ЭЦП для подписи файлов сотрудниками?

Question

[Андрей Шевчук]

Предположим, компания хочет подписывать произвольные файлы с помощью юридически значимой ЭЦП (по ФЗ №63). Чтобы потом передать файл компании-партнёру, и там могли его как обычно открыть, и при желании (и наличии софта) убедиться, что он подписан таким-то сотрудником (или сотрудниками; удостоверяется лицо, а не компания, т.е.). Для этого, конечно, подпись должна быть отсоединённой, иначе партнёр без софта ничего не откроет.


Чтобы получить ЭЦП, нужен удостоверяющий центр. Но сайты центров пестрят предложениями купить ЭЦП для торгов, отчётности, взаимодействия с госорганами и пр., а обычные сертификаты для подписи файлов никто не предлагает. Я понимаю, что с помощью более навороченных сертификатов можно и файлы подписывать, но такое единодушие меня немного сбивает с толку, так что я уже слегка запутался.


Может, я чего-то недопонял, и сегодня ещё попросту нет возможности запустить программу, скормить ей файл и подпись, и получить от аккредитованного удостоверяющего центра сведения о том, чья это подпись и валидна ли она?


Поэтому вопросы такие:

1. Возможно ли описанное выше?
   
2. Если да, что именно для этого нужно? Я полагаю, сертификаты для сотрудников + софт, но какие сертификаты, чем они отличаются, мб нужно что-то ещё?
   
3. Где лучше брать и сколько стоит?
   
4. Я уже думал об УЭК для сотрудников, я здоров? Если да, есть ли подводные камни?
   
5. Если описанное выше невозможно, как к этому подобраться ближе всего? Cвой удостоверяющий центр, наверное, затевать дороговато.
   

Comments

[Василий]

Есть важный вопрос — требуется ли юридически значимая (по законам РФ) ЭЦП или просто ЭЦП для проверки подлинности документа.

[Андрей Шевчук]

VasiliyIsaichkin, да, это было бы желательно

Answer 1

[ystr]

Ответы на вопросы:
1) Да, такое конечно возможно;
2) Для более правильного решения необходимо выдавать всем сотрудникам так называемые «квалифицированные сертификаты» (см. ФЗ №63). В результате получатся так называемые «юридически значимые подписи». Сертификаты для торгов и прочая отличаются от обычных сертификатов для физических лиц (или сотрудников) только дополнительными «назначениями использования» (мало значащими для вас полями сертификатов). Подписывать сообщения можно с помощью любого сертификата. Органичения на использование могут накладывать только программы с помощью которых вы будете делать такую подпись;
3) В любом УЦ. Только лучше чтобы на сайте было упоминание что это «УЦ аккредитованный по 63-ФЗ». Позвоните им и узнайте могут ли они обслуживать вашу компанию и выдавать сотрудникам подписи. Уверен что любой УЦ ответит положительно;
4) Да, можно использовать и УЭК — там сертификат тоже «квалифицированный». Только вот одно «но» — в сертификате с УЭК обычно указывают домашний адрес владельца, а эту информацию обычно желают прятать. Лучше на мой взгляд договориться с УЦ — там сразу будет указана компания сотрудника, должность и все что пожелаете, вплоть до адреса в Skype;
5) Свой УЦ делать излишне, см. рекомендации выше;

Comments

[Андрей Шевчук]

Большое спасибо за развёрнутый ответ. Многое мне уже известно, но за подтверждение возможности и подробности про УЭК отдельное спасибо =) А как софт при проверяет достоверность сведений о подписанте, в неё «зашит» список доверенных УЦ (или способ его получения), или нашим партнёрам придётся вручную добавлять наш УЦ в доверенные?

[ystr]

Добавляется корневой сертификат вашего УЦ в хранилище сертификатов «доверенные корневые центры» и всё. Операция разовая.

[Андрей Шевчук]

Эх, так я и думал. Была надежда, что есть государственный реестр аккредитованных УЦ со ссылками на их корневые сертификаты, и соответствующее ПО просто берёт их оттуда. Ну да ладно, усложнение всё же не очень существенное. Ещё раз спасибо.

[ystr]

Реестр пытаются организовать, но работает это всё пока крайне плохо. Так что наиболее правильно самостоятельно устанавливать сертификат УЦ в «доверенные» на каждой машине.

[Николай Турнавиотов]

ystr угу. на всех сотнях машин… ручками…
Мистер что-то про групповые политики для домена слышал?

[ystr]

А мистер слышал, что не везде машины в домены входят?

Answer 2

[mayorovp]

Достаточно локального центра сертификации с самоподписанным сертификатом — если конечно под «партнерами» вы не понимаете весь мир.

Comments

[Андрей Шевчук]

Спасибо за ответ. Имеются ввиду российские компании-партнёры, обновил вопрос. Т.е. желательно, чтобы это было что-то более универсальное.

Answer 3

[Николай Турнавиотов]

На уровне компаний и Active Directory можно настроить эцп и доверия доменов и подружить между собой выдающие ЦС.

Comments

[Андрей Шевчук]

Спасибо, но партнёрство у нас обычно не настолько тесное =)

Answer 4

[polyakstar]

Есть такой сервис для юрлиц kontur.spb.ru/diadoc/
Там все реализовано. и УЦ, и сам документооборот