«Подделать нельзя, но украсть – запросто». Как защитить электронную подпись от мошенников

Что такое электронная подпись и сертификат ЦЭП

Электронная подпись — это цифровой аналог обычной подписи и относительно новое слово в современном электронном документообороте. Если кто-то оформит на вас кредит и подделает подпись в договоре, придётся долго доказывать, что подпись не ваша и у банка вы ничего не брали. Электронную подпись нельзя подделать, но можно украсть. Из-за этого предприниматели теряют квартиры и автомобили, становятся номинальными руководителями фирм-однодневок, их компании переоформляют на других людей и выводят деньги.

Сама по себе подпись является не предметом, а результатом криптографических преобразований подписываемого документа, и ее нельзя «физически» выдать на каком-либо носителе (токене, smart-карте и т.д.). Также ее нельзя увидеть, в прямом значении этого слова; она не похожа на росчерк пера либо фигурный оттиск. Сегодня мы поговорим о том, как можно защитить электронную подпись

Электронную подпись нельзя подделать, но можно украсть!

Криптографическое преобразование — это зашифровка, которая построена на использующем секретный ключ алгоритме, и как результат получается защищённая электронная подпись. Процесс восстановления исходных данных после криптографического преобразования без данного ключа, по мнению специалистов, должен занять большее время, чем срок актуальности извлекаемой информации.

Что такое криптографическое преобразование?

Как могут завладеть вашей электронной подписью мошенники 

1. Физически получить доступ к токену — устройству, похожему на флешку, на котором хранится электронная подпись (сертификат электронной подписи). Если владелец токена оставит его где-то, электронная подпись может попасть в руки мошенников. 
2. Похитить закрытый ключ электронной подписи, который хранится на токене с помощью вирусных программ. Когда человек, который использует электронную подпись, нажимает на подозрительные баннеры или открывает сомнительные сообщения в почте, на его компьютер может загрузиться вирус. Вирус автоматически меняет реквизиты получателя платежа, и деньги, которые предприниматель отправляет поставщикам или налоговой, уходят мошенникам. Как защитить себя от спама, взлома, вирусов мы писали в этой статье.
3. Часто электронной подписью пользуется не сам её владелец, а кто-то из сотрудников. Уволенный сотрудник, у которого забыли забрать ЭП, может купить товар от имени фирмы и скрыться, оставив долг бывшему начальнику. 
4. Жертвами мошенничества с электронной подписью становятся даже те предприниматели, которые не получали ЭП. Мошенники могут оформить подпись за вас. Некоторые удостоверяющие центры, которые выдают электронные подписи, не требуют личного присутствия владельца.

Flash-носитель — это компактный носитель данных, в состав которого входит flash-память и адаптер (usb-флешка).

Что такое Flash-носитель?

Токен — это устройство, корпус которого аналогичен корпусу usb-флешки, но карта памяти защищена паролем. На токене записана информация для создания ЭЦП. Для работы с ним необходимо подключение к usb-разъему компьютера и введения пароля.

Что такое токен?

Правила безопасности, которые помогут избежать мошенничества с цифровой подписью

Для того чтобы защитить электронную подпись от мошенников необходимо знать следующее:

