что такое атрибутный сертификат и как его установить
Электронный документооборот: штамп времени, атрибутный сертификат и другие новшества
С 18.02.2019 вступают в силу изменения в Закон об электронном документе и электронной цифровой подписи. Они направлены на расширение практики применения электронного документооборота в нашей стране.
Электронный документ
На заметку
Напомним, что электронный документ — это один из видов документов в электронном виде. Он состоит из двух неотъемлемых частей :
1) общей — это непосредственно сам документ со всеми его реквизитами, за исключением даты документа, регистрационного индекса, резолюции, отметки о поступлении и других реквизитов, которые формируются после подписания документа ЭЦП;
2) особенной — это ЭЦП лиц, осуществивших согласование (визирование), подписание, утверждение электронного документа, а также реквизиты, формируемые после подписания (дата документа, регистрационный индекс и др.).
Новшеством в отношении особенной части электронного документа является то, что теперь она может содержать :
штамп времени — реквизит электронного документа, удостоверяющий дату и время создания электронного документа ;
дополнительные данные, необходимые для проверки ЭЦП и идентификации электронного документа, которые устанавливаются техническими нормативными правовыми актами.
Ранее это не было установлено.
Атрибутный сертификат
Введено понятие «атрибутный сертификат», а также установлен порядок его использования.
Обратите внимание!
Атрибутный сертификат должен содержать информацию :
— о (об) физлице, которому предоставлены полномочия;
— организации или физлице, от имени которых физлицу предоставлены полномочия;
— полномочиях, предоставленных физлицу от имени организации или другого физлица.
На заметку
Поставщиком услуг является организация, осуществляющая одну или несколько из следующих функций :
— издание, распространение и хранение сертификатов открытых ключей, атрибутных сертификатов, списков отозванных сертификатов открытых ключей и списков отозванных атрибутных сертификатов;
— достоверное подтверждение принадлежности открытого ключа определенным организации или физлицу;
— предоставление информации о действительности сертификатов открытых ключей, атрибутных сертификатов;
— отзыв сертификатов открытых ключей, атрибутных сертификатов;
— проставление штампа времени;
— выработка личных ключей для организаций или физлиц;
— организацией или физлицом, от имени которых другому физлицу предоставляются полномочия, информация о которых содержится в этом атрибутном сертификате.
На заметку
Владелец атрибутного сертификата вправе отозвать атрибутный сертификат.
Если отзывается открытый ключ, то это автоматически влечет отзыв атрибутного сертификата .
Юридическая сила электронного документа
Конкретизировано, в каких случаях электронный документ имеет юридическую силу.
На заметку
Напомним, что электронный документ приравнивается к документу на бумажном носителе, подписанному собственноручно, и имеет одинаковую с ним юридическую силу .
Электронный документ будет иметь юридическую силу в том числе в случае, если он был подписан :
— в период действия сертификата открытого ключа независимо от того, был ли впоследствии отозван открытый ключ, указанный в сертификате;
— ЭЦП физлица в соответствии с полномочиями, указанными в атрибутном сертификате;
— от имени организации ЭЦП физлица и дополнительно ЭЦП организации. В этом случае атрибутный сертификат предоставлять не требуется.
Копия электронного документа
— организация или ИП, создавшие данный электронный документ;
— организация, получившая электронный документ от другой организации посредством межведомственных информационных систем;
— другие организации или физлица в случаях, предусмотренных законодательными актами Республики Беларусь.
На заметку
В настоящее время удостоверить копию электронного документа может :
— нотариус или другое должностное лицо, имеющее право совершать нотариальные действия;
— регистратор организации по госрегистрации недвижимости;
— организация или ИП, имеющие право на удостоверение копии электронного документа на основании специального разрешения (лицензии), если его получение предусмотрено законодательством Республики Беларусь о лицензировании.
Электронная копия документа на бумажном носителе
Пример
Наниматель издал приказ на бумажном носителе, ознакомил с ним работников. Потом его отсканировал и подписал ЭЦП. Данный документ будет являться электронной копией документа на бумажном носителе.
ЭЦП организации
Владельцем открытого личного ключа ЭЦП по-прежнему могут быть организации. Определено, что они вправе применять ЭЦП :
— в качестве аналога оттиска печати организации;
— совместно с ЭЦП, владельцем личного ключа которой является физлицо, если сведений о его полномочиях атрибутный сертификат организации не содержит;
— для создания и (или) подписания электронных документов посредством автоматизированных информационных систем без участия физлица;
— в иных случаях, предусмотренных законодательством Республики Беларусь.
Ранее данного перечня не было.
