Pull to refresh

Comments 85

Я в свое время так уговорил контрагентов избавиться от толстых стопок бумажных прайсов. Подписали договор в духе "обе стороны признают прайс в электронной форме в виде файла price.xlsx с хеш-суммой sha256 такой-то"

Как человек далекий от эцп и электронных документов, но почитывающий, хотел бы спросить о таком варианте. Скажем есть ЭЦП, в которой зашито кто подписал документ (фио должность), когда, тип и название документа. Примененная ЭЦП к документу формирует штрихкод (который печатается на документе, если нужна его бумажная версия), в котором зашита информация об ЭЦП и который можно считать сканером, для проверки соответствия не только электронного документа, но и бумажного варианта в случае необходимости.
Мне как человеку старых бюрократических взглядов, хочется, чтобы использование ЭЦП как-то меняло значок документа, визуализировало как бы реальную подпись, в электронном документе.
В этой статье описано вообще непонятно что, ибо содержимое документа не подписывается. У электронной подписи никаких бумажных аналогов быть не может, вы для создания и проверки должны проводить вычисления, использующие содержимое документа в числовом представлении.
Подпись вычисляется на основе реквизитов документа (Тип, Дата, Номер) и кодового слова подписанта. Это однозначно идентифицирует документ по подписи. Можете еще в реквизиты сумму добавить для верности.
Назначение у подписи другое — она не должна идентифицировать документ, а должна соответствовать ему. При этом получить валидную подпись для документа, отличающегося от оригинального хотя бы на 1 бит, должно быть, по возможности, практически невозможно без ключа. У вас «документ» — это только те данные, которые участвуют в формировании подписи. Все остальное вы из документа выкинули по определению.
Какой дурак согласится подписать ТОЛЬКО номер и дату документа, пусть даже и с суммой, я решительно не представляю.
Смотря какой шрих код. Если линейный, то не получится, там 13 символов и числа. Этого недостаточно.
Если двумерный шрих код, то можете закодировать им достаточно длинный произвольный текст, в том числе и hesh сумму подписи.
Если вы на носитель информации (даже если это бумага) запишете цифровой документ и его подпись, то это и будет подписанный документ. Человеко-читаемые данные на этой бумажке подписанным документом не являются, зачем вообще это может быть нужно и как доверять этим данным?
Люди работают с бумажными документами. Во многих случаях это быстрее и проще. Штрих-код бывает полезен, чтобы найти бумажный документ в электронной системе с помощью того же смартфона. Но главная причина конечно психологическая, всегда можно определить по штрихкоду, что документ подписан. Это удобно, когда распечатываешь документ для себя.
Но для этой цели подходит абсолютно любой код (числовой или штриховой) и желательно, чтобы в нём НЕ был «зашит ЭЦП», т.к. теоретически при большом документообороте возможны коллизии.
В любом случае, вы правы, рассматривать такой код как инструмент защиты нельзя. Можно долго сверять бумажный вариант с электронным и не заметить, что в сумме появился лишний нолик, которого в электронном варианте не было.
А можно на пальцах объяснить? Дело в том, что в работе требуется соответствие заверенного бумажного документа и его цифрового источника. Мне казалось, что если у нас есть заверенный ЭЦП документ и соответственно он закрыт для изменений, то с помощью ПО при печати его формируется специальный штрикод, который показывает, что электронный документ не изменялся (иначе штрихкода не было бы) и что бумажный распечатан после заверки ЭЦП. Вопрос не в том, чтобы защитить бумагу от подделок, с деньгами то умудряются, а в том, чтобы избежать ручной сверки бумажного варианта с электронным. Сканером считали штрикод, сверили с ЭЦП и вроде все нормально. Почему все не так?
UFO just landed and posted this here
Хммм, так штрихкод появляется только после того, как документ «закрыт» заверяющими подписями, то есть электронный документ не меняли и это просто его печатная версия. Защита от подделки самой бумаги на уровне подделки денег не предусматривается. Вопрос только в том, чтобы упростить сверку бумажной и электронной версии.
Это работает до тех пор пока не влияет на принятие решений.
К примеру, у кладовщика руки часто оказываются то в ржавчине, то в мазуте. Поэтому он просит распечатать и принести ему документ.
По «заверенной» накладной он выдаёт 100 наименований товара, в том числе 36,5 килограмм гвоздей. В конце рабочего дня он отмывает руки и нажимает кнопку «выдано». В электронной системе списывается 3,65 килограмм гвоздей. Расхождение в количестве будет замечено при следующей ревизии, но будет ли замечен подлог — большой вопрос, так как для этого нужно будет сверить все бумажные документы с их электронными аналогами. Вручную!
Поэтому хэш-сумма на бумажном документе бесполезна, она не выполняет ту работу, которую делает в документе электронном. Штрих-код эффективен, только если каждое рабочее место оборудовано сканером штрих-кода. А со сверкой бумажной и электронной версий легко справляется старый, добрый номер документа.
Штрих-код эффективен, только если каждое рабочее место оборудовано сканером штрих-кода.
Что-то типа такого да. Принесли бумажку, сверили с файликом все нормально. Вопрос тут что обязательно нужна бумажная версия документа, но работают с электронной. Но это уже местные особенности:)
Принесли бумажку, сверили с файликом все нормально.