• Нельзя передавать ЭЦП (ЭП) другим людям. Бухгалтер, заместитель и другие сотрудники не должны иметь доступа к закрытому ключу подписи, потому что могут подписать документ самовольно. Тогда доказать, что подпись поставил не владелец, а постороннее лицо, будет почти невозможно.
• Если увольняется сотрудник, у которого есть ЭП, сертификат подписи надо сразу отозвать. Иначе уволенный работник может списать деньги со счета компании или вообще ликвидировать организацию, если раньше у него были такие полномочия. Отлично, если кадровая служба ведет учет сертификатов сотрудников — так проще следить, кому и когда выдана ЭП.
• Токен с подписью и компьютер, где она используется, должны быть защищены паролем. Иначе злоумышленник сможет воспользоваться чужой ЭЦП, если украдет токен или получит доступ к компьютеру.
• Если ЭП хранится на компьютере, он должен быть защищен от вирусов. Подозрительный файл, который пришел на почту, лучше не открывать: он может оказаться шпионской программой, которая скопирует все файлы, в том числе электронную подпись.
• Если нужно отойти от компьютера, его лучше блокировать. Это гарантирует, что никто не воспользуется подписью в отсутствие владельца.
• Нельзя передавать сканы и реквизиты паспорта ненадежным фирмам или оставлять их на подозрительных сайтах. Если сканы попадут в руки мошенников, они могут получить по ним электронную подпись от чужого имени. Скорее всего, сотрудники удостоверяющего центра увидят подделку и сертификат не выдадут, но лучше не рисковать. Если паспорт пропадет, об этом нужно сразу сообщить в полицию — заявление станет аргументом, если потребуется доказать, что ЭП на документ поставили мошенники.

Дополнительные способы защиты электронной подписи (ЭЦП, ЭП)

Вот, что нужно делать, чтобы сохранить электронную подпись в безопасности:

1. Зарегистрировать учетную запись на портале госуслуг и подключить к ней смс-уведомления и уведомления на электронную почту о проводимых операциях.
2. Регулярно отслеживать раздел «Последние действия» на госуслугах. Если кто-то зарегистрирует там полученную без вашего участия ЭП (ЭЦП), это отобразится в списке операций. Также будет видно, к каким ресурсам обращался мошенник с использованием ЕСИА. Если он заходил на сайт Росреестра, в налоговую или в загс, нужно обратиться туда с заявлением о приостановлении действий с использованием ЭП. В крайнем случае можно будет обратиться в суд и потребовать наложить судебный запрет до того, как сделку зарегистрируют. Судебный запрет — это дело небыстрое, но, по крайней мере, будут доказательства, что вы пытались противостоять мошенникам. Кстати, если у вас будет собственная электронная подпись, можно попробовать отменить сделку, пока ее не зарегистрировали. Обратите внимание, что в сети выросло количество фейковых сайтов «Госуслуги»
3. Обеспечить надежные условия хранения, если решили оформить электронную подпись. Любой, в чьи руки она попадет, может совершать юридически значимые действия: оформлять договоры дарения, купли-продажи, мены, долговые расписки, договоры займов, регистрацию и расторжение брака и многое другое. Не стоит доверять даже близким людям. А еще задумайтесь, нужен ли вам носитель с электронной подписью. Оплачивать штрафы и пошлины со скидкой через госуслуги можно с обычным логином и паролем. С учетом того, что на всех ЭП установлен единый для всей страны пин-код, утеря или кража самого носителя может привести к катастрофическим последствиям.

Коротко о повышении надежности электронной подписи

С ростом популярности применения ЭЦП возросло и количество хакерских атак на подписи. Получив контроль над приватным ключом ЭЦП, злоумышленник сможет заверять документы от имени владельца этой подписи. Поэтому необходим более надежный способ защиты электронной подписи от несанкционированного использования. Российские специалисты в области кибербезопасности работают над повышением надежности электронной подписи для внедрения КЭП в паспорт гражданина РФ.

Главные условия, которым должна соответствовать хэш-функция электронной подписи:

• Вероятность вычисления ключа по коду подписанного документа должна стремиться к нулю.
• Коды преобразованных документов с разными секретными ключами не должны совпадать.

Невзламываемые криптографические алгоритмы предложили создать в Физико-техническом институте РАН им. Е.К. Завойского и Казанском федеральном университете. Высокая надежность достигается благодаря квантовой хэш-функции, которая преобразует исходный ключ в квантовый бит, т.е. наименьшую единицу измерения информации, а код документа сокращается до такой степени, что извлечь ключ ЭЦП из него становится практически невозможным.

Решающим фактором использования именно квантового шифрования стала возможность создания квантового компьютера. Такой компьютер сможет вычислять ключи к традиционным электронным подписям в течение считанных секунд.