Как проверить электронную подпись?

Что на самом деле подтверждает проверка

Проверка ЭП помогает убедиться, что документ подписан корректно и может использоваться в работе. Она отвечает на несколько вопросов:

• кто подписал;

• когда подписал;

• действовал ли сертификат в момент подписания;

• относится ли подпись к документу или нет.

 

Проверка ПЭП, УНЭП и УКЭП

Каждый тип подписи проверяется по-разному. Простая электронная подпись (ПЭП) представляет собой связку «логин и пароль», код из СМС или другие простые комбинации. Универсального способа её проверки не существует, так как она не основана на криптографических алгоритмах и зависит от информационной системы, в которой создаётся и используется.

УНЭП и УКЭП можно проверить через портал Госуслуги, сервисы Удостоверяющих центров и специализированные платформы, например, Sign.Me.

 

Действительность сертификата (срок и статус)

Первое, что проверяет любой сервис, – статус сертификата электронной подписи. У сертификата есть строго определенный срок действия (обычно 12 или 15 месяцев). Если этот срок истек, вам необходимо перевыпустить сертификат (о процессе перевыпуска читайте здесь). Важно отметить, что надежные сервисы ЭДО технически не дадут пользователю поставить подпись с истекшим сертификатом, так как создать ЭП с недействительным сертификатом невозможно.

Есть важный нюанс: если документ был подписан до истечения срока действия сертификата, а проверка проводится уже после, подпись является валидной. Для подтверждения этого факта в файле подписи должна быть метка доверенного времени (что это такое – рассказываем ниже).

Также сертификат может быть отозван досрочно, например, при увольнении сотрудника или утере носителя. Чтобы это отследить, при проверке система в режиме реального времени сверяется со списком отозванных сертификатов (CRL) или обращается напрямую в выпустивший удостоверяющий центр.

 

Целостность документа (сравнение хеш-сумм)

Перед подписанием с помощью специального математического алгоритма из документа формируется уникальное значение – хеш-сумма или хеш. Затем на основе этого хеша с использованием закрытого ключа создаётся ЭП, которая в свою очередь подписывает тот самый хеш документа.

При проверке система заново вычисляет хеш уже из полученного документа и отдельно с помощью открытого ключа проверяет саму подпись. После этого сравниваются два значения: вычисленный хеш и хеш, связанный с подписью.

Если после подписания документ был изменен хоть на один символ или поврежден, то хеш изменится, и система покажет ошибку проверки целостности. Если же проверка проходит успешно, то подтверждается, что содержимое документа после подписания не менялось.

 

Роль метки доверенного времени (TSP)

Метка времени – это криптографическое подтверждение того, что подпись была создана в конкретный момент. Зачем это нужно? Допустим, срок действия сертификата истек вчера, а документ подписан год назад. Без метки времени проверка покажет, что сертификат недействителен. Но при наличии метки система увидит, что на момент подписания сертификат был активен, и признает подпись валидной. В судебных спорах метка времени часто становится решающим доказательством. Сервис Sign.Me автоматически прикладывает такую метку к вашей подписи.

Немного технических особенностей. Как это работает: метку доверенного времени (TimeStamp) ставит специальный сервер доверенного времени. Он криптографически фиксирует момент подписания документа. В электронной подписи эта метка реализована в форматах CAdES-T (подпись со штампом времени) и CAdES-X Long Type 1 (долговременная подпись). В формате CAdES-T в подпись добавляется атрибут Signature-time-stamp, который подтверждает, что на момент создания подписи сертификат был действителен. Формат CAdES-X Long Type 1 идёт дальше: он включает не только метку времени, но и все данные для проверки цепочки сертификатов и статуса отзыва (OCSP-штамп), что позволяет проверять подпись даже через много лет после истечения сертификата.

 

Проверка связки «сертификат + МЧД»

Есть и другой случай, когда подпись может оказаться недействительной. Если документ подписывает сотрудник от имени компании, его полномочия должны быть подтверждены машиночитаемой доверенностью (МЧД), зарегистрированной в реестре ФНС. Подпись может быть технически идеальной: сертификат активен, целостность документа не нарушена. Но если у сотрудника нет действующей доверенности, такой подписанный документ не будет иметь юридической силы.

Важно понимать: проверка МЧД – это не то же самое, что проверка электронной подписи. Статус машиночитаемой доверенности проверяется в публичном реестре ФНС. При этом нужно указать её уникальный идентификатор (GUID) или ИНН доверителя и представителя.

