18.11.2021 17:20
Практическая гигиена использования электронной подписи
Мы, команда SafeTech, считаем, что технология электронной подписи делает наш мир намного более удобным и безопасным. Ведь благодаря электронной подписи можно совершать множество важных действий: заключать договоры, открывать и закрывать компании, покупать и продавать недвижимость и т.д. При всём при этом не нужно лично встречаться, не нужна бумага, не страдают деревья, и особенно скучают курьерские и почтовые службы. Мы все это смогли оценить в период прошлогоднего локдауна, когда возможность подписывать документы на бумаге была резко ограничена.
Как любая сложная технология, электронная подпись обладает своими особенностями, преимуществами и недостатками. И если преимущества довольно очевидны и приятны, то некоторыми простыми правилами “гигиены” часто пренебрегают. Хотя их хорошо бы соблюдать, как раз чтобы получив удобство, при этом не пострадать от мошенников. О самых простых и элементарных правилах использования технологии электронной подписи мы с вами сегодня и поговорим.
Но для начала вспомним, какие проблемы есть у собственноручных подписей и печатей.
Ни для кого не секрет, что обычные подписи и печати легко подделать. Можно научиться расписываться за кого угодно и кустарно изготовить печать, так как не существует какой-то общей базы всех подписей физических лиц и печатей юридических лиц, по которой можно было бы быстро и легко сверить вашу подпись. При сомнениях в подлинности подписи или печати проводятся дорогостоящие экспертизы, но делать их постоянно для каждого документа слишком долго и дорого.
Тогда почему же мы верим подписям и печатям? Скорее всего, просто по привычке, но в глубине, наверное, скорее из-за репутации того, кто эту подпись поставил. Мы думаем, что если общаемся с уважаемым и знакомым человеком или компанией, то априори им можно доверять и откровенную ерунду они не подпишут или не подсунут нам на подпись. А значит, скорее всего все будет в порядке, а в случаях недостатка доверия и уважения нашему контрагенту, нам на помощь приходят третьи лица, обладающие безусловным доверием – нотариусы.
Что будет, если у человека выкрадут или подделают печать и научатся за него расписываться? Зависит от обстоятельств: если документы подаются куда-то лично, то, ничего страшного не произойдет, ведь принимающая сторона проверит документы, сверит личность и откажет мошеннику.
А вот если мошенник подпишет сам себе доверенность и придет с ней? Тут уже все становится гораздо сложнее, так как подлинность доверенности проверить уже намного труднее, чем подлинность удостоверяющих личность документов. А если документы отправляются через интернет, как скан-копии? Тогда это превращается в огромную проблему, так как на другом конце интернет-провода может сидеть кто угодно с любыми намерениями. Ведь подделать скан-копию любого документа и даже паспорта обладая элементарными навыками работы в графических редакторах просто элементарно.
Электронная подпись хороша как минимум потому, что её, в отличие от собственноручной подписи и печатей, вообще никак нельзя подделать. Невозможно научиться делать копии электронных подписей, просто наблюдая уже подписанные документы.
Но все-таки есть и проблема. Если владелец электронной подписи пренебрегает цифровой гигиеной, то его подпись могут украсть и воспользоваться ею. И это будет уже не поддельная подпись, а настоящая. Её никакой экспертизой не перебьешь. Как это может произойти и какие последствия за этим следуют, мы рассмотрим далее, но сначала разберемся, как устроена сама электронная подпись.
Как устроена электронная подпись?
Физически электронная подпись состоит из трех частей: сертификат, открытый ключ и закрытый ключ.
Закрытый ключ – это самая важная часть подписи. Технически это просто очень длинное число. Запомнить человеку такое длинное число невозможно, поэтому его нужно куда-то записать. Именно владение закрытым ключом дает возможность подписывать электронной подписью, поэтому хранить закрытый ключ нужно бережно, чтобы никто не смог его украсть, скопировать и использовать без вашего ведома.
Открытый ключ – это тоже длинное число. С помощью него можно проверять электронную подпись. Его тоже нужно куда-то записать и хранить, но в отличии от закрытого ключа, он не секретный. Его можно показывать кому угодно, и он должен быть известен всем тем людям, кто будет проверять вашу подпись.
Сертификат — это документ (файл), в котором записаны данные о владельце электронной подписи, как в паспорте, и открытый ключ. Файл сертификата можно открыть и посмотреть на любом компьютере, его можно пересылать по почте, а также он автоматически присоединяется к вашей электронной подписи. Это нужно для того, чтобы вашу подпись можно было проще проверить другим людям.
