В этой публикации в связи с изменениями в законодательстве в части касающейся порядка использования ЭЦП представляю своё понимание вопросов, связанных с ЭЦП, и рассматриваю несколько популярных вопросов:
▪️Что такое экспортируемый и неэкспортируемый ключ ЭЦП
▪️Возможно ли технически сделать копию неэкспортируемого ключа ЭП
▪️И можно ли делать копии неэкспортируемых (и других) ключей ЭЦП юридически.
В конце декабря 2022 года был принят Федеральный закон № 536-ФЗ. Который в частности продлевает срок использования ЭПЦ, выданных коммерческими удостоверяющими центрами до 31.08.2023г. После этой даты использование таких электронных подписей будет запрещено. А аккредитованные коммерческие УЦ смогут выдавать только подписи для физ. лиц (должностных лиц организации по доверенности).
С 01 сентября 2023г. Такие подписи (на сотрудников) можно будет использовать только с приложением так называемой машиночитаемой доверенности или МЧД. При этом никто пока не знает кто и каким порядком будет выпускать МЧД. А запреты уже ввели. В общем, всё как всегда.
Что такое экспортируемый ключ ЭЦП
Экспортируемый ключ электронной подписи (или извлекаемый) это такой ключ, контейнер которого можно копировать (переносить) на другие носители без технических ограничений.
Копирование контейнеров экспортируемых ключей производится с помощью стандартных средств программ криптографической защиты, таких как КРИПТО ПРО.
Итак, экспортируемый или извлекаемый ключ ЭЦП можно легко скопировать стандартными программами для криптографии.
Что такое неэкспортируемый ключ ЭЦП
ФНС (Федеральная налоговая служба), изучив положения новых законодательных актов об электронных подписях, пришла к выводу, что новые требования безопасности ФСБ к электронным ключам ЭП можно соблюсти лишь запретив копирование ключей ЭЦП.
Таким образом, в соответствии с новой нормативной базой, ФНС выпускает ЭЦП на руководителей с 01.01.2022 только в неэкспортируемом варианте. Итак:
Неэкспортируемый ключ ЭЦП — такой ключ, который нельзя скопировать на другой носитель стандартными программами и средствами.
С этим разобрались.
Как проверить экспортируемый ключ или не экспортируемый
Итак, проверить возможность копирования (экспортируемости) ключа электронной подписи можно как минимум двумя простыми способами:
1. С помощью КРИПТО ПРО CSP опцией «протестировать»:
Итак, вставляем ваш рутокен или другой носитель с ЭЦП, запускаем КРИПТОПРО CSP, и выбираем меню «сервис» кнопку протестировать:
После этого откроется окно выбора вашего контейнера на токене:
И затем после нажатия на ОК, в окне мастера проверки нужно будет найти информацию о запрете или разрешении экспорта ключа:
Как видите, экспорт данного ключа запрещён. Это значит, кто ключ у вас будет физически в единственном экземпляре на этом носителе. И скопировать стандартными средствами на другой носитель его не получится.
2. При попытке копирования не экспортируемого ключа ЭЦП будет ошибка:
Второй способ проверить вашу ЭЦП на возможность копирования заключается в банальной попытке скопировать с помощью опять же КриптоПро CSP контейнер:
И вот тут после выбора контейнера для копирования, вы увидите вот такое примерно сообщение:
*В разных версиях Крипто Про будут разные по текстовке сообщения, но смысл их всех один и тот же.
Можно ли делать копии неэкспортируемых (и других) ключей ЭЦП юридически?
Существует разные мнения на этот счёт, но лично я считаю, что нельзя. Приведу скрин с одного трастового портала — удостоверяющего центра, разъясняющего этот момент:
Информация, как я уже говорил, с портала Астрал. Итак, строго говоря, мы вообще имеем то, что копирование любых ключей как бы юридически незаконно.
Можно ли технически скопировать неэкспортируемый ключ ЭЦП?
Да, разумеется. Техническая возможность сделать неэкспортируемый ключ экспортируемым — есть. Но это можно делать только с помощью специального софта, который в магазине не купишь. Вообще, с копированием неэкспортируемых ключей была целая истерика у людей весь 2022 год.
Если вы дочитаете эту статью до конца, то я назову некоторые объективные причины такой паники. И вы знаете, даже на порталах контур.ру и ФНС были выложены утилиты для копирования неэкспортируемых ключей, контейнеров.
Однако к концу 2022 года со всех официальных порталов, сайтов ведомств эти утилиты резко исчезли. Потому я не буду давать тут ссылки на скачивание и мануалы для разблокировки экспорта неэкспортируемых ключей ЭП. Потому что у меня возникли подозрения, что не зря их отовсюду убрали. Видимо, их использование всё-таки незаконно…
ЭПИЛОГ
Однако, в погоне за соблюдением норм безопасности, законодатели забывают несколько моментов:
▪️Поскольку директора организаций не имеют представления как настраивать АРМ для работы на электронных площадках, то передавать ЭЦП им всё-равно придётся программистам/админам. Однако, юридически этого делать нельзя. Пат. Тупик. Значит, придётся нарушать законодательство в любом из случаев. Тогда зачем все эти ограничения на экспорт ключа?
▪️Ключ ФНС выдаёт в единственном экземпляре физически. Однако безопасность это помимо всего прочего ещё и надёжность. Любой ИТ — специалист вам скажет, что отсутствие возможности сделать резервную копию неважно чего — это грубейшее нарушение в части касающейся безопасности. Если этот полученный директором единственный рутокен выйдет из строя, то придётся получать новый ключ в ФНС. Зачем усиливать одну безопасность и тут же резко ослаблять другую? Опять пат. И тупик.
▪️До сих пор существует множество площадок, систем, технических порталов, на которых какое-либо действие можно совершить только с помощью ЭЦП руководителя. А она выдаётся только в 1 экземпляре теперь. Директор не будет же бегать по разнесённым на больших расстояниях порталам, рабочим местам, точкам, объектам, чтобы что-то настроить или заверить, отправить, подписать? Ему итак заняться есть чем? Верно? Да и физически он не успеет этого сделать в ряде случаев. Опять тупик? Пат. Срыв отчётности? Срыв Гос. оборон заказа? Тюрьма? Что ему делать то? ФНС об этом подумала?
Эти и другие вопросы ставят под сомнения новые законы и инициативы, связанные с использованием электронных подписей в нашей стране.