Инструкция по проверке ЭЦП в документах Word 2007(2010).
Общие сведения.
Прием котировочных заявок в электронной форме прямая обязанность заказчика и уполномоченного органа в силу ч. 2 статьи 46 Федерального закона № 94-ФЗ от 01.01.2001 г. «О размещении заказов на поставки товаров, выполнение работ , оказание услуг для государственных и муниципальных нужд» (далее Закон №94-ФЗ).
Самым удобным способом приема заявок в электронной форме является получение заявок на адрес электронной почты. Для исключения неопределенности при спорных ситуациях рекомендуем в извещении о проведении запроса котировок в графе место подачи котировочных заявок явно указывать адрес электронной почты для подачи заявок в виде электронного документа. Также рекомендуем в извещении о проведении запроса котировок указывать в явном виде, что заявки в электронной форме без ЭЦП не принимаются и не регистрируются.
Тогда у заказчика и уполномоченного органа будет полное право не регистрировать заявку без ЭЦП и не беспокоиться потом о её отклонении.
При рассмотрении заявок поданных в электронной форме заказчики и уполномоченные органы обязаны руководствоваться нормами Закона № 94-ФЗ и Федерального закона №63-ФЗ от 6 апреля 2011 г. «Об электронной подписи» (далее Закон №63-ФЗ), вступившего в силу с 1 июля 2012 года.
Статья 6 Закона №63-ФЗ устанавливает условия, при которых электронный документ, подписанный ЭЦП, признается равнозначным документу на бумажном носителе, подписанный собственноручной подписью.
Часть 1 статьи 9 Закона №63-ФЗ устанавливает условия при которых электронный документ считается подписанным электронной подписью:
1. ЭЦП содержится в электронном документе;
2. ЭЦП применяется в соответствии с правилами установленными оператором информационной системы (т. е. заказчиком или уполномоченным органом).
Для определения содержится ли ЭЦП в электронном документе необходимо знать следующее.
Подписание электронного документа в MS Word может осуществляться как штатными средствами программы, так и с использованием специального модуля «КриптоПро Office Signature». Данный программный продукт предназначен для обеспечения возможности создания и проверки электронной цифровой подписи (ЭЦП) по алгоритму ГОСТ Р 34.10-2001 документов Word и Excel из состава Microsoft Office 2007 и Microsoft Office 2010.
Опыт уполномоченного органа по приему котировочных заявок в электронном виде показал, что участники используют разные способы подписания электронных документов посредством ЭЦП.
Проверка действительности и принадлежности ЭЦП в электронном документе
Для этого Вам потребуется:
1. Компьютер с лицензионной операционной системой Windows (XP, Vista или Windows 7).
2. Точно установленные время и дата на компьютере (!).
3. Настроенная на работу с ЭЦП лицензионная версия Microsoft Word 2007 (2010).
4. Настроенный лицензионный КриптоПро CSP и установленный модуль КриптоПро Office Signature (Скачивается по ссылке http://www. /products/office/signature/downloads).
5. Обратите внимание! Для проверки ЭЦП Вам не нужен Ваш собственный сертификат открытого ключа (далее СОК).
1.2. Открыть ЭД в MS Word и обратить внимание на наличие значка, символизирующего наличие и состояние проверки ЭЦП. Его состояние на этом этапе не важно!
3. Открыть окно MS Word, отвечающее за вывод информации о СОК, использованном при подписании ЭД.
1.4. Сохранить СОК в виде файла в отдельной папке, куда в дальнейшем стоит поместить все относящиеся к проверке файлы («Состав подписи» –> «Просмотр» /Откроется окно просмотра сертификата/ –> Закладка «Состав» –> «Копировать в файл» –> «Далее» –> «Далее» –> Указать имя файла –> «Далее» –> «Готово» –> «Ок»).
1.5. В дальнейшем проверка ЭЦП может быть осуществлена двумя способами – с помощью специального сайта в сети Интернет и ручным способом.
Проверка ЭЦП на сайте КриптоПро.
