Головна / Усн / Навіщо потрібен електронний ключ. Прив'язка до унікальних характеристик комп'ютера
09.07.2020

Навіщо потрібен електронний ключ. Прив'язка до унікальних характеристик комп'ютера

За допомогою якого можна встановити, чи відбулося спотворення інформації, що міститься в електронному документі, з моменту формування підпису, а також дозволяє підтвердити належність того чи іншого документа власнику.

Розшифровка основних понять

Кожен електронний підпис має бути підтверджений спеціальним сертифікатом, що засвідчує особу власника. Отримати сертифікат можна у спеціальному центрі або у довіреного представника.

Власником сертифікату є фізична особа, на яке центр посвідчення видав сертифікат електронного підпису. Кожен власник має два ключі до підпису: відкритий і закритий. Закритий ключ ЕП дозволяє підписувати електронні документи, за його допомогою можна згенерувати електронний підпис. Він зберігається таємно, як пін-код від банківської картки.

Функція відкритого ключа включає автентифікацію підпису на документах. Він пов'язаний із закритим "колегою" в однозначному порядку.

За законом

Федеральний закон "Про електронну цифровий підпис" Поділяє ЕП на кілька видів: проста ЕП, посилена некваліфікована і кваліфікована ЕП. За допомогою простого електронного підпису можна підтвердити факт створення ЕП для певної особи. Це робиться шляхом використання паролів, кодів та інших засобів.

Посилена некваліфікована ЕЦП - це результат криптографічного перетворення інформації, що здійснюється за допомогою закритого ключа ЕП. За допомогою такого підпису можна встановити особу документа, що підписав, а також виявити, якщо вони є, зміни, що відбулися з моменту підписання паперів.

Кваліфікований підпис

Такі самі особливості має й посилена кваліфікована ЕП, проте на її створення перевірка ЕЦПвідбувається за допомогою сертифікованих Федеральною службоюбезпеки засобів криптозахисту. Сертифікати такого підпису можуть бути видані лише в акредитованому центрі, що посвідчує, і ніде більше.

Відповідно до того ж закону, підписи перших двох типів прирівнюються до власноручного підпису на паперовому документі. Між людьми, які здійснюють будь-яку операцію з використанням ЕП, необхідним є укладення відповідної угоди.

Третій тип (кваліфікована ЕЦП) - це аналог як власноручного підпису, а й друку. Таким чином, документи, засвідчені подібним підписом, мають юридичну силу і визнаються контролюючими органами (ФНП, ФСС та іншими).

Застосування для юридичних осіб

В даний час найчастіше використовується ЕЦП для юридичної особи. Широко використовується технологія цифрових підписів в електронному документообігу. Призначення останнього може бути різним: зовнішній і внутрішній обмін, документи можуть мати кадровий чи законотворчий характер, організаційний, розпорядчий чи торгово-промисловий, словом, усе, що може обійтися виключно підписом та печаткою. Реєстрація ЕЦП повинна проводитись в акредитованому центрі.

Для внутрішнього документообігу цифровий підпис корисний тим, що дозволяє швидше ініціювати факт затвердження паперів, що організовують внутрішні процеси. ЕЦП дозволяє директору не лише підписувати документи, перебуваючи поза офісом, а й не зберігати стосу паперів.

При міжкорпоративному документообігу електронний цифровий підпис є однією з найважливіших умов, адже без нього цифрові папери не мають юридичної сили та не можуть використовуватись як докази у разі подання позову. Електронний документ, підписаний посиленою ЕП, зберігає легітимність навіть за тривалого зберігання в архіві.

Електронна звітність

ЕЦП є незамінною для надання звітності контролюючим органам. Безліч документів можна здати в електронному виглядізамість того, щоб везти цілий стос формулярів. Клієнт може не тільки вибрати час і не стояти в черзі, але й звітувати зручним для себе способом: через програми 1С, портали державних установабо окреме програмне забезпечення, спеціально призначене для цього. Основним елементом у такому процесі буде ЕЦП. Для юридичної особи, яка отримала сертифікат електронного підпису, головним критерієм має бути надійність центру, що засвідчує, а ось спосіб доставки його неважливий.

Державні послуги

Більшість громадян стикалися з терміном "електронний підпис" на різних сайтах. Один із способів верифікації облікового запису, наприклад, на порталі, що надає доступ до безлічі державних послуг, є підтвердження за допомогою електронного підпису. Більше того, ЕЦП для фізичних осіб дозволяє підписувати будь-які цифрові документи, направлені до того чи іншого відомства, або отримувати підписані листи, договори та повідомлення. Якщо орган виконавчої влади приймає електронні документи, то будь-який громадянин може надіслати підписану цифровим підписом заяву та не витрачати свій час на подання паперів у порядку живої черги.

УЕК

Аналог ЕЦП для фізичних осіб – це універсальна електронна карта, в яку вбудовується посилена кваліфікована ЕП. УЕК має вигляд пластикової картки та є ідентифікаційним засобом громадянина. Вона унікальна як паспорт. За допомогою цієї картки можна здійснювати безліч дій - від оплати та отримання держпослуг до заміни таких документів, як медичний поліс та карта СНІЛЗ.

Універсальну електронну картку можна поєднати з електронним гаманцем, банківським рахунком і навіть проїзним квитком, словом, з будь-яким із документів, які можуть бути прийняті у цифровому вигляді. Чи зручно носити лише один документ? або простіше по-старому зберігати все в паперовому вигляді? Це питання належить вирішити кожному громадянину найближчим часом, адже технології все міцніше укорінюються в нашому житті.

Інші сфери застосування

Також документи, підписані ЕП, використовуються для проведення електронних торгів. Наявність цифрового підпису у разі гарантує покупцям, що пропозиції на торгах реальні. До того ж, контракти, не підписані за допомогою ЕПЦ, не мають юридичної сили.

Електронні документи можуть використовуватись як докази при розгляді справ у арбітражний суд. Будь-які сертифікати чи розписки, а також інші папери, засвідчені цифровим підписом або іншим аналогом підпису, є письмовими доказами.

Документообіг між фізичними особами відбувається в основному у паперовому вигляді, проте є можливість здійснювати передачу паперів або укладання договорів за допомогою ЕП. Віддалені працівники можуть використовувати цифровий підпис для надсилання в електронному вигляді актів приймання-здачі.

Як вибрати сертифікат

Оскільки є три типи електронного підпису, у громадян часто виникає питання про те, який із сертифікатів кращий. Слід пам'ятати, що будь-яка ЕП є аналогом власноручного підпису і на Наразізаконодавством РФ встановлено, що людина має право використовувати їх на власний розсуд.

Вибір цифрового підпису безпосередньо залежить від тих завдань, які за допомогою нього вирішуватимуться. Якщо готується подання звітності до контролюючих органів, потрібно наявність кваліфікованого підпису. Для міжкорпоративного документообігу також найчастіше потрібна саме кваліфікована ЕП, адже тільки вона не лише дає документам юридичну силу, а й дозволяє встановлювати авторство, контролювати зміни та цілісність паперів.

