Питання та відповіді

Електронний підпис (ЕП) — електронні дані, які додаються підписувачем до інших електронних даних або логічно з ними пов’язуються і використовуються ним як підпис.

Електронні підписи бувають простими, удосконаленими (УЕП) та кваліфікованими (КЕП).

На відміну від простих, удосконалені та кваліфіковані електронні підписи дають змогу засвідчити згоду підписувача із змістом електронного документа, ідентифікувати підписувача, також, УЕП та КЕП є підставою для виникнення юридичних фактів та є достовірними доказами в суді.

Крім того, удосконалений та кваліфікований електронний підпис - використовується для забезпечення цілісності електронного документа.

Різниця між ними в тому, що кваліфікований електронний підпис забезпечує вищий рівень захисту, має високий рівень довіри як засіб електронної ідентифікації та прирівнюється до власноручного підпису. Удосконалений електронний підпис має середній рівень довіри. У майбутньому для визнання українських електронних підписів у країнах Євросоюзу потрібен буде саме кваліфікований е-підпис. Одна з головних його ознак — те, що він зберігається на захищеному носії особистого ключа (ЗНОК).

Оскільки кваліфікований електронний підпис має високий рівень довіри як засіб е-ідентифікації, він є обов'язковим для використання в органах державної влади та місцевого самоврядування, на підприємствах, в установах державної форми власності, а також держреєстраторами та нотаріусами.

Електронні печатки використовується для забезпечення достовірності походження та цілісності електронного документа.

Електронні печатки є достовірними доказами в суді. Як і у випадку з електронними підписами, існують удосконалені та кваліфіковані електронні печатки, які надають додаткові гарантії безпеки порівняно з простими електронними печатками.

Файловий носій — це спеціальний файл, який містить ваш особистий ключ. Зазвичай цей файл має назву Key-6 з розширенням *.dat (зустрічаються також розширення *.pfx, *.pk8, *.zs2, *.jks). Для того, щоб скористатись файловим носієм, вам необхідно: 1. Обрати зі списку свого надавача електронних довірчих послуг – суб’єкта, до якого ви зверталися для отримання електронного підпису. 2. Завантажити із зовнішнього носія чи власного комп’ютера файл з вашим особистим ключем. 3. Вказати пароль доступу до особистого ключа у відповідному полі.

Захищений носій особистого ключа — це пристрій для безпечного зберігання КЕП. Може бути у вигляді токену, “хмарного сховища”, Моbile ID чи смарт-карти.

Захищений носій особистих ключів (ЗНОК) — засіб кваліфікованого електронного підпису чи печатки, що призначений для зберігання особистого ключа та має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на ньому даних від несанкціонованого доступу, безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання. Відповідність засобів кваліфікованого електронного підпису чи печатки вимогам Закону України «Про електронні довірчі послуги» підтверджується документами про відповідність або позитивними експертними висновками за результатами їх державної експертизи у сфері криптографічного захисту інформації.

Захищений носій особистого ключа — інструмент, призначений для безпечного зберігання КЕП, який зберігається в засобі та знаходиться під одноосібним контролем підписувача. ЗНОК захищений паролем доступу, а введення неправильного паролю визначену кількість разів підряд блокує носій.

Захищені носії особистого ключа є засобами кваліфікованого електронного підпису чи печатки, перелік яких може бути розміщено за посиланням.

Однак звертаємо увагу, що у вищевказаному переліку не всі засоби криптографічного захисту інформації є засобами КЕП, а лише ті про які зазначено в експертному виновку.

Токен — це спеціальний апаратно-програмний пристрій, який захищає особисті ключі від копіювання чи зміни зловмисниками. Токен може мати форму USB-пристрою або у формі смарт-картки (картки з чипом). Прикладами токенів, що вироблені в Україні, є пристрої Алмаз-1К, Кристал-1 тощо.

Щоб скористатись токеном, вам необхідно зчитати ключ, обираючи розділ «Токен»:

  1. Підключити ваш токен через USB-порт (якщо у вас токен у формі USB-пристрою) або скористатися спеціальним зчитувачем інформації (якщо у вас токен у формі смарт-картки).
  2. Вибрати зі списку свого надавача електронних довірчих послуг — суб’єкта, до якого ви зверталися для отримання електронного підпису.
  3. Зі списку токенів обрати тип пристрою, який ви хочете використати.
  4. Вказати пароль доступу до особистого ключа у відповідному полі.

