ЧаВо (F.A.Q.)

Несмотря на сходство в названии, ключи электронной цифровой подписи (ключи ЭЦП) и электронная цифровая подпись (ЭЦП) - это очень разные вещи.

Ключи ЭЦП выпускаются удостоверяющим центром и передача закрытых ключей ЭЦП запрещена по закону. Закрытые ключи ЭЦП используются при подписании электронных документов и аутентификации пользователей. Результатом подписания является электронная цифровая подпись (ЭЦП), она вычисляется математически из закрытого ключа ЭЦП и подписываемого электронного документа.

ЭЦП - это блок данных, вычисляемый из закрытого ключа ЭЦП и подписываемого электронного документа. ЭЦП обеспечивает неизменность электронного документа, неотказуемость подписания и принадлежность подписи подписанту.

Больше информации в статье Что такое ЭЦП?

В соответствии с Цифровым кодексом РК:

• статья 62, пункт 2 - Электронный документ, соответствующий требованиям настоящего Кодекса и удостоверенный посредством электронной цифровой подписи лица, имеющего полномочия на его подписание, равнозначен подписанному документу на бумажном носителе.
• статья 49, пункт 2 - Электронная цифровая подпись равнозначна собственноручной подписи подписывающего лица и имеет равную юридическую силу при одновременном соблюдении следующих условий:…

То есть, подписав электронный документ с помощью ЭЦП, Вы можете быть уверены в том, что такой документ будет полностью соответствовать требованиям законодательства и будет равнозначен документу подписанному от руки.

Относительно SMS Цифровой кодекс РК гласит:

• статья 47, пункт 1 - Цифровое подтверждение - действие субъекта цифровой среды, выражающее согласие или иное волеизъявление, совершаемое после прохождения цифровой аутентификации с использованием средств цифровых технологий.
• статья 47, пункт 4 - Цифровое подтверждение не является электронной цифровой подписью и не обеспечивает достоверность и неизменность содержания цифровой записи.

Если раньше у кого-то были сомнения в том, могут ли SMS, одноразовые коды, биометрические подтверждения и другие способы, быть аналогами ЭЦП, то теперь сомневаться не нужно.

ЭЦП, в отличие от SMS, обеспечивает авторство (документ был подписан определенным субъектом), неотказуемость (субъект не сможет утверждать что подписал не он) и неизменяемость документа (если после подписания документа в него внесут изменения, то подпись перестанет проходить проверку).

Таким образом, если Ваш контрагент заявит, что он не подписывал определенный документ или что текст его изменен, экспертиза сможет однозначно доказать обратное выполнив проверку ЭЦП.

Электронный документ представляет собой совокупность файлов, состоящую из подлинника электронного документа и вычисленных подписей под документом.

Подписи хранятся в SIGEX без возможности удаления, а также доступны для скачивания в любой момент времени.

Подлинники документов можно хранить предпочтительным для Вас способом:

• По умолчанию SIGEX хранит только цифровые подписи под документом. Подлинники документов при этом хранятся на стороне подписантов. При каждом подписании или формировании карточки электронного документа пользователю необходимо загружать на SIGEX подлинник документа.
• При активации архивирования подписанных данных в настройках пользователя или организации, подлинники электронных документов будут сохраняться на SIGEX бессрочно.
• Использование временного хранилища позволяет хранить подлинники электронных документов до двух недель, после чего они удаляются.

Содержимое подписанного документа ничем не отличается от содержимого неподписанного документа. Подлинник подписанного документа не приобретает каких-либо отметок или штампов. Для удобной работы пользователей мы предлагаем формировать карточки электронных документов.

Карточка позволяет ознакомиться с визуализацией документа, изучить информацию о подписантах, а также очень легко перейти на страницу подписанного документа, и проверить подписи. Посмотреть как это работает можно в разделе Инструкции.

Все очень просто - потому что это невозможно.

Позвольте пояснить. ЭЦП формируется с помощью криптографического алгоритма из закрытого ключа и подписываемого документа (об этом детальнее читайте в статье Что такое ЭЦП?). То есть в момент подписания документа ЭЦП еще не сформирована. С другой стороны ЭЦП вычислена из содержимого документа, проверка ЭЦП под документом подразумевает проверку того, что содержимое документа не изменилось с момента подписания. Таким образом если мы будем как-то пытаться встраивать ЭЦП в документ, то этот документ перестанет проходить проверку ЭЦП и, соответственно, не будет иметь никакой юридической значимости (немного о юридической значимости электронных документов написано в статье Как предоставлять документы, подписанные электронной цифровой подписью, в суд).