 

«Подпись недействительна»: разбор типичных ошибок и их решение

Увидев сообщение о недействительности подписи, не спешите паниковать и обвинять контрагента. Ошибки бывают разными, и не все они означают подделку.

 

Просрочен или отозван сертификат

Проблема: проверка показывает, что сертификат недействителен.

Причина: сертификат действительно мог быть отозван или срок его действия истек. Но не забывайте: если документ был подписан в период действия сертификата, подпись считается валидной, даже если проверять её после завершения срока действия. Система должна распознать это благодаря метке доверенного времени.

Решение: посмотрите в результатах проверки дату подписания. Если она соответствует периоду действия сертификата, а также сертификат не находится в списке отзыва CRL, то все в порядке, документ обладает юридической силой. Просить контрагента переподписывать документ нужно только в том случае, если проверка показала, что подпись была создана уже после истечения срока сертификата или после его отзыва.

 

Нарушена целостность файла после подписания

Проблема: проверка показывает «нарушена целостность документа».

Причина: в документ внесли изменения после того, как его подписали. Это может быть даже случайное действие: поставили лишний пробел, изменили шрифт, пересохранили в другом формате. Даже один лишний символ меняет хеш-сумму.

Решение: запросите у контрагента оригинальную версию документа и файл подписи. Если в процессе пересылки или хранения документ был поврежден, попросите переподписать его заново. Самостоятельно исправлять что-либо в файле бессмысленно – подпись навсегда останется недействительной.

 

Быстрая проверка подлинности ЭП онлайн: пошаговая инструкция

Если вам нужно проверить электронную подпись здесь и сейчас, не углубляясь в технические детали, используйте один из описанных способов.

 

Сервис от Sign.Me

Если вы работаете на платформе Sign.Me, проверка ЭП происходит автоматически при загрузке документа. Система самостоятельно проверяет статус сертификата в актуальном реестре и сверяет целостность документа через хеш-суммы. 

Также можно воспользоваться бесплатным сервисом от Sign.Me для проверки любой усиленной электронной подписи УНЭП и УКЭП, независимо от того, где она была выпущена. 

1. Перетащите документ в окно загрузки или выберите его на компьютере с помощью кнопки «Подписанный документ».

2. Загрузите файл подписи .sig.

3. Сервис проанализирует файл и покажет подробный отчет, в том числе статус подписи, целостность документа и информацию о подписанте.

 

Через портал «Госуслуги»

«Госуслуги» – многофункциональный портал, который, в том числе, используется для проверки усиленных электронных подписей.

Алгоритм действий: 

• перейдите на страницу проверки электронной подписи;

• загрузите документ в формате .doc, .pdf, .xls, .txt и др.;

• загрузите файл подписи с расширением .sig, .p7s, .sign и др.;

• нажмите «Проверить».

На «Госуслугах» проверка подписи может дать один из двух результатов: 

• положительный – вы увидите надпись «Подпись действительна», а также информацию о владельце сертификата, сроке его действия и дате подписания;

• отрицательный – система укажет причину: сертификат просрочен, отозван, нарушена целостность или файл подписи не соответствует документу.

 

Использование сервисов Удостоверяющих центров

Почти каждый аккредитованный Удостоверяющий центр предоставляет онлайн-сервис проверки ЭП на своем сайте. Они доступны круглосуточно, не требуют регистрации для базовой проверки, хотя некоторые функции могут быть платными. В качестве примера: Контур.Крипто от СКБ Контур или КриптоАРМ от компании «Цифровые технологии».

 

Часто задаваемые вопросы

 

Можно ли подделать квалифицированную электронную подпись?

Технически подделать КЭП невозможно благодаря криптографической защите на основе асимметричного шифрования. Закрытый ключ хранится только у владельца, а для его подбора потребуются столетия работы мощных компьютеров. Все случаи «подделки» на практике связаны с кражей или получением доступа к носителю, а не со взломом самого алгоритма.

Где бесплатно проверить электронную подпись?

Бесплатно проверить электронную подпись можно на портале «Госуслуги», и в сервисе Sign.Me. Все перечисленные способы не требуют регистрации или оплаты, достаточно загрузить документ и файл подписи.

Как проверить, что документ не меняли после подписания?

Любой сервис проверки электронной подписи автоматически сверяет хеш-сумму документа с той, что зашита в подписи. Если в документ вносили изменения, даже минимальные, например, добавили пробел, проверка покажет, что подпись не относится к этому документу. Это касается и случайных правок, и намеренных.