Практически не возможно сверить документ из 10000 знаков в котором умышлено переставлена одна запятая, учитывая что таких документов много и о подлоге не предупреждают заранее.
А потом сиди и думай, куда делись 33 кг гвоздей.
Подписывать ПЭП многостраничный договор, да, не вариант. Можно, например, подругому — бланк договора с внесенными данными заказчика и исполнителя хэшируется md5/sha1. Далее изготавливается Соглашение: стороны удостоверяют, что файл договора, имеющий отпечаток… подписан обеими сторонами. Этот отпечаток вставить в подпись каждой из сторон.

А остальные документы должны обязательно в подпись вставлять важные элементы документа: количество услуг, стоимость, общую сумму. Вот там-то и 33 кг гвоздей всплывут в виде некорректной подписи при проверке.
Вот там-то и 33 кг гвоздей всплывут в виде некорректной подписи при проверке.

Как, если для принятия решения используется бумажный документ?
Хочется увидеть это волшебное решение. Желательно на примере того же кладовщика с грязными которому нужно выдать сто наименований товара.
Вот и при вводе документа в учетную систему (1С, например) кладовщик увидит, что его обманули. Поэтому при приеме документа кладовщик должен проверить его — шлеп сканером qrcode — и видит на экране важные элементы подписи: наименование товара, количество, сумму, итог.
Люблю людей которые говорят «работник должен...» не попробовав свой совет на практике.
Вы исходите из того, что документ один и он точно подделан.
В реальности немного по другому.
Во-первых, причиной в расхождении количества очень редко является злой умысел, чаще человеческая ошибка. Если по каждому документу выдаётся сто наименований, то на 33 кг пропавших гвоздей даже внимания не обращать не будут. Важнее выяснить куда делись 3 трубы.
А во-вторых. 100 наименований, 100 сумм, 100 количеств, 100 итогов в каждом документе.
Документов за день может быть тоже 100.
А рабочих дней в месяце 20.
А месяцев в году 12.
И лишь одна переставленная запятая.
Когда её искать, если нужно выдавать товар?
Не вижу проблем — выдавайте товар, жмите кнопки в ПО (1с или что там). Документ формируется на каждую выдачу (отгрузку) или пачкой при закрытии смены.

Я знаю, что такое «работа в поле» и видел, как сотрудник печатает два чека на одну продажу (первый «что-то долго выходил»), и как не печатал тоже («программа же не работает?»). Поэтому этот вопрос решается в ПО.

Не совсем понял ваш ответ.
Вы предлагаете после каждого выданного товара вбивать выданное количество в программу?
Если так, то я согласен, что это поможет обнаружить подлог. Но подписи здесь не причём и работает это без всяких штрих-кодов.
Да, вносить по факту выдачи. Учет нужно вести в любом случае. Вы можете вести учет «на бумажке» и вносить данные в систему при закрытии смены, при этом несете риск неправильного отражения. Либо вносить сразу по факту.

По поводу электронной подписи — уже не понимаю, почему она тут обсуждается, если она для другого ))

ЭП можно использовать внутри своей учетной системы для подписи заявок/документов между сотрудниками. Только это лишнее, там делается проще — любая заявка/документ, полученная от авторизованного пользователя, считается корректной, при условии что заявка хранится в самой системе, а не в виде отдельного файла/документа на бумаге.

