Компоненты, без которых невозможно создание квалифицированной электронной подписи

Обновлено: 05.07.2024

Регламент об электронной идентификации и доверительных услугах (Регламент ЕС 910/2014/EC, также известный как eIDAS) представляет собой сложный свод законов (включая технические стандарты), которые поднимают планку для предоставления электронных доверительных услуг во всех государствах-членах ЕС. В этой статье делается попытка помочь в процессе принятия решения о выборе между внедрением расширенной или квалифицированной электронной подписи в контексте eIDAS. Даже несмотря на то, что регулирование вступило в силу во всех 28 государствах-членах, большинство компаний частного сектора либо отстают, либо полностью теряются в тумане неразберихи.

В Европе существует более 23 миллионов малых и средних предприятий. Вокруг eIDAS много путаницы, и у многих из этих компаний мало информации, чтобы просто объяснить закон.

Это правда, что частный сектор меньше подвержен влиянию eIDAS, чем государственные службы и государственные учреждения.

Несмотря на это, большинство компаний винят в позднем входе другие препятствия. Отсутствие интереса — не основная причина медленного развития eIDAS. Терминология вводит новые термины и понятия, которые трудно понять, включая, например, электронные устройства и типы данных — идентификаторы, сертификаты, подписи, печати, метки времени, данные о создании и устройства — каждый из которых разделен на 3 уровня гарантии, причем юридически значимые уровни являются «расширенными» или «квалифицированными». Еще одна ключевая причина отсутствия понимания законодательства связана со сложной архитектурой самого нормативного текста. Письменный материал включает сам регламент, не менее семи исполнительных актов и около 30 норм, технических стандартов, спецификаций и т. д.

Честно говоря, многие правила, определенные Комиссией ЕС, намеренно остаются неуточненными, оставляя место для некоторой интерпретации надзорным органам государств-членов, отвечающим за реализацию регламента. Обобщенный текст такой многогранной темы в сочетании с множеством пересекающихся требований затрудняет понимание eIDAS даже для экспертов. Поэтому необходимо уточнить.

Доверенные службы

Поставщики доверительных услуг (TSP) несут ответственность за обеспечение электронной идентификации подписавших сторон и услуг eID с помощью надежных механизмов аутентификации, предоставления цифровых сертификатов и электронных подписей. Любые изменения данных должны быть четко указаны отправителю и получателю данных. Кроме того, дата и время любых изменений должны быть указаны с прикрепленной электронной отметкой времени.

Согласно eIDAS расширенная электронная подпись (AdES) считается юридически обязывающей, тогда как квалифицированная электронная подпись (QES), например, созданная через квалифицированных поставщиков услуг доверия (QTSP), имеет наивысшую доказательную ценность и является цифровым эквивалентом. рукописного (если используется в качестве доказательства в суде) и не может быть легко оспорено, поскольку авторство считается неопровержимым.

В соответствии с eIDAS ЕС ведет Доверенный список ЕС, который содержит поставщиков и услуги, получившие квалифицированный статус. Если организации нет в этом списке, ей не разрешается предоставлять квалифицированные трастовые услуги. Те поставщики, которые перечислены в списке доверия ЕС, должны соблюдать строгие правила, созданные в рамках eIDAS. Узнайте больше о квалифицированных поставщиках услуг доверия.

Сравнение расширенных и квалифицированных электронных подписей

Как расширенные, так и квалифицированные подписи должны с высоким уровнем достоверности оставаться под исключительным контролем подписавшего. Кроме того, по закону они оба должны ссылаться на электронные данные, с помощью которых они были созданы. Наконец, данные для создания электронной подписи должны быть защищены таким образом, чтобы исключить возможность незаметного изменения данных.

Несмотря на то, что эти требования предусматривают безопасную, поддающуюся аудиту среду для проверки подлинности и хранения данных для создания подписи, она не обязательно защищает, например, от атак грубой силы или других атак, требующих надежного управления ключами шифрования. В этом отношении QES имеет гораздо более высокий уровень безопасности и надежности.

QES – это "расширенная электронная подпись с цифровым сертификатом, зашифрованным с помощью безопасного (квалифицированного) устройства для создания подписи" (правительство Великобритании, 2014 г.) через квалифицированного поставщика услуг доверия. Для QES устройство создания подписи и другие компоненты, участвующие в процессе активации подписи, также должны быть сертифицированы в соответствии с конкретными техническими требованиями с высокой степенью защиты, которые выдвигает ETSI (орган по стандартизации).Проще говоря, QES повышает требования к безопасности и юридические гарантии, которые предоставляет AdES.