Внутрішній документообіг можна здійснювати з усіма типами електронно-цифрових підписів.

Як підписати документ ЕЦП?

Головне питання у тих, кому потрібно вперше скористатися електронно-цифровим підписом, у тому, як відбувається підписування документа. З паперами все просто – розписався та віддав, а як це зробити на комп'ютері? Такий процес неможливий без використання спеціального програмного забезпечення. Програма для ЕЦП називається криптопровайдером. Вона встановлюється на комп'ютер, і вже у її середовищі ведеться різна діяльністьіз формулярами.

Існує досить велике числокриптопровайдерів як комерційних, так і безкоштовних. Усі вони сертифіковані державними органамиОднак якщо потрібна взаємодія з "1С:Підприємство", то вибір слід зупинити на одному з двох продуктів: VipNet CSP або CryptoPro CSP. Перша програма безкоштовна, а другу потрібно буде купити. Також слід знати, що при встановленні двох криптопровайдерів одночасно неминуче виникнення конфліктів, тому для коректної роботи один із них доведеться видалити.

Зручне, за відгуками користувачів, додаток на формування ЕЦП називається CyberSafe. Воно не тільки дозволяє підписувати документи, а й працює як центр, що засвідчує, тобто цією програмою здійснюється перевірка ЕЦП. Також користувачеві доступне завантаження документів на сервер, таким чином підписаний договір або сертифікат буде доступний всім фахівцям підприємства, які мають доступ до програми, і не потрібно буде надсилати його кожному електронною поштою. З іншого боку, можна зробити так, щоб доступ отримала лише певна група людей.

ЕДО – обов'язково чи ні?

Багато підприємств уже оцінили, що ЕЦП - це зручність, а електронний документообіг (ЕДО) заощаджує час, проте користуватися ним чи ні - виключно особистий вибір. Для здійснення ЕДО не обов'язковим є підключення оператора, за домовленістю можна скористатися і звичайною електронною поштою або будь-яким іншим способом електронної передачі інформації, все залежить від домовленості між учасниками обміну.

Організація будь-якого електронного документообігупов'язана з певними витратами, до того ж доведеться встановлювати та налаштовувати програму для підписання документів – криптопровайдера. Це можна зробити як власними силами, так і скористатися послугами спеціалістів, які встановлюють програмне забезпечення віддалено, навіть без візиту до офісу клієнта.

ЕПЦ у внутрішньому ЕДО

У випадку з міжкорпоративним оборотом плюси та мінуси зрозумілі відразу, причому позитивні сторониу явній більшості. З недоліків можна відзначити лише витрати на ключ ЕЦП, організацію ПЗ (нехай і разова витрата), і навіть зведення до мінімуму особистих зустрічей представників підприємств і керівників, проте за необхідності зустріч можна організувати.

А ось чим буде корисним електронний документообіг усередині підприємства? Як окуплятимуться витрати на постачання всіх співробітників ключами ЕЦП?

Використання цифрових документів заощаджує час: замість того, щоб спочатку друкувати необхідний папір, а потім шукати її серед стосів роздруківок або взагалі ходити в інший кабінет, якщо використовується мережевий принтер, співробітник може підписати та відправити все не встаючи з-за столу. До того ж при переході на ЕДО суттєво знижуються витрати на папір, тонер та технічне обслуговуванняпринтерів.

Цифрові документи можуть бути інструментом збереження конфіденційності. Електронний підпис неможливо підробити, а це означає, що навіть якщо всередині компанії співробітник чи керівник має недоброзичливців, їм не вдасться зробити ніякої підміни документів.

Часто нововведення просуваються зі скрипом, так що співробітникам спочатку може бути важко звикнути до нового формату подачі документів, проте як тільки вони оцінять зручність ЕЦП, то більше не захочуть повертатися до біганини з папірцями.

Психологічний бар'єр

Електронно-цифрові підписи з'явилися відносно недавно, тому багатьом важко сприймати їх як реальний аналог звичних паперових документів. На багатьох підприємствах виникає подібна проблема: співробітники просто не вважають договір підписаним, допоки на папері не стоять реальні друк та підпис. Вони використовують скани з паперових документів, що легко втрачають свій ключ ЕЦП. Подолати цей психологічний бар'єр допоможе... ще один папірець. Офіційно засвідчене "мокрою" підписом положення про електронний документообіг дасть співробітникам зрозуміти, що це серйозна річ, і ставитися до цифрових документів слід так само, як аналогових.

Ще одна проблема може виникнути у освітній частині. На багатьох підприємствах працюють працівники у віці. Вони є цінними кадрами, досвідчені у своїй сфері, мають великий стаж, проте їм буває досить важко пояснити, як користуватися електронно-цифровим підписом, адже вони буквально нещодавно займалися освоєнням електронної пошти, а тут все набагато складніше та ще й є безліч нюансів.

Завдання навчання можна передати IT-відділу або вдатися до допомоги сторонніх фахівців. Багато компаній проводять комп'ютерні тренінги та курси для своїх співробітників, де їм пояснюються основи роботи з електронною поштою та різними програмами. Чому б до цього списку не включити і додаток для формування ЕЦП?

Доброго дня, шановні читачі! Ця стаття присвячена власникам бізнесу незалежно від його розмірів та організаційної формита простим громадянам нашої країни. Однаково корисна і цікава вона буде, як простим індивідуальним підприємцям, так і господарям великих комерційних підприємств. Що з-поміж них спільного? Відповідь проста — документообіг та необхідність взаємодії з різними державними інстанціями! Тому поговоримо про інструмент, який суттєво спростить рух документації як усередині підприємства, так і за його межами! Сьогодні детально розглянемо, як отримати електронний підпис (ЕЦП)!

Почнемо з суті електронного підпису та механізму його функціонування, далі розглянемо сферу застосування та безумовну корисність, після чого обговоримо, як її отримати ФО, ІП та юридичним особам, а також поговоримо про необхідні документи. Ми зібрали максимально повну інформацію про те, як отримати ЕЦП! До речі, за потреби, з її допомогою можна закрити ІП. У статті описано, як це зробити!

Що таке електронний цифровий підпис: проста суть складного поняття!

Кожен документ на підприємстві обов'язково підписується уповноваженою особою. Підпис надає йому юридичної чинності. Сучасні технологіїперевели документообіг електронний формат. Що виявилося дуже зручним! По-перше, електронні документи спростили та прискорили обмін даними на підприємстві (особливо при міжнародному співробітництві). По-друге, скоротилася витрата, пов'язана з їх оборотом. По-третє, суттєво підвищилася безпека комерційної інформації. Незважаючи на електронний формат, кожен документ має бути підписаний, тому було розроблено ЕЦП.

Що таке електронний цифровий підпис? Це аналог традиційного розпису у цифровому форматі, який застосовується для надання юридичної сили документам на електронних носіях. Під словом «аналог» слід розуміти послідовність криптографічних символів, згенерована випадковим чином за допомогою спеціального програмного забезпечення. Зберігається він на електронному носії. Зазвичай використовуються флеш-накопичувачі.

