Получение эцп в иок гамма технологии
Я расскажу о тонкостях внедрения электронной цифровой подписи (ЭЦП) в информационные системы (ИС) на базе веб технологий в контексте Национального Удостоверяющего Центра Республики Казахстан (НУЦ РК).
В центре внимания будет формирование ЭЦП под электронными документами и, соответственно, NCALayer — предоставляемое НУЦ РК криптографическое программное обеспечение. В частности уделю внимание вопросам связанным с UX и объемом поддерживаемого функционала NCALayer.
Процесс разделю на следующие этапы:
- формирование неизменного представления подписываемого документа (под подписываемым документом я буду подразумевать любые данные которые необходимо подписать, такие как: договор, бланк заказа, форма аутентификации и т.п.);
- подписание документа в веб интерфейсе с помощью NCALayer;
- проверка подписи на стороне сервера;
- (при необходимости) подготовка подписи к долгосрочному хранению.
Разработчикам важно понимать то, что любое изменение подписанного документа приведет к тому, что подпись под ним перестанет проходить проверку. При этом изменения могут быть вызваны не только редактированием самих данных документа, но и обновлением структуры документа или механизма его сериализации.
Рассмотрим простой пример — документы хранятся в виде записей в базе данных. Для подписания документа необходимо сформировать его представление в виде единого блока данных (конечно можно подписывать каждое поле записи поотдельности, но обычно так не делают), сделать это можно, к примеру, следующими способами:
- извлечь все поля записи, привести их к строкам и соединить в одну строку;
- сформировать XML или JSON представление;
- сформировать PDF документ на базе шаблона с каким-то оформлением содержащий данные из записи;
- и т.п.
Далее возможны два сценария каждый из которых имеет свои подводные камни:
- ИС не хранит сформированного представления и каждый раз для проверки подписи под документом (в частности проверки неизменности данных) формирует его;
- ИС хранит сформированное представление и использует его для проверки подписи.
В том случае, если ИС не хранит сформированного представления, разработчикам необходимо гарантировать что в будущем формируемые представления будут бинарно идентичны тем, которые были сформированы в первый раз не смотря на:
- изменения схемы базы данных;
- обновления механизма формирования представления (которое может так же зависеть от внешних библиотек которые, скорее всего, не стремятся к обеспечению бинарной идентичности).
В том случае, если на каком-то этапе бинарная идентичность перестанет соблюдаться, то проверки цифровых подписей перестанут выполняться и юридическая значимость документов в ИС будет утеряна.
Подход с хранением сформированного представления в базе данных ИС надежнее с точки зрения обеспечения сохранности юридической значимости, но и тут есть нюанс — необходимо гарантировать эквивалентность данных в подписанном документе данным в записи в базе данных иначе может возникнуть такая ситуация когда ИС принимает решение (выполняет расчет) на основании информации не соответствующей тому, что было подписано. То есть нужно либо так же, как и в предыдущем случае, обеспечивать бинарную идентичность формируемого представления, тогда при проверках в первую очередь следует формировать представление из текущего содержимого записи в базе данных и бинарно сравнивать новое представление с сохраненным. Либо необходим механизм позволяющий разобрать сохраненное сформированное представление и сравнить данные из него с текущим содержимым записи в базе данных. Этот механизм так же придется дорабатывать постоянно параллельно с доработками основного функционала ИС.
Для формирования цифровых подписей на стороне клиента НУЦ РК предоставляет единственный инструмент — сертифицированное программное обеспечение NCALayer которое представляет из себя WebSocket сервер, запускаемый на 127.0.0.1 , которому можно отправлять запросы на выполнение криптографических (а так же некоторых смежных) операций. При выполнении некоторых операций NCALayer отображает диалоговые окна — то есть берет часть работы по получению пользовательского ввода на себя.
Описание API NCALayer доступно в составе комплекта разработчика. Для того, чтобы поэкспериментировать со взаимодействием с NCALayer по WebSocket можно воспользоваться страницей интерактивной документации KAZTOKEN mobile (KAZTOKEN mobile повторяет API NCALayer).
- файловые, поддерживается единственный тип заданный константой 'PKCS12' ,
- аппаратные (токены и смарт-карты), для перечисления тех типов, экземпляры которых в данный момент подключены в ПК пользователя, следует использовать запрос getActiveTokens .
