Смотрится как печать с моим именем, длинным кодом

  Здравствуйте!

 1. Что такое электронная подпись на самом деле (юридический ликбез)

Согласно Федеральному закону № 63-ФЗ «Об электронной подписи», электронная подпись — это не картинка, а информация в электронной форме, которая присоединена к документу и позволяет идентифицировать подписавшее лицо .

Конструктивно она состоит из двух элементов:

1. Ключ электронной подписи (закрытый ключ): Это уникальная последовательность символов. Он хранится только на вашем физическом носителе (токене — устройстве, похожем на флешку) и используется для создания подписи. Это ваш цифровой аналог собственноручной подписи, и он должен храниться в тайне .

2. Ключ проверки (открытый ключ): Он общедоступен и связан с вашим закрытым ключом. Именно он содержится в сертификате и позволяет любому получателю документа убедиться, что подписано было именно вами и документ не меняли.

Ваш главный вывод: То, что вы видите в документе — это «печать» (визуализация), которая создается с помощью закрытого ключа, но сам закрытый ключ в документе не содержится.

2. Почему её невозможно украсть простым копированием (технические детали)

Скопировать подпись, как вы опасаетесь, т.е. взять ее из одного файла и вставить в другой, не получится по трем причинам:

1. Криптографическая привязка: Электронная подпись уникальна для каждого документа. Она создается путем сложного преобразования содержимого документа с использованием вашего закрытого ключа. Если вы скопируете подпись из документа «А» в документ «Б», программа проверки сразу увидит, что содержимое документа («Б») не соответствует «слепку», который хранится в подписи, и выдаст ошибку. Подпись окажется недействительной .

2. Защита ключа (неэкспортируемость): Если ваш носитель (токен) соответствует современным стандартам безопасности, ваш закрытый ключ является неэкспортируемым и неизвлекаемым. Это значит, что даже если злоумышленник подключит ваш токен к компьютеру, он не сможет скопировать файл ключа. Ключ физически не покидает чип токена .

3. PIN-код: Для использования подписи (то есть для обращения к закрытому ключу на токене) нужно каждый раз вводить PIN-код. Это как пин-код от банковской карты. Без него устройство не даст команду на подписание. При этом на носителе установлен лимит попыток ввода (обычно 3-5), после чего токен блокируется .

3. Ваша ответственность и нормы права

Закон возлагает ответственность за сохранность ключа на вас. Статья 10 Закона № 63-ФЗ обязывает участников электронного взаимодействия обеспечивать конфиденциальность ключей электронной подписи .

Что это значит на практике:

· Если кто-то использует вашу подпись, предполагается, что это сделали вы, пока не доказано обратное.

· Именно поэтому выдача токена и знание PIN-кода приравниваются к вашему личному волеизъявлению на подписание документа.

4. Как защитить себя и не бояться (практические советы)

Чтобы ваши страхи окончательно развеялись, следуйте простым правилам, которые рекомендует ФНС и эксперты по безопасности:

· Смените заводской PIN-код. При получении токена на нем стоит стандартный пароль (например, 12345678). Его нужно сменить на свой собственный, сложный, который никто не знает .

· Никому не давайте токен и не сообщайте PIN-код. Даже сотрудникам вашей бухгалтерии или доверенным лицам. Если нужно, чтобы документы подписывал кто-то другой, закон предусматривает механизмы (например, оформление машиночитаемой доверенности для сотрудников), а не передачу вашего личного ключа .

· Проверяйте документы на экране. Перед тем как нажать «подписать», внимательно прочитайте документ. Злоумышленники могут попросить подписать один файл, а в системе откроется другой .

· Храните токен в надежном месте. Не оставляйте его в компьютере, когда не работаете с подписями .

· При утере — немедленно отзывайте сертификат. Если вы потеряли токен или подозреваете, что PIN-код стал известен третьим лицам, сразу же обратитесь в удостоверяющий центр, который выдавал вам подпись, для аннулирования сертификата. Это сделает украденный ключ бесполезным .

Резюме: Ваша подпись защищена криптографией и законом не хуже, а в чем-то даже лучше, чем рукописная. Ваша задача — беречь физический носитель (токен) и хранить в тайне PIN-код. В этом случае риск использования подписи без вашего ведома минимален.