Достоверность электронных документов, созданных зарубежными партнерами
На заметку
Доверительная третья сторона будет определяться Президентом Республики Беларусь .
Иные изменения
Помимо перечисленных предусмотрены следующие новшества:
1) отменена карточка открытого ключа проверки ЭЦП на бумажном носителе ;
2) установлена возможность одной ЭЦП подписывать несколько связанных между собой электронных документов (пакет электронных документов) ;
Сертификаты для физических лиц: какие бывают, где и как получить?
Специалист по электронному документообороту
Процесс электронной идентификации значительно упрощает обмен электронными документами, ведение бизнеса и обращение за административными услугами. Чтобы начать пользоваться всеми возможностями сервиса, достаточно получить основные виды сертификатов и электронную цифровую подпись.
Что такое сертификат открытого ключа физического лица?
Открытый ключ генерируется на основе личного ключа физического лица с применением сертифицированной ЭЦП. В процессе оформления сертификата открытого ключа поставщик услуги проходит проверку принадлежности личного ключа. После этого на сертификате открытого ключа ставится электронная цифровая подпись поставщика услуги, который выдал данный сертификат.
Информация, содержащаяся в сертификате открытого ключа, должна включать:
Базовый атрибутный сертификат: что это, и для чего он нужен?
Физические лица получают базовые атрибутные сертификаты на срок от 1 до 3 лет. Получателями документа могут быть физические лица, которые не зарегистрированы как частные предприниматели, но при этом уплачивают обязательные страховые взносы.
Оформить базовый атрибутный сертификат можно только при наличии действующего сертификата открытого ключа физлица. Кроме того, для его оформления понадобится пакет из следующих документов:
Шпоры по сертификатам X.509
Чудище обло, озорно, огромно, стозевно и лаяй.
Кстати что общего между LDAP, SNMP и X.509 ну кроме того, что им еще не скоро предстоит собрать стадионы фанатов? Их объединяет ASN.1 — мета-язык описания объектов древности. Если бы эти технологии создавали сейчас, в ход бы пошли XML, DTD или какой-нибудь другой ML. Но в то время стандарты создавались титанами, для которых даже SNMP был простым делом.
Словарный запас
Определение X.509 сертификатов есть в архиве ITU-T
Для того, чтобы досконально понять обозначения и синтаксис, придется читать спеки X.680 редакции 2008 г., где есть полное описание ASN.1. В понятиях ASN.1 SEQUENCE обозначает примерно то же самое, что и struct в Си. Это может сбить с толку, ведь по семантике оно должно было соответствовать скорее массиву. И тем не менее.
Стандарт X.690 определяет следующие правила кодирования структур данных, созданных в соответствии с ASN.1: BER (Basic Encoding Rules), CER (Canonical Encoding Rules), DER (Distinguished Encoding Rules). Есть даже XER (XML Encoding Rules), который на практике мне никогда не встречался.
Да, но для чего нужны сертификаты X.509, которые доставляют столько головной боли? Первая и основная функция сертификатов X.509 — служить хранилищем открытого или публичного ключа PKI (public key infrastructure). К этой функции нареканий нет, а вот со второй не все так однозначно.
Вторая функция сертификатов X.509 заключается в том, чтобы предъявитель сего был принят человеком, либо программой в качестве истинного владельца некоего цифрового актива: доменного имени, веб сайта и пр. Это получается по-разному, далеко не все сертификаты имеют высокую ликвидность, если пользоваться финансовой терминологией. Полгода назад Гугл пригрозил компании Симантек, что перестанет доверять их сертификатам из-за того, что те выпустили аж 30,000 неисправных сертификатов.
Номенклатура сертификатов
Давайте рассмотрим, какие сертификаты X.509 встречаются в природе, если рассматривать их по расположению в пищевой цепочке доверия.
По степени крутизны дороговизны и надежности сертификаты делятся на 3 вида: DV, OV и EV.
Редко, кто на это готов раскошелиться. Навскидку Яндекс, StackOverflow.com и Хабр могут жить и без него. Но те, кто готов пойти ради этого на жертвы должны выполнить следующие требования:
По свои свойствам сертификаты бывают следующих типов.
В России понятие КС квалифицированного сертификата определено законодательно в связи с доступом к ГосУслугам. По ссыске Хабрапост с былиной об извлечении персональных данных из КС.
Откуда берутся сертификаты?
Еще совсем недавно было всего 2 способа заполучить X.509 сертификат, но времена меняются и с недавнего времени есть и третий путь.
Для первого сценария достаточно пары команд и чтобы 2 раза не вставать создадим сертификат с алгоритмом эллиптических кривых. Первым шагом нужно создать закрытый ключ. Считается, что шифрование с алгоритмом эллиптических кривых дает больший выхлоп, если измерять в тактах CPU, либо байтах длины ключа. Поддержка ECC не определена однозначно в TLS Openssl имеет огромное количество опций и команд. Man страница не очень полезна, справочник удобнее использовать так:
Следует серия вопросов, чтобы было чем запомнить поля owner и issuer
Конвертируем связку ключей из проприетарного формата в PKCS12.
Смотрим на результат:
LetsEncrypt
Сценарий №1 — найти следующего в связке
Так и есть, SKI сертификат DigiCert имеет то же значение.
Сценарий №2 — используй subjectAltnName, Люк
Откройте файл openssl.cnf и в секции req добавьте следующие линии.
Далее, в секции [ v3_ca ] укажите.
А дальше все как обычно, создаем закрытый ключ и подписываем сертификат.
ЭЦП: применяем новшества правильно
Вячеслав Носевич
В настоящее время большинство организаций сталкивается в своей работе с электронными документами, т.е. документами, подписанными ЭЦП. Их создание и хранение вызывает ряд сложностей. С 18.02.2019 вступили в силу изменения в Закон об электронном документе. Разобраться в деталях помогает Вячеслав Леонидович Носевич, директор БелНИЦЭД, кандидат исторических наук.
Кто может быть владельцем личного ключа ЭЦП, при помощи которого создается ЭЦП?
Владельцем личного ключа ЭЦП, как и ранее, может быть:
Отметим, что прежде на практике в сертификате указывались реквизиты организации и паспортные данные конкретного работника, который непосредственно получал открытый ключ ЭЦП. Однако использовать такой ключ в работе мог совсем другой сотрудник или даже несколько. Поэтому было непонятно, соблюдается ли владельцем открытого ключа ЭЦП обязанность по сохранению его в тайне. С одной стороны, все лица, получившие доступ к ключу, являются сотрудниками организации (можно предположить, что тайна ключа не выходит за пределы организации). С другой стороны, в сертификате значатся данные конкретного сотрудника, а пользоваться ключом может не только он.
Таким образом, перечень владельцев личного ключа ЭЦП не изменился. Вместе с тем законодатель четко разграничил статус его владельцев.
Что такое атрибутный сертификат?
Обратите внимание!
Одно и то же лицо может быть владельцем нескольких атрибутных сертификатов .
Атрибутный сертификат в целях информирования всех заинтересованных лиц о том, кто праве подписывать документы от имени организации (физлица), подлежит распространению :
— владельцем открытого ключа;
— организацией или физлицом, от имени которых другому физлицу предоставляются полномочия, информация о которых содержится в этом атрибутном сертификате.
Атрибутный сертификат можно будет использовать в целях передачи полномочий кому-то из сотрудников (главному бухгалтеру и т.д.) для подписания электронных документов от имени организации. Предполагается, что впоследствии он станет обязательным для пользователей ряда государственных информационных систем.
Атрибутный сертификат можно отозвать. Когда владельцу сертификата следует это сделать?
Законодательством не установлен перечень случаев, когда возникает такая обязанность. Вместе с тем следует отметить следующее. Атрибутный сертификат, как мы указывали выше, является своего рода доверенностью, подтверждающей предоставление работнику организации (физлицу) тех или иных полномочий. На основании этого можно сделать вывод, что владельцем такого сертификата является не физлицо, полномочия которого им определяются, а организация, от имени которой он выдан. Именно она и должна позаботиться об отзыве сертификата.
Отозвать атрибутный сертификат необходимо в случае увольнения (перевода, изменения должностных обязанностей) работника, которому он был выдан. Срок действия атрибутного сертификата может быть также приостановлен на период пребывания работника в отпуске. На это время активируется атрибутный сертификат работника, который его заменяет.
На заметку
Одной из обязанностей поставщика услуг является ведение списков отозванных атрибутных сертификатов. Данные списки будут размещаться на сайте РУП «Национальный центр электронных услуг».
Владельцем личного ключа ЭЦП является организация. В каких случаях она может применять ЭЦП?
Когда владельцем личного ключа является организация, ЭЦП применяется :
— в качестве аналога оттиска печати организации.
На заметку
Для носителя, на котором записан личный ключ, используемый в качестве аналога оттиска печати организации, целесообразно в локальном документе определить (как это делается для обычных печатей):
— место хранения;
— порядок применения;
— работника, ответственного за применение.