Таким образом для того, чтобы предоставить пользователю возможность работать с любым поддерживаемым NCALayer хранилищем, можно воспользоваться одним из следующих подходов:
Для подписания данных рекомендую использовать следующие запросы (опять же чтобы снизить вероятность выстрела в ногу):
- createCAdESFromBase64 — вычислить подпись под данными и сформировать CMS (CAdES);
- createCMSSignatureFromBase64 — вычислить подпись под данными, получить на подпись метку времени (TSP) и сформировать CMS (CAdES) с внедренной меткой времени;
- signXml — вычислить подпись под XML документом, сформированную подпись добавить в результирующий документ (XMLDSIG);
- signXmls — аналогично signXml , но позволяет за один раз подписать несколько XML документов.
В качестве параметров каждому из них нужно будет передать тип хранилища, тип сертификата, подписываемые данные и дополнительные модификаторы.
- 'AUTHENTICATION' — сертификаты для выполнения аутентификации;
- 'SIGNATURE' — сертификаты для подписания данных.
NCLayer предоставит пользователю выбирать только из тех сертификатов, которые соответствуют указанному типу.
Упрощенный пример подписания произвольного блока данных с использованием ncalayer-js-client:
Тема проверки цифровых подписей обширна и я не планировал раскрывать ее в этот раз, но упомянуть о необходимости выполнения проверок как с технической, так и юридической точки зрения счел необходимым.
С технической точки зрения проверка цифровой подписи на стороне сервера в первую очередь гарантирует целостность полученного документа, во вторую — авторство, а так же неотказуемость. То есть даже в том случае, если ИС получает подписанный документ не напрямую от пользователя, а через какие-то дополнительные слои программного обеспечения, уверенность в том, что было получено именно то, что отправлял пользователь сохраняется. Поэтому в ситуации когда подписание на стороне клиента реализовано, а возможность проверки подписи на стороне сервера отсутствует, внедрение цифровой подписи теряет смысл.
С юридической точки зрения ориентироваться следует на Приказ Министра по инвестициям и развитию Республики Казахстан “Об утверждении Правил проверки подлинности электронной цифровой подписи”. В Приказе перечислены необходимые проверки которые должны выполнять информационные системы для обеспечения юридической значимости подписанных электронной цифровой подписью документов. Анализу этого документа, а так же некоторым техническим вопросам посвящена заметка Проверка цифровой подписи.
Выполнять проверки необходимо с применением сертифицированных средств, к примеру с помощью библиотек входящих в состав комплекта разработчика НУЦ РК, либо можно воспользоваться готовым решением SIGEX.
Проверка подписи под электронным документом включает в себя проверку срока действия сертификата и проверку статуса отозванности сертификата. В том случае, когда необходимо обеспечить юридическую значимость подписанного документа по истечению срока действия сертификата или в том случае, когда сертификат был отозван через некоторое время после подписания, следует собирать дополнительный набор доказательств фиксирующий момент подписания и подтверждающий то, что на момент подписания сертификат не истек и не был отозван.
Для фиксации момента подписания принято использовать метки времени TSP. Метку времени на подпись можно получить либо на клиенте (запрос createCMSSignatureFromBase64 интегрирует метку времени в CMS), либо на сервере. Метка времени позволит удостовериться в том, что момент подписания попадает в срок действия сертификата.
Для того, чтобы удостовериться в том, что сертификат не был отозван в момент подписания, следует использовать CRL или OCSP ответ. Этот нюанс и рекомендации по реализации описаны в разделе APPENDIX B — Placing a Signature At a Particular Point in Time документа RFC 3161.
Ассоциация Электронных Торговых Площадок получила права на обеспечение российских поставщиков специальными устройствами — JaCarta PKI/ГОСТ, которые используются при выпуске сертификата электронной подписи для электронных торговых процедур на электронной торговой площадке АО «Самрук Казына» (Республика Казахстан).
Для получения USB-токена необходимо заполнить заявку по ссылке ниже.
Внимание! Если для оплаты счета Вам требуются учредительные документы нашей компании (устав, свидетельство о регистрации и постановке на учет в налоговом органе, выписку из ЕГРЮЛ и т.д.), просим указать это в поле «Комментарий» при отправке заявки. Счёт будет выставлен в течение суток, его скан придет на электронный адрес (e-mail), указанный Вами в качестве контактного.
В заявке указывается:
- Наименование юридического лица;
- Юридический и фактический адрес юридического лица;
- Реквизиты юридического лица;
- Банковские реквизиты;
- ФИО и контактный телефон ответственного сотрудника.
Отправляя заявку, Вы соглашаетесь с условиями договора оферты на поставку JaCarta PKI/ГОСТ.
Электронную подпись для работы на торговой площадке АО «Самрук Казына» Вы можете приобрести в после получения USB-токена.