Хмарне сховище даних або просто «хмара» — це один або кілька віддалених серверів, на яких захищено зберігаються дані користувачів.
Якщо ваш особистий ключ зберігається за допомогою стороннього сервісу (зберігання у захищеному хмарному сховищі), то для зчитування ключа необхідно на https://www.czo.gov.ua/sign обрати розділ «Хмарний» та свого надавача зі списку і пройти авторизацію у його системі.

Електронна позначка часу свідчить, що електронний підпис чи печатка були накладені саме у визначений час.

  1. Визначте яким е-підписом Ви хочете підписати файл із запропонованих – «Eлектронний підпис» , Дія. Підпис – UA (для роботи в межах України), Дія. Підпис – EU (підпис для транскордонного визнання)
  2. Якщо Ваш вибір – одна із опцій Дія. Підпису, дійте покроково за інструкцієями, що з’являються на вашому моніторі
  3. Якщо Ваш вибір «Електронний підпис», визначте Ваш носій ключа: файловий, токен, хмарний,
  4. Оберіть надавача із наданого переліку.
  5. Зчитайте особистий ключ.
  6. Введіть пароль.
  7. Оберіть, яким чином бажаєте зберегти дані та підпис: за рекомендацією - в архіві — у форматі ASiC-S (архів) чи оберіть – «інший формат із переліку, що з’явився на вашому моніторі.
  8. Перетягніть у браузер або виберіть на своєму носії файл, який потрібно підписати. Натисніть кнопку «Продовжити».
  9. Перевірте назву файлу та натисніть кнопку «Підписати файл».
    Все готово! Ви бачите, файл з підписом, файл без підпису, та протокол, в якому зазначено дані про підпис. Збереження файлу відбувається за замовчуванням у каталог “Downloads” (Завантаження). Якщо цього не сталося, натисніть кнопку «Зберегти файл» на потрібний вам носій.

Документ, на який накладено підпис, може завантажуватись у форматі .p7s (формат збереження даних та підпису CAdES) або ZIP-архіві (формат збереження даних та підпису ASiC-S чи ASiC-Е). Ці файли містять оригінальний документ та файл підпису.

При перевірці потрібно розділяти підписи на такі, що містяться в одному файлі з даними (один файл з розширенням .p7s, або .zip), та ті, які містяться в окремих файлах (один — файл-оригінал, другий — КЕП із розширенням .p7s). В останньому випадку сервіс запитає для перевірки ще й файл-оригінал.

  1. У випадку перевірки підпису, що міститься в одному файлі з даними у форматі CAdES для одного файлу (один файл з розширенням .p7s):

    1. Натисніть клавішу «Оберіть».
    2. З’явиться вікно вибору файлу з файлової системи комп’ютера, у якому потрібно обрати необхідний файл для перевірки підпису (один файл з розширенням .p7s).
    3. Сервіс надасть результати перевірки підпису.
    4. Натискаєте клавішу «Зберегти», після чого переглядач завантажує оригінальний файл, на який був створений кваліфікований електронний підпис. Принцип збереження відбувається так само, як й у звичайному випадку завантаження файлу переглядачем.

  2. У випадку перевірки підпису, що міститься в окремому файлі у форматі CAdES для для окремих файлів (файл-оригінал відокремлений від файлу-підпису з розширенням .p7s):

    1. Натисніть клавішу «Оберіть».
    2. З’явиться вікно вибору файлу з файлової системи комп’ютера, у якому потрібно обрати необхідний файл для перевірки підпису (один файл з розширенням .p7s).
    3. В наступному кроці система інформує користувача про необхідність додати файл, на який був створений підпис.
    4. Натискаємо кнопку «Оберіть» та у вікні вибору файлу з файлової системи комп’ютера обираємо необхідний файл для перевірки підпису (один файл, на який був створений підпис).
    5. Натискаємо на клавішу «Зберегти».
    6. Переглядач завантажує оригінальний файл, на який був створений підпис. Принцип збереження відбувається так само, як й у звичайному випадку завантаження файлу переглядачем.

