Cert4U — О проекте

1. Назначение системы

Сервис Cert4U предназначен для электронного подписания документов между организацией и контрагентами. Система обеспечивает два вида электронной подписи:

УКЭП
Усиленная квалифицированная электронная подпись. Формат CAdES-BES, создаётся с использованием КриптоПро CSP и квалифицированного сертификата.

ПЭП
Простая электронная подпись. Подтверждение волеизъявления одноразовым кодом, отправляемым по SMS или email.

2. Правовая база

Федеральный закон № 63-ФЗ «Об электронной подписи»

Статья 5 — определяет виды электронных подписей: простая (ПЭП) и усиленная (неквалифицированная и квалифицированная)
Статья 6, п. 1 — документ, подписанный УКЭП, признаётся равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и имеет юридическую силу в суде без дополнительных условий
Статья 6, п. 2 — документ, подписанный ПЭП, признаётся равнозначным при наличии соглашения между участниками электронного взаимодействия
Статья 9 — использование ПЭП допускается при условии соблюдения конфиденциальности ключа подписи

КриптоПро CSP

КриптоПро CSP — сертифицированное ФСБ России средство криптографической защиты информации (СКЗИ). Используется для создания и проверки электронной подписи по алгоритмам ГОСТ Р 34.10-2012, вычисления хэш-функции по ГОСТ Р 34.11-2012.

Официальные ресурсы КриптоПро:

КриптоПро CSP — описание продукта, сертификаты ФСБ
Сертификаты соответствия — действующие сертификаты ФСБ России
КриптоПро ЭЦП Browser plug-in — плагин для подписания в браузере
КриптоПро cryptcp — утилита проверки подписей на сервере (PDF-документация)
Сертификат ФСБ КС1 — сертификат соответствия КриптоПро CSP 5.0 R3 (СФ/114-5310, до 25.11.2028)
Все сертификаты CSP — реестр сертификатов ФСБ для КриптоПро CSP
Портал документации — полная документация КриптоПро

Нормативные документы:

63-ФЗ «Об электронной подписи» — полный текст закона
Приказ ФСБ № 795 (ред. от 02.02.2024) — требования к форме квалифицированного сертификата (до 01.09.2027)
Приказ ФСБ № 796 (ред. от 13.04.2022) — требования к средствам электронной подписи и средствам УЦ (до 01.01.2027)
Госуслуги — проверка ЭП — независимая проверка подписей

3. Архитектура системы

Компонент	Назначение
Веб-приложение (SPA)	Интерфейс оператора и администратора
Клиентская страница	Интерфейс подписания для контрагента
API-сервер	Бизнес-логика, обработка подписей, аудит
КриптоПро CSP 5.0	Криптографическая проверка УКЭП на сервере (/opt/cprocsp/)
КриптоПро ЭЦП Browser plug-in	Создание УКЭП на стороне клиента в браузере
Хранилище данных	Документы, подписи (.sig), журнал аудита

Все коммуникации по HTTPS (TLS 1.2+)

4. Процесс подписания документов

4.1. Подписание УКЭП (квалифицированная подпись)

1

Загрузка документа
Оператор загружает документ (PDF, DOCX и др.). Присваивается уникальный ID. Событие фиксируется в аудите.

2

Подписание оператором
Через КриптоПро Browser plug-in выбирается сертификат. Формируется открепленная подпись CAdES-BES. Сохраняются: файл подписи (.sig), метаданные сертификата (CN, ИНН, ОГРН, СНИЛС, УЦ, серийный номер, срок действия, отпечаток).

3

Отправка контрагенту
Контрагенту отправляется уникальная ссылка с криптографически стойким токеном (256 бит) по SMS и/или email.

4

Подписание контрагентом
УКЭП: контрагент выбирает свой сертификат в КриптоПро. Сервер проверяет: формат PKCS#7/CMS, срок сертификата, соответствие ИНН.
ПЭП: одноразовый 6-значный код по SMS/email, ввод кода = подтверждение волеизъявления.

5

Верификация и архивирование
Формируется протокол проверки ЭП (TXT + PDF со штампом). ZIP-архив включает: исходный документ, подписи (.sig), сертификат, протокол проверки.

5. Криптографическая верификация

Проверка через КриптоПро CSP 5.0

Для каждой УКЭП-подписи выполняется криптографическая проверка утилитой cryptcp:

cryptcp -verify -verall -detached -nocades <документ> <подпись.sig>

Проверяется:

Целостность — хэш документа совпадает с хэшем в подписи
Подлинность — подпись создана соответствующим закрытым ключом
Цепочка доверия — сертификат выдан аккредитованным УЦ
Срок действия — сертификат действителен на момент подписания

Результат: ErrorCode: 0x00000000 — подпись верна.

Формат CAdES-BES

Подписи создаются в формате CAdES-BES (ETSI TS 101 733) — базовый формат усовершенствованной электронной подписи на основе CMS. Подпись открепленная (detached) — хранится в отдельном файле (.sig), исходный документ не модифицируется.

6. Журнал аудита

Все действия фиксируются в журнале аудита. Каждая запись содержит: дату/время, тип действия, описание, IP-адрес, идентификатор пользователя.

