Валидация подписей — сравнение
На российском рынке существует несколько решений для проверки электронных подписей. Ниже — сравнение ключевых возможностей Cert4U с популярными альтернативами.
| Возможность | Cert4U | Госуслуги | КриптоАРМ | Контур.Крипто |
|---|---|---|---|---|
| Криптографическая проверка | 6 проверок | Базовая | Полная | Базовая |
| Поведенческий анализ | 8 проверок | Нет | Нет | Нет |
| REST API | Есть | Нет | Нет | Ограничен |
| Протокол верификации (PDF) | Подробный | Краткий | Есть | Нет |
| Проверка CRL/OCSP | Реальное время | Да | Да | Да |
| CAdES-X Long Type 1 | Да | Нет | Да | Нет |
| Установка ПО | Не требуется | Не требуется | Windows | Не требуется |
| Интеграция с 1С | Да | Нет | Нет | Нет |
| Пакетная проверка | До 100 файлов | По одному | Да | По одному |
Назначение системы
Сервис Cert4U предназначен для электронного подписания документов между организацией и контрагентами. Система обеспечивает два вида электронной подписи:
УКЭП
Усиленная квалифицированная электронная подпись. Формат CAdES-BES, создаётся с использованием КриптоПро CSP и квалифицированного сертификата.
ПЭП
Простая электронная подпись. Подтверждение волеизъявления одноразовым кодом, отправляемым по SMS или email.
Правовая база
Федеральный закон № 63-ФЗ «Об электронной подписи»
- Статья 5 — определяет виды электронных подписей: простая (ПЭП) и усиленная (неквалифицированная и квалифицированная)
- Статья 6, п. 1 — документ, подписанный УКЭП, признаётся равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и имеет юридическую силу в суде без дополнительных условий
- Статья 6, п. 2 — документ, подписанный ПЭП, признаётся равнозначным при наличии соглашения между участниками электронного взаимодействия
- Статья 9 — использование ПЭП допускается при условии соблюдения конфиденциальности ключа подписи
КриптоПро CSP
КриптоПро CSP — сертифицированное ФСБ России средство криптографической защиты информации (СКЗИ). Используется для создания и проверки электронной подписи по алгоритмам ГОСТ Р 34.10-2012, вычисления хэш-функции по ГОСТ Р 34.11-2012.
Официальные ресурсы КриптоПро:
- КриптоПро CSP — описание продукта, сертификаты ФСБ
- Сертификаты соответствия — действующие сертификаты ФСБ России
- КриптоПро ЭЦП Browser plug-in — плагин для подписания в браузере
- КриптоПро cryptcp — утилита проверки подписей на сервере (PDF-документация)
- Сертификат ФСБ КС1 — сертификат соответствия КриптоПро CSP 5.0 R3, СФ/114-5310, до 25.11.2028
- Все сертификаты CSP — реестр сертификатов ФСБ для КриптоПро CSP
- Портал документации — полная документация КриптоПро
Нормативные документы:
- 63-ФЗ «Об электронной подписи» — полный текст закона
- Приказ ФСБ № 795 (ред. от 02.02.2024) — требования к форме квалифицированного сертификата, до 01.09.2027
- Приказ ФСБ № 796 (ред. от 13.04.2022) — требования к средствам электронной подписи и средствам УЦ, до 01.01.2027
- Госуслуги — проверка ЭП — независимая проверка подписей
Архитектура системы
| Компонент | Назначение |
|---|---|
| Веб-приложение (SPA) | Интерфейс оператора и администратора |
| Клиентская страница | Интерфейс подписания для контрагента |
| API-сервер | Бизнес-логика, обработка подписей, аудит |
| КриптоПро CSP 5.0 | Криптографическая проверка УКЭП на сервере (/opt/cprocsp/) |
| КриптоПро ЭЦП Browser plug-in | Создание УКЭП на стороне клиента в браузере |
| Хранилище данных | Документы, подписи (.sig), журнал аудита |
Процесс подписания документов
4.1. Подписание УКЭП (квалифицированная подпись)
Загрузка документа
Оператор загружает документ (PDF, DOCX и др.). Присваивается уникальный ID. Событие фиксируется в аудите.
Подписание оператором
Через КриптоПро Browser plug-in выбирается сертификат. Формируется открепленная подпись CAdES-BES. Сохраняются: файл подписи (.sig), метаданные сертификата (CN, ИНН, ОГРН, СНИЛС, УЦ, серийный номер, срок действия, отпечаток).
Отправка контрагенту
Контрагенту отправляется уникальная ссылка с криптографически стойким токеном (256 бит) по SMS и/или email.
Подписание контрагентом
УКЭП: контрагент выбирает свой сертификат в КриптоПро. Сервер проверяет: формат PKCS#7/CMS, срок сертификата, соответствие ИНН.
ПЭП: одноразовый 6-значный код по SMS/email, ввод кода = подтверждение волеизъявления.
Верификация и архивирование
Формируется протокол проверки ЭП (TXT + PDF со штампом). ZIP-архив включает: исходный документ, подписи (.sig), сертификат, протокол проверки.
Криптографическая верификация
Проверка через КриптоПро CSP 5.0
Для каждой УКЭП-подписи выполняется криптографическая проверка утилитой cryptcp:
cryptcp -verify -verall -detached -nocades <документ> <подпись.sig>Проверяется:
Целостность
Хэш документа совпадает с хэшем в подписи
Подлинность
Подпись создана соответствующим закрытым ключом
Цепочка доверия
Сертификат выдан аккредитованным УЦ
Срок действия
Сертификат действителен на момент подписания
ErrorCode: 0x00000000 — подпись верна.