2.1. Запустить Internet Explorer (Внимание! В других интернет браузерах проверка не работает).
2.2. Открыть страницу http://notary. /.
2.4. Выбрать файл СОК, сохраненный на этапе 1.4 через кнопку «Обзор».
2.5. Нажать кнопку «Проверить» и Вы увидите результат проверки ЭЦП, ФИО и должность кому принадлежит СОК, а также название организации.
2.6. Данную страницу надо распечатать и приложить к котировочной заявке.
Если проверка данным способом не подтверждает действительность СОК, то необходимо провести ручную проверку.
3.1. Открыть СОК встроенными средствами операционной системы (далее ОС) (Просто двойной клик на сертификате ключа).
3.2. Необходимо записать или запомнить:
3.2.1. Наименование удостоверяющего центра (далее УЦ), выпустившего СОК.
3.2.2. Точку распространения списка отозванных сертификатов (далее СОС) – обычно это адрес в сети Интернет.
3.3. Необходимо проверить действительность корневого сертификата УЦ (далее КС).
3.4. Зайти на сайт Подсистемы удостоверяющих центров (http://www. /) и используя данные п 3.2.1. через диалог поиска найти (по имени УЦ) и сохранить в ранее упомянутую папку файлы КС. Если их несколько - следует сохранить все.
3.5. Если этот (эти) КС не был(и) установлен(ы) ранее в Вашей ОС, то его (их) необходимо установить: Клик правой кнопкой мыши на скаченном файле КС –> «Установить сертификат» –> Если выскочит предупреждающее окно, то нажать «Открыть» –> «Далее» –> Установить точку «Поместить все сертификаты в следующее хранилище» –> «Обзор» –> Выбрать «Доверенные корневые центры сертификации» –> «Ок» –> «Далее» –> «Готово» –> «Ок».
3.6. Используя информацию п. 3.2.2. скачать файл СОС (ссылка вида http:///certenroll/tensorca2.crl - для каждого УЦ она разная!!!).
3.7. Установить файл СОС в вашу ОС: Клик правой кнопкой мыши на скаченном файле СОС –> «Установить список отзыва (CRL)» –> «Далее» –> «Далее» –> «Готово» –> «Ок».
3.8. Скачивать и устанавливать файл СОС надо перед каждой проверкой – они меняются ежедневно!
3.9. Открыть котировочную заявку в виде ЭД в MS Word и обратить внимание состояние проверки ЭЦП. Его состояние на этом этапе важно ! (Должно быть указано «Действительные подписи»)
3.9. Повторно открыть СОК и проверить его назначение (возможное использование соответствующего закрытого ключа и СОК). Весьма желательно, чтобы в перечне возможностей было:
Участник размещения заказа - OID 1.2.643.6.3.1.3.
4.4. Проверить, что в случае с юридическим лицом (ЮЛ) владельцем СОК является работник того ЮЛ (должность лица которому принадлежит СОК), от которого исходит котировочная заявка.
4.5. Проверить сроки действия СОК.
5. Распечатать все вложенные в ЭД страницы, сохранить вышеуказанную папку (в которой хранится котировочная заявка, СОК, КС и СОС) на съемный носитель (CD-R, дискета и т. п.) и подшить в дело.
Чтобы убедиться в юридической силе электронного документа, необходимо проверить действительность электронной подписи, которой его подписали. Рассмотрим способы, как это можно сделать самостоятельно - вне информационных систем, где есть встроенная функция проверки.
Какую подпись можно проверить самостоятельно?
Самостоятельная проверка подписи нужна, когда участники электронного документооборота (далее — ЭДО) взаимодействуют друг с другом вне информационных систем, например:
- Работодатель получает трудовой договор от физического лица.
- Контрагенты заключают сделку в электронном виде вне системы ЭДО.
- Заказчик принимает котировочные заявки от участников тендера на почту, а не через электронную торговую площадку.
- Банк проверяет подпись инспектора ФНС на электронной выписке из ЕГРЮЛ и т.д.