По закону QES приравнивается к собственноручной подписи в ЕС. Подпись Доверительного провайдера подтверждает сертификат Подписавшейся стороны, который, тем самым, официально «квалифицировает» электронную подпись Подписавшейся стороны. Эти абсолютные требования обеспечивают более высокую техническую безопасность QES по сравнению с AdES.

Преимущества квалифицированной электронной подписи в плане технической безопасности и юридической гарантии

Техническая безопасность

Все квалифицированные подписи должны создаваться с помощью устройства для создания квалифицированных подписей (QSCD). Однако важно различать локальное и удаленное подписание.

Локальное подписание — это когда конечный пользователь/потребитель владеет личным устройством (например, смарт-картой), на котором хранится ключ подписи, а затем использует это устройство для запуска процесса подписи. В этом случае смарт-карта и устройство чтения карт должны быть сертифицированы, чтобы стать QSCD.

Удаленное подписание — это когда ключ подписи защищен аппаратным обеспечением TSP (аппаратным модулем безопасности в центре обработки данных), а подписывающее лицо получает удаленный (онлайн) доступ к ключу подписи, чтобы инициировать процесс подписания с помощью какой-либо формы строгой аутентификации. В этом случае модуль активации подписи (SAM) внутри аппаратного модуля безопасности (HSM) отвечает за безопасный запуск процесса подписи. SAM и HSM должны быть сертифицированы, чтобы стать QSCD. Жизненный цикл управления сертификатами и ключами полностью управляется аппаратным модулем безопасности (HSM). Все данные для создания подписи зашифрованы и хранятся в хранилище ключей базы данных и защищены ключом подписи, который никогда не оставляет HSM незашифрованным.

Юридическая гарантия

Помимо требований к AdES, регламент eIDAS устанавливает требования для предоставления квалифицированных доверительных услуг и устанавливает квалифицированные электронные подписи с такой же юридической гарантией, что и собственноручные подписи, во всех государствах-членах ЕС. Всякий раз, когда европейское или национальное статутное законодательство определяет формальности подписи для выполнения контракта, многие контракты требуют собственноручных подписей на цифровом документе для исполнения в надлежащей форме. К таким договорам относятся, например, трудовой договор, тендер, страхование проката автомобилей и многое другое. Возможно даже нотариальное заверение юридических документов нотариусом, имеющим государственную лицензию.

Но также имеет смысл применять сигнатуры, когда большие денежные суммы или защита жизни требуют более высокого уровня безопасности (где «квалифицированные» функции безопасности являются одним из важных аспектов сложной архитектуры безопасности). «Квалифицированный статус» также следует применять везде, где важна высокая доказательная ценность юридической неотказуемости (даже если это не требует правового регулирования).

Усилия и затраты

Усилие

Один из самых важных способов достижения статуса "квалифицированный" – идентификация клиента. Квалифицированные поставщики услуг доверия должны продемонстрировать, что личность достаточно проверена. В настоящее время большинство банков и правительств, применяющих eIDAS, проводят процесс KYC, который требует физического присутствия пользователя, чтобы впоследствии использовать данные в цифровом виде.

Чтобы ускорить процесс адаптации, такие проверки можно проводить онлайн либо напрямую, либо с помощью компании, занимающейся проверкой личности. Например, процессы идентификации клиентов, совместимые с eIDAS, проводятся такими компаниями, как PostIdent или Luxtrust.

Использование компаний, подтверждающих личность, сократит усилия по фактической настройке собственной службы подписи, чтобы предлагать ее клиентам. Однако даже такие предварительные усилия могут значительно окупиться при крупномасштабном развертывании.

Стоимость

Как за расширенные, так и за квалифицированные электронные подписи учреждение платит периодические и единовременные сборы.

При использовании квалифицированного поставщика надежных услуг компания должна платить ежегодную плату за использование в зависимости от объема, которая сопоставима с платой за расширенные электронные подписи. Однако есть и другие факторы, в том числе технологии и модели развертывания, которые еще больше усложняют оценку затрат. В зависимости от масштаба развертывания компания может сократить текущие расходы за счет предоставления некоторых услуг собственными силами.

При переходе на «квалифицированный» будет проводиться ежегодный аудит, подтверждающий важные аспекты архитектуры и соответствие требованиям eIDAS. Что касается такого аудита, банк среднего размера может рассчитывать на административные расходы в размере около 100 тыс. евро, включая фактический аудит внешним аудитором в год.

Суммарно затраты на услуги квалифицированной подписи можно оценить в 2-3 раза выше, чем на услугу расширенной подписи.

Заключение

Статья попыталась помочь в процессе принятия решения между расширенными и квалифицированными электронными подписями. Это показывает, что квалифицированные электронные подписи необходимы при автоматизации процессов подписания контрактов и документов, требующих «рукописной подписи». Они позволяют разрабатывать масштабируемые процессы, которые значительно сокращают численность персонала, усилия и время.