Приобрести USB-токен в странах Евросоюза Вы можете обратившись к нашим партнерам в Латвии Imperum LTD.
Категории лиц, которым предоставлено право на получение ЭЦП в Федеральном казначействе
Получить электронную подпись в УЦ Казначейства могут:
- лица, замещающие государственные должности на федеральном и региональном уровнях;
- должностные лица госорганов, органов местного самоуправления, их подведомственных учреждений;
- руководители и сотрудники коммерческих организаций, которым выделяются средства из бюджета РФ различного уровня, подлежащие казначейскому сопровождению, а также некоммерческих организаций: госкорпораций, госкомпаний, госучреждений, муниципальных учреждений и подведомственных им организаций.
Для того чтобы получить ЭЦП в УЦ Казначейства, необходимо пройти ряд этапов с предоставлением документов. Подробности — далее.
Для каких целей понадобится электронная цифровая подпись
Регулирование вопросов о видах, назначении и использовании электронной подписи осуществляется положениями закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» (в последней редакции).
В соответствии с его нормами предназначение ЭП может быть самым разным: это использование подписи при проведении гражданско-правовых сделок, оказании услуг на государственном уровне, осуществлении государственных и муниципальных функций. При этом различают:
- простую подпись,
- усиленную неквалифицированную подпись,
- усиленную квалифицированную подпись.
Квалифицированная электронная подпись выдается только в удостоверяющем центре.
ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "ГАММА-ТЕХНОЛОГИЯ"2540104079
Действующее
Дата регистрации
Юридический адрес
Руководитель Юридического Лица
Блокировка счетов
Рекомендуем проверять перед платежом на расчетный счет организации
Проверить
Наличие обеспечительных мер
Рекомендуем проверять перед заключением договора с организацией
Проверить
Банкротство
Проверка наличия сведений в реестре о банкротстве (ЕФРСБ)
Проверить
Документы на внесение изменений в ЕГРЮЛ
Проверка изменений до официальной регистрации
Проверить
Основной вид деятельности
43.11 Разборка и снос зданий
Дополнительные ОКВЭД
Специальный налоговый режим
Коды статистики
ОКАТО
Данные реестра субъектов МСП
Малое предприятие, 16—100 человек
Среднесписочная численность
01.01.2022 – 8
-0 (8 на 01.01.2021 г.)
Средняя заработная плата
Фонд оплаты труда (общий)
Реестр недобросовестных поставщиков
Реестр террористов и экстремистов (new)
Реестр операторов, осуществляющих обработку
персональных данных (Данные РКН)
Регистрационный номер 25-16-003484 от 30.11.2016
Дата начала обработки 28.05.2004
Цель обработки персональных данных
Цель обработки персональных данных:
Отзывы об организации
Выписка из ЕГРЮЛ
С подписью ФНС / на нужную дату
Бухгалтерская отчётность
С подписью ФНС (официальная)
Должная осмотрительность
Отчет о рисках по нормативам ФНС.
С рекомендациями по сбору документов.
Сводный отчёт
Общие сведения об организации.
Отчет предоставляется бесплатно.
Руководителем организации является: Директор - Рявкина Мария Андреевна, ИНН 253301677470. У организации 1 Учредитель. Основным направлением деятельности является "разборка и снос зданий". На 01.01.2022 в ООО "ГАММА-ТЕХНОЛОГИЯ" числится 8 сотрудников.
Инструкция по получению ЭЦП в казначействе — основные этапы
Чтобы стать владельцем сертификата электронной подписи, необходимо:
- Подать заявление в казначейство на получение ЭЦП (сертификата ЭП).
В заявлении обязательно указываются Ф.И.О. лица, кто обращается за сертификатом, его ИНН, СНИЛС, а также наименование органа, учреждения или организации, где он занимает соответствующую должность. Этим же лицом заявление должно быть подписано. При желании здесь же можно указать данные электронной почты, посредством которой будет происходить уведомление о процессе создания сертификата.
- Приложить к подаваемому заявлению пакет из необходимых для получения сертификата ЭЦП в казначействе документов. Данный пакет будет включать:
- документ, удостоверяющий личность заявителя;
- документ или сведения, которыми подтверждается замещение должностным лицом госдолжности в РФ или субъекте РФ, государственном или муниципальном органе, учреждении или организации;
- документ, подтверждающий право представителя государственного/муниципального органа или организации обращаться за получением сертификата государственного органа, органа местного самоуправления.
