День добрый, упорно гуглил, но не нашёл толком информации.
Суть примерно такая: например юзер на сайте принимает на себя какие-либо обязательства, или происходит какая-нибудь договорённость между юзерами. Чтобы потом в суде можно было доказать, что один пользователь перед другим имеет какие-то обязательства происходит подпись файла какого-нибудь документа простой электронной подписью, которая является цифровым аналогом обычной подписи ручкой.
Везде где находил упоминания о этом, под простой подписью подразумевалась пара логина и пароля. Что за логин и пароль могут иметься в виду? Данные авторизации на сайте должны прописываться куда-нибудь в служебную область файла? Или логин и хэшированный пароль, тот же что в бд сайта хранится?
Везде в интернете по этому поводу есть только общая информация, а конкретики, к сожалению, нет. :(
Кто-нибудь решал задачу подписи файлов, может подсказать, как и в каком формате это делается?
Для начала нужно обратиться к криптопровайдеру уполномоченному выдавать электронные подписи, оплатить его услуги, получить подпись, установить сертификат - и можно подписывать документы. Сделать это можно как из специальной программы, так и из командной строки.
Самому ее сделать невозможно, т.е. сгенерировать сертификат конечно можно, но файлы подписанные такой подписью юридической силы иметь не будут.
В законе оговорены три вида подписи.
1)простая
Это банальный логин-пароль.
Самый элементарный пример такой подписи - авторизация на сайте.
Допустим вы зашли на сайт указав свой логин и пароль, и нажали кнопку "согласен" - вы подписались простой электронной подписью.
Надо понимать что с одной стороны она вроде бы как и приравнивается к собственноручной подписи, но не все так просто.
Во первых она имеет ограничения, не все можно подписать, во вторых в суде вам придется доказывать что собственно подпись была. Т.е предъявлять логи, информацию из БД, и прочее - и не факт что суд ее признает. Не докажете что была - значит не было. В простой подписи никакой криптографии нет.
Поэтому подписывать таким образом текстовый файл бессмысленно.
2)неквалифицированная
Тут уже используется криптография - т.е это элементарная ЭЦП, только вот сертификат вы сами создали, или его создал кто-то другой не имеющий соответствующих полномочий.
Это уже получше, такая подпись по крайней мере подтверждает неизменность документа.
Ей можно пользоваться, но тоже с оговорками - если вы и ваш контрагент доверяете лицу создавшему сертификат, то все хорошо.
Но кто то из вас усомниться, то опять же в суде надо будет долго и нудно доказывать, что подпись была, и не факт что удастся.
3)квалифицированная
А вот этим уже можно пользоваться - такую подпись выдала организация имеющая соответствующие полномочия, т.е суд по умолчанию доверяет этой организации.
Вот такой подписью можно подписать и контракт, и в случае чего смело идти с ним в суд.
По букве закона сертификат для ключа простой ЭП нигде не упоминается (статьи 10-18 на простую ЭП не действуют). Для и при смене пароля на сайте гос.услуг Вы ведь не получаете сертификат Вашей простой ЭП ...
Спасибо за информацию! Третий вариант нужен, но всё равно, есть смысл или нет, первый вариант в ТЗ присутствует. :( Вот если всё же кто-то по причинам не имеющим практического смысла использует простую подпись, в каком виде она добавляется в файл? Или это может быть время генерации файла в БД, его хэш, например, там же логин юзера, который сгенерировал файл с данных хэшем? То есть, в самом файле никакой подписи может и не быть, главное иметь в базе информацию, которая в теории может подтвердить принадлежность данного файла данному пользователю?
По факту получения распоряжения создавайте (в БД или файловой системе или где-то еще) мета-документ, содержащий исходный документ, информацию о логине пользователя, информацию о предоставленных креденциалах пользователя в момент логина, информацию, подтверждающую, что с момента логина до момента отправки пользователь не менялся, дату время первого и второго события. А потом будьте готовы доказывать, что в инф.системе предприняты все необходимые меры по обеспечения неизменности этого мета-документа с момента создания до любого момента факта проверки. (Например, можно пойти на крайность и по факту создания мета-документа на принтере печатать строку ИД+хеш и в конце дня подписывать этот журнал двумя уполномоченными сотрудниками)
@Hayate : будьте осторожны с "отдельным" хранением простой ЭП т.к. есть статья 9 63-ФЗ, в которой написано 1. Электронный документ считается подписанным простой электронной подписью при выполнении в том числе одного из следующих условий:
1) простая электронная подпись содержится в самом электронном документе;
Простая электронная подпись - не использует криптографию и соответственно не может использоваться для подтверждения целостности какого-либо документа/сообщения/файла (о чём в принципе явно указано в 63-ФЗ). Ее применяют на свой страх и риск участники обмена по взаимной договоренности в основном в тех случаях, когда риски, связанные с ее использованием невелики, а сама информационная система имеет массу сертификатов и заключений об отсутствии НДВ.
В принципе, конечно, достаточно выполнить все требования статьи 9 63-ФЗ и ЭП будет считаться имеющей юридическую значимость. Однако, в случае, если разработчик информационной системы - Вы (а не стороннее юр.лицо с лицензией на ТЗКИ), то не забывайте, что Вы будете фактически находиться в заведомо неравных условиях против пользователя (иметь техническую возможность манипулировать переданными Вам данными) и в суде клиент может потребовать независимую экспертизу, результат которой может оказаться непредсказуемым.
Простой
Простой
Средний
