Простая электронная подпись не требует получения ее в удостоверяющем центре, не требует специальных технических или программных средств, однако она при соблюдении определенных условий признается нашим законодательством равнозначной собственноручной подписи.
Более того, при наличии своего сервиса проверки, пЭП гарантирует достоверность подписи, в отличии от собственноручной подписи. Например третьему лицу, взявшему в руки документ, неизвестно, закорючка напротив ФИО это реальная подпись того человека или нет. А здесь зашел на указанный сервис, вбил номер подписи и ты точно знаешь, что именно данный документ подписал именно данный человек.
Как сделать такой сервис проверки, и как организовать свою пЭП и будет описано в данной статье.
PS: Данный способ не подходит для подписи счет-фактур. По счету-фактуре установлены жесткие требования — подпись либо живая, либо ЭП у оператора. А счет, акт и т.п. можно.
Комментарий юриста по данному поводу: "По счету-фактуре установлены жесткие требования — подпись либо живая, либо ЭП у оператора.
Была даже в свое время практика, можно ли подписывать сф факсимиле, вроде как примерно то же, что и живая подпись.
Суды сказали нельзя.
С ЭП будет то же самое. Слишком много бюджет теряет из-за сф."
Сначала немного законодательной теории.
Наше законодательство однозначно определяет условия признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью. Это определяется ФЗ №63 от 06.04.2011 статья 9 “Использование простой электронной подписи”. Данный закон голосит:
1. Электронный документ считается подписанным простой электронной подписью при выполнении в том числе одного из следующих условий:
1) простая электронная подпись содержится в самом электронном документе;
…
2. Нормативные правовые акты и (или) соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать, в частности:
1) правила определения лица, подписывающего электронный документ, по его простой электронной подписи;
2) обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность.
Т.е. для законного использования пЭП нам необходимо:
- код подписи вписать в документ (что и так понятно)
- придумать правила определения подписавшего лица
- способ обеспечения конфиденциальности
Правила определения подписавшего лица и способ обеспечения конфиденциальности удобнее всего описывать в договоре. В теле договора должно быть описано что стороны признают пЭЦП равнозначной собственноручной подписи при соблюдении правил описанных в Приложении 1. В Приложении 1 соответственно должны быть описаны правила и порядок формирования пЭП.
Приведу пример как это сделано у меня в договоре оферте. Я не претендую на то, что это идеальный вариант, но думаю в качестве живого примера читателям будет интересно.
В разделе 1, Термины и определения вводится понятие пЭП.
1.6. «Простая электронная подпись» — подпись на электронной версии документов, передаваемых между Сторонами и определяемая правилами в Приложении 1 Данного договора, пунктами 4.2 и 4.3 данного Договора и статьей 9 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи».
Далее раздел 4. Соглашение об использовании пЭП.
4. СОГЛАШЕНИЕ ОБ ИСПОЛЬЗОВАНИИ ПРОСТОЙ ЭЛЕКТРОННОЙ ПОДПИСИ.
4.1. Стороны, в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ «Об электронной подписи», дают согласие на использовании простой электронной подписи документах передаваемых между Сторонами, в том числе в закрывающих документах.
4.2. Правила и порядок формирования ключа простой электронной подписи и правила определения лица, подписывающего электронный документ, по его простой электронной подписью, определяются в Приложении 1 к данному Договору. Приложение 1 является неотъемлемой частью данного Договора.
4.3. Стороны обязуются соблюдать конфиденциальность ключа своей простой электронной подписи.
4.4. На основании п.4.2 и п.4.3. данного договора и положений п.2 статьи 9 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи», электронные версии документов размещаемые в личном кабинете Лицензиата, либо предаваемые посредством электронной почты между Сторонами, признаются равнозначными документам на бумажных носителях, подписанным собственноручной подписью.
Далее раздел 6. Порядок взаиморасчетов. Тут сказано, что закрывающие документы могут удостоверяться пЭП.
6.7. Закрывающие документы между сторонами передаются в электронном виде посредством размещения в личном кабинете Лицензиата и (или) через электронную почту и удостоверяются Простой электронной подписью.
И наконец Приложение 1, где описываются правила и порядок формирования пЭП.
Правила и порядок формирования Простой электронной подписи.
1. Правила формирования подписи.
1.1. Ключ подписи – кодовое слово или любая последовательность символов от 6 до 64 знаков известная только владельцу.
Например: «Ключ Лицензиата»
1.2. Hash ключа подписи – ключ подписи обработанный hash функцией с длинной ключа от 64 до 256 бит.
Пример получения:
- hash('sha256','Ключ Лицензиата') = cf7f0afbad1857c1da38477d79889cb378d33dee5430e9e7bf4cc04f0e3354f8
- hash('sha1','Ключ Лицензиата') = 7e3ecf5ab5ad710573a028d1a383355293b75438
- md5('Ключ Лицензиата') = 822f424c94ffbe1e9b0e53df6d851da4
1.3. Hash ключа подписи, для возможности автоматической проверки документов системой, пользователю необходимо внести в личном кабинете на сайте https://erp-platforma.com в разделе Настройки-ЭП.
1.4. В целях безопасности, 5-10 символы значения хеша ключа пользователя при выводе на экран заменяются звездочками (например: вместо 822f424c94ffbe1e9b0e53df6d851da4 на экран будет выведено 822f4*****ffbe1e9b0e53df6d851da4). Данная процедура исключает копирование ключа пользователя злоумышленником, даже в случае взлома логина-пароля аккаунта пользователя. Оригинал ключа должен храниться исключительно у пользователя.
1.5. Алгоритм получения простой электронной подписи документа:
«Простая электронная подпись» = hash_sha1(«Тип документа»+«Номер документа»+«Дата документа»+«Ключ Лицензиата»)
PS: ключ лицензиата в данной системе является “солью”.