В отличие от закрытого ключа, не следует беспокоиться за сохранность сертификата. Его действительно можно раздавать всем направо и налево. Если нет закрытого ключа, то одним сертификатом за вас подписать ничего нельзя.
Что будет если моей электронной подписью кто-то завладеет?
Представьте себе, что у вас появился злой двойник, который на 100% на вас похож и умеет за вас расписываться. При этом он очень зол на вас и хочет максимально вам навредить – вот так в в интернете примерно и выглядит злоумышленник, который завладеет вашей подписью.
Можно открыть новый бизнес, закрыть старый, подать неправильную налоговую декларацию, возврат НДС или отчёт, испортить репутацию неудачно поучаствовав в торгах, распорядиться вашим имуществом в том числе и недвижимым, получить банковские услуги, кредиты, микрокредиты и т.п. А ещё зайти на госуслуги, прописать кого-нибудь в вашем жилище, а кого-нибудь может даже и выписать.
И подпись у злоумышленника будет не поддельная, а реально ваша, полностью и точно скопированная. Любая проверка покажет, что эта подпись была именно ваша, ведь разницы между копиями совсем никакой нет. А так как именно вы ответственны за хранение и использование вашего закрытого ключа электронной подписи, то и претензии насчет того, что это якобы не вы подписывали, приняты никем не будут и все последствия таких подписей останутся на ваших собственных плечах.
Теперь вы скажете: “Ок, понятно, закрытый ключ подписи надо беречь, но как это сделать?”
Как хранить закрытые ключи?
Как мы уже поняли, закрытый ключ — это просто длинное число с огромным количеством знаков и запомнить его человеку просто невозможно. Но что не может запомнить человек – легко запомнит компьютер. И казалось бы, почему закрытый ключ нельзя хранить на компьютере в виде обычного файла?
На самом деле, технически это возможно. Но хранить очень важные и секретные файлы в папочках на компьютере — это примерно тоже самое, что хранить свой паспорт в почтовом ящике вашего подъезда.
Да, на нём, наверное, есть замок и какое-то время он там, наверное, пролежит, но вы ведь так не делаете и храните свой паспорт в каком-то более надежном месте.
Компьютеры обычных пользователей, которые не являются экспертами в области компьютерной безопасности, бывают заражены разнообразными троянами и вирусами, что и на самом деле позволяет сравнить их по чистоте и порядку с не очень-то ухоженными подъездами. То же самое можно сказать и про обычные флешки, которые являются не только рассадниками, но и переносчиками разной компьютерной заразы.
Заразив ваш компьютер, злоумышленники легко могут прочитать и скопировать любые файлы из папочек, завладеть вашим закрытым ключом, просто скопировав нужный файл с флешки, диска или скопировав кусочек реестра. А как мы помним, закрытый ключ – это самое главное в электронной подписи. Поэтому вы либо должны содержать свой компьютер в идеальной чистоте и информационной безопасности, либо избегать хранения внутри него закрытых ключей ваших электронных подписей.
Но вы спросите: “Хорошо, если на компьютере хранить нельзя, то где тогда можно?”
Для безопасного и надежного хранения закрытых ключей электронной подписи придуманы специальные устройства: USB-токены и смарт-карты. Украсть закрытые ключи с них практически невозможно.
Токены, хоть и с виду похожи на флэшки, отличаются от них в первую очередь тем, что у токенов есть пин-код. Когда вы используете свою электронную подпись на токене, вам потребуется ввести этот пин-код, Без этого подписать никак не получится. А ещё у токенов и смарт-карт есть защитный механизм, который при нескольких неверных вводах пин-кода блокирует устройство, и закрытый ключ электронной подписи становится недоступен вообще никому, даже его настоящему владельцу.
Хранение закрытых ключей на токенах и смарт-картах можно сравнить с хранением вашего паспорта в маленьком переносном сейфе или в портмоне, который закрыт кодовым замочком.
Однако! Несмотря на то, что токены обладают крепкой двухслойной броней у них тоже есть важный недостаток и, как мы можем легко догадаться, этот недостаток тоже связан с человеческим фактором.
Всё дело в том, что на большинстве токенов и смарт-карт установлены стандартные пин-коды, которые люди просто забывают поменять. Если кто-то знает пин-код от вашего токена, то сможет подписать что угодно от вашего имени. Все стандартные пин-коды есть в открытом доступе в интернете, достаточно просто погуглить запрос «стандартные пин-коды».
Окей, пин-код вы поменяли и это не день вашего рождения, который легко узнать в вашем фейсбуке и думаете, что вот теперь то вы в безопасности. Но это не так.
На токенах есть еще второй пин-код – административный. И он тоже обычно у всех установлен стандартный. Если знать административный пин-код, то подписью тоже можно воспользоваться. Поэтому поменяйте оба пин-кода сразу!
Когда поменяете пин-коды на токене — запишите их на бумажку или в блокнот и уберите его в сейф или другое надежное место. Это пригодится вам, если вы вдруг забудете, какие пин-коды установили на токен, а вы их когда-нибудь точно забудете – не надейтесь на свою память.
Вот типичный пример того, как люди используют токены с электронной подписью. Пин-код на нём с большой вероятностью установлен стандартный и любой посетитель этого кафе может незаметно унести его с собой и начать безобразничать.
Хранение в облаке и мобильном устройстве (смартфоне)
Вы скажете, что для работы с токеном или смарт-картой мне нужен персональный компьютер или ноутбук чтобы подключить его в USB-разъем или кард-ридер, но я ведь не всегда его ношу с собой, неужели в мире ничего поудобнее не придумали?
Придумали!
Вместо токена или смарт-карты для хранения закрытого ключа можно использовать ваш личный смартфон или сервер, находящийся в серьезной организации, «в облаке». Хранить там закрытые ключи подписи ничуть не менее надежно чем на токене, а с учетом той практики, как люди используют токены – даже намного лучше и безопаснее.
Подпись на мобильном телефоне или подпись «в облаке» выглядит одинаково. Просто вместо токена у вас есть простое мобильное приложение, в котором хранится ключ. Этот ключ будет либо вашим ключом электронной подписи, либо это ключ от «сейфовой ячейки» на облачном сервере, в которой хранится ваш настоящий ключ электронной подписи.
Пользоваться такими видами электронной подписи очень удобно, потому что ничего кроме смартфона для подписи вам не нужно, а ваш смартфон и так всегда с собой и постоянно заряжен.
Почему это безопасно:
- Ваш смартфон всегда при себе. Вы априори бережно к нему относитесь, так как там внутри вся ваша жизнь: фотографии, контакты, мессенджеры, банки. Но даже если вы его потеряли, то всегда сразу об этом узнаете и сможете оперативно связаться тем, кто выдал вам электронную подпись и заблокировать её также, как вы бы заблокировали свою утерянную кредитную карточку.
- Смартфоны имеют несколько уровней не только удобной, но и весьма надежной защиты:пин-код на экране блокировки, FaceID, TouchID, плюс есть дополнительный пароль в самом приложении электронной подписи.
Если вы достаточно хорошо заботитесь о безопасности данных в вашем смартфоне и у вас установлено на локскрине что-то хотя бы чуть-чуть посложнее, чем пароль «000000», то злоумышленникам будет уже довольно непросто добраться до вашей электронной подписи.
- Ключ подписи или ключ от ячейки с подписью хранится в защищенной области смартфона, откуда его не извлекут ни злоумышленники, ни спецслужбы даже если полностью разберут или взломают ваш смартфон.
Электронная подпись это не очень сложно, и есть способы ей пользоваться и не сильно бояться за её сохранность. Раньше, возможно, вы их не знали, зато теперь знаете.
В заключение повторим наши рекомендации:
Не храните закрытый ключ электронной подписи в ненадежных местах. Не используйте для этого файлики на компьютере, реестр и обычные флэшки!
Если Вы используете токены, то в обязательном порядке меняйте на них ОБА пин-кода, запишите эти пин-коды и спрячьте в надежное место, о котором никто не знает.
Если вы пользуетесь мобильной или облачной подписью, то установите на телефон надежный пин-код или пароль и используйте биометрические функции сканера отпечатка пальца или распознавания лица.
Если есть выбор, то просите выдать вам мобильную электронную подпись или подпись «в облаке». Они удобнее и безопаснее чем любой другой способ хранения.
А самое главное, помните, что каким бы удобным и безопасным не было бы ваше средство электронной подписи, все равно нужно всегда помнить и следовать хотя бы минимальным требованиям безопасности! Ведь даже если разработчики всё продумали и предусмотрели, то все равно вы, как пользователь, можете всё легко испортить, просто установив «слабый» пароль в шесть единиц. Не делайте так!
Электронная подпись может принести как удобство в вашу жизнь, так и много проблем: потерю больших денежных сумм, проблемы с бизнесом, государством, потеря квартиры, кредиты и т.п. Пожалуйста, не относитесь к этому вопросу беспечно. Берегите себя и ваши электронные подписи!