После внедрения процесса квалифицированной электронной подписи и регистрации пользователей квалифицированные электронные подписи могут применяться там, где они не обязательно требуются по закону, но обеспечивают более высокий уровень безопасности и правовых гарантий. Наглядным примером могут быть финансовые операции платежей выше определенного порогового значения.

В одном учреждении или компании могут быть отдельные варианты использования AdES и QES для PDF или XML. Преимущество технологии подписи Cryptomatic, совместимой с eIDAS, заключается в том, что обе эти технологии могут быть реализованы с помощью одного и того же решения Cryptomatic Signer. Подробнее о таких гибридных приложениях мы поговорим в следующих статьях.

Ссылки и дополнительная литература

Избранные статьи о eIDAS (с 2014 г. по настоящее время) Гаурава Шармы, Гийома Форже, Яна Кьерсгаарда, Дон М. Тернер, Дэвида Макнила и других авторов.

) (2018), Гаурав Шарма

(2018), Гаурав Шарма

(2018 г.), SWIFT & OPUS Advisory Services International Inc (декабрь 2013 г.), Европейский парламент и Европейский совет

Избранные статьи об электронной подписи и цифровых подписях (с 2014 года по настоящее время), написанные Ашиком Дж. А., Гауравом Шармой, Гийомом Форже, Яном Кьерсгаардом, Питером Ландроком, Торбеном Педерсеном, Доун М. Тернер и другими.

Избранные статьи об аутентификации (с 2014 г. по настоящее время) Хизер Уокер, Луиса Бальбаса, Гийома Форже, Яна Кьерсгаарда, Дон М. Тернер и других авторов.

Веб-семинар eIDAS 1: Использование электронных услуг идентификации, аутентификации и доверия для бизнеса (2018 г.), Европейская комиссия
Европейская концепция интероперабельности — стратегия внедрения (2017 г.), Европейская комиссия.
Предложение Европейской комиссии по ДИРЕКТИВЕ ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА о внесении поправок в Директиву (ЕС) 2015/849 о предотвращении использования финансовой системы в целях отмывания денег или финансирования терроризма (2016 г.)

Предложение Европейского парламента и Европейской Совет

Электронные подписи имеют такой же статус, как и "мокрые" подписи, с тех пор как они были юридически признаны в 2000 году как в Законе о ESIGN, так и в аналогичных международных законах.

Однако для некоторых, но важных транзакций по-прежнему требуется собственноручная подпись.

Электронная подпись – это электронный символ, обычно имя человека, который прикрепляется к форме или контракту и демонстрирует согласие. Они имеют юридическую силу для всех транзакций, в которых они используются.

Многие электронные подписи позволяют компаниям получать юридически обязывающее согласие через компьютер или смартфон, пока агент разговаривает с ними. У них есть преимущество перед подписями на бумаге благодаря их эффективности и преимуществам CX. Цифровые подписи — это подтип электронных подписей, которые отличаются особой безопасностью и основаны на технологии шифрования.

Кроме того, особенности юридических требований к электронной подписи зависят от страны и юрисдикции. Здесь мы рассмотрим законность электронных подписей по всему миру.

Юридические требования к электронной подписи

В Законе США об ассоциации электронных подписей и записей говорится, что электронная подпись является законной только в том случае, если все стороны согласны на ее использование вместо более традиционных методов предоставления согласия.

В Едином законе об электронных транзакциях также говорится, что в каждом штате должно быть описание того, как следует использовать электронные подписи. также принял для своих государств-членов.

Как правило, электронные подписи, имеющие обязательную юридическую силу, должны:

Покажите, что подписывающий действительно тот, за кого себя выдает
Покажите, что подписывающая сторона намеревалась поставить электронную подпись.Лучший способ доказать это — предоставить подписавшемуся возможность поставить подпись на бумаге и предоставить ему право выбора.
Демонстрируется готовность подписывающей стороны подписать (например, также присутствует возможность не соглашаться, например кнопка «Отмена»).
Подлинность подписавшего можно проверить независимо. Это часто означает наличие электронной почты, метки времени, номера мобильного телефона и IP-адреса. Здесь также может быть полезна двухэтапная идентификация для целей атрибуции.

Соответствуя вышеуказанным критериям, электронные подписи признаются юридически обязательными. Но бывают ситуации, когда электронные подписи не могут быть приняты на законных основаниях.

Во многих странах и юрисдикциях электронные подписи не используются в важных церемониях и документах, таких как свидетельства о рождении или смерти, свидетельства о разводе и документы об усыновлении. В этих случаях обычно требуются мокрые подписи и нотариус или свидетели. Электронные подписи также отклоняются, если оказывается, что подписывающее лицо не разбирается в компьютерах.