Например:
b554f464d3cf1b128b07e96b960b7bb4a19a3c95 = hash('sha1','1'.'№03452'.'09.11.2016'.'822f424c94ffbe1e9b0e53df6d851da4')
Типы документов:
1 – Счет
2 – Акт
3 – Договор
4 – Приложение к договору
1.6. Для улучшения читабельности Электронная подпись может представляться в виде по 5 символов разделенных дефисами. Данная процедура необязательна. Дефисы при вводе подписи программой автоматически удалятся.
b554f464d3cf1b128b07e96b960b7bb4a19a3c95 = b554f-464d3-cf1b1-28b07-e96b9-60b7b-b4a19-a3c95
2. Правила проверки подписи
2.1. Удостоверение подлинности Простой электронной подписи Лицензиара.
Лицензиар на своем официальном сайте erp-platforma.com предоставляет возможность проверки подписи любого документа по адресу erp-platforma.com/ecp. Для проверки необходимо ввести Простую электронную подпись из документа в поле «Простая электронная подпись», ввести код капчи и нажать на кнопку «Проверить подпись документа». В ответ программа выдаст реквизиты документа, либо напишет «Документ не найден, подпись не подтверждена».
Данную процедуру проверки подлинности Простой электронной подписи Лицензиата может проводить как Лицензиат, так и третьи лица, которым Лицензиат передал документы.
2.2. Удостоверение подлинности Простой электронной подписи Лицензиата.
Удостоверить подпись Лицензиата Лицензиар может 4 способами:
1) В личном кабинете Лицензиата должен быть внесен Hash ключа подписи пользователя, подписавшего документ. В этом случае при получении документов по электронной почте у Лицензиара появляется возможность автоматической проверки подлинности подписи зная тип документа, номер документа, дату подписи и hash ключа подписи пользователя.
2) В случае если Лицензиат производит подпись документ в личном кабинете, и внесен hash ключа подписи пользователя, то необходимо внести сформированную Простую электронную подпись для данного Акта в соответствующую графу документ и нажать на кнопку «ЭП». Программа автоматически произведет проверку подписи и поставит ее в документ.
3) В случае если Лицензиат не вносит hash ключа подписи пользователя в личном кабинете, но хочет передавать подписанные Простой электронной подписью документы через электронную почту, Лицензиат должен доставить Лицензиару hash ключа подписи пользователя, подписывающего документы на любом носителе, в том числе на бумажном
4) В случае если Лицензиат не желает сообщать лицензиару hash ключа подписи пользователя, он вправе сделать на своих технических средствах сервис проверки подписи аналогичный erp-platforma.com/ecp и вместе с документами присылать ссылку на данный сервис, чтобы у Лицензиара была возможность проверки подлинности Простой электронной подписи документа.
Код сервиса проверки
//Сначала отбрасываем всех кто неправильно ввел капчу
if ($_POST['capcha']==$_SESSION['captcha'])
{
//Потом отбрасываем если неверный формат ЭП, на остольное даже не будем таратить ресурсы.
if ((strlen($_POST['ep'])==47)or(strlen($_POST['ep'])==40))
{
//Если есть девисы то удаляем опять проверяем
$ep=str_replace('-','',$_POST['ep']);
if (strlen($ep)==40)
{
//Здесь дожен быть запрос в БД и проверка ЭП, вывод результата проверки
}
else
echo '<br><font color=red>Неверный формат ЭП.'.strlen($ep).'</font>';
}
else
echo '<br><font color=red>Неверный формат ЭП. Должно быть 40 либо 47 символов.</font>';
}
else
{
if (isset($_POST['capcha']))
echo '<br><font color=red>Текст на рисунке не совпадает с введенным.</font>';
}PS: не забываем про исключение SQL-иньекций при постановке в запрос ЭП!
Живой пример как можно организовать работу пользователей с ЭП и работу сервиса проверки, можно почитать здесь:
Надеюсь статья будет полезна, и я хоть немного популяризирую механизм пЭП и наша жизнь станет проще.
Комментарии (85)
teifo
07.03.2017 04:00Как человек далекий от эцп и электронных документов, но почитывающий, хотел бы спросить о таком варианте. Скажем есть ЭЦП, в которой зашито кто подписал документ (фио должность), когда, тип и название документа. Примененная ЭЦП к документу формирует штрихкод (который печатается на документе, если нужна его бумажная версия), в котором зашита информация об ЭЦП и который можно считать сканером, для проверки соответствия не только электронного документа, но и бумажного варианта в случае необходимости.
Мне как человеку старых бюрократических взглядов, хочется, чтобы использование ЭЦП как-то меняло значок документа, визуализировало как бы реальную подпись, в электронном документе.badfiles
07.03.2017 05:08В этой статье описано вообще непонятно что, ибо содержимое документа не подписывается. У электронной подписи никаких бумажных аналогов быть не может, вы для создания и проверки должны проводить вычисления, использующие содержимое документа в числовом представлении.
mail-online
07.03.2017 09:31-1Подпись вычисляется на основе реквизитов документа (Тип, Дата, Номер) и кодового слова подписанта. Это однозначно идентифицирует документ по подписи. Можете еще в реквизиты сумму добавить для верности.
badfiles
07.03.2017 09:50+1Назначение у подписи другое — она не должна идентифицировать документ, а должна соответствовать ему. При этом получить валидную подпись для документа, отличающегося от оригинального хотя бы на 1 бит, должно быть, по возможности, практически невозможно без ключа. У вас «документ» — это только те данные, которые участвуют в формировании подписи. Все остальное вы из документа выкинули по определению.
Какой дурак согласится подписать ТОЛЬКО номер и дату документа, пусть даже и с суммой, я решительно не представляю.
mail-online
07.03.2017 09:34Смотря какой шрих код. Если линейный, то не получится, там 13 символов и числа. Этого недостаточно.
