Безопасность

Ваш закрытый ключ ЭП хранится на специальном токене, который этот ключ надежно защищает. Не передавайте токен другим людям, не копируйте закрытый ключ с токена.

Ваши файлы подписываются и проверяются только на вашем ПК с помощью вашего криптопровайдера. Сервис «На-подписи» лишь помогает разместить оттиск на документе, настроить его вид и т.п. А сам процесс подписания (и проверки) происходит на вашем ПК.

Мы не сохраняем ваши документы на сервер, ни для каких целей он нам не нужен. Ваши документы - только у вас.

Мы можем получить информацию о вашем сертификате (сертификате ключа проверки ЭП), но эта информация не является закрытой.

Можно ли через сайт украсть ЭП?

Нет, закрытый ключ электронной подписи (ЭП) нельзя украсть через сайт, даже если он был скопирован с флешки в реестр.

Почему нельзя украсть

  1. Закрытый ключ не передаётся сайтам

    • При подписании документов ЭП сайты не получают сам ключ, а используют криптопровайдер (КриптоПро, ViPNet и др.), который выполняет подпись локально на компьютере пользователя.

    • Если сайт запрашивает файл закрытого ключа (.key, .pfx, .jks и т. д.) — это мошенничество.

  2. Ключ в реестре защищён

    • Если ключ был импортирован в реестр (например, через certmgr.msc или cryptcp), он обычно защищён паролем и хранится в зашифрованном виде.

    • Даже если злоумышленник получит доступ к реестру, без пароля ключ бесполезен.

  3. Для кражи ключа нужен доступ к системе

    • Чтобы украсть ключ из реестра, злоумышленнику нужно:

      • либо заразить компьютер (вирус, троян, RAT),

      • либо установить вредоносное ПО, которое сможет извлечь ключ.

    • Обычный сайт не может читать реестр без уязвимостей в браузере или эксплойтов.

Как защитить закрытый ключ?

  • Не храните ключ на флешке без пароля (лучше использовать токен или смарт-карту).

  • Использовать антивирус и следить за подозрительными процессами.

  • Не импортировать ключ в реестр, если нет необходимости (лучше оставить на токене).

Вывод

Сам по себе сайт не может украсть ключ из реестра, но если компьютер заражён — риск есть. Всегда соблюдайте меры безопасности при работе с ЭП, среди которых (но, не ограничиваясь):

  • на учетные записи пользователей операционной системы должны быть установлены пароли, удовлетворяющие требованиям безопасности;

  • должно быть установлено только лицензионное программное обеспечение;

  • должно быть установлено лицензионное антивирусное программное обеспечение с регулярно обновляемыми антивирусными базами данных;

  • должны быть отключены все неиспользуемые службы и процессы операционной системы (в т.ч. службы удаленного администрирования и управления, службы общего доступа к ресурсам сети, системные диски и т.д.);

  • должны регулярно устанавливаться обновления операционной системы;

  • должен быть исключен доступ (физический и/или удаленный)

  • к техническим средствам с установленными средствами квалифицированной ЭП и средствами криптографической защиты третьих лиц, не имеющих полномочий для работы в соответствующей информационной системе;

  • должна быть активирована регистрация событий информационной безопасности;

  • должна быть включена автоматическая блокировка экрана после ухода ответственного сотрудника с рабочего места.

Вы можете ознакомиться с полным Руководством по обеспечению безопасности использования электронной подписи и средств электронной подписи на официальном сайте ФНС (.docx, 33Кб).