Технология шифрования, лежащая в основе законных электронных подписей

Юридически обязательные электронные подписи основаны на технологии, называемой инфраструктурой открытых ключей (PKI). PKI – это система, которая обеспечивает безопасное управление электронными цифровыми подписями путем создания двух битов кода, известных как ключи: закрытый ключ и открытый ключ.

Закрытый ключ используется только лицом, подписавшим документ, и скрыт от всех остальных. Открытый ключ передается тем, кому необходимо проверить подлинность электронной подписи. Система PKI также гарантирует соблюдение требований центра сертификации (CA), то есть организаций, уполномоченных обеспечивать целостность безопасности ключей.

После того как подписывающая сторона добавляет электронную подпись, создается криптографический хэш, связанный с документом и функционирующий как уникальный цифровой отпечаток пальца. Затем закрытый ключ шифрует криптографический хэш и сохраняет его в защищенном блоке HSM. Он добавляется в документ и отправляется получателю с открытым ключом подписывающей стороны.

Используя сертификат открытого ключа, получатель может расшифровать зашифрованный хэш. На стороне получателя генерируется новый криптографический хеш, и два хэша сравниваются, чтобы проверить подлинность электронной подписи и доказать отсутствие фальсификации.

Общие сведения о юридических требованиях к электронной подписи

Поскольку юридические требования к электронной подписи в разных штатах и странах различаются, компаниям следует изучить законы в своей области. Компании могут даже обратиться за юридической консультацией по поводу региональных различий в законах об электронной подписи.

В 2000 году в США федеральный закон об электронных подписях в мировой и национальной торговле (ESIGN) и Единый закон штата об электронных транзакциях (UETA) подтвердили законность электронной подписи и изложили критерии обеспечения законности электронной подписи. соответствие.

В Великобритании электронные подписи получили юридическую силу в соответствии с Регламентом об электронных подписях (2002 г.). Согласно этому закону, контракт не обязательно должен состоять из мокрой подписи. Чтобы контракт был действительным, все стороны должны просто продемонстрировать понимание контракта, а электронная подпись служит доказательством того, что все вовлеченные стороны согласились с условиями контракта.

В ЕС электронные подписи стали юридически обязательными благодаря рамочной директиве сообщества. В соответствии с этой директивой электронная подпись не может быть отклонена только потому, что она была создана в электронном виде.

Следующее представляет собой основные характеристики юридически обязательной электронной подписи. Хотя этот обзор основан на принципах законодательства США, большинство из них можно применять к электронным подписям в других частях мира, о чем мы подробно поговорим в следующем разделе.

Действительность. Электронные записи и подписи имеют такую же юридическую силу, как и обычные подписи на бумажных документах. Документам, контрактам и подписям нельзя отказать в юридической силе только потому, что они электронные.
Намерение. Электронные подписи действительны только в том случае, если подписывающая сторона выразила намерение поставить подпись. Это ничем не отличается от мокрых подписей.
Запись. Электронные подписи должны сопровождаться графическими или текстовыми элементами, показывающими электронный процесс создания подписи.
Согласие. Согласие на подписание должно быть продемонстрировано явно или неявно (в результате предпринятых действий). Если сторона является потребителем, он или она должны получать раскрытие информации UETA, активно давать согласие на электронные взаимодействия и не отзывать свое согласие.
Хранение. Чтобы электронные документы и подписи были действительными и имели юридическую силу, они должны храниться и воспроизводиться всеми сторонами, имеющими право на документ.

Юридические требования к электронной подписи — нюансы по всему миру

Юридические требования к электронной подписи, как правило, одинаковы во всем мире.Например, в подавляющем большинстве юрисдикций указано, что документ или контракт не может быть отклонен только потому, что он был подписан электронной подписью. Тем не менее, между юрисдикциями существуют некоторые важные различия, особенно когда речь идет о типах электронных подписей и некоторых ситуациях, когда электронные подписи не принимаются.

Требования к электронной подписи в США

В США юридические требования к электронной подписи основаны на двух основных законах: на уровне штатов действует Единый закон об электронных транзакциях (UETA), а на федеральном уровне — Закон об электронных подписях в глобальной и национальной торговле. (ЭПИСЬ).