Если двумерный шрих код, то можете закодировать им достаточно длинный произвольный текст, в том числе и hesh сумму подписи.badfiles
07.03.2017 09:55Если вы на носитель информации (даже если это бумага) запишете цифровой документ и его подпись, то это и будет подписанный документ. Человеко-читаемые данные на этой бумажке подписанным документом не являются, зачем вообще это может быть нужно и как доверять этим данным?
gimntut
07.03.2017 11:30Люди работают с бумажными документами. Во многих случаях это быстрее и проще. Штрих-код бывает полезен, чтобы найти бумажный документ в электронной системе с помощью того же смартфона. Но главная причина конечно психологическая, всегда можно определить по штрихкоду, что документ подписан. Это удобно, когда распечатываешь документ для себя.
Но для этой цели подходит абсолютно любой код (числовой или штриховой) и желательно, чтобы в нём НЕ был «зашит ЭЦП», т.к. теоретически при большом документообороте возможны коллизии.
В любом случае, вы правы, рассматривать такой код как инструмент защиты нельзя. Можно долго сверять бумажный вариант с электронным и не заметить, что в сумме появился лишний нолик, которого в электронном варианте не было.teifo
07.03.2017 13:29А можно на пальцах объяснить? Дело в том, что в работе требуется соответствие заверенного бумажного документа и его цифрового источника. Мне казалось, что если у нас есть заверенный ЭЦП документ и соответственно он закрыт для изменений, то с помощью ПО при печати его формируется специальный штрикод, который показывает, что электронный документ не изменялся (иначе штрихкода не было бы) и что бумажный распечатан после заверки ЭЦП. Вопрос не в том, чтобы защитить бумагу от подделок, с деньгами то умудряются, а в том, чтобы избежать ручной сверки бумажного варианта с электронным. Сканером считали штрикод, сверили с ЭЦП и вроде все нормально. Почему все не так?
staticlab
07.03.2017 13:59Смотрите, вам дали распечатанный документ с штрихкодом. Вы проверили его сканером, который сказал, что документ с таким номером действительно есть в БД и подписан соответствующими лицами. Но этот штрихкод не даёт никаких гарантий по поводу того, что написано на бумаге. То есть вся распечатка по сути является просто носителем штрихкода, доверять которой в других аспектах нельзя.
teifo
07.03.2017 23:47Хммм, так штрихкод появляется только после того, как документ «закрыт» заверяющими подписями, то есть электронный документ не меняли и это просто его печатная версия. Защита от подделки самой бумаги на уровне подделки денег не предусматривается. Вопрос только в том, чтобы упростить сверку бумажной и электронной версии.
gimntut
08.03.2017 16:10Это работает до тех пор пока не влияет на принятие решений.
К примеру, у кладовщика руки часто оказываются то в ржавчине, то в мазуте. Поэтому он просит распечатать и принести ему документ.
По «заверенной» накладной он выдаёт 100 наименований товара, в том числе 36,5 килограмм гвоздей. В конце рабочего дня он отмывает руки и нажимает кнопку «выдано». В электронной системе списывается 3,65 килограмм гвоздей. Расхождение в количестве будет замечено при следующей ревизии, но будет ли замечен подлог — большой вопрос, так как для этого нужно будет сверить все бумажные документы с их электронными аналогами. Вручную!
Поэтому хэш-сумма на бумажном документе бесполезна, она не выполняет ту работу, которую делает в документе электронном. Штрих-код эффективен, только если каждое рабочее место оборудовано сканером штрих-кода. А со сверкой бумажной и электронной версий легко справляется старый, добрый номер документа.teifo
09.03.2017 08:57Штрих-код эффективен, только если каждое рабочее место оборудовано сканером штрих-кода.
Что-то типа такого да. Принесли бумажку, сверили с файликом все нормально. Вопрос тут что обязательно нужна бумажная версия документа, но работают с электронной. Но это уже местные особенности:)gimntut
10.03.2017 11:42Принесли бумажку, сверили с файликом все нормально.
Практически не возможно сверить документ из 10000 знаков в котором умышлено переставлена одна запятая, учитывая что таких документов много и о подлоге не предупреждают заранее.
А потом сиди и думай, куда делись 33 кг гвоздей.lehha
10.03.2017 22:35Подписывать ПЭП многостраничный договор, да, не вариант. Можно, например, подругому — бланк договора с внесенными данными заказчика и исполнителя хэшируется md5/sha1. Далее изготавливается Соглашение: стороны удостоверяют, что файл договора, имеющий отпечаток… подписан обеими сторонами. Этот отпечаток вставить в подпись каждой из сторон.
А остальные документы должны обязательно в подпись вставлять важные элементы документа: количество услуг, стоимость, общую сумму. Вот там-то и 33 кг гвоздей всплывут в виде некорректной подписи при проверке.gimntut
11.03.2017 11:48Вот там-то и 33 кг гвоздей всплывут в виде некорректной подписи при проверке.
Как, если для принятия решения используется бумажный документ?
Хочется увидеть это волшебное решение. Желательно на примере того же кладовщика с грязными которому нужно выдать сто наименований товара.lehha
11.03.2017 12:33Вот и при вводе документа в учетную систему (1С, например) кладовщик увидит, что его обманули. Поэтому при приеме документа кладовщик должен проверить его — шлеп сканером qrcode — и видит на экране важные элементы подписи: наименование товара, количество, сумму, итог.
gimntut
15.03.2017 06:20Люблю людей которые говорят «работник должен...» не попробовав свой совет на практике.
Вы исходите из того, что документ один и он точно подделан.
В реальности немного по другому.
Во-первых, причиной в расхождении количества очень редко является злой умысел, чаще человеческая ошибка. Если по каждому документу выдаётся сто наименований, то на 33 кг пропавших гвоздей даже внимания не обращать не будут.Важнее выяснить куда делись 3 трубы.
А во-вторых. 100 наименований, 100 сумм, 100 количеств, 100 итогов в каждом документе.
Документов за день может быть тоже 100.
А рабочих дней в месяце 20.
А месяцев в году 12.
И лишь одна переставленная запятая.
