Зачем нужны сертификаты ЭП

Цепочка доверия: Как работают сертификаты в российской PKI и что об этом говорит закон

Если вы когда-нибудь задумывались, как работает электронная подпись (ЭП), почему документ, подписанный вами, считается юридически значимым, или что означают страшные слова «квалифицированный сертификат» и «ГОСТ» — эта статья для вас.

Мы простым языком, но с опорой на российские законы (63-ФЗ, приказы ФСБ и ФСТЭК), разберем, что такое цепочка доверия, из чего она состоит, где всё это хранится и почему без неё невозможен электронный документооборот в России.

Что такое PKI и «Цепочка доверия»?

Представьте себе обычный паспорт, в нем есть данные о личности, печать и подпись должностного лица, выдавшего его. Должностное лицо не просто так ставит свою печать и подпись, а потому, что наделен таким правом от соответствующего ведомства (МВД). Вы верите этому паспорту, потому что доверяете государству, которое его выдало, и знаете, как выглядит настоящая печать.

В цифровом мире всё устроено похоже, но роль «печати» играет электронная подпись, а роль «паспорта» — сертификат. Система, которая управляет всем этим хозяйством, называется PKI (Public Key Infrastructure) — инфраструктура открытых ключей.

Цепочка доверия (или цепочка сертификатов) — это иерархическая связка цифровых документов, позволяющая проверить, что сертификат на вашем компьютере (например, сертификат сотрудника для сдачи отчётности) является законным и никем не подделанным «документом» удостоверяющим ваши данные в сертификате. Организация, которая выдает такие сертификаты называется удостоверяющим центром (УЦ) . Но и сами удостоверяющие центры имеют свои сертификаты, которые им выдают вышестоящие УЦ. на самом «верху» находится головной или корневой удостоверяющий центр. Выдача сертификата кому-либо, это, образно говоря, математическая (криптографическая) операция подписания данных, указанных в сертификате, ключем из сертификата УЦ. Это логическая последовательность: «Корневой центр подписал промежуточный, промежуточный подписал конечный».

Иерархия сертификатов: Три кита доверия

Любая цепочка доверия строится из трёх основных уровней. Чтобы было понятнее, представим их в виде структуры власти в государстве.

Уровень 1. Корневой сертификат (Главный эталон)

Это «король» или «конституция» в мире доверия.

  • Кто выдаёт: Сам себя. Это самоподписанный сертификат. Он является исходной точкой доверия.

  • Где хранится: В защищённом хранилище на компьютере или устройстве (в ОС Windows, macOS, Android есть специальные разделы «Доверенные корневые центры сертификации»). В России корневые сертификаты национальных удостоверяющих центров (например, Минцифры, ФНС, Банка России) должны быть заранее установлены в систему.

  • Роль в России: Согласно 63-ФЗ, главный «корень» в стране — это головной удостоверяющий центр (ГУЦ), функции которого выполняет Минцифры России. Ему доверяют все остальные, например сертификат ИФНС (промежуточный) выдан головным УЦ.

Уровень 2. Промежуточный сертификат (Губернатор или мэр)

Корневой сертификат используется крайне редко и хранится в особо защищённом месте (иногда вообще в выключенном компьютере в сейфе). Для повседневной выдачи сертификатов людям создаются промежуточные удостоверяющие центры (УЦ).

  • Кто выдаёт: Корневой УЦ. Корневой центр подписывает промежуточный своей супер-защищённой подписью, тем самым делегируя ему полномочия.

  • Зачем нужен: Безопасность. Если хакеры взломают промежуточный центр, скомпрометирован будет только он. Корневой центр просто отзовёт его доверенность (выпустит список отзыва — CRL) и выпустит новый промежуточный, не переустанавливая сертификаты на всех компьютерах страны.

  • В российской практике: Аккредитованные УЦ (например, Контур, Калуга Астрал, Такском) имеют промежуточные сертификаты, подписанные головным УЦ.

Уровень 3. Конечный сертификат (Паспорт гражданина)

Это то, что получает конечный пользователь — вы или организация.

  • Кому выдается: Физическому лицу, сотруднику юридического лица, веб-сайту (SSL-сертификат), оборудованию (TLS-сертификат для криптошлюза).

  • Что внутри: ФИО, ИНН, СНИЛС (для физлиц), ОГРН (для юрлиц), и самое главное — открытый ключ проверки подписи.