И ESIGN, и UETA были приняты в 2000 году и описывают пять основных элементов, придающих электронной подписи юридическую силу:

Действительность. Подписи и записи, созданные в электронном виде, имеют такую же юридическую силу, как и традиционные бумажные и рукописные версии. Тот факт, что подпись была записана в электронном виде, не может служить основанием для признания ее недействительной.
Согласие. Подписывающее лицо должно дать согласие на использование электронной подписи. Это означает, что компания должна предоставить им определенную информацию, прежде чем они подпишут соглашение.
Намерение. Электронная подпись требует, чтобы подписывающее лицо имело намерение подписать документ. Они должны соглашаться с тем, что написано в документе, который они подписывают, и полностью понимать последствия своей подписи.
Запись. Электронная подпись должна сопровождаться доказательством того, что это электронная подпись, а не виртуальная подпись.
Целостность данных. Документы, подписанные электронной подписью, должны быть защищены от подделки или непреднамеренной потери данных.

В США в большинстве случаев принимаются документы с электронной подписью. Сюда входят транзакции B2B, B2C и C2C, а также транзакции между правительством и предприятиями или отдельными лицами. Многочисленные судебные дела подтвердили надежность электронных подписей, закрепив их в прецедентном праве.

Есть несколько обстоятельств, когда электронные подписи не принимаются в США. В этих случаях подписи должны состоять из «влажных чернил» или официально заверенных подписей.

Следующие ситуации исключают использование электронных подписей:

Постановления суда и уведомления
Соглашения об усыновлении и разводе
Прекращение выплат по страхованию жизни или здоровья
Завещания, завещательные трасты и дополнения

Юридические требования к электронной подписи в Великобритании

Подобно ESIGN и UETA, Закон Великобритании об электронных коммуникациях от 2000 года подтвердил, что соглашение не может быть признано недействительным только потому, что подпись была поставлена в электронном виде. Электронные подписи были полностью кодифицированы в Великобритании в соответствии с Законом об электронных подписях в 2002 году.

Согласно законодательству Великобритании, действующий договор не требует письменной подписи, если обе стороны понимают договор и достигают взаимного согласия. В этом случае электронная запись служит приемлемым доказательством того, что обе стороны согласны с документом.

Есть разные степени легальности электронных подписей. Самый простой тип, стандартные электронные подписи (SES), не имеет такого же веса, как собственноручная подпись. Но британское законодательство приравнивает один тип электронной подписи к рукописной. Эти электронные подписи называются квалифицированными электронными подписями (QES) или расширенными электронными подписями (AES).

AES – это:

Уникальная связь с человеком, подписавшим его
Идентифицирует человека, подписавшего его.
Создано с использованием процесса, доступ к которому может получить только подписывающая сторона.
Связан с другими данными, поэтому любые изменения или фальсификация будут обнаружены

QES — это:

Тип цифровой подписи, одобренный государственными органами.
Создано с помощью высоконадежного устройства для создания подписи.
Эквивалентно собственноручной подписи при соблюдении всех правовых условий.

В Великобритании стандартные электронные подписи принимаются для большинства документов, включая трудовые договоры, кадровые документы, коммерческие соглашения, договоры купли-продажи, краткосрочную аренду, гарантии и кредитные соглашения. Для других документов требуется AES или QES.

Есть некоторые соглашения, которые необходимо подписывать вручную, например:

Документы по семейному праву, включая брачные контракты и соглашения о раздельном проживании.
Договоры с недвижимостью, такие как передача права собственности, ипотека и освобождение от ипотеки.
Большинство договоров аренды
Таможенные и налоговые документы

Юридические требования к электронной подписи в ЕС

В 2000 году ЕС признал электронные подписи юридически обязательными в соответствии с Директивой о рамках сообщества. Это подтвердило, что электронная подпись не может быть отклонена только потому, что она была создана в электронном виде.

Многие европейские страны разделяют британский подход к признанию договоров юридически обязывающими без собственноручной подписи.В 2015 году законодательство ЕС заменило Директиву об электронной подписи 2000 года Регламентом (ЕС) № 910/2014, обычно называемым eIDAS. eIDAS заявила, что существует три типа электронных подписей: SES, AES и QES, как и в Великобритании.

Стандартные электронные подписи

Согласно eIDAS, простая электронная подпись охватывает все типы подписей, в которых электронные данные присоединяются к подписи и используются для аутентификации. Он не зависит от технологии, поэтому любой электронный документ, такой как Adobe PDF или Microsoft Word, может включать такую подпись.

Независимо от типа используемой технологии простая электронная подпись должна отражать намерения подписывающего лица, быть создана лицом, давшим согласие, и быть неотъемлемой частью документа, к которому она подключена.

Стандартная электронная подпись принимается для большинства контрактов и документов, включая трудовые договоры, заказы на покупку, счета-фактуры, договоры купли-продажи, лицензии на программное обеспечение и документы о недвижимости. SES принимается в ситуациях B2B, B2C и C2C. AES или QES принимаются для большинства судебных справок, договоров потребительского кредита, а также аренды жилых и коммерческих помещений.