А разве нельзя сделать, чтобы данные заносились в форму после считывания штрихкода?
Насколько я знаю, современные сканеры штрих кодов встраиваются в прерывание клавиатуры, и как бы печатают текст, имитируют нажатия клавиш нужных. Т.е. ставишь курсор текстовое поле, сканируешь и текст штрих кода «впечатывается» в это поле.
А что это даст? Ходить между полками склада приходится с бумагой (по ней гвоздей — 36,5 кг), не компьютер же с собой таскать. А считывание штрих-кода вычтет из системы 3,65 кг.
Единственный способ избежать подобной проблемы, доверять можно только тем документам, которые распечатал сам. Но это не всегда удобно. К примеру, мне нужно забрать со склада 20 планок оперативной памяти. Я прихожу на склад, и вспоминаю, что не помню номера документа. Откуда считывать штрих-код? Документа у меня с собой нет! Значит в следующий раз я распечатаю документ сам. Теперь кладовщик должен распечатать свой экземпляр, точно такой же как у меня, потому что доверять можно только тем документам, которые распечатал сам. Первое время после обучения он скорее всего может и будет так делать, а потом расслабится и будет пользоваться моим экземпляром. Вот тут то я и подменю 20 планок на 120 на бумаге. И заметить это будет очень сложно, особенно если выдать нужно не одно наименование, а 100. И не какое автоматическое занесение в форму тут не поможет.
При следующей ревизии найдут недостачу в 100 планок, повесят их на кладовщика, и он начнёт печатать свой экземпляр. Всё будет хорошо, до тех пор пока он снова не расслабится или на его место не придёт новый кладовщик.
В идеале при работе с электронными документами не должно быть обычной бумаги, только электронная, которой удобно пользоваться, которую удобно с собой носить и в которой каждый самостоятельно открывает электронный документ, тогда такому носителю можно будет доверять. Но существующие модели имеют цену iphone, а интеграции с существующими системами документооборота не имеют.
Хммм, если электронный документ подписан электронной подписью участников, после чего он стал закрыт для изменений и только потом распечатан, получив свой конкретный штрихкод, то как на бумаге вместо 36 кг, стало 3,6? Опять же в системе по идее уже должен весить заказ именно на 36 кг, а не 3,6. Кладовщик же только дополнительная проверка. С другой стороны, защита бумаги на уровне госзнака не рассматривается.
то как на бумаге вместо 36 кг, стало 3,6

В системе изначально указано 3,6 кг. Злоумышленник делает точно такую же распечатку в ворде, но сдвинув запятую в выгодную для себя сторону, т.е. 36 кг. Потому что кладовщик не может таскать с собой компьютер когда ищет товар на полках.
С бумагой всем проще, вам не нужно держать номера документов в голове, а кладовщику не нужно пачкать клавиатуру грязными руками и мыть руки руки перед каждой выдачей.
А списание всегда происходит по электронной системе, особенно при наличии штрих-кода. Не перепечатывать же каждый раз принесённую бумагу в систему, а без этого автоматическая сверка не возможно.
Про ручную сверку всех документов я вообще молчу. Наверняка у вас бывали ситуации, когда в коде находили опечатку в один символ после долгих поисков ошибки, и это при том что вы знали что есть какая-то ошибка и вам помогал искать компьютер.
Речь не о складе и кладовщике. Речь о том, что бумага не должна использоваться для принятия решений, если есть электронная система. Но удобных электронных систем на рынке пока нет, а если и есть, то позволить такую себе может только Газпром. Под удобной я подразумеваю такую, с которой не хотелось бы пользоваться распечатками.
Я при заключении договора, просто делаю хеш архива с pdf документами (договор-оферта, ТЗ и т.д.). Далее при безналичном переводе аванса, прошу отправителя указать хеш. А в самом договоре прописано, что авансовый платёж является соглашением с офертой.
Если не изменяет память, некоторое время назад слово «цифровая» убрали из обозначения электронной подписи, соответственно, вместо ЭЦП правильнее будет сокращать как ЭП, ну а применительно к данной статье: пЭП.
Да, вы правы. Поменял в статье чтобы было корректно. Хотя по мне так ЭЦП красиво звучит )
уже несколько лет нет понятия ЭЦП, читайте 63 закон :)
тут как с срочниками и призывниками, первых нет уже очень давно, а слово прилипло, так и тут:)
Я правильно понимаю, что даже в случае крутого хакера с массивом видеокарточек в случае раскодирования — твой ключ закреплен на сайте за тобой, что исключает возможность добавить ключ из другого аккаунта?
Если рассматривать мою систему, то каждому аккаунту выделяется своя база данных, поэтому добавить что-то из другого аккаунта абсолютно исключено.