Формат CAdES-BES
Подписи создаются в формате CAdES-BES (ETSI TS 101 733) — базовый формат усовершенствованной электронной подписи на основе CMS. Подпись открепленная (detached) — хранится в отдельном файле (.sig), исходный документ не модифицируется.
Журнал аудита
Все действия фиксируются в журнале аудита. Каждая запись содержит: дату/время, тип действия, описание, IP-адрес, идентификатор пользователя.
| Событие | Описание |
|---|---|
upload | Загрузка документа |
sign_admin | Подписание оператором |
send_to_client | Отправка клиенту |
client_sign_pep | Подписание клиентом (ПЭП) |
client_sign_ukep | Подписание клиентом (УКЭП) |
login | Вход в систему |
verify | Проверка подписей |
Протокол проверки электронной подписи
По каждому подписанному документу формируется протокол (TXT + PDF со штампом), содержащий:
Документ
Имя файла, размер
Подписанты
ФИО, организация, ИНН, ОГРН, СНИЛС, должность
Сертификат
УЦ, серийный номер, отпечаток SHA-1, срок действия, алгоритм (ГОСТ / RSA)
Верификация
КриптоПро CSP 5.0 (cryptcp): подпись верна / не верна
7.1. Сбор метаданных подписания
При каждом подписании (ПЭП и УКЭП) система собирает и сохраняет метаданные клиента для подтверждения факта подписания конкретным лицом:
IP-адрес
Адрес клиента + X-Forwarded-For
User-Agent
Браузер и ОС клиента
Время
Серверное + локальное клиента
Часовой пояс
Timezone + UTC offset
Платформа
ОС устройства
Экран
Разрешение экрана
Язык
Язык браузера
Referrer
Источник перехода
7.2. Хэш-цепочка аудита
Каждая запись журнала аудита криптографически связана с предыдущей через SHA-256. Подмена или удаление любой записи разрывает цепочку и обнаруживается автоматически.
Запись N: { seq, timestamp, action, details, prev_hash: SHA-256(запись N-1), hash: SHA-256(текущая) }Целостна
Все хэши совпадают — данные не изменены
Нарушена
Система указывает позицию разрыва
7.3. Отслеживание доставки уведомлений
Все уведомления фиксируются в аудите с данными доставки. Для SMS отслеживается статус через API провайдера.
| Событие | Данные |
|---|---|
| SMS отправлено | Телефон, провайдер, SMS ID |
| SMS доставлено | SMS ID, время доставки |
| Email отправлен | Адрес, тема, статус |
| ПЭП-код | SMS/Email, телефон/адрес |
7.4. Соглашение об использовании ПЭП
При ПЭП-подписании клиент принимает Соглашение (обязательно по ст. 6 п. 2 63-ФЗ).
Содержит:
Предмет
Использование ПЭП (63-ФЗ)
Порядок
Одноразовый 6-значный код по SMS/email
Обязанность клиента
Конфиденциальность кода (ст. 9 п. 2)
Акцепт
Ввод кода = принятие (ст. 438 ГК РФ)
Факт
Дата, код, IP, User-Agent, платформа
Безопасность
Канал связи
HTTPS (TLS 1.2+), сертификат Let's Encrypt
Аутентификация
Роли (админ, оператор, наблюдатель), 2FA (TOTP)
Ссылки подписания
Одноразовые токены 256 бит, rate limiting, срок действия
Уведомления
SMS/Email с отслеживанием доставки
Журнал аудита
Хэш-цепочка SHA-256, tamper-evident
Хранение
Документы и подписи раздельно, аудит защищён от модификации
Юридическая значимость
УКЭП
- Равнозначна собственноручной подписи (ст. 6 п. 1 63-ФЗ)
- Принимается судами без дополнительных условий
- Не требует соглашения между сторонами
- КриптоПро CSP сертифицирован по Приказу ФСБ № 796, сертификат — по № 795
ПЭП
- Признаётся равнозначной при наличии соглашения (ст. 6 п. 2)
- Соглашение формируется автоматически, акцепт через ввод кода (ст. 438 ГК РФ)
- Рекомендуется оформлять соглашение об использовании ПЭП
- Фиксируется: ФИО, дата/время, код, IP-адрес, способ доставки
Интеграции
| Система | Назначение |
|---|---|
| SMS-шлюзы (SMSC, SMSAero, SMS.ru, МТС, Билайн) | Доставка кодов ПЭП и уведомлений |
| Email (SMTP) | Доставка кодов и уведомлений |
| 1С (REST API) | Загрузка документов, проверка статусов, скачивание архивов |
| Битрикс24 (Webhook) | Уведомления о событиях |
| Telegram Bot | Уведомления о событиях |
| DaData / Контур.Фокус | Автозаполнение реквизитов контрагентов |
Схема процесса
Оператор Сервер Контрагент | | | |-- Загрузка документа --->| | | | | | Сохранение + аудит | | | | |-- Подписание УКЭП ------>| | | (КриптоПро plug-in) | | | | | | Сохранение .sig | | | | |-- Отправка контрагенту ->| | | | | | |-- SMS/Email с ссылкой -->| | | | | |<-- Переход по ссылке ----| | | | | |-- Показ документа ----->| | | | | |<-- Подписание УКЭП -----| | | или ввод кода ПЭП | | | | | Проверка: | | * PKCS#7 контейнер | | * Срок сертификата | | * ИНН сертификата | | * CryptoPro verify | | | | | Сохранение + аудит | | | | |<-- Статус: Завершён -----| | | | | |-- Скачивание ZIP ------->| | | (док + подписи + | | | протокол проверки) | | | | |