Событие	Описание
`upload`	Загрузка документа
`sign_admin`	Подписание оператором
`send_to_client`	Отправка клиенту
`client_sign_pep`	Подписание клиентом (ПЭП)
`client_sign_ukep`	Подписание клиентом (УКЭП)
`login`	Вход в систему
`verify`	Проверка подписей

7. Протокол проверки электронной подписи

По каждому подписанному документу формируется протокол (TXT + PDF со штампом), содержащий:

Документ
Имя файла, размер

Подписанты
ФИО, организация, ИНН, ОГРН, СНИЛС, должность

Сертификат
УЦ, серийный номер, отпечаток SHA-1, срок действия, алгоритм (ГОСТ / RSA)

Верификация
КриптоПро CSP 5.0 (cryptcp): подпись верна / не верна

7.1. Сбор метаданных подписания

При каждом подписании (ПЭП и УКЭП) система собирает и сохраняет метаданные клиента для подтверждения факта подписания конкретным лицом:

IP-адрес
Адрес клиента + X-Forwarded-For

User-Agent
Браузер и ОС клиента

Время
Серверное + локальное клиента

Часовой пояс
Timezone + UTC offset

Платформа
ОС устройства

Экран
Разрешение экрана

Язык
Язык браузера

Referrer
Источник перехода

Метаданные включаются в протокол проверки ЭП и отображаются в карточке документа. Это исключает возможность оспорить факт подписания — данные уникальны для каждого устройства и сеанса.

7.2. Хэш-цепочка аудита

Каждая запись журнала аудита криптографически связана с предыдущей через SHA-256. Подмена или удаление любой записи разрывает цепочку и обнаруживается автоматически.

Запись N: { seq, timestamp, action, details, prev_hash: SHA-256(запись N-1), hash: SHA-256(текущая) }

Целостна
Все хэши совпадают — данные не изменены

Нарушена
Система указывает позицию разрыва

7.3. Отслеживание доставки уведомлений

Все уведомления фиксируются в аудите с данными доставки. Для SMS отслеживается статус через API провайдера.

Событие	Данные
SMS отправлено	Телефон, провайдер, SMS ID
SMS доставлено	SMS ID, время доставки
Email отправлен	Адрес, тема, статус
ПЭП-код	SMS/Email, телефон/адрес

7.4. Соглашение об использовании ПЭП

При ПЭП-подписании клиент принимает Соглашение (обязательно по ст. 6 п. 2 63-ФЗ).

Содержит:

Предмет — использование ПЭП (63-ФЗ)
Порядок — одноразовый 6-значный код по SMS/email
Обязанность клиента — конфиденциальность кода (ст. 9 п. 2)
Акцепт — ввод кода = принятие (ст. 438 ГК РФ)
Факт — дата, код, IP, User-Agent, платформа

Соглашение генерируется как PDF и включается в ZIP-архив подписанного документа.

8. Безопасность

Канал связи
HTTPS (TLS 1.2+), сертификат Let's Encrypt

Аутентификация
Роли (админ, оператор, наблюдатель), 2FA (TOTP)

Ссылки подписания
Одноразовые токены 256 бит, rate limiting, срок действия

Уведомления
SMS/Email с отслеживанием доставки

Журнал аудита
Хэш-цепочка SHA-256, tamper-evident

Хранение
Документы и подписи раздельно, аудит защищён от модификации

9. Юридическая значимость

УКЭП

Равнозначна собственноручной подписи (ст. 6 п. 1 63-ФЗ)
Принимается судами без дополнительных условий
Не требует соглашения между сторонами
КриптоПро CSP сертифицирован по Приказу ФСБ № 796, сертификат — по № 795

ПЭП

Признаётся равнозначной при наличии соглашения (ст. 6 п. 2) — Соглашение формируется автоматически, акцепт через ввод кода (ст. 438 ГК РФ)
Рекомендуется оформлять соглашение об использовании ПЭП
Фиксируется: ФИО, дата/время, код, IP-адрес, способ доставки

Независимая проверка: подпись может быть проверена любым средством, поддерживающим CAdES-BES: КриптоАРМ, Контур.Крипто, портал Госуслуг и др.

10. Интеграции

Система	Назначение
SMS-шлюзы (SMSC, SMSAero, SMS.ru, МТС, Билайн)	Доставка кодов ПЭП и уведомлений
Email (SMTP)	Доставка кодов и уведомлений
1С (REST API)	Загрузка документов, проверка статусов, скачивание архивов
Битрикс24 (Webhook)	Уведомления о событиях
Telegram Bot	Уведомления о событиях
DaData / Контур.Фокус	Автозаполнение реквизитов контрагентов

11. Схема процесса

Оператор Сервер Контрагент | | | |-- Загрузка документа ---->| | | |-- Сохранение + аудит | | | | |-- Подписание УКЭП ------->| | | (КриптоПро plug-in) |-- Сохранение .sig | | | | |-- Отправка контрагенту -->| | | |-- SMS/Email с ссылкой --->| | | | | |<---- Переход по ссылке ---| | |-- Показ документа ------->| | | | | |<---- Подписание УКЭП -----| | | или ввод кода ПЭП | | |-- Проверка: | | | * PKCS#7 контейнер | | | * Срок сертификата | | | * ИНН сертификата | | | * CryptoPro verify | | |-- Сохранение + аудит | | | | |<-- Статус: Завершён ------| | | | | |-- Скачивание ZIP -------->| | | (док + подписи + | | | протокол проверки) | |

Сервис электронной подписи документов

info 1. Назначение системы

gavel 2. Правовая база

Федеральный закон № 63-ФЗ «Об электронной подписи»

КриптоПро CSP

architecture 3. Архитектура системы

draw 4. Процесс подписания документов

4.1. Подписание УКЭП (квалифицированная подпись)

verified_user 5. Криптографическая верификация

Проверка через КриптоПро CSP 5.0

Формат CAdES-BES

history 6. Журнал аудита

receipt_long 7. Протокол проверки электронной подписи

fingerprint 7.1. Сбор метаданных подписания

link 7.2. Хэш-цепочка аудита

notifications_active 7.3. Отслеживание доставки уведомлений

description 7.4. Соглашение об использовании ПЭП

shield 8. Безопасность

balance 9. Юридическая значимость