Також працює метод додавання двох файлів одночасно (зовнішній підпис — файл з розширенням .p7s, та файл, на який був створений підпис).

  1. У випадку перевірки підпису, що міститься в одному файлі з даними у форматі ASiC-S (один контейнер кваліфікованого електронного підпису з розширенням .zip):

    1. Натисніть клавішу «Оберіть».
    2. З’явиться вікно вибору файлу з файлової системи комп’ютера. У ньому потрібно обрати необхідний файл для перевірки підпису (один контейнер кваліфікованого електронного підпису з розширенням .zip).
    3. Наступний крок — надання результату перевірки підпису.

Контейнер кваліфікованого електронного підпису з розширенням .zip має теку «META-INF», де міститься безпосередньо підпис на електронний документ.

Оригіналом електронного документа вважається електронний примірник документа з обов’язковими реквізитами, у тому числі з електронним підписом автора або підписом, прирівняним до власноручного підпису. У разі надсилання електронного документа кільком адресатам або його зберігання на кількох електронних носіях інформації кожний з електронних примірників вважається оригіналом електронного документа. Електронний документ може бути створений, переданий, збережений і перетворений електронними засобами у візуальну форму. Візуальною формою подання електронного документа є відображення даних, які він містить, електронними засобами або на папері у формі, придатній для приймання його змісту людиною.

Щоб стати власником е-підпису, зверніться до будь-якого кваліфікованого надавача електронних довірчих послуг:

  • заповніть реєстраційну форму;
  • надайте паспортні дані;
  • надайте реєстраційний номер облікової картки платника податків;
  • також вам знадобляться додаткові документи, які встановлюються надавачем відповідно до його регламенту.

Перелік надавачів за посиланням.

Необхідно зареєструвати юридичну особу або зареєструватися як фізична особа - підприємець. Далі потрібно подати до центрального засвідчувального органу або засвідчувального центру для внесення до довірчого списку документи згідно з переліком, визначеним у ст. 30 Закону України «Про електронну ідентифікацію та електронні довірчі послуги». Детальніше — за посиланням.

Надавачу електронних довірчих послуг необхідно:

  • видати відповідний наказ або укласти договір з юридичною чи фізичною особою — ВПР;
  • подати до центрального засвідчувального органу або засвідчувального центру відомості про відокремлені пункти реєстрації та їхніх працівників, обов’язки яких будуть безпосередньо пов’язані з наданням кваліфікованих електронних довірчих послуг, відповідно до частини третьої статті 30 Закону України «Про електронну ідентифікацію та довірчі послуги».

Скористатися онлайн сервіс створення кваліфікованого електронного підпису або печатки за посиланням czo.gov.ua/sign. На кроці “Крок 4 з 4” вибрати “Окремими файлами. Формат CAdES”

Примітка: Такий спосіб дозволяє підписувати файли розміром більше 25 MB але має свої незручності. Вам потрібно зберігати 2 файли (файл підпису та файл який підписували). Будь які зміни в файлі який підписували призведе до неможливості підтвердження підпису.

Зазвичай на самому документі відображається штрих-код, QR-код, якщо документ підписується як документ системи електронного документообігу (наприклад, СЕД АСКОД)

На документі, який підписаний не в СЕД, не відображається наявність електронного підпису або штрих-коду, QR-коду. Якщо документ підписаний правильно, то ви можете здійснити перевірку електронного підпису, скориставшись сервісом перевірки підпису на сайтах ЦЗО або надавача «Дія» за посиланнями: czo.gov.ua/verify або ca.diia.gov.ua/verify. Після перевірки файлу із підписом ви отримаєте три файли: документ із підписом, документ без підпису та «протокол створення та перевірки кваліфікованого електронного підпису» в файлі формату PDF. Також на моніторі ви одразу побачите результат перевірки підпису з усіма даними підписанта.

У файлі «протокол створення та перевірки кваліфікованого електронного підпису» будуть відображені: інформація щодо підтвердження цілісності даних підпису, ПІБ підписувача, дані про юридичну особу підписувача (за наявності), реєстраційний номер кваліфікованого сертифіката ключа, назва кваліфікованого надавача електронних довірчих послуг, яким видано даний сертифікат, дата створення кваліфікованого підпису.