Когда её искать, если нужно выдавать товар?lehha
15.03.2017 06:31Не вижу проблем — выдавайте товар, жмите кнопки в ПО (1с или что там). Документ формируется на каждую выдачу (отгрузку) или пачкой при закрытии смены.
Я знаю, что такое «работа в поле» и видел, как сотрудник печатает два чека на одну продажу (первый «что-то долго выходил»), и как не печатал тоже («программа же не работает?»). Поэтому этот вопрос решается в ПО.
gimntut
15.03.2017 06:39Не совсем понял ваш ответ.
Вы предлагаете после каждого выданного товара вбивать выданное количество в программу?
Если так, то я согласен, что это поможет обнаружить подлог. Но подписи здесь не причём и работает это без всяких штрих-кодов.lehha
15.03.2017 08:00Да, вносить по факту выдачи. Учет нужно вести в любом случае. Вы можете вести учет «на бумажке» и вносить данные в систему при закрытии смены, при этом несете риск неправильного отражения. Либо вносить сразу по факту.
По поводу электронной подписи — уже не понимаю, почему она тут обсуждается, если она для другого ))
ЭП можно использовать внутри своей учетной системы для подписи заявок/документов между сотрудниками. Только это лишнее, там делается проще — любая заявка/документ, полученная от авторизованного пользователя, считается корректной, при условии что заявка хранится в самой системе, а не в виде отдельного файла/документа на бумаге.
teifo
09.03.2017 09:21А разве нельзя сделать, чтобы данные заносились в форму после считывания штрихкода?
mail-online
10.03.2017 17:33Насколько я знаю, современные сканеры штрих кодов встраиваются в прерывание клавиатуры, и как бы печатают текст, имитируют нажатия клавиш нужных. Т.е. ставишь курсор текстовое поле, сканируешь и текст штрих кода «впечатывается» в это поле.
gimntut
11.03.2017 12:24А что это даст? Ходить между полками склада приходится с бумагой (по ней гвоздей — 36,5 кг), не компьютер же с собой таскать. А считывание штрих-кода вычтет из системы 3,65 кг.
Единственный способ избежать подобной проблемы, доверять можно только тем документам, которые распечатал сам. Но это не всегда удобно. К примеру, мне нужно забрать со склада 20 планок оперативной памяти. Я прихожу на склад, и вспоминаю, что не помню номера документа. Откуда считывать штрих-код? Документа у меня с собой нет! Значит в следующий раз я распечатаю документ сам. Теперь кладовщик должен распечатать свой экземпляр, точно такой же как у меня, потому что доверять можно только тем документам, которые распечатал сам. Первое время после обучения он скорее всего может и будет так делать, а потом расслабится и будет пользоваться моим экземпляром. Вот тут то я и подменю 20 планок на 120 на бумаге. И заметить это будет очень сложно, особенно если выдать нужно не одно наименование, а 100. И не какое автоматическое занесение в форму тут не поможет.
При следующей ревизии найдут недостачу в 100 планок, повесят их на кладовщика, и он начнёт печатать свой экземпляр. Всё будет хорошо, до тех пор пока он снова не расслабится или на его место не придёт новый кладовщик.
В идеале при работе с электронными документами не должно быть обычной бумаги, только электронная, которой удобно пользоваться, которую удобно с собой носить и в которой каждый самостоятельно открывает электронный документ, тогда такому носителю можно будет доверять. Но существующие модели имеют цену iphone, а интеграции с существующими системами документооборота не имеют.teifo
11.03.2017 12:41Хммм, если электронный документ подписан электронной подписью участников, после чего он стал закрыт для изменений и только потом распечатан, получив свой конкретный штрихкод, то как на бумаге вместо 36 кг, стало 3,6? Опять же в системе по идее уже должен весить заказ именно на 36 кг, а не 3,6. Кладовщик же только дополнительная проверка. С другой стороны, защита бумаги на уровне госзнака не рассматривается.
gimntut
12.03.2017 08:43то как на бумаге вместо 36 кг, стало 3,6
В системе изначально указано 3,6 кг. Злоумышленник делает точно такую же распечатку в ворде, но сдвинув запятую в выгодную для себя сторону, т.е. 36 кг. Потому что кладовщик не может таскать с собой компьютер когда ищет товар на полках.
С бумагой всем проще, вам не нужно держать номера документов в голове, а кладовщику не нужно пачкать клавиатуру грязными руками и мыть руки руки перед каждой выдачей.
А списание всегда происходит по электронной системе, особенно при наличии штрих-кода. Не перепечатывать же каждый раз принесённую бумагу в систему, а без этого автоматическая сверка не возможно.
Про ручную сверку всех документов я вообще молчу. Наверняка у вас бывали ситуации, когда в коде находили опечатку в один символ после долгих поисков ошибки, и это при том что вы знали что есть какая-то ошибка и вам помогал искать компьютер.
gimntut
12.03.2017 09:41Речь не о складе и кладовщике. Речь о том, что бумага не должна использоваться для принятия решений, если есть электронная система. Но удобных электронных систем на рынке пока нет, а если и есть, то позволить такую себе может только Газпром. Под удобной я подразумеваю такую, с которой не хотелось бы пользоваться распечатками.
svanichkin
07.03.2017 09:34Я при заключении договора, просто делаю хеш архива с pdf документами (договор-оферта, ТЗ и т.д.). Далее при безналичном переводе аванса, прошу отправителя указать хеш. А в самом договоре прописано, что авансовый платёж является соглашением с офертой.
OvLab
07.03.2017 09:38+1Если не изменяет память, некоторое время назад слово «цифровая» убрали из обозначения электронной подписи, соответственно, вместо ЭЦП правильнее будет сокращать как ЭП, ну а применительно к данной статье: пЭП.
mail-online
07.03.2017 09:39Да, вы правы. Поменял в статье чтобы было корректно. Хотя по мне так ЭЦП красиво звучит )
Nina_Pulse
07.03.2017 09:38+2уже несколько лет нет понятия ЭЦП, читайте 63 закон :)
teifo
07.03.2017 13:31тут как с срочниками и призывниками, первых нет уже очень давно, а слово прилипло, так и тут:)
gzhegow
07.03.2017 09:39Я правильно понимаю, что даже в случае крутого хакера с массивом видеокарточек в случае раскодирования — твой ключ закреплен на сайте за тобой, что исключает возможность добавить ключ из другого аккаунта?
mail-online
07.03.2017 09:48Если рассматривать мою систему, то каждому аккаунту выделяется своя база данных, поэтому добавить что-то из другого аккаунта абсолютно исключено.