«Крутой хакер с массивом видеокарточек»: вот недавно на хабре как раз была статья по коллизию в sha1 и сколько ресурсов понадобилось гуглу чтобы это сделать https://habrahabr.ru/post/322478/. Конечно наверное возможно, но я сильно в этом сомневаюсь. И непонятно зачем для подделки документа маленькой компании тратить огромные ресурсы.

А вообще хорошее кодовое слово и sha2 пока гарантирует исключение коллизии.
Так если я правильно понял это даже лишнее, достаточно запросить у сайта индивидуальный ключ и пометить его как свой, дальше ключ вшить в документ. При проверке подлинности ключ уже принадлежит твоему аккаунту, и без проверки его через сайт — смысла не имеет. Осталось только чтобы сайт проверял паспортный данные и столбил аккаунты за паспортом в жизни.

Если совсем умно, то наверное можно даже софтину сделать специальную, которая на сайт информацию о каждой подписи с меткой времени слать будет — когда кто и что.

Самый забавный здесь момент — что в мире бизнеса как раз наоборот, каждый хочет, чтобы его документы не были подписаны, а ему приходили — в идеале оригиналы, в единственном экземпляре. То есть проблема не на уровне компании, которая не знает, чем подписать, а проблема на уровне компании, которая хочет, чтобы оно было подписано, но не может повлиять на этот процесс ничем кроме отказа.

А отказ как известно не к деньгам.
А этот механизм уже тестировали в налоговой, суде?
Конечно нет, никакой суд это на примет, вторая сторона назначит экспертизу и эксперт укажет, что содержимое документа не подписывается указанным способом.
А налоговая иногда не принимает документы, подписанные ими же выданными подписями по ГОСТу, просят прислать скан с печатью и подписью.
Жаль, я уж было грешным делом подумал, что амнистия вышла и можно построить что-то свое.
Подскажите, а почему суд не примет документ? в ФЗ 63 «Об электронной подписи» ясно сказано:

Статья 6. Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью:

2. Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными «законами», принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных неквалифицированной электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 настоящего Федерального закона.

Ну мне вообще не понятно, как суд будет принимать электронные документы, особенно подписанные простой ЭП или самодельным алгоритмом.
Суд документы примет, если обе стороны процесса их признают таковыми. Если же одна из сторон заявит, что представленные документы рассматривать нельзя, то позиция документов, подписанных простыми и самодельными ЭП, очень слабая, на мой взгляд.
Если можно легко показать, что ЭП не обеспечивает однозначного соответствия содержимого и подписи, то как вообще можно рассматривать такие документы?

Суд принимает доводы каждой из сторон. Если одна из сторон не подтверждает, делается экспертиза за счет одной из стороны, которая и подтверждает соответствие.

ПЭП может содержать важные атрибуты подписываемого документа, например, итоговую сумму и количество услуг. В этой статье так и делается. Таким образом, ПЭП удостоверяет соответствие ключевых элементов и согласия с ними.

Например, Акт об оказании услуг. Важными элементами являются: дата и номер акта, название услуги, количество, стоимость, итоговая сумма. Их можно внести в ПЭП.

Конечно, такая подпись не удостоверит, что где-нибудь после этих основных данных не добавили каких-либо приписок, но в обычном обороте их и не должно быть (например, заказчик не согласен с объемом предоставленных услуг, но всё-равно подписал акт).