Разрабатывая данный документ, стоит учитывать степень защиты носителя. Если он не очень надежный, то при смене ответственного работника целесообразно осуществлять и смену личного ключа;
— совместно с ЭЦП, владельцем личного ключа которой является физлицо, при отсутствии атрибутного сертификата. В данном случае ЭЦП организации будет подтверждать полномочия физлица;
— для создания и (или) подписания электронных документов посредством автоматизированных информационных систем (АИС) без участия физлица. Таким способом могут подписываться, например, электронные квитанции, уведомления о доставке писем, счета к оплате и иные документы, которые АИС генерирует автоматически по заранее установленным правилам;
— в иных случаях, предусмотренных законодательством Республики Беларусь.
Физлицо является владельцем личного ключа ЭЦП. В каких случаях оно может использовать ЭЦП от имени организации, в которой работает?
Пример
Бухгалтер является владельцем личного ключа ЭЦП. Он имеет два места работы — основное и по внешнему совместительству. Для подтверждения его полномочий как представителя данных организаций помимо его ЭЦП на документах проставляется ЭЦП организаций;
— полномочия данного физлица (работника) должны быть подтверждены атрибутным сертификатом (ч. 6 ст. 22 Закона об электронном документе).
Пример
В организацию на работу был принят главный бухгалтер. У него имеется личный ключ ЭЦП с еще действующим сертификатом открытого ключа. Чтобы подтвердить полномочия главного бухгалтера действовать от имени данной организации, она получила атрибутный сертификат.
Таким образом, на электронные документы переносится практика ведения традиционного делопроизводства. То есть должностное лицо подписывает документы при помощи своего личного ключа ЭЦП, а организация подтверждает полномочия данного должностного лица при помощи личного ключа ЭЦП организации или атрибутного сертификата.
У ЭЦП появилась новая функция. В чем она заключается?
Обратите внимание!
Хранение электронных копий документов на бумажном носителе должно осуществляться в том же порядке, что и хранение электронных документов. То есть в соответствии с законодательством данные документы должны формироваться в дела и храниться в течение установленных сроков с учетом их особенностей .
На практике может возникнуть необходимость представить электронный документ на бумажном носителе
(в законодательстве это звучит как форма внешнего представления электронного документа на бумажном носителе).
В данном случае электронный документ распечатывают и удостоверяют в установленном порядке.
Что собой представляет копия электронного документа и как ее удостоверить?
Ранее допускалось только два варианта удостоверения таких копий:
— организацией, имеющей соответствующую лицензию (на практике таковой признавалась лицензия, выдаваемая удостоверяющему центру).
Теперь возможности расширены. Бумажную копию сможет удостоверить организация:
создавшая электронный документ, бумажная копия которого подлежит удостоверению;
получившая такой документ от другой организации посредством межведомственных информационных систем.
На заметку
Вместе с тем для регламентации порядка удостоверения копии электронного документа потребуется внести изменения в Положение N 1086.
Не найдены атрибутные сертификаты ФСЗН или где получить сертификат
Часто возникают вопросы при работе с ключами ГосСУОК. Один из них как раз связан с отсутствием атрибутного сертификата, т.е. в на экран выводится сообщение «Не найдены атрибутные сертификаты ФСЗН для выбранного сертификата». Его можно получить заполнив онлайн-заявку на сайте НЦЭУ по ссылке.
Для наглядности записал для вас короткое видео:
Не найдены атрибутные сертификаты ФСЗН или где получить сертификат : 4 комментария
Пишите, какие ещё проблемы с ФСЗН — найду решение и объясню по-простому.
Для выбранного сертификата не найдено атрибутных сертификатов
Здравствуйте! Буквально вчера решал такую же задачу: на сайте госзакупок выдавало сообщение «Для выбранного сертификата не найдено атрибутных сертификатов». Решение следующее: нужно проверить настройки браузера и включить ActiveX. Посмотреть можете на сайте вот здесь например: www.kakprosto.ru/kak-8227. activex-explorer
Добрый день. Может подскажите, имею проблему по входу на «portal2.ssf.gov.by» (при этом проблем по входу на portal.ssf.gov.by — нет).
Пишет ошибку: «Ни найдено ни одного действующего атрибутного сертификата» — хотя смотрю через «Персональный менеджер сертификатов Авест для ГосСУОК» там висит Атрибутный сертификат с действием до января 20 года.
При этом СОСы обновил через этот же менеджер сертификатов и ActivX то же включил по инструкции.
Атрибутный сертификат висит тот который еще при получении ключа на диск записали.
Он подходит или надо отдельно заказывать через сайт новый? Может сталкивались с такой проблемой?
С уважением, Дмитрий
Добавить комментарий Отменить ответ
Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.