«Крутой хакер с массивом видеокарточек»: вот недавно на хабре как раз была статья по коллизию в sha1 и сколько ресурсов понадобилось гуглу чтобы это сделать https://habrahabr.ru/post/322478/. Конечно наверное возможно, но я сильно в этом сомневаюсь. И непонятно зачем для подделки документа маленькой компании тратить огромные ресурсы.
А вообще хорошее кодовое слово и sha2 пока гарантирует исключение коллизии.gzhegow
08.03.2017 18:08Так если я правильно понял это даже лишнее, достаточно запросить у сайта индивидуальный ключ и пометить его как свой, дальше ключ вшить в документ. При проверке подлинности ключ уже принадлежит твоему аккаунту, и без проверки его через сайт — смысла не имеет. Осталось только чтобы сайт проверял паспортный данные и столбил аккаунты за паспортом в жизни.
Если совсем умно, то наверное можно даже софтину сделать специальную, которая на сайт информацию о каждой подписи с меткой времени слать будет — когда кто и что.
Самый забавный здесь момент — что в мире бизнеса как раз наоборот, каждый хочет, чтобы его документы не были подписаны, а ему приходили — в идеале оригиналы, в единственном экземпляре. То есть проблема не на уровне компании, которая не знает, чем подписать, а проблема на уровне компании, которая хочет, чтобы оно было подписано, но не может повлиять на этот процесс ничем кроме отказа.
А отказ как известно не к деньгам.
AxianLTD
07.03.2017 09:49+1А этот механизм уже тестировали в налоговой, суде?
badfiles
07.03.2017 10:01+1Конечно нет, никакой суд это на примет, вторая сторона назначит экспертизу и эксперт укажет, что содержимое документа не подписывается указанным способом.
А налоговая иногда не принимает документы, подписанные ими же выданными подписями по ГОСТу, просят прислать скан с печатью и подписью.AxianLTD
07.03.2017 10:06Жаль, я уж было грешным делом подумал, что амнистия вышла и можно построить что-то свое.
lehha
09.03.2017 18:16+1Подскажите, а почему суд не примет документ? в ФЗ 63 «Об электронной подписи» ясно сказано:
Статья 6. Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью:
2. Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными «законами», принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных неквалифицированной электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 настоящего Федерального закона.badfiles
10.03.2017 16:48Ну мне вообще не понятно, как суд будет принимать электронные документы, особенно подписанные простой ЭП или самодельным алгоритмом.
Суд документы примет, если обе стороны процесса их признают таковыми. Если же одна из сторон заявит, что представленные документы рассматривать нельзя, то позиция документов, подписанных простыми и самодельными ЭП, очень слабая, на мой взгляд.
Если можно легко показать, что ЭП не обеспечивает однозначного соответствия содержимого и подписи, то как вообще можно рассматривать такие документы?lehha
10.03.2017 22:31Суд принимает доводы каждой из сторон. Если одна из сторон не подтверждает, делается экспертиза за счет одной из стороны, которая и подтверждает соответствие.
ПЭП может содержать важные атрибуты подписываемого документа, например, итоговую сумму и количество услуг. В этой статье так и делается. Таким образом, ПЭП удостоверяет соответствие ключевых элементов и согласия с ними.
Например, Акт об оказании услуг. Важными элементами являются: дата и номер акта, название услуги, количество, стоимость, итоговая сумма. Их можно внести в ПЭП.
Конечно, такая подпись не удостоверит, что где-нибудь после этих основных данных не добавили каких-либо приписок, но в обычном обороте их и не должно быть (например, заказчик не согласен с объемом предоставленных услуг, но всё-равно подписал акт).
Посмотрите на платежные системы — они отправляют вам уведомление на сайт с использованием ПЭП (md5/sha1) — просто перечисляют в строку подписи все важные элементы (отправитель, получатель, сумма, дата и время...) и ваше секретное слово. Вы эту подпись сверяете на своей стороне и продаете товар/услугу.
for7raid
07.03.2017 09:59-1В целом вы конечно правы и очень хорошо, что двигаете эту тему вперед. Но есть большое НО:
Для обмена финперичкной есть особые нормативные акты под упомянутым законам, и обмен такими документами должен осуществляться только через сертифицированных провайдеров, которые будут удостоверять факт обмена, целостность и достоверность ключей и подписей.
При проверках налоговая не запрашивает у юр. лиц электронные СФ, она запрашивает их у провайдеров. А если их в вашей схеме нет — то и для налоговой таких документов нет.
Если бы все было так просто, то не существовало бы таких крупных игроков как Диадок, Такском и десятка других.
Очень рекомендую ознакомится с материалами https://www.nalog.ru/rn77/taxation/submission_statements/el_count/badfiles
07.03.2017 10:18Только не факт обмена, а время создания документа. Счет-фактуру достаточно выставить, её не обязательно принимать в электронном виде, чтобы она считалась выставленной.
В случае проверки лицо должно предоставить документы, у провайдеров есть инструменты для отправки по требованию налоговой, и вообще, содержимое документов не должно быть доступно провайдеру, по идее я должен эти же документы зашифровать уже для налоговой и отправить со штампами времени, полученными на них от спецоператора.
