Практическая гигиена использования электронной подписи

Мы, команда SafeTech, считаем, что технология электронной подписи делает наш мир намного более удобным и безопасным. Ведь благодаря электронной подписи можно совершать множество важных действий: заключать договоры, открывать и закрывать компании, покупать и продавать недвижимость и т.д. При всём при этом не нужно лично встречаться, не нужна бумага, не страдают деревья, и особенно скучают курьерские и почтовые службы. Мы все это смогли оценить в период прошлогоднего локдауна, когда возможность подписывать документы на бумаге была резко ограничена.

Как любая сложная технология, электронная подпись обладает своими особенностями, преимуществами и недостатками. И если преимущества довольно очевидны и приятны, то некоторыми простыми правилами “гигиены” часто пренебрегают. Хотя их хорошо бы соблюдать, как раз чтобы получив удобство, при этом не пострадать от мошенников. О самых простых и элементарных правилах использования технологии электронной подписи мы с вами сегодня и поговорим.

Но для начала вспомним, какие проблемы есть у собственноручных подписей и печатей.

Ни для кого не секрет, что обычные подписи и печати легко подделать. Можно научиться расписываться за кого угодно и кустарно изготовить печать, так как не существует какой-то общей базы всех подписей физических лиц и печатей юридических лиц, по которой можно было бы быстро и легко сверить вашу подпись. При сомнениях в подлинности подписи или печати проводятся дорогостоящие экспертизы, но делать их постоянно для каждого документа слишком долго и дорого.

Тогда почему же мы верим подписям и печатям? Скорее всего, просто по привычке, но в глубине, наверное, скорее из-за репутации того, кто эту подпись поставил. Мы думаем, что если общаемся с уважаемым и знакомым человеком или компанией, то априори им можно доверять и откровенную ерунду они не подпишут или не подсунут нам на подпись. А значит, скорее всего все будет в порядке, а в случаях недостатка доверия и уважения нашему контрагенту, нам на помощь приходят третьи лица, обладающие безусловным доверием – нотариусы.

Что будет, если у человека выкрадут или подделают печать и научатся за него расписываться? Зависит от обстоятельств: если документы подаются куда-то лично, то, ничего страшного не произойдет, ведь принимающая сторона проверит документы, сверит личность и откажет мошеннику.

А вот если мошенник подпишет сам себе доверенность и придет с ней? Тут уже все становится гораздо сложнее, так как подлинность доверенности проверить уже намного труднее, чем подлинность удостоверяющих личность документов. А если документы отправляются через интернет, как скан-копии? Тогда это превращается в огромную проблему, так как на другом конце интернет-провода может сидеть кто угодно с любыми намерениями. Ведь подделать скан-копию любого документа и даже паспорта обладая элементарными навыками работы в графических редакторах просто элементарно.

Электронная подпись хороша как минимум потому, что её, в отличие от собственноручной подписи и печатей, вообще никак нельзя подделать. Невозможно научиться делать копии электронных подписей, просто наблюдая уже подписанные документы.

Но все-таки есть и проблема. Если владелец электронной подписи пренебрегает цифровой гигиеной, то его подпись могут украсть и воспользоваться ею. И это будет уже не поддельная подпись, а настоящая. Её никакой экспертизой не перебьешь. Как это может произойти и какие последствия за этим следуют, мы рассмотрим далее, но сначала разберемся, как устроена сама электронная подпись.

Как устроена электронная подпись?

Физически электронная подпись состоит из трех частей: сертификат, открытый ключ и закрытый ключ.

Закрытый ключ – это самая важная часть подписи. Технически это просто очень длинное число. Запомнить человеку такое длинное число невозможно, поэтому его нужно куда-то записать. Именно владение закрытым ключом дает возможность подписывать электронной подписью, поэтому хранить закрытый ключ нужно бережно, чтобы никто не смог его украсть, скопировать и использовать без вашего ведома.

Открытый ключ – это тоже длинное число. С помощью него можно проверять электронную подпись. Его тоже нужно куда-то записать и хранить, но в отличии от закрытого ключа, он не секретный. Его можно показывать кому угодно, и он должен быть известен всем тем людям, кто будет проверять вашу подпись.

Сертификат — это документ (файл), в котором записаны данные о владельце электронной подписи, как в паспорте, и открытый ключ. Файл сертификата можно открыть и посмотреть на любом компьютере, его можно пересылать по почте, а также он автоматически присоединяется к вашей электронной подписи. Это нужно для того, чтобы вашу подпись можно было проще проверить другим людям.

В отличие от закрытого ключа, не следует беспокоиться за сохранность сертификата. Его действительно можно раздавать всем направо и налево. Если нет закрытого ключа, то одним сертификатом за вас подписать ничего нельзя.

Что будет если моей электронной подписью кто-то завладеет?

Представьте себе, что у вас появился злой двойник, который на 100% на вас похож и умеет за вас расписываться. При этом он очень зол на вас и хочет максимально вам навредить – вот так в в интернете примерно и выглядит злоумышленник, который завладеет вашей подписью.

Можно открыть новый бизнес, закрыть старый, подать неправильную налоговую декларацию, возврат НДС или отчёт, испортить репутацию неудачно поучаствовав в торгах, распорядиться вашим имуществом в том числе и недвижимым, получить банковские услуги, кредиты, микрокредиты и т.п. А ещё зайти на госуслуги, прописать кого-нибудь в вашем жилище, а кого-нибудь может даже и выписать.

И подпись у злоумышленника будет не поддельная, а реально ваша, полностью и точно скопированная. Любая проверка покажет, что эта подпись была именно ваша, ведь разницы между копиями совсем никакой нет. А так как именно вы ответственны за хранение и использование вашего закрытого ключа электронной подписи, то и претензии насчет того, что это якобы не вы подписывали, приняты никем не будут и все последствия таких подписей останутся на ваших собственных плечах.

Теперь вы скажете: “Ок, понятно, закрытый ключ подписи надо беречь, но как это сделать?”

Как хранить закрытые ключи?

Как мы уже поняли, закрытый ключ — это просто длинное число с огромным количеством знаков и запомнить его человеку просто невозможно. Но что не может запомнить человек – легко запомнит компьютер. И казалось бы, почему закрытый ключ нельзя хранить на компьютере в виде обычного файла?

На самом деле, технически это возможно. Но хранить очень важные и секретные файлы в папочках на компьютере –  это примерно тоже самое, что хранить свой паспорт в почтовом ящике вашего подъезда.

Да, на нём, наверное, есть замок и какое-то время он там, наверное, пролежит, но вы ведь так не делаете и храните свой паспорт в каком-то более надежном месте.

Компьютеры обычных пользователей, которые не являются экспертами в области компьютерной безопасности, бывают заражены разнообразными троянами и вирусами, что и на самом деле позволяет сравнить их по чистоте и порядку с не очень-то ухоженными подъездами. То же самое можно сказать и про обычные флешки, которые являются не только рассадниками, но и переносчиками разной компьютерной заразы.

Заразив ваш компьютер, злоумышленники легко могут прочитать и скопировать любые файлы из папочек, завладеть вашим закрытым ключом, просто скопировав нужный файл с флешки, диска или скопировав кусочек реестра. А как мы помним, закрытый ключ – это самое главное в электронной подписи. Поэтому вы либо должны содержать свой компьютер в идеальной чистоте и информационной безопасности, либо избегать хранения внутри него закрытых ключей ваших электронных подписей.

Но вы спросите: “Хорошо, если на компьютере хранить нельзя, то где тогда можно?”

Для безопасного и надежного хранения закрытых ключей электронной подписи придуманы специальные устройства: USB-токены и смарт-карты. Украсть закрытые ключи с них практически невозможно.

Токены, хоть и с виду похожи на флэшки, отличаются от них в первую очередь тем, что у токенов есть пин-код. Когда вы используете свою электронную подпись на токене, вам потребуется ввести этот пин-код, Без этого подписать никак не получится. А ещё у токенов и смарт-карт есть защитный механизм, который при нескольких неверных вводах пин-кода блокирует устройство, и закрытый ключ электронной подписи становится недоступен вообще никому, даже его настоящему владельцу.

Хранение закрытых ключей на токенах и смарт-картах можно сравнить с хранением вашего паспорта в маленьком переносном сейфе или в портмоне, который закрыт кодовым замочком.

Однако! Несмотря на то, что токены обладают крепкой двухслойной броней у них тоже есть важный недостаток и, как мы можем легко догадаться, этот недостаток тоже связан с человеческим фактором.

Всё дело в том, что на большинстве токенов и смарт-карт установлены стандартные пин-коды, которые люди просто забывают поменять. Если кто-то знает пин-код от вашего токена, то сможет подписать что угодно от вашего имени. Все стандартные пин-коды есть в открытом доступе в интернете, достаточно просто погуглить запрос «стандартные пин-коды».

Окей, пин-код вы поменяли и это не день вашего рождения, который легко узнать в вашем фейсбуке и думаете, что вот теперь то вы в безопасности. Но это не так.

На токенах есть еще второй пин-код – административный. И он тоже обычно у всех установлен стандартный. Если знать административный пин-код, то подписью тоже можно воспользоваться. Поэтому поменяйте оба пин-кода сразу!

Когда поменяете пин-коды на токене – запишите их на бумажку или в блокнот и уберите его в сейф или другое надежное место. Это пригодится вам, если вы вдруг забудете, какие пин-коды установили на токен, а вы их когда-нибудь точно забудете – не надейтесь на свою память.

Вот типичный пример того, как люди используют токены с электронной подписью. Пин-код на нём с большой вероятностью установлен стандартный и любой посетитель этого кафе может незаметно унести его с собой и начать безобразничать.

Хранение в облаке и мобильном устройстве (смартфоне)

Вы скажете, что для работы с токеном или смарт-картой мне нужен персональный компьютер или ноутбук чтобы подключить его в USB-разъем или кард-ридер, но я ведь не всегда его ношу с собой, неужели в мире ничего поудобнее не придумали?

Придумали!

Вместо токена или смарт-карты для хранения закрытого ключа можно использовать ваш личный смартфон или сервер, находящийся в серьезной организации, «в облаке». Хранить там закрытые ключи подписи ничуть не менее надежно чем на токене, а с учетом той практики, как люди используют токены – даже намного лучше и безопаснее.

Подпись на мобильном телефоне или подпись «в облаке» выглядит одинаково. Просто вместо токена у вас есть простое мобильное приложение, в котором хранится ключ. Этот ключ будет либо вашим ключом электронной подписи, либо это ключ от «сейфовой ячейки» на облачном сервере, в которой хранится ваш настоящий ключ электронной подписи.

Пользоваться такими видами электронной подписи очень удобно, потому что ничего кроме смартфона для подписи вам не нужно, а ваш смартфон и так всегда с собой и постоянно заряжен.

Почему это безопасно:

1. Ваш смартфон всегда при себе. Вы априори бережно к нему относитесь, так как там внутри вся ваша жизнь: фотографии, контакты, мессенджеры, банки. Но даже если вы его потеряли, то всегда сразу об этом узнаете и сможете оперативно связаться тем, кто выдал вам электронную подпись  и заблокировать её также, как вы бы заблокировали свою утерянную кредитную карточку.
2. Смартфоны имеют несколько уровней не только удобной, но и весьма надежной защиты:пин-код на экране блокировки, FaceID, TouchID, плюс есть дополнительный пароль в самом приложении электронной подписи.

Если вы достаточно хорошо заботитесь о безопасности данных в вашем смартфоне и у вас установлено на локскрине что-то хотя бы чуть-чуть посложнее, чем пароль «000000», то злоумышленникам будет уже довольно непросто добраться до вашей электронной подписи.

3.  Ключ подписи или ключ от ячейки с подписью хранится в защищенной области смартфона, откуда его не извлекут ни злоумышленники, ни спецслужбы даже если полностью разберут или взломают ваш смартфон.

Электронная подпись это не очень сложно, и есть способы ей пользоваться и не сильно бояться за её сохранность. Раньше, возможно, вы их не знали, зато теперь знаете.

В заключение повторим наши рекомендации:

Не храните закрытый ключ электронной подписи в ненадежных местах. Не используйте для этого файлики на компьютере, реестр и обычные флэшки!

Если Вы используете токены, то в обязательном порядке меняйте на них ОБА пин-кода, запишите эти пин-коды и спрячьте в надежное место, о котором никто не знает.

Если вы пользуетесь мобильной или облачной подписью, то установите на телефон надежный пин-код или пароль и используйте биометрические функции сканера отпечатка пальца или распознавания лица.

Если есть выбор, то просите выдать вам мобильную электронную подпись или подпись «в облаке». Они удобнее и безопаснее чем любой другой способ хранения.

А самое главное, помните, что каким бы удобным и безопасным не было бы ваше средство электронной подписи, все равно нужно всегда помнить и следовать хотя бы минимальным требованиям безопасности! Ведь даже если разработчики всё продумали и предусмотрели, то все равно вы, как пользователь, можете всё легко испортить, просто установив «слабый» пароль в шесть единиц. Не делайте так!

Электронная подпись может принести как удобство в вашу жизнь, так и много проблем: потерю больших денежных сумм, проблемы с бизнесом, государством, потеря квартиры, кредиты и т.п. Пожалуйста, не относитесь к этому вопросу беспечно. Берегите себя и ваши электронные подписи!