- Дождаться рассмотрения удостоверяющим центром заявки с приложенными документами и последующего выпуска сертификата. Обычно сертификат создается в течение 5 рабочих дней после отправки заявления в УЦ. В некоторых случаях срок может быть продлен до 30 рабочих дней, если заявитель не сможет своевременно подтвердить какие-либо сведения, необходимые для выпуска сертификата.
- Получить сертификат, сформированный в виде электронного документа. Выдача происходит только после того, как получающее сертификат лицо будет идентифицировано работниками УЦ в его личном присутствии на основании документов, удостоверяющих личность. Помимо сертификата пользователю выдается руководство по обеспечению безопасности использования электронной подписи.
Подать заявку и остальные документы можно как лично, обратившись в территориальный орган Федерального казначейства, так и удаленно — используя онлайн-сервис ФК. Разберем, что же потребуется для получения ЭЦП в Казначействе онлайн.
Часто задаваемые вопросы
Сколько стоит USB-токен?
Стоимость USB-токена составляет 3630 руб. (включая НДС 20%). В эту сумму не входит стоимость доставки. Доставка осуществляется следующими курьерскими службами: «Сити-экспресс», «Норд-экспресс».
Откуда осуществляется доставка USB-токена?
Доставка до Вашего региона осуществляется курьерской службой из г. Нижний Новгород.
Какой срок действия у USB-токена?
USB-токен срока действия не имеет. Электронная подпись действует 1 год, после завершения которого Вам необходимо будет вновь обратиться в Удостоверяющий центр «Гамма-Технологии», чтобы пройти процедуру перевыпуска ЭП. Покупать при этом новый USB-токен не обязательно.
Криптопровайдер «Тумар CSP», сертифицированное в Республике Казахстан средство криптографической защиты информации, соответствующее требованиям всех уровней безопасности установленным «СТ РК 1073 – 2002. Средства криптографической защиты информации» .
Программный комплекс «Удостоверяющий Центр «CERTEX» по управлению регистрационными свидетельствами, реализующий инфраструктуру открытых ключей и отвечающий требованиям законодательства РК в области информационной защиты:
Программный комплекс «CERTEX» обеспечивает создание распределение и управление ключевой информацией с помощью цифровых регистрационных свидетельств в различных информационных системах для реализации технологии инфраструктуры открытых ключей (ИОК или PKI – Public Key Infrastructure). Программный комплекс «CERTEX» устанавливает порядок взаимоотношений между пользователями информационных систем и обеспечивает доступность и достоверность ключевой информации, принадлежность и соответствие открытых ключей их владельцу, защищенные механизмы получения, смены и отзыва ключей.
Важными компонентами этой инфраструктуры являются Удостоверяющие центры(центры сертификации), которым доверяют все пользователи системы. Удостоверяющие центры решают наиболее важные задачи по обработке запросов, изданию, отзыву и публикации регистрационных свидетельств, определению политики их использования, настройке параметров и конфигурации системы.
Использование цифровых регистрационных свидетельств обеспечивает необходимый уровень универсализации при использовании документооборота в корпоративных сетях, электронной почты, доступе к сетевым устройствам и Web-узлам, организации VPN-соединений, авторизации на уровне операционных систем, СУБД и приложений.
Цифровые регистрационные свидетельства являются основой доверительных отношений между участниками в процессе обмена данными. Наличие регистрационного свидетельства, принадлежащего корреспонденту, позволяет вести с ним защищенный обмен данными: конфиденциальную передачу информации (шифрование), определение подлинности электронных документов, проведение процедуры строгой аутентификации взаимодействующих сторон.
Программный комплекс «CERTEX» позволяет строить иерархические и сетевые модели инфраструктуры открытых ключей любой степени вложенности.
В удостоверяющем центре Федерального казначейства получение ЭЦП с начала 2022 года происходит по измененным правилам. Обновлены категории пользователей, которые вправе получить сертификат электронной подписи. Далее расскажем подробнее о произошедших изменениях и опишем процедуру получения ЭЦП через казначейство.
Как выбрать удостоверяющий центр для получения электронной подписи
С 2022 года правила получения ЭЦП изменились. Теперь выбор удостоверяющего центра находится в прямой зависимости от того, кем является получатель подписи:
- Представители кредитных организаций, операторов платежных систем, некредитных финансовых организаций будут обращаться в удостоверяющий центр Банка России.
- Физлица и лица, действующие от имени организаций по доверенности, получат КЭП в коммерческих удостоверяющих центрах. Последним предстоит пройти переаккредитацию.
- Руководителям юридических лиц (действующим без доверенности), индивидуальным предпринимателям, нотариусам нужно будет прийти за КЭП в удостоверяющие центры ФНС.