Важный нюанс во всем вышесказанном заключается в том, что наш сервис под электронным документом (в соответствии с формулировкой в Цифровом кодексе РК) понимает именно тот файл, который Вы подписываете. Это может быть и PDF и DOC/X и XLS/X - любой файл.

Некоторые информационные системы, такие как портал Электронного правительства, умеют формировать PDF файлы (либо DOC, либо что-то в каком-то другом формате), в которые встроена информация об ЭЦП. Яркий пример таких документов - справки с EGOV.

Важно понимать что такие PDF файлы не являются электронными документами (опять же в соответствии с формулировкой в Цифровом кодексе РК). Электронными документами, подписанными ЭЦП, в этом случае являются блоки XML данных, а PDF документ - это визуальное представление какой-то части данных из XML и цифровых подписей, сам он юридической силы не имеет.

К сожалению с такими документами нередко возникают проблемы: https://ct.kz/looking-for-a-digital-signature/

На самом деле наш сервис умеет работать и с XML подписями, но мы не стали добавлять поддержку XML подписей в веб интерфейс, так как XML - это формат для машин, а не для людей. Большинство наших сограждан не смогут разобраться в XML.

Для того, чтобы предоставить нашим пользователям возможность распечатывать подписанные документы, мы разработали функцию печати информации о цифровых подписях, она доступна прямо на странице подписанного документа.

Но, по большому счету, Вам достаточно просто файла с идентификатором SIGEX в имени. По этому файлу Вы всегда можете открыть страницу подписанного документа и ознакомиться с тем, кто подписывал документ.

Идентификатор подписанного документа в SIGEX, или просто идентификатор SIGEX - это последовательность латинских букв и цифр, уникально идентифицирующая зарегистрированный в сервисе SIGEX подписанный документ.

Интегрированные с сервисом информационные системы используют этот идентификатор для получения информации о подписях под документами, для регистрации новых подписей и для проверки подписей и документов.

Идентификатор принято добавлять в имя файла подписанного документа, по такому файлу легко открыть страницу подписанного документа на https://sigex.kz, также такие файлы корректно обрабатывает приложение SIGEX Desktop for Windows.

Имя файла со встроенным идентификатором SIGEX имеет следующий вид: "Договор №12-SigexIdc49rHgTTmgJupChZ.pdf", то есть к оригинальному имени файла (перед расширением) добавлен суффикс "-SigexId" + идентификатор.

Очень широкий вопрос, если кратко:

• мы ставим безопасность во главу разработки программного обеспечения - используем современные языки программирования, применяем инструменты статического анализа исходных кодов, автоматически детально тестируем каждое изменение, каждый релиз проходит стадию ручного тестирования;
• мы непрерывно обновляем компоненты и системы;
• мы применяем современные средства защиты телекоммуникационных каналов (TLS);
• мы храним электронные документы в зашифрованном виде;
• мы следуем лучшим практикам обеспечения безопасности инфраструктуры;
• у нас внедрены средства мониторинга большого количества метрик наших сервисов, это позволяет нам быстро выявлять нестандартные ситуации;
• у нас внедрены средства анализа событий информационной безопасности, то есть мы можем в автоматическом режиме выявлять подозрительную активность на наших серверах;
• у нас внедрен контроль доступа административного персонала к серверам и сервисам;
• у нас реализован контроль доступа пользователей к данным.

Мы с полной серьезностью относимся к документам, в частности:

• по умолчанию мы не храним документы, только подписи под ними;
• мы просим предоставлять документы в процессе их регистрации и в некоторых других случаях (к примеру для формирования Карточек или CMS ezSigner), в этих случаях мы обрабатываем документы в оперативной памяти наших серверов, они не попадают на жесткие диски;
• сервис защищен от перебора идентификаторов документов;
• реализована возможность помечать документы как документы с ограниченным доступом;
• в том случае, если пользователь активирует опцию архивного хранения документов, то перед помещением документов в архив мы их шифруем.

Да, мы совместно с Казахстанской ассоциацией автоматизации и робототехники (KAAR) разработали универсальный формат - Карточка электронного документа (КЭД).

КЭД - это контейнер для универсальной работы с подлинником электронного документа, включающий в себя визуализацию документа, визуализацию подписей (в виде текста и QR-кодов), подлинник документа и файлы подписей, то есть содержит все необходимые данные для проверки цифровых подписей и подлинности документа, при этом не внося изменений в сам подлинник документа. Подробности читайте в статье Представляем карточки электронных документов.