Вместо того, чтобы организовать выдачу штампов времени, наше государство организовало какое-то жуткое болото из всех этих спецпровайдеров, которые между собой о прозрачном для клиента роуминге договориться не смогли.for7raid
07.03.2017 11:13Только не факт обмена, а время создания документа
Имменно факт обмена. Я могу сформировать документ, но никуда его не отправлять. Провайдер ЭДО подтверждает факт доставки документа. Если сравнивать с обычным миром, то я могу распечатать СФ, поставить печать и положить его в ящик, а отправить через 2 месяца, когда налоговый период уже закончится. Выставить документ мало, такого термина для налоговой нет, его надо провести по бухгалтерии всех контрагентов, вот только тогда он зачтется.
документы зашифровать
СФ, акты и накладные и другие первичные документы не могут считаться коммерческой или другой тайной, поэтому нет никакого смысла их шифровать.badfiles
07.03.2017 12:02Ну если доверие в стране достигло таких высот, что для подтверждения факта передачи документов потребовался обязательный платный нотариус, то это о многом говорит.
Зачем мне формировать счет-фактуру и не отправлять её клиенту? Ну кроме случая, если я госкомпания и у меня есть устное негласное распоряжение начальника местной налоговой нарушать закон и с/ф клиентам не выдавать, чтобы они не смогли предъявлять вычеты?for7raid
07.03.2017 12:27Случаи бывают разные, от банального «забыли-завалялось-по дороге потерялось» до выше вами упомянутого. Я просто провожу аналогии с бумажным документооборотом.
badfiles
07.03.2017 12:21СФ, акты и накладные и другие первичные документы не могут считаться коммерческой или другой тайной, поэтому нет никакого смысла их шифровать.
html-теги
Вы забыли договора в этот список добавить. Обмен контрактами там идет вместе с первичкой. Я думаю, многие владельцы бизнесов с этим не согласятся. И с какой радости я должен показывать свою первичку третьим лицам? Считаю, что технически вполне возможно при существующей схеме исключить возможность оператора видеть документы.
Для многих бизнесов даже факт сотрудничества является коммерческой тайной, а вы говорите…for7raid
07.03.2017 12:31Договора не являются закрывающими финпервичными документами, к ним относятся только СФ, акты и накладные, т.е. это только те документы, которые учитывает бухгалтерия. У провайдеров ЭДО договора идут в разделе «Прочие типы документов».
EnigMan
07.03.2017 10:24Выше верно пишут, само содержимое документа оказывается не подписанным. И еще, термин «закрывающие документы» не используется ни в законодательных ни в подзаконных актах. Раньше у нас были обязательные к применению формы документов, сейчас почти все они отменены, хотя и продолжают использоваться, поэтому в договоре имеет смысл прописывать какие именно документы вы предоставляете клиенту и приводить их форму в качестве приложения к договору.
Что же касается документа в электронной форме, то как было выше сказано hash должен вычисляться для документа в целом. Возможно имеет смысл разработать структуру документа, например в xml. Если ничего не путаю, то формат счета-фактуры в электронной форме вообще закреплен законодательно.
В общем, я как бухгалтер опасался бы применять такой документооборот. Большее доверие у меня вызывают системы электронного документооборота, но это уже не бесплатно.badfiles
07.03.2017 10:43Описанные системы ЭДО с третьим лицом прекрасны во всем, кроме того, что их вообще-то не должно быть. Мы должны иметь возможность самостоятельно и бесплатно генерировать закрытый ключ, отправлять УЦ запрос сертификата к нему и получать сертификат, создавать документы, получать у УЦ штампы времени на них, подписывать и отправлять клиенту.
Все эти провайдеры ЭДО могут быть, но только в добровольном формате, поскольку в недрах этих контор с документами и ключами непонятно что происходит.
mail-online
07.03.2017 10:44Надо различать виды подписи:
- Простая
- Неквалифицированная
- Квалифицированная
Что нам говорит закон о них:
2. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
3. Неквалифицированной электронной подписью является электронная подпись, которая:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.
и т.д...
У Простой ЭП не ставится цель «обнаружить факт внесения изменений в электронный документ» и этого достаточно для признания подписи документа равнозначной рукописному.for7raid
07.03.2017 11:03Верно, но такой документ не может быть принят налоговой, т.к. для закрывающих документов есть строго определённые законодательством требования, поверх закона об ЭЦП.
badfiles
07.03.2017 11:06А кто вам сказал, что это хороший закон? Факт формирования электронной подписи в суде будет не интересен, если сторона привлечет эксперта, который легко покажет, что документы с разным содержимым могут иметь одну и ту же подпись, а грамотный юрист будет настаивать на том, что это вообще не документы.
По-моему, вы просто пытаетесь эксплуатировать культ карго и тотальное непонимание в обществе что такое есть настоящая электронная подпись и как с ней работать. Вы просто создали вокруг документа какие-то цифро-буквы и назвали это электронной подписью. Тот факт, что закон в части простой ЭП написан с тех же позиций, не делает вашу статью более осмысленной.mail-online
07.03.2017 11:13А сервис проверки для чего? Эксперт и юрист взломают ваш сервис проверки чтобы что-то подделать? Думаю для них это неподъемная задача.
badfiles
07.03.2017 11:30У вас проверяется номер и дата. Ну сделает эксперт корректировочный с/ф, что вы должны миллиард рублей и проверит вашим сервисом. Будете платить?
mail-online
07.03.2017 11:38О чем вы вообще? Вы делаете свой сервис чтобы люди могли проверить что действительно вы выпустили и подписали данный документ. То что сделает «эксперт» — не будет соответствовать тому что покажет сервис проверки. Будет видно что документ подложный.
for7raid
07.03.2017 11:20У Простой ЭП не ставится цель «обнаружить факт внесения изменений в электронный документ» и этого достаточно для признания подписи документа равнозначной рукописному.