В этих случаях получателю документа необходимо обратиться к специальным программам и сервисам, в которых есть возможность проверить электронную подпись . Проверить можно подписи, которые базируются на инфраструктуре закрытых и открытых ключей:
- усиленная неквалифицированная (НЭП),
- усиленная квалифицированная (КЭП).
Закрытый ключ используется для создания подписи, а открытый — для проверки. Подробнее о видах подписи по федеральному закону от 06.04.2011 № 63-ФЗ «Об электронной подписи» можно прочитать в отдельной статье .
По своему типу усиленная электронная подпись может быть отсоединенной и присоединенной:
- При создании присоединенной подписи формируется один файл, который содержит и саму подпись, и документ, для которого она была создана. Проверять нужно этот единый файл.
- Отсоединенная подпись формируется в отдельном от подписываемого документа файле с расширением.sig. В этом случае нужно проверять оба документа: файл с электронной подписью и подписанный ею файл.
Успешная проверка подписи подтверждает следующее:
- Электронную подпись создали с помощью сертификата, действительного на момент подписания документа.
- Электронную подпись создал владелец сертификата. То есть можно идентифицировать того, кто подписал документ, и использовать эту информацию, если подписант отказывается от подписи.
- Электронная подпись была создана для полученного документа, а документ после подписания не меняли.
Какие средства проверки подписи использовать, участники ЭДО выбирают по своему усмотрению.
Проверка подписи с помощью плагинов для Word, Excel и PDF
Word и Excel
Платный плагин «КриптоПро Office Signature» дает возможность создавать и проверять электронную подписи в стандартном интерфейсе Microsoft Office Word и Excel. Для этого необходимо установить программу и средство криптографической защиты информации КриптоПро CSP в соответствии с версией операционной системы.
Для проверки подписи получателю документа нужно убедиться, что версия программы, в которой создана подпись, совместима с версией, в которой подпись буду проверять. В противном случае корректно проверить подпись не получится. Проверить совместимости версий можно с помощью таблицы .
Чтобы проверить подпись в документе Word или Excel, нужно:
- Нажать на значок подписи в документе.
- Щелкнуть правой кнопкой мыши на строке подписи и выбрать пункт «Состав подписи».
При успешной проверке в сообщении будет указана информация о владельце подписи и действительности сертификата. Если сертификат недействителен или в документ после подписания вносили изменения, появится сообщение о том, что документ содержит недействительную подпись.
Отдельный плагин есть и для продуктов Adobe — это КриптоПро PDF. Для проверки подписи им можно пользоваться бесплатно. Кроме плагина также потребуется криптопровайдер КриптоПро CSP. Чтобы проверить подпись для документа PDF, необходимо:
- Открыть документ, для которого была создана подпись.
- Нажать кнопку Signatures (Подписи) в панели слева.
- Выбрать электронную подпись, которую следует проверить, и нажать правую кнопку мыши.
- В открывшемся контекстном меню выбрать пункт Validate Signature (Проверить подпись).
Программа проверит подпись и откроет окно с результатом проверки подписи.
Проверка подписи в отдельных сервисах
Есть специальные программы, которые устанавливаются на компьютер и позволяют создавать и проверять электронные подписи вне систем ЭДО. Одна из них — КриптоАРМ, сервис от ООО «Цифровые технологии», разработчика средств криптографической защиты информации «КриптоПРО».
Для проверки электронных подписей достаточно установить бесплатную версию — «КриптоАРМ Старт». В ней можно проверить документ любого формата, один документ или сразу папку. Чтобы проверить подпись, необходимо:
- Запустить программу «КриптоАРМ» и открыть вкладку Файл.
- Загрузить нужный документ или папку.
- Запустить проверку (кнопка «Проверить»).
После окончания операции откроется окно результата, в котором можно увидеть статус операции. В протоколе сервис напишет, прошла электронная подпись проверку или возникли ошибки.
