Три типа электронной подписи: BES, AES, QES. Как выбрать нужную?

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Всем доброго времени суток!

В отличие от бумажных документов, существует множество различных способов подписания цифровых транзакций. Каждый тип имеет разный уровень доказательной силы и законности, свой собственный пользовательский опыт. В этой статье мы расскажем вам о различных типах электронных подписей, доступных на рынке, и о том, как вы можете выбрать правильный тип подписи для своей компании. Каждый тип подписи позволяет найти идеальный баланс между безопасностью и удобством использования.

Типы электронных подписей

Во-первых, давайте взглянем на различные существующие типы подписей. Это различие основано на Положении об электронной идентификации, аутентификации и доверительных услугах (англ.: electronic Identification And trust Services, eIDAS), созданном ещё в 2016 году. Этот регламент устанавливает правовую структуру для электронной идентификации, подписей, печатей и документов на всей территории ЕС. В России правовое регулирование осуществляется на основе Федерального закона №63-ФЗ «Об электронной подписи». Но мы будем рассматривать классификацию на основе eIDAS.

eIDAS также классифицирует уровень гарантии для различных типов. Этот уровень определяется множеством факторов, которые приведены в таблице ниже. На основании предоставляемых гарантий eIDAS распознает три типа:

  1. Простая электронная подпись (англ.: Simple or Basic electronic signature, BES);

  2. Расширенная электронная или цифровая подпись (англ.: Advanced electronic or digital signature, AES);

  3. Квалифицированная расширенная электронная или цифровая подпись (англ.: Qualified advanced electronic or digital signature, QES).

В чём разница между цифровой и электронной подписью?

Как вы можете видеть выше, существует разница между цифровой и электронной подписью, хотя многие используют эти два термина как синонимы. Разница в основном связана с технологиями.

Цифровая подпись всегда основана на криптографической технологии. Это означает, что содержимое документа всегда будет заблокировано и защищено при размещении цифровой подписи, у вас всегда есть гарантия, что содержимое документа больше не может быть изменено после подписания. Это не обязательно верно для электронной подписи. Например, электронной подписью может быть изображение нарисованной от руки подписи, которое вставлено в документ Word. Если вы не уверены, что документ Word больше не изменялся после подписания.

Собственно, термин электронная подпись — это собирательное существительное. Следовательно, цифровая подпись может быть электронной подписью, но электронная подпись не всегда является цифровой подписью. Пример: студент -— это человек, но человек необязательно студент. Далее различия станут более понятными.

4 ключевых признака для выбора правильного типа

Теперь давайте посмотрим, как определить уровень уверенности для электронной подписи. Чтобы упростить задачу, вы можете задать себе эти 4 ключевых вопроса:

  1. Подлинность (англ.: Authenticity):

    Требуется ли в подписи однозначная ссылка на подписавшего?

  2. Личность (англ.: Identity):

    Хотим ли мы быть абсолютно уверены в том, что можем идентифицировать подписавшего?

  3. Честность (англ.: Integrity):

    Хотим ли мы обнаружить какие-либо изменения в документе после подписи?

  4. Аутентификация (англ.: Authentication):

    Хотим ли мы быть на 100% уверены в том, что подпись создается под исключительным контролем подписавшего?

Если на все четыре вопроса вы дали ответ «определенно, да», то вам потребуется высочайший уровень уверенности — QES. Если ответ «желательно» по всем четырем параметрам, то вы можете выбрать AES. Если ставки не так высоки, или есть другие обстоятельства идентификации, или вам просто нужно, например, подтверждение прочтения лицензионного соглашения, то самым простым решением будет BES.

Некоторые примеры электронной подписи

Вы, скорее всего, можете подумать: «Я хочу быть уверенным во всех случаях». Конечно, в этом есть смысл, но давайте рассмотрим несколько примеров, чтобы лучше понять, какой тип безопасности вам нужен.

Мы уже приводили пример лицензионного соглашения. В этом случае подойдет уровень BES.

Однако когда дело доходит до ипотеки или сделки на большую сумму, вы должны убедиться, что лицо, подписавшее соглашение, имеет законные полномочия и является тем, кем он себя называет. В транзакциях face-to-face или в среде аутентифицированного клиента все еще может применяться BES. Однако рекомендуется использовать как AES, так и QES, когда эти транзакции происходят онлайн. Всё зависит от обстоятельств всего процесса.

Подробная информация о различных типах электронных подписей

В таблице ниже вы можете найти подробную информацию о типах подписи.

Тип подписи

BES

AES

QES

Описание

Все электронные типы подписей, подтверждающие принятие или одобрение подписывающей стороны какого-либо соглашения.

Эта подпись должна соответствовать особым требованиям, обеспечивающим более высокий уровень проверки личности подписывающего лица, безопасности и защиты от несанкционированного доступа.

Усовершенствованная электронная подпись с цифровым сертификатом, зашифрованным с помощью безопасного (квалифицированного) устройства подписи.

Имеет особый правовой статус в ЕС.

Личность подписавшего

Проверка личности подписавшего не обязательна.

Личность подписавшего проверяется, но не гарантируется.

100% возможность идентификации подписавшего. Необходима первоначальная личная проверка подписавшего или другой эквивалентный процесс.

Подлинность

Не обязательно, чтобы подпись была связана с подписавшим.

Подпись однозначно связана с подписавшим.

Подпись уникально связана с подписавшим.

Аутентификация

Не обязательно, чтобы подпись была создана под исключительным контролем подписывающего.

Подпись создана под исключительным контролем подписавшего. Многофакторная аутентификация по желанию.

Подпись создана под исключительным контролем подписывающей стороны. Требуется многофакторная аутентификация.

ПО

Не требуется специального ПО.

Требуется устройство для создания защищённой подписи (SSCD).

Требуется квалифицированное устройство для создания подписи (QSCD).

Юридическая сила

Бремя доказывания лежит на стороне, которая инициировала подпись.

Бремя доказывания лежит на стороне, инициировавшей подпись.

Бремя доказывания лежит на стороне, оспаривающей подпись.

Примеры

Руководство по эксплуатации

Лицензионное соглашение

SMS-отправка одноразового пароля

Отправка одноразового пароля по почте

Смарт-карты

USB-токены


Спасибо за внимание!

Источник: https://habr.com/ru/post/586324/


Интересные статьи

Интересные статьи

15 апреля Яндекс.Практикум проводит открытый вебинар «Ускорение на простых типах данных и битовые операции». Приглашаем разработчиков на Python и C/C++, которые хотят научиться трюкам для...
Барт Хендрикс, понедельник, 2 ноября 2020 г.Первоисточник:[Часть 1 была опубликована на прошлой неделе] Читать далее
3 августа в наших соцсетях выступал Сергей Ширкин, специалист по ML и искусственному интеллекту. Сергей занимался автоматизацией финансовых технологий и базами данных в «Сберб...
От скорости сайта зависит многое: количество отказов, брошенных корзин. Согласно исследованию Google, большинство посетителей не ждёт загрузки больше 3 секунд и уходит к конкурентам. Бывает, что сайт ...
Довольно часто владельцы сайтов просят поставить на свои проекты индикаторы курсов валют и их динамику. Можно воспользоваться готовыми информерами, но они не всегда позволяют должным образом настроить...