З ЕП пов'язані два важливі поняття: сертифікат і ключ. Сертифікат – це документ, що засвідчує належність електронного підпису певній особі. Він буває звичайний та посилений. Останній видається лише деякими акредитованими центрами, що засвідчують, або безпосередньо ФСБ.

Ключ електронного підпису – це та сама послідовність символів. Ключі використовують у парі. Перший – це і є підпис, а другий – це ключ перевірки, який засвідчує його справжність. Для кожного нового документа, що підписується, генерується новий унікальний ключ. Важливо розуміти, що інформація, отримана на флешці в центрі, що засвідчує, не є ЕП, - це всього лише засіб для її створення.

Підпис в електронному форматі має таку ж юридичну вагу та силу, як і під документом у паперовому варіанті. Звичайно, якщо при нанесенні цього параметра не було жодних порушень. При виявленні невідповідності або будь-яких відхилень від норми документ не набуде чинності. Використання ЕЦП регулюється державою за допомогою двох законів ФЗ-№1 та ФЗ-№63. Вони зачіпають всі сфери застосування підпису: у цивільно-правових відносинах, при взаємодії з державними та муніципальними органами.

Як виникла ідея використання ЕПЦ: пригадаймо минуле!

У 1976 році два американські криптографи Діффі і Хеллман висунули припущення, що можна створити електронні цифрові підписи. Це була лише теорія, але вона знайшла відгук у громадськості. Внаслідок чого вже у 1977 році світло побачило криптографічний алгоритм RSA, який дозволив створювати перші ЕП. Порівняно зі справжніми вони були дуже примітивними, але саме в цей момент було закладено основу для майбутнього стрімкого розвитку галузі та поширення електронного документообігу.

Міленіум приніс істотні зміни. У США ухвалили закон, згідно з яким підпис на паперовому носії прирівнювався за юридичною силою до електронного. Так з'явився новий сегмент ринку, що швидко зростає, обсяг якого за прогнозами американських аналітиків до 2020 року складе 30 млрд. $.

У Росії її перші ЕП почали використовувати лише 1994 року. Перший закон, який регулював їх застосування, ухвалили 2002 року. Однак він відрізнявся крайньою розпливчастістю формулювань та неоднозначністю трактування термінів. Закон не давав однозначної відповіді на питання, як отримати електронний підпис та використовувати його.

У 2010 році було розроблено масштабний проект створення віртуального середовища для надання державних послуг в електронному форматі, який у серпні того ж року був наданий на розгляд Президенту РФ. Один із ключових напрямків проекту – це можливість використання ЕЦП. Регіони зобов'язали створити умови для вільного доступу до фізичних та юридичних осібдо можливостей електронного документообігу, щоб кожен бажаючий зміг отримати ЕП. З того часу в Росії активно розвивається «електронна держава».

2011 року Президент зобов'язав органи виконавчої влади перейти на електронний документообіг усередині структур. До червня того ж року всі посадові особибули забезпечені ЕЦП. Фінансування програми відбувалося за рахунок федерального бюджету. 2012 року електронний документообіг запрацював у всіх без винятку органах виконавчої влади РФ.

Після цих перетворень гостро стояли два питання. По-перше, ЕП ні універсальним. Для кожної мети потрібно було отримати новий підпис. По-друге, деякі криптопровайдери були не сумісні з іншими, що ставило їх клієнтів у скрутне становище. Тому з 2012 року розпочався глобальний процес уніфікації у сфері електронного документообігу. Завдяки чому ми маємо сучасні універсальні підписи та програмне забезпечення.

Підпис ЕЦП: 5 переваг та 6 варіантів використання!

Багато підприємців ще не застосовують у своїй господарської діяльностіЕПЦ. Багато в чому причина цього елементарне незнання всіх її можливостей та переваг. Використовуючи для підпису документів електронний формат, суб'єкти підприємницької діяльності (ІП, ЮО) отримують такі вигоди:

  1. Документи є максимально захищеними від фальсифікації.

Так як комп'ютер дуже складно обдурити. У разі повністю виключається людський чинник. Адже можна просто не помітити, що підпис під документом відрізняється від справжнього. Електронний підпис підробити неможливо. Для цього потрібні дуже великі обчислювальні потужності, що практично неможливо реалізувати на сучасному рівні розвитку пристроїв, і дуже багато часу.

  1. Оптимізація, прискорення та спрощення документообігу.

Повне виключення можливості витоку даних або втрати важливих паперів. Будь-який екземпляр, завірений електронним ідентифікатором, гарантовано буде отримано адресатом у надісланому вигляді: жодні надзвичайні обставини не можуть викликати його псування.

  1. Зниження витрат з допомогою відмовитися від паперових носіїв.

Для невеликих фірмведення документації у паперовому вигляді не було обтяжливим, чого не можна сказати про великих підприємствах. Багатьом із них доводилося орендувати окремі приміщення, склади для зберігання документів упродовж 5 років. Крім витрат на папір, принтери, чорнило, канцелярське приладдя, додавалася ще орендна плата! Крім того, в залежності від сфери діяльності деякі компанії могли знизити витрати за рахунок скорочення кількості працівників, які займалися документами: прийомом, обробкою і т.п. Також зникла і необхідність утилізувати папір: окремих видіворганізацій, діяльність яких пов'язана з конфіденційною інформацією, навіть цей ряд витрат виявлявся суттєвим. Процес знищення документів під ЕЦП – кілька кліків комп'ютерною мишею.

  1. Формат паперів підписаних ЕП повністю відповідає міжнародним вимогам.
  2. Немає необхідності отримувати окремий підпис для участі у торгах або подання звітності до контролюючих органів.

Можна отримати ЕП, яка дозволить використовувати її на всіх необхідних майданчиках.

Перш ніж перейти до розгляду питання, як отримати електронний підпис, перерахуємо все можливі варіантиїї використання:

  1. Внутрішній документообіг. Має на увазі переміщення комерційної інформації, наказів, розпоряджень тощо. всередині компанії.
  2. Зовнішній документообіг. Мова йдепро обмін документами між двома організаціями партнерами за системою В2В або між підприємством та клієнтом В2С.
  3. Надання звітності до контролюючих органів:
  • Федеральну податкову службу,
  • Пенсійний фонд,
  • Фонд соцстраху,
  • Митну службу,
  • Росалкогольрегулювання,
  • Росфінмоніторинг та інші.
  1. Для отримання доступу до системи "Клієнт-Банк".
  2. Для участі в аукціонах та торгах.
  3. Для отримання державних послуг:
  • Сайт Держпослуги,
  • РосПатент,
  • Росреєстр.

Як отримати електронний підпис: покрокова інструкція!

Оцінивши всі переваги використання електронного підпису, ви вирішили отримати його. І, звісно, ​​зіткнулися із закономірним питанням: як це зробити? Ми відповімо на це питання за допомогою детальної покрокової інструкціїяка допоможе швидко і просто отримати підпис ЕЦП!