Проверка подписи на портале Госуслуг
Сравнение программ для проверки электронной подписи
Плагин КриптоПро |
Отдельная программа КриптоАРМ |
Госуслуги |
Веб-сервис Контур.Крипто |
|
---|---|---|---|---|
Стоимость |
Для Word и Excel — платный, для PDF — бесплатный |
Бесплатно |
Бесплатно |
Бесплатно |
Форматы документов |
Word, Excel, PDF |
|||
Максимальный вес файла |
Без ограничений |
Без ограничений |
Без ограничений |
|
Вид подписи |
||||
Проверка присоединенной/ отсоединенной подписи |
Только отсоединенная |
|||
Функции создания подписи, шифрования и расшифрования документа |
Только в платных версиях |
Только в платных версиях |
Все функции доступны бесплатно |
Федеральный закон № 63–ФЗ «Об электронной подписи» от 06.04.2011 приравнял электронную цифровую подпись (ЭЦП) к собственноручной. И поскольку они имеют одинаковую юридическую силу, и ту, и другую можно проверить на подлинность. Конечно, мошенники быстро сориентировались и придумали схемы для афер с ЭЦП. Силы правопорядка борются с этим, но призывают и граждан тоже быть бдительными. Если, проверяя электронную подпись, вы поймете, что перед вами подделка - обратитесь в прокуратуру. А если кто-то украл вашу подпись, вам помогут юристы.
Чтобы электронная подпись имела такой же статус, как собственноручная, она должна соответствовать трем условиям:
- сертификат ключа действителен на момент подписания или проверки (если при этом можно установить, когда был подписан документ);
- в сертификате прописано, что обладатель ЭЦП может использовать ее для подписания документов этого типа;
- доказана подлинность ЭЦП.
Проверить электронную подпись вы можете как через интернет-сервисы, так и с помощью специальных программ. Мы подробно расскажем вам обо всех способах.
Какую информацию даст проверка ЭЦП?
Итак, вы получили документ, подписанный ЭЦП. Теперь вам нужно удостовериться, что с ней все в порядке. В результате вы узнаете важную информацию:
- кто подписал бумаги;
- актуальна ли подпись;
- целостен ли документ.
В суде вы сможете предъявить файл, если респондент внезапно откажется от договорных или других обязательств. Электронная подпись, в зависимости от вида, выглядит по-разному: как картинка или ряд чисел. Также отправитель может прислать ее отдельным файлом.
Какие подписи можно проверить самостоятельно?
Электронный документооборот (ЭДО) работает в рамках различных информационных систем. Но если его участники хотят взаимодействовать не на базе системы, они обмениваются документами, заверенными ЭЦП. Проверять электронную подпись необходимо, если:
- работодатель заключает трудовой договор с сотрудником;
- партнеры заключают сделку вне системы ЭДО;
- банк получает выписки из налоговой в электронном виде;
- участники тендера отправляют заявки на почту заказчика, а не через специальный сервис.
Проверить на подлинность можно любую ЭЦП - квалифицированную (КЭП) и неквалфицированную (НЭП), присоединенную и отсоединенную. В случае с присоединенной проверяется сам документ, с отсоединенной - документ и файл, содержащий подпись.
Программы и сервисы для проверки ЭЦП
Существует множество способов для проверки электронной подписи. Есть программы, которые нужно устанавливать на компьютер, онлайн-ресурсы и плагины - платные и бесплатные. Мы не будем рекомендовать какой-то из них, просто расскажем об особенностях.
Плагин для Word и Excel
Для пакета «Офис» существует платный плагин КриптоПро Office Signature. Он работает вместе с программой КриптоПро CSP, которая должна быть установлена на ваш компьютер.
Очень важно, чтобы версия программы, в которой была создана ЭЦП, совпадала с версией программного обеспечения (ПО), через которое ее будут проверять. Если ПО совместимо, проверить подлинность можно двумя кликами. Нажмите на значок подписи, щелкните правой кнопкой мыши и выберите пункт «Состав подписи». Результатов проверки может быть всего два: либо ЭЦП действительна, либо нет.
Плагин для PDF
Можно проверить подпись и через КриптоПро PDF - проверка абсолютно бесплатная. Плагин также работает на базе КриптоПро CSP. Чтобы установить подлинность, откройте документ и следуйте инструкции:
- В левой панели нажмите кнопку «Подписи» (англ. Signatures).
- Выберите ЭЦП, которую хотите проверить.
- Щелкните по ней правой кнопкой мыши и выберите «Проверить подпись» (англ. Validate Signature).
Результат проверки вы увидите в новом окне. Процесс занимает всего несколько минут.
Специальное ПО
Если по каким-то причинам вам неудобно работать в системах ЭДО, можно воспользоваться специализированным ПО. Установите на ПК программу КриптоАРМ, и вы сможете проверять ЭЦП. Для этого достаточно бесплатной версии «Старт». Можно проверить один документ или сразу загрузить папку с файлами. Программа читает любые форматы.
Чтобы проверить подпись, нужно запустить программу, через вкладку «Файл» выбрать документы и нажать кнопку «Проверить». Спустя пару минут в новом окне откроется результат.
Госуслуги
Сайт Госуслуг уже стал таким привычным для россиян, что не включить туда эту возможность было бы неосмотрительно. Здесь можно проверить и присоединенную, отсоединенную ЭЦП. Как это правильно делается, мы писали выше.
Просто загрузите файлы на сервер и нажмите «Проверить». В случае положительного результата вы увидите информацию о владельце ЭЦП, сроке ее действия и удостоверяющем центре, который ее выдал.
Все предложенные способы являются бесплатными, если вы пользуетесь только основной функцией - проверкой подписи. Чтобы создавать ЭЦП, а также шифровать и расшифровывать документы, потребуется переход на платную версию. Но какой сервис лучше выбрать - решать вам.
Зачем юрлицам проверять свою электронную подпись?
Напоследок рассмотрим еще один интересный момент. Перечисленные выше сервисы применяются для проверки не только чужой ЭЦП, но и своей собственной. Казалось бы, зачем нужно проверять собственную подпись? Но у юрлиц для этого есть веские причины.
Подтверждение подлинности ЭП:
- — сертификата
- — электронного документа. ЭП — в формате PKCS#7
- — электронного документа. ЭП — отсоединенная, в формате PKCS#7
- — электронного документа. ЭП — отсоединенная, в формате PKCS#7 по значению хэш-функции
Проверка ЭЦП — процедура, которая может быть осуществлена через онлайн-сервисы или же с использованием интерфейсов программ, которые инсталлируются на ПК. В чем заключается специфика применения этих способов удостоверения подлинности ЭЦП, вы узнаете далее.
Какие есть средства для проверки заверенных цифровой подписью файлов
Осуществлять проверку подлинности ЭЦП можно разными способами. В числе самых распространенных:
- проверка ЭЦП через онлайн-сервисы (например, те, что доступны на сайте «Госуслуги»);
- проверка ЭЦП через криптопрограммы, установленные на ПК.
Рассмотрим соответствующие механизмы проверки ЭЦП онлайн и на ПК подробнее.
Как проверить подписанный электронно документ онлайн
Основное преимущество онлайн-сервисов проверки ЭЦП — доступность с любого устройства, на котором есть браузер (ПК, мобильный девайс).
Общий для большинства соответствующих онлайн-сервисов механизм проверки ЭЦП предполагает:
1. Загрузку веб-страницы, на которой будет осуществляться проверка электронной подписи онлайн .
Это может быть, к примеру, страница на сайте удостоверяющего центра, выдавшего электронную подпись, посредством которой заверен проверяемый документ.
- проверяемым документом с прикрепленной ЭЦП;
- проверяемым документом отдельно от ЭЦП, после — файла ЭЦП.
3. Ожидание результата проверки подлинности электронной подписи .
Рассмотрим то, как удостоверяется подлинность ЭЦП в режиме онлайн на примере портала «Госуслуги».