Посмотрите на платежные системы — они отправляют вам уведомление на сайт с использованием ПЭП (md5/sha1) — просто перечисляют в строку подписи все важные элементы (отправитель, получатель, сумма, дата и время...) и ваше секретное слово. Вы эту подпись сверяете на своей стороне и продаете товар/услугу.
В целом вы конечно правы и очень хорошо, что двигаете эту тему вперед. Но есть большое НО:
Для обмена финперичкной есть особые нормативные акты под упомянутым законам, и обмен такими документами должен осуществляться только через сертифицированных провайдеров, которые будут удостоверять факт обмена, целостность и достоверность ключей и подписей.
При проверках налоговая не запрашивает у юр. лиц электронные СФ, она запрашивает их у провайдеров. А если их в вашей схеме нет — то и для налоговой таких документов нет.
Если бы все было так просто, то не существовало бы таких крупных игроков как Диадок, Такском и десятка других.
Очень рекомендую ознакомится с материалами https://www.nalog.ru/rn77/taxation/submission_statements/el_count/
Только не факт обмена, а время создания документа. Счет-фактуру достаточно выставить, её не обязательно принимать в электронном виде, чтобы она считалась выставленной.
В случае проверки лицо должно предоставить документы, у провайдеров есть инструменты для отправки по требованию налоговой, и вообще, содержимое документов не должно быть доступно провайдеру, по идее я должен эти же документы зашифровать уже для налоговой и отправить со штампами времени, полученными на них от спецоператора.
Вместо того, чтобы организовать выдачу штампов времени, наше государство организовало какое-то жуткое болото из всех этих спецпровайдеров, которые между собой о прозрачном для клиента роуминге договориться не смогли.
Только не факт обмена, а время создания документа

Имменно факт обмена. Я могу сформировать документ, но никуда его не отправлять. Провайдер ЭДО подтверждает факт доставки документа. Если сравнивать с обычным миром, то я могу распечатать СФ, поставить печать и положить его в ящик, а отправить через 2 месяца, когда налоговый период уже закончится. Выставить документ мало, такого термина для налоговой нет, его надо провести по бухгалтерии всех контрагентов, вот только тогда он зачтется.
документы зашифровать

СФ, акты и накладные и другие первичные документы не могут считаться коммерческой или другой тайной, поэтому нет никакого смысла их шифровать.
Ну если доверие в стране достигло таких высот, что для подтверждения факта передачи документов потребовался обязательный платный нотариус, то это о многом говорит.
Зачем мне формировать счет-фактуру и не отправлять её клиенту? Ну кроме случая, если я госкомпания и у меня есть устное негласное распоряжение начальника местной налоговой нарушать закон и с/ф клиентам не выдавать, чтобы они не смогли предъявлять вычеты?
Случаи бывают разные, от банального «забыли-завалялось-по дороге потерялось» до выше вами упомянутого. Я просто провожу аналогии с бумажным документооборотом.
СФ, акты и накладные и другие первичные документы не могут считаться коммерческой или другой тайной, поэтому нет никакого смысла их шифровать.
html-теги


Вы забыли договора в этот список добавить. Обмен контрактами там идет вместе с первичкой. Я думаю, многие владельцы бизнесов с этим не согласятся. И с какой радости я должен показывать свою первичку третьим лицам? Считаю, что технически вполне возможно при существующей схеме исключить возможность оператора видеть документы.
Для многих бизнесов даже факт сотрудничества является коммерческой тайной, а вы говорите…
Договора не являются закрывающими финпервичными документами, к ним относятся только СФ, акты и накладные, т.е. это только те документы, которые учитывает бухгалтерия. У провайдеров ЭДО договора идут в разделе «Прочие типы документов».
Выше верно пишут, само содержимое документа оказывается не подписанным. И еще, термин «закрывающие документы» не используется ни в законодательных ни в подзаконных актах. Раньше у нас были обязательные к применению формы документов, сейчас почти все они отменены, хотя и продолжают использоваться, поэтому в договоре имеет смысл прописывать какие именно документы вы предоставляете клиенту и приводить их форму в качестве приложения к договору.
Что же касается документа в электронной форме, то как было выше сказано hash должен вычисляться для документа в целом. Возможно имеет смысл разработать структуру документа, например в xml. Если ничего не путаю, то формат счета-фактуры в электронной форме вообще закреплен законодательно.
В общем, я как бухгалтер опасался бы применять такой документооборот. Большее доверие у меня вызывают системы электронного документооборота, но это уже не бесплатно.
Описанные системы ЭДО с третьим лицом прекрасны во всем, кроме того, что их вообще-то не должно быть. Мы должны иметь возможность самостоятельно и бесплатно генерировать закрытый ключ, отправлять УЦ запрос сертификата к нему и получать сертификат, создавать документы, получать у УЦ штампы времени на них, подписывать и отправлять клиенту.