  • Срок действия: Обычно 12–15 месяцев, но законодательство требует строго фиксировать срок действия ключа.

Россия и ГОСТ: Особенности национальной PKI

В мире существует множество стандартов, но в России электронная подпись имеет юридическую силу только тогда, когда она создана по российским стандартам (ГОСТам) в аккредитованном удостоверяющем центре. Это регулируется Федеральным законом № 63-ФЗ «Об электронной подписи».

63-ФЗ и Приказы ФСБ

Закон 63-ФЗ делит подписи на простые, усиленные неквалифицированные и усиленные квалифицированные (УКЭП). Именно УКЭП приравнивается к собственноручной подписи с печатью.

  • Приказ ФСБ №795 (и изменения к нему от 2024 года) — это «техническое описание» того, как должен выглядеть квалифицированный сертификат. Там чётко прописано, какие поля обязательны (ИНН, СНИЛС, ОГРН и т.д).

  • Срок действия ключа: С 1 сентября 2024 года (Приказ ФСБ №50) в сертификате появилось отдельное поле — срок действия самого ключа электронной подписи.

ГОСТ-алгоритмы

Если ваш браузер или программа при проверке сертификата видят надпись «ГОСТ Р 34.10-2012», это значит, что используется российский стандарт криптографии.

  • Это не просто «прихоть», а требование ФСТЭК и ФСБ для защиты информации.

  • Зарубежные алгоритмы (RSA, ECC) в госинформационных системах использовать нельзя.

Жизненный цикл: Откуда берется сертификат и куда уходит?

Выпуск

  1. Вы приходите в удостоверяющий центр (или его партнёра) с паспортом и СНИЛС.

  2. Оператор проверяет ваши документы (идентификация строго по 63-ФЗ).

  3. На вашем компьютере или защищённом носителе (токене, например, Рутокен) генерируется пара ключей: закрытый (секретный) и открытый (публичный).

  4. Удостоверяющий центр формирует сертификат, вписывает туда ваши данные и ваш открытый ключ.

  5. УЦ подписывает этот сертификат своим промежуточным (или корневым) сертификатом. Цепочка выстроена.

Хранение

  • Закрытый ключ: Хранится там, где был создан. Обычно это защищённый носитель (токен, смарт-карта) или специальное хранилище на компьютере (криптопровайдер). Его нельзя передавать никому.

  • Открытый ключ и сертификат: Хранятся в реестре удостоверяющего центра. Их можно свободно рассылать.

  • Промежуточные и корневые сертификаты: Хранятся в специальном хранилище операционной системы (certmgr.msc в Windows) или в самом приложении.

Отзыв сертификата

Если вы уволились или потеряли флешку с ключом, сертификат нужно отозвать. Удостоверяющий центр публикует список аннулированных сертификатов (CRL). Программы при проверке подписи обязаны сверяться с этим списком.

Где всё это хранится и как проверяется?

Вам, как пользователю, не нужно каждый раз вручную выстраивать цепочку доверия. Всё происходит автоматически, но полезно понимать механику.

  1. Вы получаете документ с подписью.

  2. Программа (КриптоПро, VipNet CSP или браузер) смотрит на сертификат, которым подписан документ. В нём написано: «Издатель: УЦ "Ромашка"».

  3. Поиск издателя. Программа ищет в своём хранилище сертификат УЦ "Ромашка". Находит его. Видит, что УЦ "Ромашка" подписан сертификатом "Головной УЦ Минцифры".

  4. Поиск корня. Ищет "Головной УЦ Минцифры". Находит его. Видит, что он подписал сам себя (самоподписанный) и доверяет ему, так как этот сертификат лежит в папке «Доверенные корневые центры сертификации».

  5. Верификация. Программа проверяет цифры и подписи на каждом этапе. Если всё совпало и сроки не истекли — цепочка доверия построена, подпись действительна.

Цепочка доверия — это фундамент электронной подписи. Пока каждый сертификат в цепочке действителен и подписан надёжным центром, вы можете «спать спокойно»: ваш электронный документ имеет такую же силу, как и бумажный с «живой» подписью. Российская PKI, построенная на ГОСТах и строгом регулировании со стороны ФСБ и Минцифры, гарантирует, что никто не сможет подделать вашу подпись или вставить в цепочку «левый» сертификат.