подпункт 3 пункта 3 прямо об этом говорит, вы неверное трактуете закон, это не или, должны выполняться все условия одновременно, а не одно любое из них.
fosihas
07.03.2017 11:02Вопрос: Как обстоит дела если надо сохранить файл вместе с ЭП. Как это будет происходить, одним файлом или несколькими…
mail-online
07.03.2017 11:07Да, это один файл. В нем просто есть последовательность из символов (у меня из 40 символов), которая является Простой ЭП данного документа, которую нельзя подделать (это ни к чему не приведет) и при наличии сервиса проверки может подтвердить что документ с такими-то реквизитами был подписан таким-то лицом.
Вот пример документа и сервиса проверки достоверности подписи.
Mixerys
07.03.2017 11:09+1Автору текста, для изучения:
Приложение
к приказу Министерства финансов
Российской Федерации
от 10.11.2015 N 174н
ПОРЯДОК
ВЫСТАВЛЕНИЯ И ПОЛУЧЕНИЯ СЧЕТОВ-ФАКТУР В ЭЛЕКТРОННОЙ ФОРМЕ
ПО ТЕЛЕКОММУНИКАЦИОННЫМ КАНАЛАМ СВЯЗИ С ПРИМЕНЕНИЕМ
УСИЛЕННОЙ КВАЛИФИЦИРОВАННОЙ ЭЛЕКТРОННОЙ ПОДПИСИmail-online
07.03.2017 11:10ПОРЯДОК
ВЫСТАВЛЕНИЯ И ПОЛУЧЕНИЯ СЧЕТОВ-ФАКТУР В ЭЛЕКТРОННОЙ ФОРМЕ
ПО ТЕЛЕКОММУНИКАЦИОННЫМ КАНАЛАМ СВЯЗИ С ПРИМЕНЕНИЕМ
УСИЛЕННОЙ КВАЛИФИЦИРОВАННОЙ ЭЛЕКТРОННОЙ ПОДПИСИ
Мы здесь говорим о простой ЭПfor7raid
07.03.2017 11:17А мы вам говорим, что в бухгалтерии неприменима в принципе простая ЭП в соответствии с требованиями закона и подзаконными актами.
badfiles
07.03.2017 11:24Ну отлично, вот у вас есть инфосервис. У клиента аккаунт, у менеджера аккаунт. У каждого пароль. Вот с точки зрения закона, документ, просто загруженный в инфосервис, уже подписан простой ЭП. Теперь я скажу, что в инфосервис я загружал совсем другой документ. Как будем решать вопрос?
mail-online
07.03.2017 11:44Вы не загружаете, а выпускаете. Но допустим загружаете. Загрузили один документ, потом на словах утверждаете что другой и сервис самостоятельно его подменил? Правильно я вас понял? Ну в данном случае это попахивает мошенничеством, судом и всеми вытекающими. Тут будет подняты счета и факт оказания услуг на основании которых сделан данный документ, подняты данные с расчетных счетов и т.д. До истины все равно докопаются. Зачем вам это?
badfiles
07.03.2017 12:07Встречный вопрос — а зачем тогда свистопляска с хэшами и ключами, если достаточно простой авторизации паролем на инфосервисе, чтобы при соответствующем пункте в пользовательском соглашении все действия пользователя на аккаунте считались подписанными простой цифровой подписью?
mail-online
07.03.2017 12:19Не надо авторизации. Вы держите в руках (или видите на экране) документ, в котором в графе подпись написано например 3e692-a2f76-6e0fd-0cea5-9a950-33c53-b4128-8dbbb и информация о сервисе где можно проверить достоверность.
Заходите, вбиваете 3e692-a2f76-6e0fd-0cea5-9a950-33c53-b4128-8dbbb и система вам говорит, что данной подписью подписан такой то документ, за таким то номером, с такой то суммой таким то человеком. Вы видите что это именно тот документ, ФИО именно того человека, сумма та. Документ настоящий.
Если же вы измените хоть один символ в подписи, система скажет что такого не существует. Если вы вставите эту подпись в другой документ, при проверке будет видно что вы держите в руках документ с другими реквизитами и суммой и он ненастоящий.
В этом и есть смысл подписи.badfiles
07.03.2017 12:26А что мешает просто хэш документа вводить, и если такой документ загружался Васей и одобрялся Петей, то система выдаст, что знает такой документ, и его подписали простой цифровой подписью Вася и Петя. Все остальное-то зачем, никак понять не могу?
mail-online
07.03.2017 12:31Подпись это по сути и есть хеш документа. Только с персонализацией. Просто документ может подписать Вася, может Петя, а может Коля. В этом случае хеш будет отличаться. Если несколько лиц подписывают, то напротив Васи должен быть один хеш, а напротив Пети другой. При проверке хеша напротив Васи должно вылезти что именно этот документ подписал Вася, а напротив Пети что именно этот документ подписал Петя.
badfiles
07.03.2017 12:34ОК, как Коле проверить, что документ подписал Вася БЕЗ СЕРВИСА ПРОВЕРКИ?
mail-online
07.03.2017 12:37У Коли с Васей должен быть договор, где описан алгоритм формирования и проверки подписи. Это условие признания простой ЭП. По этому алгоритму Коля и проверит что документ подписал Вася. Но Вася чтобы облегчить жизнь Коле, а так же дать способ проверки третьим лицам, может сделать свой сервис проверки, чтобы любой желающий (в том числе и Вася) мог удостовериться, что именно этот документ подписал именно Коля.
badfiles
07.03.2017 12:41Ну я с нетерпением жду, когда вы на примере вашей статьи (мы ведь её обсуждаем) расскажете мне, как Коле проверить подпись Васи, если нет сервиса проверки и если
1. У Коли с Васей есть договор.
2. У Коли с Васей нет договора.mail-online
07.03.2017 12:53Элементарно.
1. Приходит Коле от Васи счет №03452 от 09.11.2016 с подписью b554f464d3cf1b128b07e96b960b7bb4a19a3c95
Вася знает хеш кодового слова Коли 822f424c94ffbe1e9b0e53df6d851da4, они договорились о конфиденциальности этой информации.