Все эти провайдеры ЭДО могут быть, но только в добровольном формате, поскольку в недрах этих контор с документами и ключами непонятно что происходит.
Надо различать виды подписи:

  1. Простая
  2. Неквалифицированная
  3. Квалифицированная

Что нам говорит закон о них:
2. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

3. Неквалифицированной электронной подписью является электронная подпись, которая:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.

и т.д...

У Простой ЭП не ставится цель «обнаружить факт внесения изменений в электронный документ» и этого достаточно для признания подписи документа равнозначной рукописному.
Верно, но такой документ не может быть принят налоговой, т.к. для закрывающих документов есть строго определённые законодательством требования, поверх закона об ЭЦП.
А кто вам сказал, что это хороший закон? Факт формирования электронной подписи в суде будет не интересен, если сторона привлечет эксперта, который легко покажет, что документы с разным содержимым могут иметь одну и ту же подпись, а грамотный юрист будет настаивать на том, что это вообще не документы.
По-моему, вы просто пытаетесь эксплуатировать культ карго и тотальное непонимание в обществе что такое есть настоящая электронная подпись и как с ней работать. Вы просто создали вокруг документа какие-то цифро-буквы и назвали это электронной подписью. Тот факт, что закон в части простой ЭП написан с тех же позиций, не делает вашу статью более осмысленной.
А сервис проверки для чего? Эксперт и юрист взломают ваш сервис проверки чтобы что-то подделать? Думаю для них это неподъемная задача.
У вас проверяется номер и дата. Ну сделает эксперт корректировочный с/ф, что вы должны миллиард рублей и проверит вашим сервисом. Будете платить?
О чем вы вообще? Вы делаете свой сервис чтобы люди могли проверить что действительно вы выпустили и подписали данный документ. То что сделает «эксперт» — не будет соответствовать тому что покажет сервис проверки. Будет видно что документ подложный.
У Простой ЭП не ставится цель «обнаружить факт внесения изменений в электронный документ» и этого достаточно для признания подписи документа равнозначной рукописному.

подпункт 3 пункта 3 прямо об этом говорит, вы неверное трактуете закон, это не или, должны выполняться все условия одновременно, а не одно любое из них.
п.3 это неквалифицированная ЭП… статья о ПРОСТОЙ ЭП
Вопрос: Как обстоит дела если надо сохранить файл вместе с ЭП. Как это будет происходить, одним файлом или несколькими…
Да, это один файл. В нем просто есть последовательность из символов (у меня из 40 символов), которая является Простой ЭП данного документа, которую нельзя подделать (это ни к чему не приведет) и при наличии сервиса проверки может подтвердить что документ с такими-то реквизитами был подписан таким-то лицом.

Вот пример документа и сервиса проверки достоверности подписи.
Автору текста, для изучения:

Приложение
к приказу Министерства финансов
Российской Федерации
от 10.11.2015 N 174н

ПОРЯДОК
ВЫСТАВЛЕНИЯ И ПОЛУЧЕНИЯ СЧЕТОВ-ФАКТУР В ЭЛЕКТРОННОЙ ФОРМЕ
ПО ТЕЛЕКОММУНИКАЦИОННЫМ КАНАЛАМ СВЯЗИ С ПРИМЕНЕНИЕМ
УСИЛЕННОЙ КВАЛИФИЦИРОВАННОЙ ЭЛЕКТРОННОЙ ПОДПИСИ
ПОРЯДОК
ВЫСТАВЛЕНИЯ И ПОЛУЧЕНИЯ СЧЕТОВ-ФАКТУР В ЭЛЕКТРОННОЙ ФОРМЕ
ПО ТЕЛЕКОММУНИКАЦИОННЫМ КАНАЛАМ СВЯЗИ С ПРИМЕНЕНИЕМ
УСИЛЕННОЙ КВАЛИФИЦИРОВАННОЙ ЭЛЕКТРОННОЙ ПОДПИСИ