Для збереження файлу протоколу на свій пристрій достатньо натиснути кнопку «Зберегти».

Відповідь — так. Робимо наступним чином:

  1. Підписуємо файл відповідно до інструкції, наданої у питанні «як підписати файл на сайті ЦЗО (наприклад, 1.pdf) першим ключем. Завантажуємо підписане (буде 1.pdf.p7s).
  2. Підписуємо цей файл 1.pdf.p7s другим ключем. Завантажуємо підписане (буде 1.pdf.p7s.p7s).
  3. Підписуємо цей файл 1.pdf.p7s.p7s третім ключем. Завантажуємо підписане (буде 1.pdf.p7s.p7s.p7s).

Таким чином маємо 1.pdf.p7s.p7s.p7s — це й буде файл, підписаний трьома підписами.

  1. Ідентифікувати автора підпису (ПІБ, фізична чи юридична особа, ІПН чи ЄДРПОУ).
  2. Визначити, чи змінювався документ після його підписання.
  3. Захистити документ від підробки.
  4. Зафіксувати позначку часу, що є дуже важливим параметром для електронного документа, адже він дозволяє підтвердити достовірність підпису навіть після того, як строк чинності сертифіката завершився або його було анульовано чи відкликано (тільки для КЕП з повним набором даних для перевірки у тривалому часі (Signature with Long-Term Validation Materia).

Пароль до кваліфікованого електронного підпису чи печатки відновленню не підлягає, оскільки він відомий тільки користувачу. В разі втрати, пошкодження особистого ключа чи втрати паролю до нього необхідно звернутись до надавача, де ви отримували КЕП, подавши при цьому заяву на зміну статусу кваліфікованого сертифіката та новий пакет документів для отримання послуги.

Скасування кваліфікованого сертифіката ключа є достроковим припиненням його чинності. Скасовані сертифікати ключів поновленню не підлягають.

Тимчасове зупинення чинності сертифіката відкритого ключа.

Після процедури блокування сертифіката, поновлення його статусу можливо протягом тридцяти календарних днів. По закінченню даного часу кваліфікований сертифікат буде автоматично скасований надавачем.

Поновлення строку чинності кваліфікованого сертифіката можливе лише для заблокованих кваліфікованих сертифікатів, термін блокування яких не закінчився.

Для здійснення поновлення строку чинності кваліфікованого сертифіката заявник подає до надавача письмову заяву встановленого зразка.

Відповідно до пункту 2 статті 22 Закону України від 05 жовтня 2017 року № 2155-VIII «Про електронну ідентифікацію та електронні довірчі послуги»
ідентифікація особи, яка звернулася за отриманням послуги формування кваліфікованого сертифіката відкритого ключа, здійснюється в один із таких способів:
1) за особистої присутності фізичної особи, фізичної особи - підприємця чи уповноваженого представника юридичної особи - за результатами перевірки відомостей (даних) про особу, отриманими у встановленому законодавством порядку з Єдиного державного демографічного реєстру, за паспортом громадянина України або іншими документами, виданими відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи;
2) віддалено (без особистої присутності особи), з одночасним використанням засобу електронної ідентифікації, що має високий або середній рівень довіри, раніше виданого фізичній особі, фізичній особі - підприємцю чи уповноваженому представнику юридичної особи за особистої присутності, та багатофакторної автентифікації;
3) за ідентифікаційними даними особи, що містяться у кваліфікованому сертифікаті електронного підпису чи печатки, раніше сформованого (сформованої) та виданого (виданої) згідно з пунктом 1 та 2 цієї частини, за умови чинності такого сертифіката;
4) з використанням інших способів ідентифікації, визначених законом, надійність яких є еквівалентною особистій присутності та підтверджена органом з оцінки відповідності.
Таким чином, отримати послуги з формування кваліфікованих сертифікатів відкритих ключів за довіреністю (в т.ч. посвідченою нотаріально) неможливо

Якщо ви звертаєтесь за електронним підписом вперше, в цьому випадку потрібна особиста присутність для здійснення ідентифікації вашої особи згідно зі статтею 22 Законом України «Про електронні довірчі послуги».