Вася делает по описанному в договоре алгоритму hash('sha1','1'.'03452'.'09.11.2016'.'822f424c94ffbe1e9b0e53df6d851da4')
получает b554f464d3cf1b128b07e96b960b7bb4a19a3c95 и сверяет с подписью в документе b554f464d3cf1b128b07e96b960b7bb4a19a3c95, они равны, значит документ подписал Коля. Все удовлетворяет ФЗ 63 и законно.
2. На нет и суда нет. Если нет договора, то только на бумеге. Требование простой ЭП — наличие договора с описанным алгоритмом и условиями конфиденциальности.
PS: если у Коли есть свой сервис проверки, то ему не обязательно сообщать хеш своего ключа Васе. Сервис проверки знает хеш Коли, сам сделает все метематические операции и сообщит Васе что документ и подпись верны.badfiles
07.03.2017 13:00«А что, так можно было?» — спросит вас всё мировое криптосообщество.
Другой комментарий придумать не смог, хотя много думал.mail-online
07.03.2017 13:03Что можно было? Что вас смущает?
badfiles
07.03.2017 13:05Ну для начала вы перепутали Колю с Васей. А смущает меня в первую очередь то, что вас ничего не смущает.
staticlab
07.03.2017 14:48Приходит Коле от Васи счет №03452 от 09.11.2016 с подписью b554f464d3cf1b128b07e96b960b7bb4a19a3c95 на поставку карандашей. Коля оплачивает счёт, Вася поставляет карандаши. Коля звонит Васе и говорит, что он заказывал не карандаши, а автомобиль. В качестве подтверждения присылает ему соответствующий счет №03452 от 09.11.2016 с подписью b554f464d3cf1b128b07e96b960b7bb4a19a3c95. Что делать Васе?
mail-online
07.03.2017 16:20+2Ну есть такое понятие как мошенничество. Ваш пример будет являться именно им. Ничего не мешает Васе выставить коле бумажный счет, Коля сделает его копию, подредактирует поставит закорючку и предъявит Васе претензии что оплатил автомобиль… При этом по нашему законодательству Васе придется доказывать что это не его подпись (т.к. именно Вася делает утверждение что это не его), а не Коле.
Счет это мелочи, вон один из вариантов рейдерского захвата, подделать собрание учредителей о принятии нового устава с новым ГД. С этим пойти в налоговую и новый ГД продает недвижимость компании. При этом это бумага…
Вот например я недавно заказывал сервер на НАГе, они в Екатеринбурге, я в Москве. Они сделали счет, прислали его по электронке (без всяких ЭП), я его оплатил, после оплаты они отгрузили товар и он мне пришел через 2 недели с оригиналами документов. И какие были бы мои действия если бы мне прислали не тот товар и в счете было бы написано не то и на мой звонок они бы меня послали… все просто, я бы распечатал бы первый счет, сделал бы выписку с р/с и пошел бы в полицию… что тут еще поделать можно. Но НАГ слава богу дорожит своей репутацией и не ставит себе палки в колеса, ибо такое прокатит только один раз.
Описываемая вами ситуация может быть с чем угодно, а не только с ЭП.
пЭП — это просто удобный механизм для постоянного обмена документами, с организацией, с которой вы договорились об этом. Это должно быть удобно обоим.
И кстати ничего не мешает хоть весь текст счета обработать hash функцией, а не только реквизиты.
mail-online
07.03.2017 12:26Второй вариант, если нет сервиса, ваш партнер должен знать алгоритм для проверки, что именно вы подписали. Он описывается в договоре. В этом случае третьи лица конечно не проверят.
badfiles
07.03.2017 12:27Так у вас подпись может проверить только подписавший и только зная ключ. Какие третьи лица?
mail-online
07.03.2017 12:32Если есть сервис проверки, то и третьи лица. Если сервиса нет, то только тот кто получает и с кем у вас оговорен алгоритм.
lehha
09.03.2017 17:10Вы говорите о Счетах-фактурах, а при их обмене в электронном виде обязательно использование Квалифицированной ЭП.
Обычные акты об оказании услуг и счета могут высылаться в электронном виде с Простой ЭП, как описано в статье. При этом в ФЗ 63 «Об электронной подписи» есть об этом упоминание:
Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными «законами», принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия.
Все условия использования ПЭП описаны, всё правильно.
mail-online
13.03.2017 09:26Да, вы оказались правы. пЭП нельзя использовать для счет-фактуры. Можно для чего угодно, кроме нее.
Комментарий юриста по этому поводу: "По счету-фактуре установлены жесткие требования — подпись либо живая, либо эцп у оператора.
Была даже в свое время практика, можно ли подписывать сф факсимиле, вроде как примерно то де что и живая подпись.
Суды сказали нельзя.
С эцп будет то же самое. Слишком много бюджет теряет из за сф."
Я в статье сделал дописал, что нельзя использовать для счет-фактуры.
Mixerys
07.03.2017 11:21А этот сайт для информации про Роуминг между Операторами «точка-точка» и «Точка-Ростелеком-точка»: http://roseu.org/roaming/
ader
07.03.2017 15:35Самый простой пример документа с простой электронной подписью — сообщение электронной почты. Поскольку оно сформировано с применением кодов, паролей или иных средств (отпечаток пальца). В данном случае пЭП подтверждает, что носитель пароля, кода или отпечатка пальца создал или читал (но не обязательно понял) данный документ в момент отправки сообщения. И данное сообщение имеет юридическую силу и может быть представлено в суде. По тому же принципу работает в частности сайт госуслуг, где в качестве пЭП выступает комбинация пароль\логин для входа на сайт, а документом — заполненная форма.
Так что для работы между контрагентами вполне достаточно соглашения (можно даже устного при свидетелях) о том, что документы, отправленные по электронной почте с определённых адресов (или серверов) являются значимыми для этих контрагентов.
Meklon
Я в свое время так уговорил контрагентов избавиться от толстых стопок бумажных прайсов. Подписали договор в духе "обе стороны признают прайс в электронной форме в виде файла price.xlsx с хеш-суммой sha256 такой-то"