вторник, 3 января 2017 г.

Ответы на вопросы коллег: Срок действия сертификата ключа подписи


Вопрос: Возник спор с юристами по поводу толкования статьи 11 федерального закона  63-ФЗ «Об электронной подписи». Имеем такую ситуацию: срок действия закрытого ключа ЭП - 1 год 3 месяца, срок действия сертификата ключа ЭП - 5 лет. Они настаивают, что после истечения срока действия закрытого ключа - сертификат нужно обязательно отзывать.

Моя позиция - отзыв не требуется, т.к. нельзя подписывать документы просроченным закрытым ключом. А срок действия сертификата не 1 г. 3 м. для возможности проверки подписанных документов после истечения срока действия закрытого ключа.

Юристы говорят: «квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен. Моя позиция - нет в законе про срок действия ключа ЭП, только про сертификат.


Мой ответ: У закрытого ключа нет собственного срока действия – он сам по себе не имеет какой-либо правовой силы, это не более чем «уникальная последовательность символов». Правовую основу использования пары ключей – закрытого и открытого (в терминах закона об электронной подписи – ключа электронной подписи и ключа проверки электронной подписи) - обеспечивает сертификат и только сертификат, и если у Вас срок действия ключа и сертификата разный, то либо Вы что-то недопоняли, либо Ваша нормативная база содержит ошибку.

В законе «Об электронной подписи» всё вертится исключительно вокруг сертификатов и сроков их действия, и попытка установить различные сроки действия для закрытого ключа и для сертификата открытого ключа была бы невероятно грубым нарушением всей технологии.

Типичной является ситуация, когда в течение примерно года действует сертификат открытого ключа пользователя, а 5 лет и более действует сертификат открытого ключа удостоверяющего центра (это совсем другой сертификат!), с использованием которого подписываются пользовательские сертификаты. Поэтому я могу предположить, что 1 год 3 месяца у Вас относятся к сертификату ключа проверки электронной подписи пользователя, а 5 лет – к сертификату ключа проверки электронной подписи удостоверяющего центра.

Процитирую закон:
Статья 2. Основные понятия, используемые в настоящем Федеральном законе

2) сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;

5) ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи;

6) ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи);
Сертификат отзывается только в случае досрочного прекращения его действия – в первую очередь потому, что, согласно технологии использования электронных цифровых подписей, отзывать сертификаты с истекшим сроком действия бессмысленно - они все равно не будут включены удостоверяющим центром в списки отозванных сертификатов (иначе эти списки разрастались бы до бесконечности), и созданные на их основе подписи так и так будут недействительны (согласно п.2 ст.11 Закона об электронной подписи от 06.04.2011 N 63-ФЗ). В число обязанностей участников электронного взаимодействия при использовании усиленных электронных подписей такая обязанность не входит (см. ст.10 Закона). Согласно п.6 статьи 14 «Сертификат ключа проверки электронной подписи»:
Статья 14. Сертификат ключа проверки электронной подписи

6. Сертификат ключа проверки электронной подписи прекращает свое действие:

1) в связи с истечением установленного срока его действия;

2) на основании заявления владельца сертификата ключа проверки электронной подписи, подаваемого в форме документа на бумажном носителе или в форме электронного документа;

3) в случае прекращения деятельности удостоверяющего центра без перехода его функций другим лицам;

4) в иных случаях, установленных настоящим Федеральным законом, другими федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между удостоверяющим центром и владельцем сертификата ключа проверки электронной подписи.
Суммируя сказанное: срок действия, согласно закону, устанавливается для сертификата ключа проверки электронной подписи пользователя. В случае истечения срока действия сертификата отзывать его не нужно (но желающие могут попробовать, и им УЦ очень доходчиво всё объяснит). Впрочем, что мешает юристам позвонить в УЦ и спросить? ;)

5 комментариев:

  1. Наталья,

    здравствуйте.

    С большим интересом слежу за Вашими публикациями и личными выступлениями на различных мероприятиях (в сфере ЭДО).

    "...технологии использования электронных цифровых подписей"
    Видимо от этой аббревиатуры ЭЦП, которая появилась в 2002 году, мы уже никогда не избавимся - если даже такие профи ее до сих пор используют. Не взирая на 63-ФЗ "Об электронной подписи".

    С наилучшими пожеланиями,
    Вячеслав

    ОтветитьУдалить
  2. Уважаемый Вячеслав, лично я разделяю две трактовки понятия ЭЦП - ЭЦП как наименование технологии (эта технология никуда не делась и не изменилась) и ЭЦП как понятие российского права (ушло, заменено на УЭП и УКЭП). Вот как-то так :)

    ОтветитьУдалить
  3. "У закрытого ключа нет собственного срока действия" - это не так.

    Срок действия закрытого ключа определяется технической документацией на СКЗИ. 1 год и 3 месяца - стандартный срок для СКЗИ низких классов КС1, КС2

    ОтветитьУдалить
    Ответы
    1. Я бы сказала, что это не норма закона, а довольно частное организационное (не техническое!) требование, привязанное к конкретной обстановке, включающей УЦ, вид целевой системы, защищённость ключевого носителя, сфера применения (госорганы, взаимодействие с государством либо взаимодействие между хозяйствующими субъектами на основе Гражданского кодекса) и т.п.

      Скорее всего, здесь такая связка: УЦ выдает сертификат, скажем, на год. Поскольку хорошая практика не рекомендует использовать закрытый ключ повторно, вот и говорят о годичном сроке действия закрытого ключа…

      Но… кто помешает, при отсутствии единого реестра ключей, пойти в другой удостоверяющий центр (особенно в другой юрисдикции) и оформить новый сертификат на ту же самую ключевую пару? :)

      Удалить
    2. Извините, но последний абзац выдает человека, не до конца разобравшейся в принципах работы электронной подписи.

      Удалить