Мы здесь говорим о простой ЭП
А мы вам говорим, что в бухгалтерии неприменима в принципе простая ЭП в соответствии с требованиями закона и подзаконными актами.
Ну отлично, вот у вас есть инфосервис. У клиента аккаунт, у менеджера аккаунт. У каждого пароль. Вот с точки зрения закона, документ, просто загруженный в инфосервис, уже подписан простой ЭП. Теперь я скажу, что в инфосервис я загружал совсем другой документ. Как будем решать вопрос?
Вы не загружаете, а выпускаете. Но допустим загружаете. Загрузили один документ, потом на словах утверждаете что другой и сервис самостоятельно его подменил? Правильно я вас понял? Ну в данном случае это попахивает мошенничеством, судом и всеми вытекающими. Тут будет подняты счета и факт оказания услуг на основании которых сделан данный документ, подняты данные с расчетных счетов и т.д. До истины все равно докопаются. Зачем вам это?
Встречный вопрос — а зачем тогда свистопляска с хэшами и ключами, если достаточно простой авторизации паролем на инфосервисе, чтобы при соответствующем пункте в пользовательском соглашении все действия пользователя на аккаунте считались подписанными простой цифровой подписью?
Не надо авторизации. Вы держите в руках (или видите на экране) документ, в котором в графе подпись написано например 3e692-a2f76-6e0fd-0cea5-9a950-33c53-b4128-8dbbb и информация о сервисе где можно проверить достоверность.
Заходите, вбиваете 3e692-a2f76-6e0fd-0cea5-9a950-33c53-b4128-8dbbb и система вам говорит, что данной подписью подписан такой то документ, за таким то номером, с такой то суммой таким то человеком. Вы видите что это именно тот документ, ФИО именно того человека, сумма та. Документ настоящий.

Если же вы измените хоть один символ в подписи, система скажет что такого не существует. Если вы вставите эту подпись в другой документ, при проверке будет видно что вы держите в руках документ с другими реквизитами и суммой и он ненастоящий.

В этом и есть смысл подписи.
А что мешает просто хэш документа вводить, и если такой документ загружался Васей и одобрялся Петей, то система выдаст, что знает такой документ, и его подписали простой цифровой подписью Вася и Петя. Все остальное-то зачем, никак понять не могу?
Подпись это по сути и есть хеш документа. Только с персонализацией. Просто документ может подписать Вася, может Петя, а может Коля. В этом случае хеш будет отличаться. Если несколько лиц подписывают, то напротив Васи должен быть один хеш, а напротив Пети другой. При проверке хеша напротив Васи должно вылезти что именно этот документ подписал Вася, а напротив Пети что именно этот документ подписал Петя.
ОК, как Коле проверить, что документ подписал Вася БЕЗ СЕРВИСА ПРОВЕРКИ?
У Коли с Васей должен быть договор, где описан алгоритм формирования и проверки подписи. Это условие признания простой ЭП. По этому алгоритму Коля и проверит что документ подписал Вася. Но Вася чтобы облегчить жизнь Коле, а так же дать способ проверки третьим лицам, может сделать свой сервис проверки, чтобы любой желающий (в том числе и Вася) мог удостовериться, что именно этот документ подписал именно Коля.
Ну я с нетерпением жду, когда вы на примере вашей статьи (мы ведь её обсуждаем) расскажете мне, как Коле проверить подпись Васи, если нет сервиса проверки и если
1. У Коли с Васей есть договор.
2. У Коли с Васей нет договора.
Элементарно.

1. Приходит Коле от Васи счет №03452 от 09.11.2016 с подписью b554f464d3cf1b128b07e96b960b7bb4a19a3c95

Вася знает хеш кодового слова Коли 822f424c94ffbe1e9b0e53df6d851da4, они договорились о конфиденциальности этой информации.

Вася делает по описанному в договоре алгоритму hash('sha1','1'.'03452'.'09.11.2016'.'822f424c94ffbe1e9b0e53df6d851da4')
получает b554f464d3cf1b128b07e96b960b7bb4a19a3c95 и сверяет с подписью в документе b554f464d3cf1b128b07e96b960b7bb4a19a3c95, они равны, значит документ подписал Коля. Все удовлетворяет ФЗ 63 и законно.

2. На нет и суда нет. Если нет договора, то только на бумеге. Требование простой ЭП — наличие договора с описанным алгоритмом и условиями конфиденциальности.

