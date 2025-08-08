Электронная подпись — это удобство, скорость работы с документами и безопасность. Однако следует серьезно отнестись к обязанности владельца сохранять конфиденциальность ключей ЭП. Рассказываем в статье, что такое компрометация ключей электронной подписи, можно ли подделать ЭП и какие правила стоит соблюдать для защиты ЭП от мошенников.

Электронная подпись — самый безопасный и защищенный инструмент, чтобы:

заключить сделку с контрагентом или сдать отчетность в госорган;

оптимизировать бизнес-процессы в компании;

снизить риск мошенничества с использованием поддельной собственноручной подписи.

Чем больше сила, тем больше ответственность, а значит, важно защитить электронную подпись от компрометации.

Владелец ЭП обязан обеспечивать конфиденциальность ее ключей. Другими словами, он должен сделать всё возможное, чтобы третьи лица не смогли воспользоваться ею для подписания электронных документов.

Если есть подозрения, что кто-то мог подписать электронные документы без ведома владельца, последний обязан отозвать сертификат, уведомить об этом своих контрагентов и получить новый сертификат УКЭП.

Утеря защищенного носителя наравне с намеренной передачей токена другому лицу признаётся компрометацией ключей электронной подписи.

При этом неважно, оставили ли токен на столе без присмотра на некоторое время или передали его другому сотруднику для подписания документов от своего имени или имени компании. Эти ситуации являются компрометацией, поскольку третьи лица — не владельцы сертификата ЭП — могли воспользоваться моментом и подписать электронные документы, переведя на другой счет деньги, заключив невыгодную сделку или взяв кредит.

Открытый ключ можно распространять свободно и спокойно — с его помощью можно зашифровать файлы и проверить действительность подписи. Другое дело — закрытый ключ. Именно он отвечает за подписание электронных документов, что может вылиться в проблемы для владельца, вплоть до привлечения к ответственности.

Закрытый ключ электронной подписи нельзя подделать, но можно скопировать.

Коммерческие аккредитованные удостоверяющие центры обычно выдают сертификаты ключа проверки электронной подписи с экспортируемым закрытым ключом. Это значит, что при желании владелец сертификата УКЭП может его размножить, чтобы использовать на нескольких устройствах и хранить, например, в памяти компьютера или смартфона, не подключая токен. Однако при наличии слабого или стандартного пин-кода мошенники тоже могут скопировать закрытый ключ и воспользоваться им для подписания электронных документов.

УЦ ФНС России и его Доверенные лица выдают сертификаты УКЭП с неэкспортируемым закрытым ключом. Это значит, что владелец может подписывать электронные документы только при наличии токена, на который была записана ключевая пара. Размножить такую ключевую пару и работать на нескольких устройствах практически невозможно. Этот механизм защищает бизнес от мошенничества при копировании электронной подписи и обязывает выдавать МЧД и личные сертификаты на ФЛ тем сотрудникам, которые по должностной инструкции обязаны подписывать электронные документы от имени компании или индивидуального предпринимателя.

В КриптоАРМ можно создать единый пакет с подписанными документами и приложенной электронной доверенностью.

Рекомендации по защите электронной подписи от компрометации

Защищенный носитель

Не записывайте ключи электронной подписи на обычную флешку.

Используйте защищенный носитель (USB-токен или смарт-карту), который имеет сертификат соответствия требованиям ФСБ России или ФСТЭК России.

Такие носители ограничивают количество попыток ввода пин-кода, чтобы мошенник не мог бесконечно подбирать нужную комбинацию.

Сложный пароль

Защищённые носители имеют стандартный пин-код, который используется при подписании документов или расшифровании файлов.

Измените стандартный пин-код на более сложный:

❌ Не рекомендуется — qwerty, 12345678, 87654321, q1w2e3r4t5y6, ваша дата рождения и иные идентификаторы.

✅ Рекомендуется — рандомный набор букв, цифр, специальных символов.

Это можно сделать с помощью специальных утилит для защищённых носителей, предлагаемых разработчиками.

Хранение носителя

Не оставляйте USB-токен или смарт-карту на рабочем столе или подключенными к компьютеру.

Храните его в безопасном месте или держите на виду.

Не передавайте носитель третьим лицам. Если другой сотрудник, родственник или иной представитель должен подписать электронный документ от вашего имени, выдайте им машиночитаемую доверенность и их личный сертификат, которую они будут прикладывать к подписанным электронным документам.

Использование электронной подписи третьими лицами запрещено Федеральным законом № 63-ФЗ «Об электронной подписи». Не передавайте защищенный носитель и пин-код к нему третьим лицам даже за вознаграждение.

Правила цифровой гигиены

Установите пароль на рабочий компьютер. В противном случае злоумышленник, коллега или посетитель получит доступ к нему и установит вирус для получения пароля к носителю либо иным образом использует вашу электронную подпись.

Используйте антивирусное ПО и не переходите по подозрительным ссылкам в письмах.

Контроль МЧД

Если вы используете электронные доверенности в своей деятельности, например, для подписания электронных налоговых деклараций, договоров с контрагентами или иного электронного взаимодействия с госорганами или другими физическими и юридическими лицами, то:

ведите реестр выпущенных МЧД;

своевременно отзывайте их и выдавайте другим.

Заключение

Таким образом, следуя указанным рекомендациям, использование электронной подписи будет безопасным и удобным средством при работе с электронными документами, защитит вас от мошеннических действий и убережёт ваши деньги и нервы.