Ні, внесення змін до сертифіката не допускається. Для цього потрібно звернутися до надавача за новим ключем (КЕП).

Кваліфікований сертифікат відкритого ключа — сертифікат відкритого ключа, який видається кваліфікованим надавачем електронних довірчих послуг, засвідчувальним центром або центральним засвідчувальним органом і відповідає вимогам Закону України «Про електронні довірчі послуги».

Такий сертифікат використовується для ідентифікації підписувача електронного документа. Варто зазначити, що кваліфікований сертифікат не є особистим ключем та може передаватись між суб’єктами електронного документообігу. Накласти кваліфікований електронний підпис, використовуючи лише кваліфікований сертифікат відкритого ключа, неможливо.

У однієї людини може бути кілька КЕП — для особистих потреб і професійної діяльності. У електронному підписі, який видає співробітнику компанія, вказані його ім'я та код ЄДРПОУ організації. В особистому КЕП замість коду організації прописаний індивідуальний податковий номер людини. Не можна використовувати свій особистий КЕП для підписання документів від імені компанії.

Сертифікат є засобом підтвердження приналежності відкритого (публічного) ключа його власникові.
Сертифікат видається кваліфікованим надавачем електронних довірчих послуг та використовується для перевірки, що відкритий ключ належить саме тому власнику, чиї дані зазначено в ньому. Файл сертифікату має розширення “.cer”, зазвичай зазначені файли можливо відкрити вбудованими засобами операційної системи.
Файл сертифікату містить ідентифікаційні дані, які однозначно визначають кваліфікованого надавача та користувача електронних довірчих послуг, строк дії сертифікату тощо.

Якщо ваш особистий ключ зберігається за допомогою стороннього сервісу (зберігання у захищеному хмарному сховищі), то для зчитування ключа необхідно обрати свого надавача зі списку та пройти авторизацію у його системі.

Дія.Підпис – послуга електронної ідентифікації для користувачів, які отримували особистий ключ віддалено за допомогою мобільного застосунку Дія.
Дія.Підпис містить дві частини. Одна частина зберігається у вашому смартфоні, а інша — в спеціальному захищеному модулі порталу Дія.
Отримати особистий ключ віддалено за допомогою мобільного застосунку Дія мають можливість громадяни України, які є власниками ID-картки або біометричного закордонного паспорта.
Щоб авторизуватися на сайті за допомогою Дія.Підпис, вам необхідно: 1. Обрати розділ «Дія.Підпис». 2. Відсканувати QR-код. 3. Зчитати особистий ключ шляхом сканування обличчя (перевірки за фото) та вводу паролю до особистого ключа. 4. У разі успішної автентифікації у мобільному застосунку Дія, система передає ваші персональні дані, що дозволить вас ідентифікувати.

ASiC — структурований контейнер, що дозволяє зберігати набір файлових об'єктів з пов'язаними е-підписами та/або е-позначками часу, що відповідає специфікації ZIP.

ASiC-E дозволяє зберігати один або кілька файлових об'єктів з пов'язаними е-підписами та в подальшому додавати файлові об'єкти, файли е-підпису та е-позначки часу.

ASiC-S дозволяє зберігати один файловий об'єкт з пов'язаним е-підписом та в подальшому додавати нові. Також дає можливість додавати файли для захисту е-позначок часу.

XAdES — уніфікований е-підпис, що дозволяє підписувани е-дані будь-якого формату. Також зберігає е-підпис у форматі XML, окремо від е-даних або разом з ними. Підтримує паралельне та послідовне підписання одного або кількох е-документів.

PAdES — уніфікований е-підпис, що дозволяє підписувати е-дані у форматі PDF завдяки програму забезпеченню для PDF-файлів. Не підтримує паралельне підписання е-даних.

CAdES — уніфікований е-підпис, що дозволяє підписувати е-дані будь-якого формату, а також зберігати е-дані та е-підпис окремими файлами. Для подальшої перевірки е-підпису CAdES знадобляться два файли: оригінальний (без підпису) та підписаний.