PS: если у Коли есть свой сервис проверки, то ему не обязательно сообщать хеш своего ключа Васе. Сервис проверки знает хеш Коли, сам сделает все метематические операции и сообщит Васе что документ и подпись верны.
«А что, так можно было?» — спросит вас всё мировое криптосообщество.
Другой комментарий придумать не смог, хотя много думал.
Что можно было? Что вас смущает?
Ну для начала вы перепутали Колю с Васей. А смущает меня в первую очередь то, что вас ничего не смущает.
UFO just landed and posted this here
Ну есть такое понятие как мошенничество. Ваш пример будет являться именно им. Ничего не мешает Васе выставить коле бумажный счет, Коля сделает его копию, подредактирует поставит закорючку и предъявит Васе претензии что оплатил автомобиль… При этом по нашему законодательству Васе придется доказывать что это не его подпись (т.к. именно Вася делает утверждение что это не его), а не Коле.
Счет это мелочи, вон один из вариантов рейдерского захвата, подделать собрание учредителей о принятии нового устава с новым ГД. С этим пойти в налоговую и новый ГД продает недвижимость компании. При этом это бумага…

Вот например я недавно заказывал сервер на НАГе, они в Екатеринбурге, я в Москве. Они сделали счет, прислали его по электронке (без всяких ЭП), я его оплатил, после оплаты они отгрузили товар и он мне пришел через 2 недели с оригиналами документов. И какие были бы мои действия если бы мне прислали не тот товар и в счете было бы написано не то и на мой звонок они бы меня послали… все просто, я бы распечатал бы первый счет, сделал бы выписку с р/с и пошел бы в полицию… что тут еще поделать можно. Но НАГ слава богу дорожит своей репутацией и не ставит себе палки в колеса, ибо такое прокатит только один раз.

Описываемая вами ситуация может быть с чем угодно, а не только с ЭП.

пЭП — это просто удобный механизм для постоянного обмена документами, с организацией, с которой вы договорились об этом. Это должно быть удобно обоим.

И кстати ничего не мешает хоть весь текст счета обработать hash функцией, а не только реквизиты.
Второй вариант, если нет сервиса, ваш партнер должен знать алгоритм для проверки, что именно вы подписали. Он описывается в договоре. В этом случае третьи лица конечно не проверят.
Так у вас подпись может проверить только подписавший и только зная ключ. Какие третьи лица?
Если есть сервис проверки, то и третьи лица. Если сервиса нет, то только тот кто получает и с кем у вас оговорен алгоритм.
Вы говорите о Счетах-фактурах, а при их обмене в электронном виде обязательно использование Квалифицированной ЭП.

Обычные акты об оказании услуг и счета могут высылаться в электронном виде с Простой ЭП, как описано в статье. При этом в ФЗ 63 «Об электронной подписи» есть об этом упоминание:

Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными «законами», принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия.


Все условия использования ПЭП описаны, всё правильно.
Да, вы оказались правы. пЭП нельзя использовать для счет-фактуры. Можно для чего угодно, кроме нее.
Комментарий юриста по этому поводу: "По счету-фактуре установлены жесткие требования — подпись либо живая, либо эцп у оператора.
Была даже в свое время практика, можно ли подписывать сф факсимиле, вроде как примерно то де что и живая подпись.
Суды сказали нельзя.
С эцп будет то же самое. Слишком много бюджет теряет из за сф.
"

Я в статье сделал дописал, что нельзя использовать для счет-фактуры.
А этот сайт для информации про Роуминг между Операторами «точка-точка» и «Точка-Ростелеком-точка»: http://roseu.org/roaming/
Самый простой пример документа с простой электронной подписью — сообщение электронной почты. Поскольку оно сформировано с применением кодов, паролей или иных средств (отпечаток пальца). В данном случае пЭП подтверждает, что носитель пароля, кода или отпечатка пальца создал или читал (но не обязательно понял) данный документ в момент отправки сообщения. И данное сообщение имеет юридическую силу и может быть представлено в суде. По тому же принципу работает в частности сайт госуслуг, где в качестве пЭП выступает комбинация пароль\логин для входа на сайт, а документом — заполненная форма.
Так что для работы между контрагентами вполне достаточно соглашения (можно даже устного при свидетелях) о том, что документы, отправленные по электронной почте с определённых адресов (или серверов) являются значимыми для этих контрагентов.
Sign up to leave a comment.

Articles