Всем доброго времени суток!
В отличие от бумажных документов, существует множество различных способов подписания цифровых транзакций. Каждый тип имеет разный уровень доказательной силы и законности, свой собственный пользовательский опыт. В этой статье мы расскажем вам о различных типах электронных подписей, доступных на рынке, и о том, как вы можете выбрать правильный тип подписи для своей компании. Каждый тип подписи позволяет найти идеальный баланс между безопасностью и удобством использования.
Типы электронных подписей
Во-первых, давайте взглянем на различные существующие типы подписей. Это различие основано на Положении об электронной идентификации, аутентификации и доверительных услугах (англ.: electronic Identification And trust Services, eIDAS), созданном ещё в 2016 году. Этот регламент устанавливает правовую структуру для электронной идентификации, подписей, печатей и документов на всей территории ЕС. В России правовое регулирование осуществляется на основе Федерального закона №63-ФЗ «Об электронной подписи». Но мы будем рассматривать классификацию на основе eIDAS.
eIDAS также классифицирует уровень гарантии для различных типов. Этот уровень определяется множеством факторов, которые приведены в таблице ниже. На основании предоставляемых гарантий eIDAS распознает три типа:
Простая электронная подпись (англ.: Simple or Basic electronic signature, BES);
Расширенная электронная или цифровая подпись (англ.: Advanced electronic or digital signature, AdES);
Квалифицированная расширенная электронная или цифровая подпись (англ.: Qualified advanced electronic or digital signature, QES).
В чём разница между цифровой и электронной подписью?
Как вы можете видеть выше, существует разница между цифровой и электронной подписью, хотя многие используют эти два термина как синонимы. Разница в основном связана с технологиями.
Цифровая подпись всегда основана на криптографической технологии. Это означает, что содержимое документа всегда будет заблокировано и защищено при размещении цифровой подписи, у вас всегда есть гарантия, что содержимое документа больше не может быть изменено после подписания. Это не обязательно верно для электронной подписи. Например, электронной подписью может быть изображение нарисованной от руки подписи, которое вставлено в документ Word.
Собственно, термин электронная подпись — это собирательное существительное. Следовательно, цифровая подпись может быть электронной подписью, но электронная подпись не всегда является цифровой подписью. Пример: студент — это человек, но человек необязательно является студентом.
4 ключевых признака для выбора правильного типа
Теперь давайте посмотрим, как определить уровень уверенности для электронной подписи. Чтобы упростить задачу, вы можете задать себе эти 4 ключевых вопроса:
-
Подлинность (англ.: Authenticity):
Требуется ли в подписи однозначная ссылка на подписавшего?
-
Авторство (англ.: Identity):
Хотим ли мы быть абсолютно уверены в том, что можем идентифицировать подписавшего?
-
Целостность (англ.: Integrity):
Хотим ли мы обнаружить какие-либо изменения в документе после подписи?
-
Аутентификация (англ.: Authentication):
Хотим ли мы быть на 100% уверены в том, что подпись создается под исключительным контролем подписавшего?
Если на все четыре вопроса вы дали ответ «определенно, да», то вам потребуется высочайший уровень уверенности — QES. Если ответ «желательно» по всем четырем параметрам, то вы можете выбрать AdES. Если ставки не так высоки, или есть другие обстоятельства идентификации, или вам просто нужно, например, подтверждение прочтения лицензионного соглашения, то самым простым решением будет BES.
Некоторые примеры электронной подписи
Вы, скорее всего, можете подумать: «Я хочу быть уверенным во всех случаях». Конечно, в этом есть смысл, но давайте рассмотрим несколько примеров, чтобы лучше понять, какой тип безопасности вам нужен.
Отправка рукописной подписи, факт прочтения лицензионного соглашения и вход в личный кабинет по имени и паролю — для всего это подходит BES.
Но когда дело доходит до ипотеки или сделки на большую сумму, то вы должны убедиться, что лицо, подписавшее соглашение, имеет законные полномочия и является тем, кем он себя называет. В транзакциях face-to-face или в среде аутентифицированного клиента все еще может применяться BES. Однако рекомендуется использовать как AdES, так и QES, когда эти транзакции происходят онлайн. Всё зависит от обстоятельств всего процесса.
Подробная информация о различных типах электронных подписей
В таблице ниже вы можете найти подробную информацию о типах подписи.
Тип подписи |
BES |
AdES |
QES |
|
Описание |
Все электронные типы подписей, подтверждающие принятие или одобрение подписывающей стороны какого-либо соглашения. |
Эта подпись должна соответствовать особым требованиям, обеспечивающим более высокий уровень проверки личности подписывающего лица, безопасности и защиты от несанкционированного доступа. |
Усовершенствованная электронная подпись с цифровым сертификатом, зашифрованным с помощью безопасного (квалифицированного) устройства подписи. Имеет особый правовой статус в ЕС. |
|
Личность подписавшего |
Проверка личности подписавшего не обязательна. |
Личность подписавшего проверяется, но не гарантируется. |
100% возможность идентификации подписавшего. Необходима первоначальная личная проверка подписавшего или другой эквивалентный процесс. |
|
Подлинность |
Не обязательно, чтобы подпись была связана с подписавшим. |
Подпись однозначно связана с подписавшим. |
Подпись уникально связана с подписавшим. |
|
Аутентификация |
Не обязательно, чтобы подпись была создана под исключительным контролем подписывающего. |
Подпись создана под исключительным контролем подписавшего. Многофакторная аутентификация по желанию. |
Подпись создана под исключительным контролем подписывающей стороны. Требуется многофакторная аутентификация. |
|
ПО |
Не требуется специального ПО. |
Требуется устройство для создания защищённой подписи (SSCD). |
Требуется квалифицированное устройство для создания подписи (QSCD), Квалифицированный поставщик доверительных услуг (QTSP). |
|
Юридическая сила |
Бремя доказывания лежит на стороне, которая инициировала подпись. |
Бремя доказывания лежит на стороне, инициировавшей подпись. |
Бремя доказывания лежит на стороне, оспаривающей подпись. |
|
Примеры |
Отправка одноразового пароля (OTP); |
Заключение
В этой статье мы представили Вам обор существующих типов электронных подписей согласно классификации eIDAS: BES, AdES, QES.
Мы выяснили, что каждый тип имеет свои преимущества в использовании. Так, BES — самый простой и удобный вид, когда требуется лишь подтверждение прочтения соглашения. С помощью AdES проверяется личность подписавшего, но необходимо специальное ПО. При использовании QES есть стопроцентная гарантия личности подписавшего, полная юридическая сила, однако требуются квалифицированное устройства для создания подписи и квалифицированный поставщик доверительных услуг.
Спасибо за внимание!
Комментарии (8)
Ukaru
31.10.2021 20:57Такое ощущение что это вводная часть какой-то интересной статьи..
Если вы не уверены, что документ Word больше не изменялся после подписания.
Что это?
Далее различия станут более понятными.
Ну совсем не стало понятно
gonol Автор
02.11.2021 16:37Добрый день!
Спасибо за внимание к нашей статье. Мы доработали статью, основываясь на ваши комментарии.
S3rgRush
09.11.2021 20:12+1Спасибо за статью! Не могли бы Вы уточнить следующий момент:
Хотим ли мы быть на 100% уверены в том, что подпись создается под исключительным контролем подписавшего?
А разве можно как-то подписать и без лица, которому принадлежит подпись?
gonol Автор
09.11.2021 20:19Добрый вечер!
Действительно, это звучит интересно. Если мы выбираем тип подписи BES и рассматриваем факт прочтения лицензионного соглашение/руководства пользования, то зачастую требуется лишь поставить галочку о прочтении в поле "Я согласен.../Я ознакомлен с...". Очевидно, это может сделать любой человек, у которого есть доступ к вашему устройству.
Таким образом, подпись не будет принадлежать лицу, от которого мы её ждём.
arpoyda
02.12.2021 18:40Подскажите, а разве многофакторная аутентификация не обеспечивает стопроцентное наличие подписывающего документ?
gonol Автор
02.12.2021 18:45+1Добрый вечер!
Многофакторная аутентификация должна являться частью электронной подписи. 100% возможность идентификации подписывающего документ возможна при выполнении нескольких этапов. Так, для QES требуется первоначальная личная проверка подписавшего.
plus79501445397
Одному мне кажется, что примененное в статье сокращение AES для расширенной электронной подписи не очень удачное (как минимум вызывает коллизию с другим AES, тоже из области криптографии)? В оригинальных документах по eIDAS я не смотрел, но например в вики для этой электронной подписи используется на мой взгляд более удачное сокращение — AdES. Или вот в другой статье на хабре по этой теме — тоже AdES.
gonol Автор
Добрый день!
Спасибо за точное замечание. Действительно, AdES -- лучшее сокращение, исправили.