Усього доведеться пройти 6 кроків.

Крок 1. Вибір типу ЕП.

Крок 2. Вибір центру, що посвідчує.

Крок 3. Заповнення заявки.

Крок 4. Оплата виставленого рахунку.

Крок 5. Збір пакета документів.

Крок 6. Отримання ЕЦП.

А тепер про кожен крок поговоримо докладніше!

Крок 1. Вибір виду: кожному своє подобається!

Перший крок до того, щоб отримати електронний підпис, – вибір її виду. Згідно федеральним законамвиділяють такі види ЕЦП:

  1. Проста. У ній закодовані дані про власника підпису, щоб одержувач паперу переконався, хто є відправником. Вона не захищає від підробки.
  2. Посилена:
  • некваліфікована – підтверджує не лише особу відправника, а ще й той факт, що до документа не було внесено змін після підписання.
  • кваліфікований – максимально захищений підпис, юридична сила якого на 100% відповідає силі звичайного підпису! Вона видається лише у тих центрах, які акредитовані ФСБ.

У Останнім часомвсе більше замовників хочуть отримати посилену кваліфікований підпис, що цілком обґрунтовано. Як і за будь-якими іншими «ключами», що відкривають доступ до приватної інформації або фінансових операцій, за ЕЦП полюють шахраї різних категорій. Аналітики вважають, що протягом найближчих 10 років перші два види просто зживуть себе. Вибір залежить від варіанта використання ЕЦП. Щоб було простіше ухвалити рішення, ми оформили дані до таблиці, вона допоможе визначитися з вибором і зупинитися на конкретній потрібній та достатній формі.

Сфера використання Проста Некваліфікована Кваліфікована
Внутрішній документообіг + + +
Зовнішній документообіг + + +
Арбітражний суд + + +
Сайт Держпослуг + - +
Контролюючі органи - - +
Електронні аукціони - - +

Якщо ви збираєтеся отримати підпис ЕЦП для зручності подання звітності, то доведеться подавати заяву на кваліфіковану. Якщо ж метою є документообіг на підприємстві, достатньо отримати простий або некваліфікований підпис.

Крок 2. Посвідчувальний центр: ТОП-7 найбільших та надійних компаній!

Центр – це організація, мета функціонування якої полягає у формуванні та видачі електронних цифрових підписів. УЦ – це юридична особа, у статуті якої вказано відповідний вид діяльності. До їх функцій входить:

  • видача ЕЦП;
  • надання відкритого ключа всім бажаючим;
  • блокування електронного підпису, у разі, якщо виникла підозра у її ненадійності;
  • підтвердження достовірності підпису;
  • посередництво у разі виникнення конфліктних ситуацій;
  • постачання всім необхідним ПЗ клієнтів;
  • технічна підтримка.

На даний момент на території Російської Федераціїпрацює близько сотні таких центрів. Але лідерами галузі є лише сім:

  1. ЄЕТП - лідер ринку електронних торгів РФ. Діяльність компанії сильно диверсифікована, що не заважає їй займати провідні позиції у кожному сегменті. Крім організації та проведення торгів, займається реалізацією майна, яке погано продається, навчає особливостям участі в аукціонах, формує та продає ЕЦП.
  2. Електронний експрес – офіційний оператор електронного документообігу Федеральної податкової служби. Має повний набір ліцензій (включаючи ліцензію ФСБ).
  3. Такснет – розробляє програмне забезпечення для електронного документообігу. У тому числі займається створенням та реалізацією ЕЦП.
  4. Сертум-Про Контур - компанія займається сертифікатами електронних підписів. Крім того, пропонує багато зручних додаткових сервісів для своїх клієнтів, які значно розширять можливості ЕП.
  5. Такском – підприємство спеціалізується на зовнішньому та внутрішньому документообігу підприємств та наданні звітності до різних контролюючих органів. Для цього розробляється відповідне програмне забезпечення та створюються електронні підписи. Знаходиться у списку офіційних операторів даних із контрольно-касової техніки.
  6. Компанія Тензор – гігант у світі документообігу з телекомунікаційних мереж. Надає повний спектр послуг: від розробки комплексів для автоматизації робочого процесу на підприємствах до створення та реалізації електронних підписів.
  7. Національний посвідчувальний центр – розробляє та продає різні сертифікати ЕЦП, пропонує клієнтам ПЗ для формування та подання звітності до всіх державних органів.

Вибирайте УЦ залежно від ваших можливостей та місцезнаходження. Важливо перевірити, чи є у вашому місті пункт видачі готових електронних підписів. Це досить легко дізнатися, відвідавши офіційні сайти компаній.

Якщо з якихось причин вас не влаштовують центри нашого списку ТОП-7, то можна скористатися послугами інших компаній. Повний список акредитованих УЦ можна знайти на сайті www.minsvyaz.ru у розділі «Важливо».

Крок 3. Як отримати електронний підпис: заповнюємо заявку!

Вибір зроблений, тепер ви точно знаєте, чого хочете, тому саме час для подання заявки до центру, що посвідчує. Зробити це можна двома способами: завітавши до офісу компанії або заповнивши заявку на її сайті.

Віддалена відправка заявки позбавить вас особистого візиту. У заявці міститься мінімум інформації: ПІБ, контактний телефон та е-мейл. Протягом години після надсилання вам передзвонить співробітник УЦ та уточнить необхідні дані. Крім того, він відповість на всі питання, які вас цікавлять і проконсультує, який вид ЕЦП вибрати для вашого випадку.

Крок 4. Оплата рахунку: гроші наперед!

Сплатити послугу доведеться до її отримання. Тобто відразу після прийняття заявки та погодження деталей із клієнтом буде виставлено рахунок на його ім'я. Вартість ЕЦП варіюється в залежності від компанії, до якої ви звернулися, регіону проживання та виду підпису. До неї входить:

  • формування сертифіката ключа підпису,
  • програмне забезпечення, необхідне для створення, підпису та оправлення документів,
  • Технічна підтримка клієнтів.

Мінімальна вартість становить близько 1500 рублів. Середня 5000 - 7000 рублів. Вартість одного ЕП може виявитися нижче 1500 рублів, тільки в тому випадку, якщо замовляють підписи для великої кількостіпрацівників одного підприємства.

Крок 5. Документи для одержання ЕЦП: формуємо пакет!

При формуванні пакета документів суттєвим є, який суб'єкт громадянського прававиступає замовником: фізична особа, юридична чи індивідуальний підприємець. Тому розглядатимемо документи для отримання ЕЦП окремо для кожної категорії.

Фізичні особи повинні надати:

  • Заява,
  • паспорт плюс копії,
  • індивідуальний номер платника податків,
  • СНІЛС.
  • Квитанція про оплату.

Подати документи до УЦ може довірена особаотримувача електронного підпису. Для цього необхідно оформити довіреність.