Расширенные электронные подписи

Расширенная электронная подпись должна включать дополнительные элементы, гарантирующие личность подписывающего лица и безопасность документа. Он должен быть однозначно связан с подписывающей стороной и связан с данными таким образом, чтобы можно было обнаружить любые последующие изменения в документе, например фальсификацию.

Квалифицированные электронные подписи

Наконец, последний тип подписи, определенный eIDAS, — это квалифицированная электронная подпись. Несмотря на то, что как расширенные, так и квалифицированные подписи однозначно связаны с личностью подписывающего, квалифицированные электронные подписи основаны на квалифицированных сертификатах. Таким образом, они могут быть выданы только центром сертификации (CA), который является одобренной отраслевой организацией, регулирующей целостность таких электронных подписей.

Центр сертификации должен быть аккредитован и контролироваться органами, назначенными государствами-членами ЕС, и соответствовать строгим требованиям eIDAS. Квалифицированные сертификаты должны храниться на квалифицированном устройстве для создания подписи, таком как USB-токен, смарт-карта или облачная служба доверия. Как и в США и Великобритании, в ЕС лишь в некоторых случаях достаточно собственноручной подписи.

К ним относятся:

Договоры о передаче или покупке недвижимости
Брачные контракты
Уведомления об увольнении отдела кадров

Важно помнить, что у каждого члена ЕС есть свои требования к электронным подписям.

Три типа электронных подписей

Простые электронные подписи

Электронная подпись определяется как «данные в электронной форме, которые присоединены к другим данным в электронной форме или логически связаны с ними и которые используются подписывающей стороной для подписи» (статья 3 eIDAS). Таким образом, такая простая вещь, как написание вашего имени под электронным письмом, может представлять собой электронную подпись.

Расширенные электронные подписи (AdES)

Расширенная электронная подпись (статья 3 eIDAS) – это электронная подпись, которая дополнительно:

уникально связаны с подписывающей стороной и способны идентифицировать ее;
создано таким образом, чтобы подписавшая сторона сохраняла за собой контроль;
связан с документом таким образом, чтобы можно было обнаружить любое последующее изменение данных.

Наиболее часто используемой технологией, обеспечивающей эти функции, является использование инфраструктуры открытых ключей (PKI), которая включает использование сертификатов и криптографических ключей

Квалифицированные электронные подписи (QES)

Квалифицированная электронная подпись (статья 3 eIDAS) — это расширенная электронная подпись, которая дополнительно:

создано квалифицированным устройством для создания подписи;
и основан на квалифицированном сертификате для электронных подписей.

Устройства для создания подписи бывают разных форм для защиты данных для создания электронной подписи подписывающей стороны, например смарт-карты, SIM-карты, USB-накопители. «Устройства для создания удаленной подписи» также могут использоваться, когда устройство не находится в физическом владении подписавшего, а управляется провайдером. Эти решения для удаленной квалифицированной подписи предлагают улучшенный пользовательский интерфейс, сохраняя при этом юридическую определенность, обеспечиваемую квалифицированными электронными подписями.

Квалифицированные сертификаты для электронных подписей предоставляются (государственными и частными) поставщиками, которым национальный компетентный орган присвоил квалифицированный статус, как указано в национальных «списках доверенных лиц» государства-члена ЕС. Доступ к этим спискам можно получить через браузер доверенных списков. Многие поставщики квалифицированных сертификатов доставят соответствующий закрытый ключ на квалифицированное устройство для создания подписи.

Несмотря на то, что разные уровни электронных подписей могут быть уместны в разных контекстах, только квалифицированные электронные подписи явно признаны имеющими такую же юридическую силу, как и собственноручные подписи, во всем ЕС.

Когда использовать электронную подпись?

Электронные подписи можно использовать в самых разных ситуациях.Поскольку их юридические последствия аналогичны собственноручным подписям, квалифицированные электронные подписи могут использоваться в любой ситуации, даже трансграничной, где используются собственноручные подписи, например:

Контракты (купли-продажи, найма, аренды, страхования и т. д.)
Транзакции (электронная торговля, онлайн-банкинг и т. д.)
Административные процедуры (налоговые декларации, запросы на выдачу свидетельств о рождении и т. д.)

Электронные подписи в Европейском Союзе

Электронные подписи впервые были признаны в европейском законодательстве в соответствии с Директивой ЕС об электронной подписи (Директива об электронной подписи), принятой в 1999 году. С 1 июля 2016 года электронные подписи в ЕС регулируются Службой электронной идентификации и доверия (eIDAS). ) Регулирование. eIDAS обеспечивает предсказуемую нормативную среду, непосредственно применимую ко всем государствам-членам ЕС, для обеспечения безопасного и бесперебойного электронного взаимодействия между предприятиями, гражданами и государственными органами.

Как Европейская комиссия поддерживает электронные подписи в Европе?

Введение в стандартный блок электронной подписи

Стандартный блок eSignature помогает государственным администрациям и предприятиям ускорить создание и проверку электронных подписей. Развертывание решений, основанных на этом структурном блоке, в государстве-члене облегчает взаимное признание и трансграничную интероперабельность электронных подписей. Это означает, что государственные органы и предприятия могут доверять и использовать электронные подписи, которые действительны и структурированы в совместимых с ЕС форматах. Предоставление многих онлайн-услуг требует обмена документами, подпись которых можно распознать за границей. Таким образом, он представляет собой ключевой элемент единого европейского цифрового рынка.

Электронная подпись – это строительный блок программы Connecting Europe Facility (CEF). Эти стандартные блоки представляют собой повторно используемые спецификации, программное обеспечение и услуги, которые станут частью широкого спектра ИТ-систем в различных областях политики ЕС. Продвижение общих строительных блоков — это способ снизить барьеры для технической интеграции и предоставить проверенные компоненты решения, которые ускорят предоставление интерактивных услуг, работающих за границей, с минимальными затратами.

Чего пытается достичь CEF eSignature?

Стандартный блок eSignature поддерживает использование интероперабельных электронных подписей в Европе. Это означает, например, что греческий предприниматель может подписать заявление на получение разрешения в Хельсинки и ожидать, что оно будет признано государственными органами в Дублине.

Что предлагает CEF eSignature?

Стандартный блок электронной подписи CEF состоит из нескольких сервисов, управляемых Европейской комиссией. К ним относятся:

Библиотека Digital Signature Services (DSS) с открытым исходным кодом для создания и проверки электронных подписей.
Менеджер доверенных списков, помогающий операторам схемы доверенных списков (TLSO) государств-членов создавать и редактировать доверенные списки в стандартном машиночитаемом формате. и связанные стандарты (поддерживаемые ETSI), в которых излагаются требования, изложенные в Регламенте eIDAS в отношении электронных подписей и электронных печатей. (поддерживается ETSI), чтобы помочь поставщикам услуг и государственным администрациям проверить функциональную совместимость и соответствие своего решения электронной подписи.

Полный обзор услуг CEF eSignature можно найти здесь.

Краткая история электронной подписи CEF

Директива об электронных подписях (1999/93/EC), вступившая в силу в январе 2000 года, впервые признала юридическую силу электронных подписей, тем самым установив правовую базу на европейском уровне для электронных подписей и сертификационных услуг.

Действие ISA 1.9 было направлено на то, чтобы облегчить государствам-членам и их руководителям электронного правительства использование и прием электронных подписей путем предоставления им необходимых технических инструментов в соответствии с Директивой об услугах 2006 года (2006/123/EC). В этой Директиве указано, что поставщики услуг из любого государства-члена, желающие создать и вести бизнес в другом государстве-члене, имеют право выполнять все соответствующие административные процедуры и формальности через Единые контактные пункты и с помощью электронных средств, в том числе трансграничных.

В 2016 году вступил в силу Регламент (ЕС) № 910/2014 (Регламент eIDAS), а Директива об электронной подписи была отменена. Новая правовая база обеспечивает правовую определенность в отношении трансграничного использования электронных подписей, электронных печатей, отметок времени, службы электронной доставки и сертификатов проверки подлинности веб-сайтов.

Генеральный директорат Европейской комиссии по информатике (DG DIGIT) отвечает за техническое управление электронной подписью CEF.
Генеральный директорат Европейской комиссии по коммуникационным сетям, контенту и технологиям (DG CNECT) отвечает за реализацию политики ЕС, непосредственно связанной с электронной подписью.
Исполнительное агентство по инновациям и сетям (INEA) отвечает за реализацию грантов программы CEF Telecom в сотрудничестве с Европейской комиссией.

Каковы преимущества?

1. Преимущества электронной подписи для конечных пользователей

Электронная подпись позволяет полностью оцифровать бизнес-процессы, устраняя время и затраты на печать, отправку факсов, отправку по почте, копирование, сканирование и хранение в бумажных форматах, что имеет много недостатков:

риск потери, уничтожения и некомплектности
сложность поиска, редактирования и публикации
потребность в большом физическом пространстве для хранения

Устраняя это бремя, правительства, компании и граждане, внедряющие электронную подпись, будут:

значительно сэкономить время
повысить безопасность процессов
сокращать эксплуатационные расходы
уменьшить углеродный след
улучшить удовлетворенность всех сторон

Электронная подпись – это быстро, экологично, безопасно и чрезвычайно удобно, что повышает общее удобство использования.

2. Преимущества библиотеки CEF eSignature с открытым исходным кодом DSS

DSS позволяет упростить сложные детали электронных подписей и позволяет главным героям сосредоточиться на создании того, что они хотят создать, будь то счет-фактура, контракт и т. д.

Поэтому DSS – это мощный инструмент для государственных и коммерческих организаций, позволяющий с меньшими усилиями интегрировать электронную подпись. Это также повышает трансграничную функциональную совместимость и обеспечивает более высокий уровень доверия к электронным транзакциям.

3. Преимущества диспетчера доверенных списков CEF eSignature для операторов схемы доверенных списков (TLSO)

Менеджер доверенных списков — это единая точка доступа ко всем техническим инструментам, необходимым TLSO для управления доверенными списками.

Менеджер доверенных списков позволяет легко создавать, редактировать, подписывать и поддерживать доверенные списки в формате, требуемом регламентом eIDAS. Это также позволяет TLSO проверять соответствие доверенного списка стандартам, а также доступность доверенного списка.

Каковы варианты использования?

Можно предусмотреть различные варианты использования электронной подписи. Мы приводим несколько примеров межведомственного, междиректорального или внешнего взаимодействия:

Европейский законодательный процесс

Подписание законодательных, нормативных или административных актов.

Судебно-процессуальные документы

Судебные записки, состязательные бумаги, управление делами или другие процессуальные документы.

Электронная регистрация

Реестры социального страхования, бизнес-реестры, налоговые реестры.

Более простое управление мандатами, переход от бумажных мандатов к системам электронных мандатов.

Внутренние административные процедуры

Кадровые документы (трудовые договоры, уведомления о конфиденциальности, соглашения о неразглашении, документы о льготах), управление контрактами, электронные счета.

Цифровые подписи – это разновидность электронной подписи, в которой используется цифровое удостоверение на основе сертификата, полученное либо от поставщика облачных услуг доверия, либо из локальной системы подписывающей стороны.

Цифровая подпись, как и обычная собственноручная подпись, идентифицирует лицо, подписывающее документ. В отличие от собственноручной подписи, подпись на основе сертификата трудно подделать, поскольку она содержит зашифрованную информацию, уникальную для подписавшего. Его можно легко проверить, и он сообщает получателям, был ли документ изменен после того, как подписывающая сторона первоначально подписала документ.

Adobe Sign поддерживает цифровые подписи, просто поместив поле «Цифровая подпись» в форму (с помощью текстовых тегов, перетаскивания в среде Adobe Sign Authoring или создания в Adobe Acrobat с помощью Acroforms).

Временные метки

Отметки времени являются важным компонентом стандартов соответствия подписи США и ЕС при применении цифровых подписей.

Временная отметка выступает в качестве механизма блокировки как для личности подписывающей стороны, так и для самого документа. Идентификацию можно установить несколькими способами (сертификат, вход в систему, идентификационная карта...), но отметка времени должна быть предоставлена доверенным и уполномоченным органом по отметке времени (TSA).

Отметка времени гарантирует долгосрочную действительность (LTV) подписанного соглашения путем блокировки подписи и документа. По сути, обеспечивая замок для замка. Это имеет решающее значение для соответствия цифровой подписи, поскольку срок действия личных сертификатов подписи может истечь, а отметка времени LTV может обновляться с течением времени без изменения действительности подписи. Временная метка LTV гарантирует, что сертификат был действителен при применении, и продлевает срок действия подписанного соглашения за пределы времени действия фактического сертификата подписывающей стороны.

Доказательство метки времени отображается в виде цифровой подписи с использованием нотации ISO 8601

Квалифицированная метка времени для соответствия требованиям e-IDAS в Европейском Союзе

Все учетные записи экземпляра Adobe Sign EU1 в Европе имеют соответствующие e-IDAS квалифицированные метки времени, которые применяются по умолчанию. (Знайте, на каком экземпляре вы находитесь)

Для отправителей

С точки зрения отправителей все, что требуется, — это разместить поле цифровой подписи в отправляемом документе.

Для авторов документов/шаблонов

Каждому получателю может быть назначено не более одного поля цифровой подписи в соглашении. Любые дополнительные поля подписи, которые необходимы, могут относиться к стандартному типу поля электронной подписи.

Обратите внимание: то, что одна подписывающая сторона использует цифровую подпись, не означает, что другие подписывающие стороны обязаны это делать. Вполне допустимо, чтобы только ваши внутренние подписавшие лица применяли цифровые подписи, а внешние подписывающие лица использовали тип поля электронной подписи (или наоборот).

Использование авторинга перетаскиванием

Создатели шаблонов найдут поле "Цифровая подпись" в разделе Поля подписи среды разработки.

Ниже вы можете увидеть поле электронной подписи слева и поле цифровой подписи справа.

Читайте также: