЭП
Усиленная квалифицированная электронная подпись — самый регламентированный государством вид подписи. Так же, как и НЭП, она создается с помощью криптографических алгоритмов и базируется на инфраструктуре открытых ключей, но отличается от НЭП в следующем:
Где используется квалифицированная электронная подпись?
КЭП нужна, чтобы сдавать отчетность в контролирующие органы, участвовать в качестве поставщика и заказчика в электронных торгах, работать с государственными информационными системами, обмениваться формализованными документами с ФНС, вести электронный документооборот внутри компании или с ее внешними контрагентами.
Юридическая сила КЭП
КЭП — это подпись, которая придает документам юридическую силу без дополнительных условий. Если организации ведут ЭДО, подписывая документы КЭП, их юридическая сила признается автоматически согласно федеральному закону № 63-ФЗ “Об электронной подписи”.
Восемь вопросов об электронной подписи налоговой: когда, кому и зачем получать
Пора ли мне менять электронную подпись? Этот вопрос сейчас волнует почти каждого предпринимателя — подписи начала выдавать ФНС, изменились правила их использования. В этой статье попробуем разобраться, стоит ли ИП уже сейчас обращаться в налоговую и что делать, если срок действия текущей подписи заканчивается в середине 2022 года.
В июле 2021 года сертификаты электронной подписи (далее — электронные подписи) начал выдавать удостоверяющий центр ФНС (УЦ ФНС). К 1 января 2022 года подпись ФНС нужно получить всем ИП и руководителям организаций, чтобы продолжить сдавать отчетность, работать с закупками и вести другой электронный документооборот. Этого требуют поправки в Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
В одной из статей мы рассказывали о том, как изменения отразятся на бизнес-процессах. Но по-прежнему у предпринимателей остаются вопросы об ЭП, которую будет выдавать налоговая, а также о том, где и к какому сроку ее нужно получать.
Эльба задала эти вопросы редактору Удостоверяющего центра Контура Ольге Кураевой и подготовила видеосюжет.:
Ходят разговоры, что с 1 июля электронную подпись можно получить только в налоговой. Правда ли это?
Да, ЭП действительно можно получить в налоговой. Но не только в ней — об этом в вопросах ниже.
С 1 января 2022 года предприниматели и руководители организаций нужно при смене электронной подписи должны будут получать электронную подпись ФНС и использовать только её.
Она подойдет для работы на всех электронных площадках и в сервисах, чтобы сдавать отчетность, вести документооборот, предоставлять налоговые декларации (расчеты). ЭП налоговой — универсальный инструмент.
Получать её можно и после 1 января 2022 года, а до этого пользоваться текущей электронной подписью. Это относится только к тем, у кого есть электронная подпись аккредитованного по новым правилам УЦ (Контур относится к их числу).
Как к 1 января 2022 года все ИП и руководители организаций успеют получить электронную подпись в налоговой бесплатно?
Стоит отметить, что процесс получения подписи с 1 июля 2021 года заметно усложнился. При этом получить её можно будет не только в налоговой. ФНС возьмет себе помощников из числа УЦ, которые пройдут аккредитацию по новым правилам. Для помощников организован еще более жесткий дополнительный отбор. Те УЦ, которые его пройдут, станут доверенными лицами ФНС.
Чтобы получить ЭП налоговой, можно будет обратиться либо непосредственно в инспекцию, либо к доверенному лицу в офис. За первой подписью нужно будет прийти лично — к этой дате налоговая хочет каждого предпринимателя, руководителя организации увидеть в лицо и убедиться, что ЭП получает именно он.
Контур планирует стать доверенным лицом ФНС.
Допустим, ИП когда-то получил подпись, которая у него заканчивается в сентябре 2021 года. Сможет ли он спокойно продлить ее в Контуре?
А если срок действия ЭП заканчивается в 2022 году в марте?
Мы обновили ответ в этом вопросе, потому что в вышло разъяснение от Минцифры РФ.
Такая электронная подпись будет работать до марта 2022 года. Минцифры РФ разъяснило, что электронные подписи удостоверяющих центров с новой аккредитацией, например, Контура, действуют весь свой период.
Получается, если подпись действует до 1 марта 2022 года, она обнуляется 1 января 2022 года?
Ответ в этом вопросе мы также обновили согласно разъяснению Минцифры.
Нет, после 1 января 2022 года ИП и руководителям можно использовать либо подпись налоговой, либо уже имеющуюся у них подпись аккредитованного УЦ. А вот получить новую подпись они смогут только в налоговой.
Можно ли получить эту ЭП заранее, обратившись в налоговую?
Да, можно уже сейчас обращаться в налоговую за получением такой подписи.
Правда ли, что ФНС выдает подпись бесплатно?
Да, в ФНС ЭП бесплатная. Точнее файлы ЭП выдают бесплатно. Но эти файлы нужно куда-то записать, поэтому в налоговую нужно будет прийти со специальной флешкой (токеном). Помимо этого перед визитом в налоговую нужно убедиться, что на компьютере есть программа криптозащиты КриптоПро. А если ее нет, то приобрести лицензию на неё у производителя или в коммерческом УЦ.
Если вы не хотите разбираться с программами, флешками и установками, обратитесь в Контур или к другому доверенному лицу ФНС. Они выдадут ЭП налоговой с флешкой, помогут установить её, устранят ошибки, если они возникнут.
Срок действия ЭП от Контура заканчивается в августе. Стоит ли ИП уже сейчас обращаться в налоговую за получением новой ЭП, или продлить контуровскую подпись и потом в конце года заменить ее в Контуре на новую? Какие варианты возможны?
1. Если ИП хочет получить новую ЭП от налоговой прямо сейчас, то он может обратиться в налоговую инспекцию. Но для этого ему потребуется собрать комплект документов и инструментов:
2. ИП может обратиться в Контур, где процесс получения ЭП налоговой будут проще. Мы поможем собрать документы, предоставим токен и лицензию КриптоПро, установим всё, что необходимо, и решим технические вопросы во время работы с подписью. Эту услугу мы пока разрабатываем.
ИП останется только прийти в инспекцию лично, чтобы она убедилась, что вы действительно существуете и подпись принадлежит именно вам.
3. ИП может продлить подпись в августе, как это он делал всегда в Контуре. У него будет контуровская ЭП, а не подпись налоговой. И она будет работать до августа 2022 года, если была выдана на 12 месяцев. А потом заменить свою ЭП на ЭП налоговой.
Контур поможет получить ЭП налоговой. Поскольку к тому времени компания планирует стать доверенным лицом ФНС, идти в налоговую не придется — только посетить один из наших офисов.
В любом из трех вариантов ИП станет обладателем ЭП налоговой.
Если хотите узнать больше о новшествах, о том, как с 2022 года работать сотрудникам и обслуживающим бухгалтериям, что такое электронная доверенность — читайте статью «Электронная подпись: что изменится с 1 июля 2021 года и позже» с подробным разбором изменений.
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.