Для отримання ЕЦП юридичною особою доведеться підготувати:

  1. Заява.
  2. Два свідоцтва про державної реєстрації: з ОГРН та ІПН.
  3. Витяг з реєстру юридичних осіб. Важливо! Виписка має бути «свіжою». У кожного центру, що посвідчує, свої вимоги з цього приводу.
  4. Паспорт плюс копія людини, яка використовуватиме ЕП.
  5. СНІЛС співробітника, який використовуватиме ЕЦП.
  6. Якщо підпис оформляється для директора, потрібно додати наказ про призначення.
  7. Для співробітників, які знаходяться нижче в ієрархічній драбині компанії, доведеться оформити довіреність на право використання ЕПЦ.
  8. Квитанція про оплату.

Документи для отримання ЕЦП індивідуальними підприємцями:

  1. Заява.
  2. Свідоцтво про реєстрацію з номером ОГРНІП.
  3. Свідоцтво з ІПН.
  4. Витяг з реєстру підприємців, виданий не раніше 6 місяців тому, або завірений нотаріусом копію.
  5. Паспорт.
  6. СНІЛС.
  7. Квитанція про оплату.

Довірена особа індивідуального підприємцяможе забрати електронний цифровий підпис за наявності довіреності та паспорта. При подачі заявки в електронному варіанті документи в УЦ надсилаються поштою, а при особистому візиті – подаються одночасно із заявкою.

Крок 6. Отримуємо цифровий підпис: фінішний прямий!

Отримати документи можна у численних пунктах видачі, що розташовані по всій країні. Інформацію про них можна знайти на офіційному веб-сайті УЦ. Зазвичай термін одержання підпису не перевищує двох-трьох днів.

Зволікання можливе лише з боку замовника, який несвоєчасно сплатив послуги центру, що посвідчує, або не зібрав все необхідні документи. Зверніть увагу, що потрібно вчасно отримати витяг з єдиного державного реєструІП або ЮЛ, тому що цей процес займає 5 робочих днів! Деякі УЦ надають послугу термінової видачі ЕЦП. Тоді вся процедура триває близько однієї години. Тепер ви знаєте, як отримати електронний підпис.

Важливо! ЕП діє протягом одного року з моменту її отримання. Після цього терміну її потрібно буде продовжити або отримати нову.

ЕЦП своїми руками: неможливе можливе!

Насправді створити електронний підпис самостійно цілком реально. Якщо мати відповідну освіту, добре розібратися, що таке електронний цифровий підпис і запасти непереможним ентузіазмом. Щоправда, не варто забувати, що доведеться не лише згенерувати криптографічну послідовність, потрібно ще розробити та написати відповідне програмне забезпечення. Напрошується закономірне питання: навіщо це робити? Тим більше що ринок рясніє готовими рішеннями! Для великих компанійтеж не вигідно «возитися» із самостійною розробкою ЕП, оскільки доведеться наймати штат нових співробітників у відділ IT. А у статті

Навіть ті бухгалтери, які давно звітують через інтернет, не завжди уявляють, як працює один із головних елементів системи здачі звітності — електронний цифровий підпис (ЕЦП). Тим часом такі знання дозволяють запобігти деяким елементарним помилкам, які можуть призвести до конфліктів з інспекцією. Крім того, бухгалтер, який отримав уявлення про основи технології ЕЦП, витрачатиме на спілкування з операторами call-центрів набагато менше часу.

Створення ЕЦП

Існують різні способисформувати електронний цифровий підпис. На практиці найзручнішим та найпоширенішим способом є створення ЕЦП за допомогою двох ключів — відкритого та закритого. Обидва ці ключі створюються за допомогою спеціальної програми шифрування (наприклад, «Крипто-про»). Для створення закритого ключа необхідно хаотично рухати мишу, або безсистемно натискати клавіші на клавіатурі. Програма перетворює ці рухи на дуже довгий набір символів (його розмір 512 біт; про те, багато це чи мало — нижче, у розділі « додаткова інформація»). Так створюється закритий ключ.

Потім та ж програма на підставі закритого ключа створює відкритий ключ (відразу зазначимо, що зворотний процес - підібрати закритий ключ по відкритому ключі - неможливий). Відкритий ключ публікується на сайтах центрів, що засвідчують, і спецоператора зв'язку, чиїми послугами користується власник ключа, а ось закритий ключ слід зберігати з усіма можливими запобіжними засобами.

Навіщо потрібні центри, що посвідчують

Вирішують найважливіше завдання: вони підтверджують справжність інформації про власника ключа та його повноваження. Якби УЦ не існувало, будь-хто, хто купив би програму для шифрування, міг оголосити свій відкритий ключ ключем головного бухгалтера «Газпрому» або начальника інспекції з найбільших платників податків.

Тому бухгалтер (керівник) для оформлення електронного цифрового підпису повинен надати в УЦ документи, що засвідчують його особу, довіреність від компанії та написати запит на видачу сертифіката відкритого ключа підпису. Центр видає електронний та паперовий сертифікати відкритого ключа підпису. Електронний сертифікат- Це файл, який являє собою відкритий ключ клієнта, підписаний ЕЦП центру, що засвідчує. Паперовий сертифікат містить такі дані: відкритий ключ ЕЦП, ПІБ його власника, термін дії сертифіката (зазвичай один рік), область застосування ключа (перелік документів, які можна підписувати за допомогою ключа, на який видано сертифікат), інформація про організацію, представником якої є власник ключа.

Відповідно, після оформлення документів в УЦ у клієнта на руках виявляється паперовий сертифікат та носій інформації (рутокен, флешка, дискета) на якому записані такі файли: відкритий ключ, закритий ключ, сертифікат відкритого ключа.

Відкритим шифруємо, закритим розшифровуємо

Припустимо, бухгалтер хоче надіслати до інспекції декларацію. Він формує файл зі звітністю (вносить дані організації до електронного формату декларації). Потім він підписує файл зі звітністю своїм закритим ключем. Підпис утворює новий, оригінальний файл. У підписаному ЕЦП документі ні одержувач, ні відправник вже не можуть змінити жодного символу — подібне порушення цілісності документа легко виявляється під час перевірки за допомогою сертифіката відкритого ключа.

Далі програма, за допомогою якої бухгалтер надсилає звітність, шифрує декларацію відкритим ключем інспекції. Зашифрований файл відправляється до інспекції. Податківці одержують файл і розшифровують його своїм закритим ключем. Потім перевіряють ЕЦП платника за допомогою реєстру сертифікатів відкритих ключів (така перевірка при прийнятті звітності здійснюється автоматично). Перевірка дає відповідь на два питання: чи була після підписання ЕЦП платника порушена цілісність документа і чи справді ця ЕЦП належить платнику, який подав звітність.

Після перевірки інспекція надсилає організації протокол вхідного контролю. Інспектор підписує протокол своїм закритим ключем. Потім шифрує протокол відкритим ключем компанії та надсилає файл із зашифрованою інформацією на адресу компанії. Бухгалтер відкриває зашифровану у файлі інформацію своїм закритим ключем.