- Лица, определенные в подп. «а» п. 5 приказа Казначейства России от 15.06.2021 № 21н, а также в ч. 3 ст. 17.2 и ст. 17.4 закона № 63-ФЗ, будут обращаться за получением сертификата ЭЦП в Федеральное казначейство, точнее, в его удостоверяющий центр. Кто входит в данный перечень, мы выясним в следующем разделе.
Какие нюансы и новшества нужно учесть руководителям и сотрудникам коммерческих предприятий в 2022 году при получении квалифицированных электронных подписей, читайте в специальном обзоре от справочно-правовой системы «КонсультантПлюс». Для просмотра материала оформите бесплатный пробный доступ к системе.
Итоги
Получение ЭЦП в Казначействе с 2022 года регулируется приказом ФК № 21н. В нем прописаны основные функции УЦ ФК, категории лиц, имеющих право обратиться в Казначейство за получением ЭЦП, порядок получения, создания и аннулирования сертификатов электронных подписей и т. д.
В статье мы остановились на основных моментах, связанных с обращением в Казначейство за сертификатом ЭП. Итак, получить сертификат в Казначействе могут только лица, связанные с управлением на государственном, региональном или местном уровне. Коммерческие организации и предприниматели обращаются в УЦ за ЭЦП только в тех случаях, когда происходит выделение в их адрес средств из бюджета, подлежащих казначейскому сопровождению.
Более полную информацию по теме вы можете найти в КонсультантПлюс.
Пробный бесплатный доступ к системе на 2 дня.
Вы можете скопировать QR-код и использовать:
• при составлении любого договора в разделе “Реквизиты”, для быстрого получения актуальной информации о компании (Вашей или Вашего Контрагента);
• на визитках, презентациях или рекламных буклетах (для быстрого получения информации о Вашей компании);
• в любых других случаях, где нужно предоставить актуальную официальную информацию о Вашей компании.
Использование онлайн-сервиса для получения сертификата ЭЦП
На официальном сайте Казначейства размещен специальный онлайн-сервис, с помощью которого можно сформировать заявку для получения сертификата ЭП. Чтобы им воспользоваться, заявителю необходимо:
- Проверить настройку АРМ для работы с порталом заявителя.
- Получить средство ЭП (КриптоПро CSP версии 4.0) в территориальном органе ФК, если оно отсутствует.
- Настроить автоматизированное рабочее место (далее — АРМ) для работы с порталом заявителя. В сервисе перечислены возможные варианты используемых операционных систем и браузеров с поддержкой криптоалгоритмов ГОСТ. Также потребуется установить:
- сертифицированную версию СКЗИ КриптоПро CSP 4.0;
- плагин «КриптоПро ЭЦП Browser Plugin»;
- драйвер ключевого носителя;
- сертификаты Минцифры России и УЦ ФК.
После установки производится проверка работы плагина.
- Подать документы на создание сертификата с использованием портала заявителя. Отметим, что подать документы на создание сертификата можно как с использованием уже имеющейся ЭП, так и без нее. Все необходимые инструкции приведены в сервисе: нужно шаг за шагом выполнить их, чтобы заявка ушла в удостоверяющий центр.
- Ждать письмо после подачи заявки с ответом и дальнейшими инструкциями на электронную почту. Срок ожидания — не более 5 рабочих дней.
При изготовлении и получении электронной подписи организация может понести определенные расходы. Как их учесть, узнайте из готового решения от К+. Воспользуйтесь демодоступом к системе. Это бесплатно.
Потребуют ли в федеральном казначействе доверенность на получение ЭЦП?
В тех случаях, когда за получением сертификата обращается сотрудник организации (коммерческой или некоммерческой), необходимо представить в Казначейство доверенность на получение ЭЦП. Данным документом юридическое лицо может удостоверить право лица:
- на владение сертификатом;
- подписание документов с помощью сертификата от имени компании-заявителя;
- подачу в удостоверяющий центр необходимых для выпуска сертификата сведений;
- ознакомление с информацией, содержащейся в получаемом сертификате;
- получение руководства по обеспечению безопасности использования КЭП.
Дополнительно разрешается прописать и иные права, касающиеся использования ЭЦП.
Оформить доверенность следует на фирменном бланке организации (с указанием наименования, адреса, контактных телефонов, ИНН, ОГРН и прочих реквизитов).
Мы подготовили образец доверенности на получение ЭЦП в Казначействе. Надеемся, он поможет нашим читателям сформировать свой собственный документ. За основу взят бланк, представленный на официальном сайте Казначейства РФ.
Читайте также: