Електронно-цифровий підпис в Україні: для чого потрібна і де отримати

З розвитком інтернет-технологій все більше фінансових процедур переходять в онлайн-режим. Це і зручніше, і швидше, і не збирає черг. Уже зараз українці можуть користуватися електронними документами, такими як квитки, декларації, звіти, чеки або квитанції. Щоб підтверджувати електронні операції та убезпечитися від підробок, людство придумало електронно-цифровий підпис.

Що таке електронно-цифровий підпис 

На відміну від традиційної фізичної підпису, електронну придумує не господар, а спеціальний алгоритм. Програма використовує криптографічне шифрування, щоб створити набір ключів для приховування або розкриття інформації.

Як правило, при створенні підпису використовуються симетричні і асиметричні методи шифрування. У першому випадку дві сторони отримують два однакових ключа – для “закриття” і “відкриття” даних. Другий спосіб створює дві пари ключів, що відрізняються один від одного – відкритого і секретного. Якщо один з наборів шифрує інформацію, то другий її розшифровує.

Цифровий підпис встановлює авторство документа, яким підписана. З її допомогою можна перевірити документ на предмет спотворень і його справжність. Крім того, ЕЦП зберігає інформацію про дату і час, коли склали або підписали документ. А також всі правки, внесені відправником.

До цифрового підпису додається сертифікат, який підтверджує володіння відкритим ключем. Документ видають в акредитованих центрах сертифікації, що входять до складу інформаційно-довідкового департаменту Фіскальної служби. Крім відкритого електронного ключа, всередині повинна бути підпис довіреної особи власника. Все це гарантує захист від фальсифікації.

Існує два основних види сертифікатів. Централізовані видають спеціальні центри з довіреними організаціями. А децентралізована передбачає, що власник сертифіката привернув своїх знайомих в якості довірених осіб.

Навіщо потрібна цифровий підпис

ЕЦП придумали близько 40 років тому в США. Але Україна їх офіційно визнала тільки в 2003 році. До сих пір українці досить рідко використовують цифровий підпис. Але є категорії, яким без неї не обійтися.
Перш за все, це чиновники. Адже за українським законодавством держслужбовці повинні подавати електронні декларації. Авторизуватися в офіційній системі можна тільки по ЕЦП.

Зараз в електронне середовище активно переходять бізнесмени. Керівники підприємств та приватні підприємці потребують цифрового підпису для роботи в особистому кабінеті на сайті Державної фіскальної служби. Там вони можуть відправляти свої фінансові звіти і економити час на особистому відвідуванні податківців.

ЕЦП допоможе і іншим громадянам отримати необхідні документи без черг. З нею можна зайти на сайт Пенсійного фонду, оформити необхідні довідки та отримати копії документів. З осені 2018 року електронний підпис дозволяє отримувати ряд довідок, наприклад про відсутність судимості. Вона потрібна для відновлення документів, отримання візи та інших складних операцій з підтвердженням особи. Наприклад, при отриманні виписки з банку.

ЕЦП для входу вже вимагають багато державних онлайн-сервіси. В тому числі, сайти міністерств і державних реєстраторів. Так на базі Міністерства юстиції працює 33 інформаційні системи, які авторизуйтесь тільки по цифрового підпису. ЕЦП вимагають також сервіс закупівель ProZorro; портал держзакупівель, сайт для петицій президенту, Мінсоцполітики, МВС, земельний кадастр, податкова і багато інших.

З кожним роком все більше сервісів обзаводяться інтернет-порталами. Зараз з повним списком можна ознайомитися на сайті довідкового департаменту податкової.

Як отримати електронний підпис

У жовтні 2018 року в Україні набув чинності закон “Про електронні довірчих послуги”. Він був прийнятий в 2017 році, щоб привести українське законодавство щодо ЕЦП до вимог Євросоюзу.

У 2019 електронний підпис безкоштовно видає Акредитований Центр сертифікації ключів. Вони пропонують посилені сертифікати, які захищають навіть документи державного значення. Співробітники центрів безкоштовно створюють електронні підписи всі підприємствам, організаціям, установам незалежно від форми власності, а також фізичним особам.

Представники акредитованого центру зобов’язані отримати і зареєструвати документи, згенерувати ключі шифрування. Крім того, вони видають сертифікати і допомагають їх обслуговувати. Так до співробітників центрів можна звернутися за консультацією з приводу використання електронно-цифрового підпису. Багато корисної інформації можна дізнатися на офіційному сайті.

В Україні працює чимало приватних компаній, які надають послуги зі створення та обслуговування ЕЦП. Вони зобов’язані отримати акредитацію і відповідну ліцензію. На відміну від АЦСК, такі фірми працюють за гроші. Ціни вони встановлюють самі.

Співробітники органів державної влади не можуть оформляти ЕЦП за дорученням або отримувати два і більше посилених сертифікатів в один час.

Документи, які потрібні для отримання ЕЦП

Фізичній особі отримання підпису і ключів забезпечать:

• реєстраційна картка (бланк можна отримати на місці або заздалегідь завантажити на сайті;
• ксерокопії паспорта-книжки (першої та другої сторінки, а також інших, на яких є позначки);
• копія ID-карти з двох сторін (якщо немає книжечки), а також витяг про реєстрацію місця проживання;
  копія посвідчення про місце проживання (тимчасове або постійне), або паспорт для іноземців з нотаріально завіреним перекладом;
• копія довідки про ІПН з підписом;
• по конверту для кожного власника електронних ключів;

Документи для юрособи:

• заяву на реєстрацію;
• два примірника заяви-приєднання до договору «Про надання послуг електронного цифрового підпису»;
• статут організації (оригінал або копію, завірену нотаріусом);
• копія свідоцтва про реєстрацію з підписом керівника і печаткою або виписку з Єдиного державного реєстру юридичних осіб та фізичних осіб-підприємців;
• документи, що підтверджують повноваження керівника фірми;
• копію паспорта керівника (копії 1-4, 11-12 сторінок) з підписом власника;
• копії паспортів власників ЕЦП (копії 1-4, 11-12 сторінок) з підписами власників;
• довіреність і паспорт довіреної особи;

Додатково можуть зажадати копію свідоцтва про реєстрацію платника податку та довідку про присвоєння ІПН.

Документи можна подавати особисто або через довірену особу. В останньому випадку потрібно заздалегідь підготувати довіреність. Працівники органів державної влади не можуть реєструвати ЕЦП за дорученням, а також не можуть мати кілька посилених сертифікатів одночасно.

Як зберігати електронні ключі

ЕЦП зберігається в цифровій формі. Коли оформлення завершено, Акредитований центр або компанія передає файл замовнику на його власний носій, який потрібно взяти раніше. Пізніше сертифікат можна розмістити на комп’ютері, ноутбуці, смартфоні або USB-флешці. Щоб не втратити ключі, слід подбати про місце, де вони будуть у максимальній безпеці. Враховуйте, що термін дії посилених сертифікатів відкритих ключів обмежений – 24 місяці. Їх розміщують на сайті АЦСК.

Комп’ютер або телефон можуть зламати віддалено. Тому надійніше зберігати ключі шифрування на ізольованому носії. Як стверджують експерти, найкраще підійде смарт-карта з двухфакторной аутентификацией.

Важливий момент – не варто відправляти ключі партнерам по електронній пошті або слабо захищених каналах зв’язку. Найкраще передати копію особисто на знімному носії.

Підробка електронно-цифрових підписів

Як і все інше в інтернет-середовищі, ЕЦП можуть зламати. Заволодівши ключами, треті особи можуть фальсифікувати документ. Існує кілька видів атак. Зловмисники можуть заволодіти відкритим ключем з носія власника, а також використовувати відомі повідомлення.

Після успішного злому хакери можуть отримати повний доступ до алгоритму шифрування і зламати електронний ключ. Потім вони отримують можливість підробляти цифровий підпис. Разом з нею – і документи. Варто відзначити, що закриту підпис зламати практично неможливо. Поки метод надійно захищає ключі від зловмисників.

Колізія першого роду – це тип злому ЕЦП, який дозволяє створити підпис до випадкового документу. Реалізувати його на практиці дуже складно через технічні особливостей процесу – хакеру потрібно виконати відразу кілька складних завдань.

Колізія другого роду – шахрай може створити два файли з ідентичною ЕЦП. Це зробити простіше. Але і подібний злом відбувається нечасто. У групі найбільшого ризику знаходяться сертифікати SSL-сертифікати і MD5 (Message Digest S).

Є ще один вид – соціальні атаки. Як уже згадувалося вище, хакери можуть проникнути в операційну систему комп’ютера і викрасти ключі, які там зберігаються. Крім того, вони здатні перехопити файл під час незахищеного обміну. Вкрасти можуть і флешку. Викрадену підпис зловмисники можуть використовувати для шантажу.