Теоретично перехопити зашифрований файл може будь-хто. Однак розшифрувати файл, надісланий на адресу інспекції, можна лише з закритим ключем інспекції. Відповідно, зашифрований файл, спрямований у компанію, може відкрити лише той, хто має закритий ключ компанії.

Що буде, якщо недбало зберігати закритий ключ

Найголовніша проблема, якою може обернутися для компанії недбале зберігання закритого ключа, - це так звана компрометація ключа. Тобто доступ до закритого ключа сторонніх. Якщо ключ зберігається на дискеті, що лежить на столі бухгалтера або ключ записаний на жорсткий диск бухгалтерського комп'ютера, компанія ризикує нарватися на серйозні неприємності. Маючи закритий ключ, якийсь недоброзичливець може надіслати за компанію свідомо неправдиву звітність. Наприклад, задовго до терміну, в який бухгалтер планує подати звітність, надіслати до інспекції декларацію з ПДВ із величезними сумами до відшкодування. У цьому випадку компанії, як мінімум, загрожує стомлюючий розгляд із податківцями, які вже прийняли «хибну» звітність і занесли її до своєї бази. А як максимум (якщо бухгалтер вчасно не виявить факт «неправдивого» відправлення) — витребування документів під час поглибленої камеральної перевірки, донарахування, пені, штрафи та судовий процес.

Ще один наслідок недбалого зберігання - можлива втрата закритого ключа. Ключ можуть вкрасти. Його можна втратити. Якщо закритий ключ записано на ненадійному носії - дискеті, є небезпека її механічного пошкодження. Крім того, дискета може загубитися серед інших дискет, інформацію з неї можна помилково стерти.

Втрата чинного ключа напередодні подання звітності призводить до того, що вчасно надіслати декларацію через інтернет не вдасться. Справа в тому, що ніхто не зможе видати організації «дублікат» закритого ключа — у центру, що засвідчує, його просто немає, а відтворити закритий ключ по відкритому неможливо. Без закритого ключа компанія не зможе підписати звітність та розшифрувати протоколи з інспекції, де повідомляється про те, чи прийнята звітність чи не прийнята через якісь помилки. Єдиний вихід – отримувати нові ключі. Якщо ця процедура затягнеться, і інформацію про нові ключі інспекція візьме до відома із запізненням, декларації доведеться подавати особисто або надсилати звичайною поштою.

Закриті ключі, у яких минув термін дії, також слід зберігати дбайливо. Ця теза особливо актуальна для бухгалтерів, які зберігають усі звіти не на своєму комп'ютері, а в зашифрованому вигляді на сервері спецоператора зв'язку. Якщо вони втратять закритий ключ, який діяв, скажімо, у 2006 році, то вони не зможуть розшифрувати власну податкову звітність за цей рік.

додаткова інформація
Наскільки надійна ЕЦП

Як ми вже згадували, розмір закритого ключа ЕЦП, що використовується при здачі звітності, становить 512 біт. Для того щоб зрозуміти, який ступінь надійності забезпечує такий розмір ключа, наведемо приклад. На підбір ключа розміром 72 біти у групи дослідників, які використовували сотні комп'ютерів, пішло три роки. Розмір нашого ключа – 512 біт. Умови проведеного експерименту дозволяють обчислити кількість років, яка буде потрібна на його підбір. Цей термін виражається числом зі 130 нулями. Для порівняння: вік Землі оцінюється в 4,5 мільярда років, а мільярд – число з 9 нулями.

Чим ЕЦП відрізняється від старих шифрувань

Одним із перших шифрування інформації (криптографію) на практиці застосував імператор Гай Юлій Цезар. Він відправляв у віддалені провінції послання, де замість літери A ставив літеру D, замість літери B — літеру E тощо. Тобто використовував алфавітне зрушення три літери. Цього було достатньо, щоб вороги, котрі перехопили послання, не могли його розшифрувати. Натомість адресати у провінціях, яким секрет шифру було відоме, легко читали розпорядження зі столиці.
З того часу минуло понад дві тисячі років. За цей час було придумано безліч шифрів (у Цезаря це був найпростіший алфавітний зсув на 3 літери, а в апаратах-шифраторах Другої світової війни вже застосовувалися страшні тисячозначні числа). Однак аж донедавна нічого принципово нового наука про шифрування не винаходила. Суть залишалася незмінною: до сеансу документообігу відправник повідомлення та його одержувач мали розділити секрет шифру (навіщо була потрібна або особиста зустріч, або використання якихось наднадійних каналів зв'язку). Таке шифрування, коли учасникам документообігу необхідно передати один одному секрет шифру, називається симетрична криптографія.

Однак у сімдесяті роки минулого століття було винайдено принципово новий спосібкриптографічного захисту інформації. Він не вимагає попереднього обміну секретом шифру, тому й названо асиметричною криптографією. Саме такий спосіб шифрування використовується в роботі ЕЦП. Щоб надіслати комусь зашифровану інформацію, достатньо мати ключі ЕЦП і знати відкритий ключ адресата.

Вступ.

Навчальні питання (основна частина):

1. Загальні відомостіпро електронні ключі.

2. Діодні ключі.

3. Транзисторні ключі

Висновок

Література:

Л.15 Бистров Ю.А., Мироненко І.В. Електронні ланцюги та пристрої,-М: вища школа. 1989р. - 287с. с. 138-152,

Л.19 Браммер Ю.А., Пащук А.В. Імпульсні та цифрові пристрої. - М: Вища школа, 1999 р., 351 с. с. 68-81

Л21. Ф. Опадчий, О.П. Глудкін, А.І. Гуров «Аналогова та цифрова електроніка», М.- Гаряча лінія-Телеком, 2000р. 370-414

Навчально-матеріальне забезпечення:

Текст лекції Вступ

Відомо, що для забезпечення роботи імпульсних пристроїв та отримання імпульсних коливань необхідно здійснювати комутацію нелінійного елемента (замкнути, розімкнути).

Такий режим роботи нелінійного елемента називається ключовим, а пристрій, до якого входить даний нелінійний елемент - електронним ключем.

1. Загальні відомості про електронні ключі.

Електронним ключем називається пристрій, який під впливом керуючих сигналів здійснює комутацію електричних кіл безконтактним способом.

Визначення електронних ключів.

У самому визначенні закладено призначення “Вмикання – вимкнення”, “Замикання – розмикання” пасивних та активних елементів, джерел живлення тощо.

Класифікація електронних ключів

Електронні ключі класифікуються за такими основними ознаками:

    На вигляд комутувального елемента:

  • транзисторні;

    триністорні, диністорні;

    електровакуумні;

    газонаповнювані (тиратронні, тигатронні);

    оптронні.

    За способом включення комутувального елемента щодо навантаження.

    послідовні ключі;

Мал. 1

    паралельні ключі.

Мал. 2

    За способом керування.

    із зовнішнім керуючим сигналом (зовнішнім по відношенню до комутованого сигналу);

    без зовнішнього керуючого сигналу (сам комутований сигнал і є керуючим).

    На вигляд комутованого сигналу.

    ключі напруги;

    ключі струму.

    За характером перепадів вхідної та вихідної напруги.

    повторюючі;

Мал. 3

    інвертируючі.

Мал. 4

    За станом електронного ключа у відкритому положенні.

    насичений (електронний ключ відкритий до насичення);

    ненасичений (електронний ключ знаходиться у відкритому режимі).

    За кількістю входів.

    одновходові;

Мал. 5

    багатовходові.

Мал. 6

Влаштування електронних ключів.

До складу електронного ключа зазвичай входять такі основні елементи:

    безпосередньо нелінійний елемент (комутуючий елемент);

Принцип дії електронного ключа

Мал. 7

Принцип дії розглянемо з прикладу ідеального ключа.

На малюнку:

  1. U вх - напруга, що управляє роботою ключа;

    R - опір у ланцюзі живлення;

    E - напруга живлення (комутована напруга).

У стані включено (ключ SA замкнутий), напруга на виході U вих =0 (опір R замкнутого ідеального ключа дорівнює нулю).

У стані вимкнено (ключ SA розімкнуто), напруга на виході U вих =Е (опір R розімкнутого ідеального ключа дорівнює нескінченності).

Такий ідеальний ключ робить повне розмикання та замикання ланцюга, так що перепад напруги на виході дорівнює Е.

Однак реальний електронний ключ далекий від ідеального.

Мал. 8

Він має кінцевий опір в замкнутому стані -R вкл зам, і в розімкнутому стані - R викл разом. Тобто. R вкл зам >0, R викл разом<. Следовательно, в замкнутом состоянии U вых =U ост >0 (інша напруга падає на ключі).

У розімкнутому стані U вих

Таким чином, для роботи електронного ключа необхідним є виконання умови R вимкнув разом >> R вкл зам .

Основні характеристики електронних ключів

    Передавальна характеристика.

Це залежність вихідної напруги U вих від вхідної U вх: U вих = f(U вх).

Якщо немає зовнішнього сигналу, що управляє, то U вих =f(E).

Такі характеристики показують, наскільки близький електронний ключ до ідеального.

    Швидкодія електронного ключа – час перемикання електронного ключа.

    Опір у розімкнутому стані R вимкнув разом і опір у замкнутому стані R увімкн.

    Залишкова напруга U зуп.

    Порогова напруга, тобто. напруга, коли опір електронного ключа різко змінюється.

    Чутливість – мінімальний перепад сигналу, в результаті якого відбувається безперебійне перемикання електронного ключа.

    Перешкодостійкість – чутливість електронного ключа до впливу імпульсів перешкод.

    Падіння напруги на електронному ключі у відкритому стані.

    Струм витоку в закритому стані.

Використання електронних ключів.

Електронні ключі застосовуються:

    У найпростіших схемах формування імпульсів.

    Для побудови основних типів логічних елементів та основних імпульсних пристроїв.

Таким чином, електронні ключі – це пристрої, що здійснюють комутацію безконтактним способом.

(ПЗ) та даних від копіювання, нелегального використання та несанкціонованого поширення.

Сучасні електронні ключі

Принцип дії електронних ключів. Ключ підключається до певного інтерфейсу комп'ютера. Далі захищена програма через спеціальний драйвер надсилає йому інформацію, яка обробляється відповідно до заданого алгоритму та повертається назад. Якщо відповідь ключа правильна, то програма продовжує свою роботу. В іншому випадку вона може виконувати певні розробниками дії, наприклад, переключатися в демонстраційний режим, блокуючи доступ до певних функцій.

Існують спеціальні ключі, здатні здійснювати ліцензування (обмеження числа копій програми, що працюють у мережі) захищеного додатка по мережі. В цьому випадку достатньо одного ключа на всю локальну мережу. Ключ встановлюється на будь-якій робочій станції чи сервері мережі. Захищені програми звертаються до ключа за локальної мережі. Перевага в тому, що для роботи з додатком у межах локальної мережі їм не потрібно мати електронний ключ.

на російському ринкунайбільш відомі такі лінійки продуктів (за абеткою): CodeMeter від WIBU-SYSTEMS, Guardant від компанії «Актив», HASP від ​​Aladdin, LOCK від Astroma Ltd., Rockey від Feitian, SenseLock від Seculab та ін.

Історія

Захист програмного забезпечення від неліцензійного користування збільшує прибуток розробника. На сьогоднішній день існує кілька підходів до вирішення цієї проблеми. Переважна більшість творців ПЗ використовують різноманітні програмні модулі, що контролюють доступ користувачів за допомогою ключів активації, серійних номерів тощо. Такий захист є дешевим рішенням і не може претендувати на надійність. Інтернет рясніє програмами, що дозволяють нелегально згенерувати ключ активації (генератори ключів) або заблокувати запит на серійний номер/ключ активації (патчі, креки). Крім того, не варто нехтувати тим фактом, що сам легальний користувач може оприлюднити свій серійний номер.

Ці очевидні недоліки призвели до створення апаратного захисту програмного забезпечення як електронного ключа. Відомо, що перші електронні ключі (тобто апаратні пристрої для захисту програмного забезпечення від нелегального копіювання) з'явилися на початку 1980-х років, проте першість в ідеї та безпосередньому створенні пристрою, зі зрозумілих причин, встановити дуже складно.

Захист ПЗ за допомогою електронного ключа

Комплект розробника ПЗ

Донгл відносять до апаратних методів захисту, проте сучасні електронні ключі часто визначаються як мультиплатформні апаратно-програмні інструментальні системи для захисту ПЗ. Справа в тому, що окрім самого ключа компанії, що випускають електронні ключі, надають SDK (Software Developer Kit – комплект розробника ПЗ). У SDK входить все необхідне для початку використання представленої технології у власних програмних продуктах- Засоби розробки, повна технічна документація, підтримка різних операційних систем, детальні приклади, фрагменти коду, інструменти для автоматичного захисту. Також SDK може включати демонстраційні ключі для побудови тестових проектів.

Технологія захисту

Технологія захисту від несанкціонованого використання ПЗ побудована на реалізації запитів з файлу або динамічної бібліотеки, що виконується, до ключа з подальшим отриманням і, якщо передбачено, аналізом відповіді. Ось деякі характерні запити:

  • перевірка наявності підключення ключа;
  • зчитування з ключа необхідних програміданих як параметр запуску (використовується в основному тільки при пошуку відповідного ключа, але не для захисту);
  • запит на розшифрування даних або виконуваного коду, необхідних для роботи програми, зашифрованих при захисті програми (дозволяє здійснювати "порівняння з еталоном"; у разі шифрування коду виконання нерозшифрованого коду призводить до помилки);
  • запит на розшифрування даних, зашифрованих раніше самою програмою (дозволяє відправляти щоразу різні запити до ключа і тим самим захиститися від емуляції бібліотек API/самого ключа)
  • перевірка цілісності коду, що виконується, шляхом порівняння його поточної контрольної суми з оригінальною контрольною сумою, що зчитується з ключа (наприклад, шляхом виконання ЕЦП коду або інших переданих даних алгоритмом ключа і перевірки цієї ЕЦП всередині додатка; т.к. ЕЦП завжди різна - особливість криптографічного алгоритму - це також допомагає захиститися від емуляції API/ключа);
  • запит до вбудованих у ключ годинника реального часу (за їх наявності; може здійснюватися автоматично при обмеженні часу роботи апаратних алгоритмів ключа за його внутрішнім таймером);
  • і т.д.

Варто зазначити, що деякі сучасні ключі (Guardant Code від Компанії "Актив", LOCK від Astroma Ltd., Rockey6 Smart від Feitian, Senselock від Seculab) дозволяють розробнику зберігати власні алгоритми або навіть окремі частини програмного коду (наприклад, специфічні алгоритми розробника, які отримують на вхід велика кількість параметрів) та виконувати їх у самому ключіна його власному мікропроцесорі. Крім захисту ПЗ від нелегального використання такий підхід дозволяє захистити алгоритм, що використовується в програмі, від вивчення, клонування та використання у своїх додатках конкурентами. Однак для простого алгоритму (а розробники часто припускаються помилки, вибираючи для завантаження недостатньо складний алгоритм) може бути проведений криптоаналіз за методом аналізу "чорної скриньки".

Як випливає з вищесказаного, "серцем" електронного ключа є алгоритм перетворення (криптографічний чи інший). У сучасних ключах він реалізований апаратно - це практично виключає створення повного емулятора ключа, оскільки ключ шифрування ніколи не передається на вихід донгла, що унеможливлює його перехоплення.

Алгоритм шифрування може бути секретним чи публічним. Секретні алгоритми розробляються самим виробником засобів захисту, зокрема й індивідуально кожному за замовника. Головним недоліком використання таких алгоритмів є неможливість оцінки криптографічної стійкості. З упевненістю сказати, наскільки надійним є алгоритм, можна було лише постфактум: зламали чи ні. Публічний алгоритм, або «відкритий вихідник», має криптостійкість незрівнянно більшу. Такі алгоритми перевіряються не випадковими людьми, а низка експертів, що спеціалізуються на аналізі криптографії. Прикладами таких алгоритмів можуть бути широко використовувані ГОСТ 28147-89, AES, RSA, Elgamal та ін.

Захист за допомогою автоматичних засобів

Для більшості сімейств апаратних ключів розроблені автоматичні інструменти (що входять до SDK), що дозволяють захистити програму за кілька кліків миші. При цьому файл програми «обертається» у власний код розробника. Реалізована цим кодом функціональність варіюється в залежності від виробника, але найчастіше код здійснює перевірку наявності ключа, контроль ліцензійної політики (заданої постачальником ПЗ), впроваджує механізм захисту файлу, що виконується від налагодження і декомпіляції (наприклад, стиснення виконуваного файлу) та ін.

Важливо те, що для використання автоматичного інструменту захисту не потрібний доступ до вихідного коду програми. Наприклад, при локалізації зарубіжних продуктів (коли відсутня можливість втручання у вихідний код) такий механізм захисту незамінний, проте він не дозволяєреалізувати та використовувати весь потенціал електронних ключів та реалізувати гнучкий та індивідуальний захист.

Реалізація захисту за допомогою функцій API

Крім використання автоматичного захисту, розробнику надається можливість самостійно розробити захист, інтегруючи систему захисту в додаток на рівні вихідного коду. Для цього в SDK включені бібліотеки для різних мов програмування, що містять опис функціональності API для цього ключа. API є набір функцій, призначених для обміну даними між програмою, системним драйвером (і сервером у разі мережевих ключів) і самим ключем. Функції API забезпечують виконання різних операцій з ключем: пошуку, читання та запису пам'яті, шифрування та розшифрування даних за допомогою апаратних алгоритмів, ліцензування мережного програмного забезпечення тощо.

Вміле застосування даного методузабезпечує високий рівень захищеності додатків. Нейтралізувати захист, вбудований у додаток, досить важко внаслідок її унікальності та «розмитості» у тілі програми. Сама по собі необхідність вивчення та модифікації виконуваного коду захищеного додатка для обходу захисту є серйозною перешкодою для її злому. Тому завданням розробника захисту насамперед є захист від можливих автоматизованих методів злому шляхом реалізації власного захисту з використанням API роботи з ключами.

Обхід захисту

Інформація про повну емуляцію сучасних ключів Guardant не зустрічалася. Існуючі табличні емулятори реалізовані лише конкретних додатків. Можливість їх створення була обумовлена ​​невикористанням (або безграмотним використанням) основного функціоналу електронних ключів розробниками захисту.

Також відсутня будь-яка інформація про повну або хоча б часткову емуляцію ключів LOCK, або про будь-які інші способи обходу цього захисту.

Зламування програмного модуля

Зловмисник досліджує логіку самої програми, з тією метою, щоб, проаналізувавши весь код програми, виділити блок захисту та деактивувати його. Злам програм здійснюється за допомогою налагодження (або покрокового виконання), декомпіляції та дампи оперативної пам'яті. Ці способи аналізу коду програми, що виконується, найчастіше використовуються зловмисниками в комплексі.

Налагодження здійснюється за допомогою спеціальної програми - відладчика, який дозволяє кроками виконувати будь-який додаток, емулюючи для нього операційне середовище. Важливою функцієювідладчика є здатність встановлювати точки (або умови) зупинкивиконання коду. За допомогою них зловмиснику простіше відстежувати місця в коді, в яких реалізовані звернення до ключа (наприклад, зупинка виконання на повідомленні типу «Ключ відсутній! Перевірте наявність ключа в інтерфейсі USB»).

Дизасемблювання- спосіб перетворення коду виконуваних модулів на мову програмування, зрозумілий людині - Assembler. І тут зловмисник отримує роздруківку (листинг) те, що робить додаток.

Декомпіляція- Перетворення виконуваного модуля програми на програмний код мовою високого рівнята отримання подання програми, близької до вихідного коду. Може бути проведена тільки для деяких мов програмування (зокрема, для .NET додатків, що створюються мовою C# і розповсюджуються в байт-коді, що інтерпретується відносно високого рівня).

Суть атаки за допомогою дапма пам'ятіполягає в зчитуванні вмісту оперативної пам'яті в момент, коли програма почала нормально виконуватися. В результаті зловмисник отримує робочий код (або цікавить його частина) в "чистому вигляді" (якщо, наприклад, код програми був зашифрований і розшифровується тільки частково, у процесі виконання тієї чи іншої ділянки). Головне для зловмисника – правильно вибрати момент.

Зазначимо, що існує чимало способів протидії налагодженню, і розробники захисту використовують їх: нелінійність коду (багатопоточність), недетерміновану послідовність виконання, «сміття» коду, (марними функціями, що виконують складні операції, з метою заплутати зловмисника), використання недосконалості самих ін.

Популярне
Категорії

2023
newmagazineroom.ru - Бухгалтерська звітність. УНВС. Зарплата та кадри. Валютні операції. Сплата податків. ПДВ. Страхові внески