Проверка электронной подписи и сертификата ключа на сайте «Госуслуги»
Для того чтобы проверить электронную подпись на Госуслугах , нужно:
1. Зайти на веб-страницу по адресу: https://www.gosuslugi.ru/pgu/eds.
2. Выбрать формат проверяемой электронной подписи из 3 вариантов:
- PKCS#7;
- PKCS#7 (отсоединенная ЭЦП);
- PKCS#7 (отсоединенная ЭЦП по хэш-функции).
То, в каком конкретно формате использована ЭЦП для проверяемого файла, следует уточнить у его отправителя. Условимся, что файл представлен в формате PKCS#7 при отсоединенной ЭЦП.
3. Осуществить действия, необходимые для проверки электронной подписи в используемом формате, используя веб-форму. В нашем случае (когда ЭЦП формируется отдельным файлом) нужно:
- сначала загрузить проверяемый файл;
- после — загрузить файл электронной подписи для него.
4. Ввести защитный код и нажать «Проверить».
5. Дождаться результата проверки.
В случае если осуществляемая на Госуслугах проверка подлинности ЭЦП будет успешной, то на экране появится сообщение: «Подлинность документа подтверждена». Кроме того, на экране будут отражены:
- статус сертификата ЭЦП;
- сведения о владельце подписи;
- сведения об удостоверяющем центре, который выдал подпись;
- срок действия подписи.
Как установить и задействовать криптопрограмму на ПК
Проверить электронную подпись можно и с помощью криптопрограмм, инсталлируемых на ПК. Стоит отметить, что соответствующий тип ПО для проверки ЭЦП так или иначе использует онлайн-каналы, то есть доступ к интернету у пользователя должен быть. Во многих случаях удостоверяющие центры предоставляют пользователям возможность задействовать как онлайн-интерфейсы, так и криптопрограммы для одной и той же цели — проверки ЭЦП.
Но рассматриваемый способ имеет ряд преимуществ по сравнению с онлайн-схемой в чистом виде. А именно:
- возможность проверять файлы через «Проводник», используя контекстные меню, групповое выделение;
- задействование во многих случаях более надежного канала передачи данных (файлы, передаваемые через браузер, могут быть с высокой вероятностью перехвачены вирусом);
- во многих случаях более высокая отказоустойчивость интерфейсов (доступ на сайт может быть по каким-либо причинам осложнен, например в случае обновления скриптов на веб-страницах).
Собственно, для того чтобы задействовать в целях проверки подписи ЭЦП криптопрограмму, нужно получить ее дистрибутив в удостоверяющем центре, выдавшем подпись, которой заверен проверяемый документ, а затем установить программу на ПК. Данный дистрибутив может прислать по просьбе проверяющего лица и человек, подписавший документ и приславший его на проверку.
Наличия собственной ЭЦП и сертификата к ней, оформленных в соответствующем удостоверяющем центре, у проверяющего лица может не потребоваться, поскольку в данном случае проверка файлов будет осуществляться с задействованием открытого ключа.
Многие криптопрограммы после инсталляции оказываются способными автоматически распознавать файлы электронных подписей, размещенные на дисках компьютера (как правило, данные файлы имеют расширение.SIG). В этом случае всё, что нужно пользователю для практического задействования ПО для проверки цифровой подписи, — открыть папку с проверяемым файлом, а затем щелкнуть на нужном файле двумя кликами, а криптопрограмма сама откроет нужные интерфейсы для проверки ЭЦП.
Итоги
Проверка документов, подписанных с помощью ЭЦП, может осуществляться с применением онлайн-сервисов или же дистрибутивов криптопрограмм, устанавливаемых на ПК. Инструменты первого типа могут быть предпочтительнее с точки зрения универсальности, вторые — иметь преимущества в аспекте безопасности передачи данных, отказоустойчивости интерфейсов, удобства работы с файлами.
Узнать больше о применении ЭЦП в целях заверения документов вы можете в статьях: