Пошаговая инструкция по проверке эцп на портале госуслуги. Электронная подпись для госуслуг Электронный ключи эцп как проверить

Цифровые технологии оказали серьёзное воздействие на жизненный уклад, в том числе на привычные алгоритмы ведения бизнеса: совершение платежей, оформление документов. Одна из самых серьёзных инноваций - электронная цифровая подпись (ЭЦП), прочно занявшая нишу системы обмена информацией, ряда банковских операций.

ЭЦП позволяет: подписать, подтвердить подлинность цифрового документа, установить его авторство. По сути это криптографически преобразованные сведения, эквивалент индивидуальной подписи, которые могут существенно усилить устойчивость электронного документа к взлому и подделке.

Разновидности ЭЦП

По законодательству РФ, в предпринимательской деятельности используются такие виды ЭЦП:

простая - сформированная простыми кодами и паролями (используется для подтверждения документов некоторыми лицами)

усиленная - бывает неквалифицированная и квалифицированная.

Для создания неквалифицированной ЭЦП нужен особый ключ (ряд символов определённой последовательности). Такая подпись определяет внесение изменений в документ, позволяет удостоверять своего собственника.

Квалифицированная подпись имеет такие же свойства, что и предшественница, но её выдают только аккредитованные центры, организации. Норма 63-ФЗ от 06.04.2011 уравняла собственноручную и цифровую подписи. Последняя имеет юридическую силу, если:

Усилена электронным ключом;

Подтверждена её подлинность;

Используется по назначению (соответствовать данным, которыми владеет сертификат).

Существуют различные методики валидации ЭЦП по этим параметрам.

Тонкости технологии

Сертификаты проверки ключа электронной подписи (или СКПЭП) могут быть выданы как обычное бумажное удостоверение или электронный файл, подтверждающий право предъявителя на подпись, её проверочный код.

Ключ, используемый для установления корректности ЭЦП, всегда связан с непосредственным кодом ЭЦП.

Бывают два типа таких ключей:

закрытые

открытые

Закрытые ключи ЭЦП известны только их владельцам, представляют собой неповторимую комбинацию символов, предназначенных для подтверждения цифровой документации.

Открытые ключи связаны и напрямую взаимодействуют с закрытыми. Они доступны всем пользователям сети, передаются в Росреестр на сервер во время верификации достоверности цифрового автографа. С помощью открытого ключа можно проверить авторство файла, но не получить закрытый ключ или внести изменения в документ.

Сертификат ЭЦП

СКПЭП подтверждает соответствие ЭЦП лишь одному уникальному собственнику. СКПЭП создаёт на платной основе квалифицированный и сертифицированный орган - удостоверяющий центр (УЦ).

• порядковый, уникальный номер;
• дату актуальности (время начала/окончания использования);
• персональные данные физлица - Ф. И. О.;
• подтверждение для юрлица - название, место регистрации компании;
• проверочный код;
• стандарты, которым соответствуют код проверки и код ЭЦП, или название используемой ЭЦП;
• название УЦ;
• редусматривает 63-ФЗ.

Законодательством РФ предусмотрены случаи прекращения сертификатом своей деятельности. Например, связанные с истечением срока актуальности, на основе заявления владельца (уполномоченного лица), при аннулировании его в УЦ (вследствие нарушений или сбоев, когда электронный ключ был продублирован в Росреестре в другом, более раннем СКПЭП).

Методика верификации

Действующая нормативно-правовая база чётко определяет правовое поле и устанавливает порядок того, как происходит подтверждение подписи. Законодательством регулируется само право использования СКПЭП. Как будет осуществляться проверка электронной подписи участники электронных сделок, ЭДО решают сами.

Существует несколько методик проверки подлинности цифровой подписи. Самыми простыми из них являются проверки:

онлайн, на портале Госуслуг

с помощью специального программного обеспечения (например, программы «КриптоПро» и аналогичных)

Существуют также продвинутые методы верификации средствами комплекса Microsoft Word или по значениям хеш-функций. Однако они больше подходят профессионалам, так как требуют специализированных утилит, усиленных компьютеров и глубоких познаний.

Проверка ЭЦП, параметры

Закон 63-ФЗ разрешил использовать «компактный» термин - «электронная подпись» (ЭП).

Электронный автограф верифицируют по таким направлениям:

сроку действия

на отсутствие ключа в базе отозванных сертификатов

кем и где представлен (выдать СКПЭП должен только сервис УЦ, аккредитованный Минкомсвязью)

Чтобы проверить ЭЦП на валидность, нужно вставить его носитель, например «РУТокен» или любой другой, в порт компьютера. В браузере ввести адрес специального портала проверки (некоторые операторы имеют такой). Выполнив там верификацию, можно получить доступ к используемой площадке (например, электронным торгам) и начать работу.

Необходимо учитывать тот факт, что ЭП может быть не только в теле файла с документом, часто она прикрепляется отдельно. Её данные могут не отображаться или визуализироваться как картинка/ряд цифр (зависит от алгоритма создания).

Использование программы «Крипто АРМ»

Когда нужна оперативная проверка подлинности электронной подписи, выбирают комплекс «Крипто АРМ». Это платное приложение, имеющее демонстрационную версию («Старт»), которую можно загрузить с портала разработчика.

Скачайте и установите «Крипто АРМ»

во вкладке «Файл» найти строку «Проверить подпись»

откроется окно, в котором можно найти проверку отдельного файла («Добавить файл») или целой папки («Добавить папку»)

Как только верификация завершена, появится соответствующее окно с результатом.
Программой «Крипто АРМ» можно подтвердить достоверность даже квалифицированных ЭП.
Уточнение ЭП напоминает графологическую экспертизу, но не требует длительных лабораторных исследований. Достаточно использовать программу или сайт, и они покажут, кто подписал документ. Информация пригодится для обжалований решений респондента, отказывающегося от своих обязательств.

Верификация в браузере, портал gosuslugi.ru

Если пользователь не хочет применять стороннее ПО или сложные методы проверки, на ресурсе Госуслуг он сможет установить подлинность:

отсоединённой ЭП в формате PKCS#7;

сертификата ЭП;

сертификата открытого ключа.

Для верификации нужно посетить сайт gosuslugi.ru/pgu/eds и в главном окне выбрать документы для уточнения.

Проверяя сертификат, выбираем кнопку «Загрузить файл», в окошке выбора указываем нужный сертификат. Затем вводим капчу и нажимаем «Проверить».

Уточнение ЭП отдельно поставляемой с документом: «Загрузить файл» - указать документ, ввести код-капчу - «Проверить». То есть процедура та же, только открыть нужно именно лицензионный файл.

По аналогии проверяется отсоединённая ЭП: «Выбор документа», «Проверить», ввод капчи и вывод результата сравнения данных. Но требуется ещё 16-значный код хеш-функции, который выдаёт особая утилита (скачивается на том же сайте).

Для проверки подписи вам потребуется исходный документ и файл подписи. Контур.Крипто может проверить подпись, созданную с использованием сертификата любого удостоверяющего центра.

Примечание

В сервисе Контур.Крипто можно проверить только электронную подпись, хранящуюся в отдельном файле (отсоединённая подпись).

Примечание

Процесс проверки подписи

​Результаты проверки

Результаты проверки подписи будут отражены в протоколе, который можно сохранить или распечатать. Проверка может иметь следующий статус:

Статус: Подпись подтверждена

Успешная проверка электронной подписи означает:

• Подпись соответствует исходному документу.
• Документ не модифицирован. После создания подписи в него не вносились никакие изменения.
• Сертификат не был отозван.

Статус: Подпись не подтверждена

Возможные причины, по которым электронная подпись не прошла проверку:

• Подпись не соответствует документу. Был выбран неправильный документ либо файл подписи был создан для другого документа. Необходимо проверить соответствие файлов, которые вы выбираете с диска. При необходимости запросите у автора правильные документы.
• Документ был модифицирован. После создания проверяемой подписи в документ были внесены изменения. Для устранения данной причины необходимо исключить возможность модификации исходного документа после создания подписи для него.
• Сертификат был отозван.

Статус: Подпись подтверждена, но на момент проверки срок действия сертификата истек

Сервис Контур.Крипто не может проверить, что на момент подписания файла сертификат отправителя был действующим. Поэтому автору документа необходимо продлить сертификат или получить новый и заново выслать подписанный документ.

Вопросы и ответы

Можно ли в Контур.Крипто проверить подпись, поставленную в Word?

Пока технические возможности сервиса позволяют проверить подпись, поставленную только в специальных программах, предназначенных для подписания документов и создающих подпись в отдельном файле.

Как госзаказчик сможет проверить подпись на котировочной заявке?

Если сертификат у автора подписи — действующий и изменений в документ он не вносил, но проверку подпись не проходит. Что делать в этом случае?

Федеральный закон № 63–ФЗ «Об электронной подписи» от 06.04.2011 приравнял электронную цифровую подпись (ЭЦП) к собственноручной. И поскольку они имеют одинаковую юридическую силу, и ту, и другую можно проверить на подлинность. Конечно, мошенники быстро сориентировались и придумали схемы для афер с ЭЦП. Силы правопорядка борются с этим, но призывают и граждан тоже быть бдительными. Если, проверяя электронную подпись, вы поймете, что перед вами подделка - обратитесь в прокуратуру. А если кто-то украл вашу подпись, вам помогут юристы.

Чтобы электронная подпись имела такой же статус, как собственноручная, она должна соответствовать трем условиям:

• сертификат ключа действителен на момент подписания или проверки (если при этом можно установить, когда был подписан документ);
• в сертификате прописано, что обладатель ЭЦП может использовать ее для подписания документов этого типа;
• доказана подлинность ЭЦП.

Проверить электронную подпись вы можете как через интернет-сервисы, так и с помощью специальных программ. Мы подробно расскажем вам обо всех способах.

Какую информацию даст проверка ЭЦП?

Итак, вы получили документ, подписанный ЭЦП. Теперь вам нужно удостовериться, что с ней все в порядке. В результате вы узнаете важную информацию:

• кто подписал бумаги;
• актуальна ли подпись;
• целостен ли документ.

В суде вы сможете предъявить файл, если респондент внезапно откажется от договорных или других обязательств. Электронная подпись, в зависимости от вида, выглядит по-разному: как картинка или ряд чисел. Также отправитель может прислать ее отдельным файлом.

Какие подписи можно проверить самостоятельно?

Электронный документооборот (ЭДО) работает в рамках различных информационных систем. Но если его участники хотят взаимодействовать не на базе системы, они обмениваются документами, заверенными ЭЦП. Проверять электронную подпись необходимо, если:

• работодатель заключает трудовой договор с сотрудником;
• партнеры заключают сделку вне системы ЭДО;
• банк получает выписки из налоговой в электронном виде;
• участники тендера отправляют заявки на почту заказчика, а не через специальный сервис.

Проверить на подлинность можно любую ЭЦП - квалифицированную (КЭП) и неквалфицированную (НЭП), присоединенную и отсоединенную. В случае с присоединенной проверяется сам документ, с отсоединенной - документ и файл, содержащий подпись.

Программы и сервисы для проверки ЭЦП

Существует множество способов для проверки электронной подписи. Есть программы, которые нужно устанавливать на компьютер, онлайн-ресурсы и плагины - платные и бесплатные. Мы не будем рекомендовать какой-то из них, просто расскажем об особенностях.

Плагин для Word и Excel

Для пакета «Офис» существует платный плагин КриптоПро Office Signature. Он работает вместе с программой КриптоПро CSP, которая должна быть установлена на ваш компьютер.

Очень важно, чтобы версия программы, в которой была создана ЭЦП, совпадала с версией программного обеспечения (ПО), через которое ее будут проверять. Если ПО совместимо, проверить подлинность можно двумя кликами. Нажмите на значок подписи, щелкните правой кнопкой мыши и выберите пункт «Состав подписи». Результатов проверки может быть всего два: либо ЭЦП действительна, либо нет.

Плагин для PDF

Можно проверить подпись и через КриптоПро PDF - проверка абсолютно бесплатная. Плагин также работает на базе КриптоПро CSP. Чтобы установить подлинность, откройте документ и следуйте инструкции:

1. В левой панели нажмите кнопку «Подписи» (англ. Signatures).
2. Выберите ЭЦП, которую хотите проверить.
3. Щелкните по ней правой кнопкой мыши и выберите «Проверить подпись» (англ. Validate Signature).

Результат проверки вы увидите в новом окне. Процесс занимает всего несколько минут.

Специальное ПО

Если по каким-то причинам вам неудобно работать в системах ЭДО, можно воспользоваться специализированным ПО. Установите на ПК программу КриптоАРМ, и вы сможете проверять ЭЦП. Для этого достаточно бесплатной версии «Старт». Можно проверить один документ или сразу загрузить папку с файлами. Программа читает любые форматы.

Чтобы проверить подпись, нужно запустить программу, через вкладку «Файл» выбрать документы и нажать кнопку «Проверить». Спустя пару минут в новом окне откроется результат.

Госуслуги

Сайт Госуслуг уже стал таким привычным для россиян, что не включить туда эту возможность было бы неосмотрительно. Здесь можно проверить и присоединенную, отсоединенную ЭЦП. Как это правильно делается, мы писали выше.

Просто загрузите файлы на сервер и нажмите «Проверить». В случае положительного результата вы увидите информацию о владельце ЭЦП, сроке ее действия и удостоверяющем центре, который ее выдал.

Все предложенные способы являются бесплатными, если вы пользуетесь только основной функцией - проверкой подписи. Чтобы создавать ЭЦП, а также шифровать и расшифровывать документы, потребуется переход на платную версию. Но какой сервис лучше выбрать - решать вам.

Зачем юрлицам проверять свою электронную подпись?

Напоследок рассмотрим еще один интересный момент. Перечисленные выше сервисы применяются для проверки не только чужой ЭЦП, но и своей собственной. Казалось бы, зачем нужно проверять собственную подпись? Но у юрлиц для этого есть веские причины.

Проверка подписи важна, так как позволяет убедиться в правильности подписи и, соответственно, ее юридической значимости.

Самый простой вариант - воспользоваться одним из специальных онлайн сервисов. Их преимущества - мобильность и доступность: для проверки нужны только браузер и интернет, а документы можно проверить даже со смартфона.

Первый сервис:Портал Госуслуг

Это, наверное, самый популярный сервис. В нем можно проверить файлы как с отсоединенной подписью, так и с присоединенной. Есть возможность проверить отсоединенную подпись по значению хэш-функции.

Особенность проверки на Госуслугах - это то, что сайт проверяет подлинность документов, подписанных исключительно квалифицированными сертификатами. В случаях, когда сертификат подписи выдан неаккредитованным в Минкомсвязи удостоверяющим центром, подпись проверить будет невозможно.

Результат проверки отображается на отдельной странице. Мы можем увидеть общий статус проверки, статус сертфиката подписи, кому, кем и когда он был выдан.

Второй сервис: Контур.Крипто

Контур.Крипто от компании СКБ «Контур» дает возможность, помимо проверки электронной подписи, еще и подписать, зашифровать и расшифровать любой документ.

Все что нужно - это иметь сертификат выданный в УЦ «Контур» либо в любом другом аккредитованном удостоверяющем центре.

Особенность данного сервиса... в нем можно проверить только отсоединенную подпись, и при подписании, тоже будет создана отсоединенная подпись.

В результате проверки создается подробный протокол, который можно при желании скачать.

Третий: КриптоПро DSS

Онлайн сервис проверки электронной подписи, разработан компанией «КРИПТО-ПРО» . Называется КриптоПро DSS.

В нем есть возможность проверки присоединенной и отсоединенной подписи формата CMS, есть поддержка других форматов подписанных данных: а именно, проверка подписи в документах PDF, Word и Excel. И еще можно проверить подпись в XML документах - XMLDsig.

Результат проверки отображается на отдельной странице: информативно и понятно, но его нельзя скачать, только сохранить или распечатать всю страницу.

Чтобы получить информацию о том, кто заверил присланный документ, установить аутентичность подписи, и отсутствие несанкционированных изменений, необходима проверка ЭЦП. Для этого используются открытые он-лайн сервисы и специальные программные средства.

Принцип действия электронной подписи

Почти все современные технологии подписания электронных документов основаны на асимметричной схеме шифрования. Это значит, что владелец ЭП имеет в своем распоряжении два соответствующих друг другу (парных) ключа: закрытый и открытый. При помощи первого формируется подпись, и он строго хранится в секрете. Второй служит для шифрования информации, и предоставляется в открытый доступ.

При использовании неквалифицированной подписи () партнеры обмениваются открытыми ключами (ОК), при помощи которых производится проверка. С правовой точки зрения схема обмена обеспечивается заключенным между ними письменным договором. Более надежную систему защиты предоставляет квалифицированная ЭП.

В этом случае подписанный и зашифрованный документ вместе с ключом, и всей необходимой для проверки информацией, заключается в контейнер, роль которого выполняет сертификат, выданный Удостоверяющим центром. В нем содержатся сведения о владельце подписи, заверенные ЭЦП центра. Это обеспечивает:

• соответствие присланного открытого ключа закрытому, с помощью которого была сформирована ЭП;
• отсутствие постороннего вмешательства в документ (изменение содержания, подмена), что легко выявляет проверка электронной цифровой подписи.

Положительным результатом будет выдача сведений о ФИО владельца подписи, реквизитов УЦ, выдавшего сертификат, и сроке его окончания.

Для чего нужна проверка подлинности ЭЦП

Получив документ, защищенный ЭЦП, прежде всего, нужно проверить электронную подпись, чтобы:

• установить принадлежность подписи отправителю (ее аутентичность), то есть однозначно идентифицировать отправителя;
• убедиться в подлинности письма, достоверности, отсутствии нарушения целостности (следов взлома);
• иметь доказательство в случае возникновения спорной ситуации с партнером, отказывающимся от своей подписи.

В большинстве действующих информационных систем предусмотрена автоматическая проверка ЭЦП. Например, если заявитель сделал запрос в РОСРЕЕСТР, и получил ответ с электронной подписью, он может проверить ее подлинность непосредственно на сайте этой организации. Для этого предоставляется сервис, куда загружается полученный документ, файл с расширением *.sig, и проверка осуществляется с помощью нажатия простой кнопки.

Аналогичные средства присутствуют во всех информационных системах, в том числе на торговых площадках. Поскольку в России установлены государственные стандарты на применяемые алгоритмы, и система сертификации подписи, то проверить ЭЦП можно с помощью различных сервисов, которые предоставляют Удостоверяющие центры, и самостоятельно - с помощью специального программного обеспечения.

Как проверить подлинность электронной подписи

В процессе проверки документа происходит сопоставление ЭП, которой подписан документ, ключа проверки, предоставленного отправителем (присланного вместе с ним в одном контейнере), и сертификата КЭП. Проверить электронную подпись можно несколькими способами, даже когда получатель не зарегистрирован ни в каком УЦ.

1. При помощи он-лайн сервисов, имеющихся в открытом доступе, например, КонтурКрипто и многих других.
2. Установив у себя на компьютере программный комплекс КриптоПро CSP, и загрузив в него базу сертификатов из открытых справочников УЦ.
3. На Портале государственных услуг (старая версия, https://www.gosuslugi.ru/pgu/eds). На нем можно проверить ЭЦП, выданную только аккредитованными Удостоверяющими центрами (их список находится по адресу https://e-trust.gosuslugi.ru/CA).
4. Самостоятельно вычислив хеш-функции, для чего нужно знать алгоритм шифрования, обладать специальным опытом.

Для обычных пользователей доступнее и проще всего установка КриптоРро и проверка ЭЦП на Госпортале.

Проверка на КриптоПро CSP

Программу можно купить на сайте разработчика, либо скачать бесплатную версию на 14 дней, после чего она переходит в ограниченный режим работы «Старт». С ее помощью можно не только проверять полученные документы, но и создавать свои подписи под файлами Microsoft Word . При нормальной установке работа производится с помощью меню (рис. 1). После этого программный модуль будет автоматически проверять электронную подпись в каждом открывающемся документе с ЭЦП. Успешный результат показан на рис. 2.

Рис. 1 — меню

Рис. 2. — успешный результат

Если в процессе проверки будет выдано предупреждение, что сертификат присланного письма не удается проследить до корневого каталога, нужно импортировать его в хранилище, используя вкладки (рис. 3 и 4).

Рис. 3 — мастер импорта сертификатов

Рис. 4 — выбор хранилища сертификатов

Проверка КЭП на Портале госуслуг

Проверка квалифицированной электронной подписи, и сертификата с помощью этого сервиса производится быстро и без проблем. Кстати его можно использовать для проверки работоспособности своей собственной ЭП, полученной в аккредитованном УЦ. Как видно на рис. 5, программа работает, как с отдельным файлом подписи в формате *.sig, так и с встроенным в тело документа.

Рис. 5 — проверка подлинности на портале

Рис. 6 — Отчет об установлении статуса сертификата

В результате успешной проверки сертификата выдается значение «Действителен» (рис. 6), при неудачной - указывается причина. Например: «Сертификат отозван», или «Не удалось проверить».

Так же просто проверяется и КЭП. Оба описанных варианта работают только квалифицированными подписями, сертификаты ключей проверки которых внесены в официальные реестры УЦ. Поскольку центры отслеживают сроки их действия, это исключает возможность получить документ, подписанный недействительной ЭП.