Аккредитация Удостоверяющего Центра

Что такое Удостоверяющий Центр (УЦ)

Представьте, что вам нужно получить паспорт. Вы идете не в любое учреждение, а только в уполномоченный государством орган — подразделение МВД. Там вашу личность проверяют, устанавливают ее достоверность и выдают документ, который все признают.

Удостоверяющий центр (УЦ) — это примерно то же самое, но в цифровом мире. Это организация, которая:

  1. Проверяет личность того, кто хочет получить электронную подпись (ЭП).

  2. Издает специальный «цифровой паспорт»сертификат ключа проверки электронной подписи. Этот сертификат связывает ваши персональные данные с двумя уникальными криптографическими ключами:

    • Закрытый ключ (секретный) — хранится у вас на носителе (токене, в компьютере). Им вы создаете саму подпись.

    • Открытый ключ (публичный) — содержится в сертификате. Им другие люди проверяют, что подпись создана именно вашим закрытым ключом.

  3. Гарантирует, что на момент выдачи сертификата ваши данные были верными.

Простая аналогия: УЦ — это как цифровой нотариус, который заверяет: «Да, этот открытый ключ действительно принадлежит Ивану Иванову с таким-то паспортом».

Кто проверяет Удостоверяющие Центры

Если УЦ выдает «цифровые паспорта», то кто подтверждает, что самому УЦ можно доверять? Иначе любой мог бы открыть свою «контору» и выдавать левые сертификаты.

Для этого в системе электронной подписи России существует иерархия. На самом верху этой пирамиды находится Головной Удостоверяющий Центр (ГУЦ).

  • Кто это? Единственным ГУЦ является Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры). Его статус установлен Правительством РФ.

  • Его роль: ГУЦ — это «удостоверяющий центр для удостоверяющих центров». Он выдает сертификаты самим УЦ, подтверждая, что они являются законными участниками всей цепочки сертификатов.

  • Как это работает? Когда вы проверяете подпись, ваша криптопровайдер (например, КриптоПро CSP) смотрит не только на сертификат человека, но и на цепочку сертификатов: сертификат человека -> сертификат УЦ, который его выдал -> сертификат Головного УЦ, который выдал сертификат этому УЦ. Если вся цепочка доверия ведет к надежному корневому сертификату ГУЦ, ваше ПО доверяет проверке.

Таким образом, доверие к вашей подписи основано на доверии к УЦ, который ее выдал, а доверие к УЦ, в свою очередь, основано на доверии к Головному УЦ. Система построена на иерархическом доверии.

Аккредитованный Удостоверяющий Центр (АУЦ)

Головной УЦ проверяет только техническую корректность работы УЦ. Он не проверяет, насколько надежно УЦ идентифицирует клиентов, насколько защищено его оборудование и что будет, если он ошибется и причинит кому-то ущерб.

Для решения этих вопросов и введения высшего уровня доверия государство в лице Минцифры России ввело понятие аккредитации УЦ.

Аккредитованный удостоверяющий центр (АУЦ) — это УЦ, который не просто технически работает в системе, но и добровольно прошел строжайшую проверку на соответствие требованиям Федерального закона № 63-ФЗ «Об электронной подписи».

Чтобы получить аккредитацию, УЦ должен:

  1. Использовать только средства криптозащиты, сертифицированные ФСБ России. Это гарантирует, что подписи нельзя подделать или взломать.

  2. Иметь финансовое обеспечение ответственности. АУЦ обязан иметь страховку или денежный залог на сумму не менее 1,5 млрд рублей. Это нужно для того, чтобы в случае своей ошибки (например, выдал подпись мошеннику, и тот нанес ущерб) УЦ мог компенсировать убытки пострадавшим.

  3. Обеспечивать физическую и технологическую безопасность: иметь охраняемые помещения, сейфы для ключей, квалифицированных сотрудников и строгие регламенты работы.

  4. Соответствовать многим другим организационным и техническим требованиям закона.

Аккредитация — это своеобразный знак качества и надежности, который УЦ получает от государства, доказывая свою надежность и финансовую состоятельность.

Разница между аккредитованным и не аккредитованным УЦ

Аккредитованный УЦ (выдает Квалифицированную ЭП)

Юридическая сила

Квалифицированная электронная подпись, выданная АУЦ, по умолчанию (в соответствии с пунктом 1 и 3 статьи 6 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи», документы, подписанные квалифицированной электронной подписью обладают юридической силой, равной оригиналу документа на бумажном носителе, скреплённой печатью организации и подписью уполномоченного лица) приравнивается к собственноручной подписи. Ее действительность не нужно доказывать в суде.

Доверие

При проверке такой подписи с помощью любого совместимого ПО вы можете быть уверены, что она была создана с использованием проверенных криптосредств. КЭП от АУЦ является единственным видом подписи, обязательной к приему всеми государственными органами, органами местного самоуправления и для участия в электронных торгах по 44-ФЗ и 223-ФЗ.

Простота проверки

Для признания подписи действительной не требуется заключать дополнительные соглашения между сторонами. Достаточно убедиться, что сертификат электронной подписи был выдан действующим АУЦ на момент подписания документа.

Неаккредитованный УЦ (выдает Неквалифицированную ЭП)

Неаккредитованный УЦ выдает электронные подписи, но такой УЦ не прошел процедуру государственной аккредитации. Такой УЦ может выдавать только неквалифицированные электронные подписи (НЭП).

НЭП обладают юридической силой только при наличии отдельного соглашения между сторонами, где прописаны правила использования и признания таких подписей.

Юридическая сила

Отсутствие автоматического признания: Даже если УЦ выдал «квалифицированную» подпись на сертифицированных средствах, она не будет автоматически признана равной собственноручной подписи на всей территории РФ. Ее юридическая сила может быть оспорена. Для придания ей юридической силы сторонам, обменивающимся документами, необходимо заранее заключить детальное соглашение, в котором будут признаны правила использования этого конкретного УЦ, форматы подписей и процедуры проверки.

Доверие

При проверке НЭП у вас нет государственных гарантий того, что УЦ соблюдал все необходимые требования к безопасности и процедурам идентификации клиента. В случае судебного спора вам, возможно, придется самостоятельно доказывать, что средства подписи были надежными, а процедуры УЦ — корректными.

Документы, подписанные такой подписью, не будут приняты для отчетности в ФНС, Росстат, для подачи заявок на госзакупки и т.д.

Действительность ЭП

В соответствии со ст. 11 Федерального закона № 63-ФЗ от 06.04.2011 "Об электронной подписи" (в ред. от 28.12.2024) квалифицированная электронная подпись признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий успешной проверки:

  1. квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата;

  2. квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;

  3. срок действия ключа электронной подписи, указанный в квалифицированном сертификате, не истек на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки квалифицированной электронной подписи, созданной с использованием данного ключа электронной подписи, если момент подписания электронного документа не определен;

  4. имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений, внесенных в этот документ после его подписания. При этом проверка осуществляется с использованием средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом, и с использованием квалифицированного сертификата лица, подписавшего электронный документ;

Перечень Аккредитованных УЦ

Перечень аккредитованных удостоверяющих центров (УЦ) ведёт Минцифры России — головной удостоверяющий центр (ГУЦ). Информацию о перечне аккредитованных УЦ можно получить на странице «Аккредитация удостоверяющих центров» сайта Минцифры России.

Сам перечень можно найти на официальной странице Портала Уполномоченного Федерального Органа в сфере использования электронной подписи.