Подпись документов электронной подписью для размещения на сайте

Раньше наличие документа на сайте было достаточно, чтобы подтвердить его подлинность. Сайт открывается по зашифрованному https протоколу подтвержденному сертификатом выданным на официальный домен организации). Подменить документ «на-лету» нельзя (в процессе передачи от сервера к клиенту) не нарушая цепочку сертификатов (о чем сразу сообщит браузер как о не доверенном соединении).

То теперь согласно новым требованиям к сайту образовательной организации локальные нормативные акты, размещённые на сайте, должны быть подписаны электронной подписью (ЭП). Требования к ЭП самые щадящие: хватит простой электронной подписи (ПЭП). При этом не сказано кем должен быть подписан документ: директором, уполномоченным лицом, организацией или кем угодно, что и нивелирует всю ценность данной процедуры. По сути требование заключается в том, чтобы просто иметь отображение ЭП на сайте или в документе, а о методах проверки данной подписи ни слова. Чем и пользуются некоторые сервисы по созданию сайтов для образования на базе своего конструктора сайтов внедряя в документ фиктивную ЭП, которая ничего не подтверждает по сути, но она есть и значит требования были выполнены.

Проблема усугубляется ещё и тем, что уже размещённые документы надо привести в соответствии требованиям.

1. Немного теории и личного мнения

1.1 Неотчуждаемая электронная подпись

Большая часть инструкций в интернете показывает как подписать PDF документ квалифицированной ЭП выданной на организацию (есть у всех и ничего докупать не нужно). Делается это с помощью программы КриптоПро PDF, которая без покупки лицензии может использоваться только в ручном режиме в программе Adobe Reader, чего для исполнения нехитрых требований закона вполне хватит.

Такая подпись документов, когда ЭП встраивается в сам документ (а соответственно формат файла предоставляет такую возможность) называется неотчуждённой ЭП.

Плюсы:

  • один файл
  • простота подписания
  • данные подписи сразу видно, при открытии документа

Минусы:

  • необходимо настраивать рабочее место для проверки ЭП
  • ограниченный набор форматов документов (бесплатно только PDF)
  • необходимость перезаливать подписанные документы на сайт

Остановимся подробнее. Не смотря на то, что данный способ удобен, визуально нагляден и его вполне себе хватает для исполнения требований минусы данного способа довольно существенны.

Обычный пользователь открыв документ увидит визуальное представление ЭП, но Adobe Reader выдаст ошибку проверки ЭП, следовательно теряется ЭП смысл. Чтобы этого избежать, необходимо настроить рабочее место (установить корневые сертификаты, КриптоПро PDF и настроить их взаимодействие), что вряд ли будет делать обычный пользователь. Файлы формата PDF могут открываться сразу в браузере и никакой проверки подлинности там нет.

Хоть PDF и является довольно универсальным форматом для отображения и печати документов, но что, если необходимо выложить документ созданный в программах Word (doc, docx) или Excel (xls, xlsx). Эти форматы так же поддерживают встраивание ЭП, но на  текущий момент нет бесплатного способа встроить квалифицированный сертификат выданный казначейством, который бы работал на актуальных версиях Microsoft Office.

Отдельным особняком стоят системы шифрования, которые создают свой формат шифрованного файла в который внедряется и исходный файл. Это тоже неотчуждаемая ЭП (т.к. файл один). Минусы подобного варианта очевидны — их невозможно открыть и проверить на правильность без установки соответствующего программного обеспечения. Подобные файло-контейнеры имеют место быть при межведомственном взаимодействии и не подходят для использования на сайте, т.к. противоречат требованиям к типу размещаемых файлов на сайте и возможности их просмотра без затрат со стороны пользователя.

1.2 Отчуждаемая электронная подпись

Другой способ подписи документов, который повсеместно используется в документообороте, к примеру, в налоговой.

Принцип заключается в том, что файл подписи отделён от файла документа. Обычно это выглядит как два файла с одинаковыми именами, но у файла подписи в конце добавлено .sig или .p7s в зависимости от типа подписи.

Плюсы:

  • можно подписать документ/файл любого формата
  • легко проверить сторонними сервисами
  • настройка рабочего места проще

Минусы:

  • нет наглядности
  • размещать 2 файла на сайт вместо одного

Остановимся подробнее. Не смотря на кажущуюся сложность, данный способ в итоге более удобен для работы с документом, проверки и обработки данных.

Простота настройки рабочего места: в криптопровайдер КриптоПро CSP начиная с версии 5 встроен инструмент подписывания документа и проверки подписанного документа. Так же есть бесплатный сервис Контур.Крипто, с которым легко начать работать и подписывать файлы «пачками». Для проверки подписи файла не обязательно ставить какую-либо программу — просто воспользуйтесь одним из доступных веб-сервисов загрузив туда оба файла, к примеру https://fzs.roskazna.ru/public/validate-sign (требуется браузер с поддержкой шифрования ГОСТ) или тот же Контур.Крипто. В случае уже размещённых документов на сайте — нет необходимости перезаливать из уже изменёнными — достаточно всего лишь рядом добавить файл с подписью.

При проверке сайта допустимы оба варианта. Очевидно к какому варианту склоняюсь. Для любителей подстраховаться можно использовать сразу оба способа одновременно: сначала первый, а затем второй. От теории к практике.


В инструкции указаны ссылки на официальные источники файлов. В случае проблем или неточностей напишите в комментарии, постараюсь дополнить.

Информация будет актуализироваться с течением времени. Последнее обновление информации 2021-11-24 23:59:16

2. Подпись документа неотчуждаемой подписью (для размещения документа на сайте).

2.1 С помощью КриптоПро PDF и Adobe Reader (только PDF)

Установить и настроить КриптоПро CSP как сказано в разделе 2 инструкции Настройка электронно-цифровой подписи для работы с государственными сайтами

2.1.1 Скачать Adobe Reader DC и установить

Обязательно выберите 32битную версию (шаг 1). Чтобы ничего лишнего не поставилось — уберите все галочки в центре экрана (шаг 2).

Страница выбора версии и скачивания Adobe Reader
Страница выбора версии и скачивания Adobe Reader

2.1.2 Скачать КриптоПро PDF и установить

Важно! Обратите внимание на разрядность программ. По-умолчанию Adobe Reader скачивается в 64-битной версии, а exe-установщик КриптоПро PDF всегда ставит 32-битную версию. Убедитесь, что устанавливаете Adobe Reader 32-битной версии. 64-битная версия КриптоПро PDF для разработчиков не работает с 64-битной Adobe Reader, проверено на момент написания статьи.

2.1.3 Запустить и настроить Adobe Reader.

После запуска Adobe Reader необходимо перейти в меню Редактирование — Установки.

Первичная настройка Adobe Reader для работы КриптоПро PDF
Первичная настройка Adobe Reader для работы КриптоПро PDF

В открывшемся окне слева выбрать пункт Подписи и в блоке Создание и оформление нажать на кнопку Подробнее

В открывшемся окне выбрать:

  • Метод подписания по умолчанию — КриптоПро PDF (обычно уже стоит так, если в момент установке не снимали соответствующую галочку) (шаг 4)
  • Формат подписания по умолчанию — Эквивалент CaDES (шаг 5)

Настройка выполняется один раз на одном рабочем месте.

2.1.4 Подписание документа

Открыть необходимый для подписи документ

Открыть Инструменты (Дополнительные инструменты в панели справа) и выбрать пункт Сертификаты

Инструменты в Adobe Reader
Сертификаты в Инструментах
  • В появившейся панели вверху документа нажать кнопку Поставить цифровую подпись (шаг 1).
  • Выделить необходимую область на документе (шаг 2). На которой нет никакого пёстрого фона, т.к. визуализация электронной подписи с прозрачным фоном и всё что за ней будет видно.
  • В появившемся окне выбрать нужный сертификат (шаг 3). Обязательно убедиться, что пункт Визуализация подписи в соответствии с 63-ФЗ отмечен галочкой (шаг 4).
  • Нажать кнопку Ок (шаг 5) и в открывшемся окне выбрать куда сохранить подписанный файл.
Процесс подписания PDF документа
Процесс подписания PDF документа

В результате откроется подписанный документ, где будет визуализирована цифровая подпись

Результат подписания PDF Документа
Результат подписания PDF Документа

2.1.5 Возможные проблемы

2.1.5.1 Зависает при первой попытке подписи.

Просто закройте Adobe Reader (можно принудительно через диспетчер задач) и откройте документ по-новой. Причина мне неизвестна, наблюдал пару раз.

2.1.5.2 Сертификат недействителен

Обычно отображается при следующем открытии подписанного документа или сразу после подписания. Проблема в корневых сертификатах, которые используются для проверки подписи. В таком случае рекомендуется выполнить инструкции из раздела 1 статьи Настройка электронно-цифровой подписи для работы с государственными сайтами , если это ещё не сделано и перезапустить ПК.

3. Подпись документа отчуждаемой подписью  (для отправки в учреждения).

3.1 С помощью инструментов КриптоПро CSP

Начиная с версии 5 у КриптоПро CSP появились Инструменты, которые можно запустить из меню Пуск. Имея 4 версию можно обновиться до 5, но не 5 R2.

Пункт Инструменты КриптоПро в меню Пуск
Пункт Инструменты КриптоПро в меню Пуск

В левой части окна есть несколько вкладок. Необходимо нажать на вкладку Создание подписи (шаг 1). Выбрать один из доступных сертификатов (шаг 2), которым будете подписывать документ. Нажать кнопку Выбрать файл для подписи и в открывшемся окне найти необходимый файл. Поле с путём к подписи заполнится автоматически. Файл с подписью будет иметь имя подписываемого файла с расширением p7s. Нажать кнопку Подписать.

Подписание документа с помощью КриптоПро
Подписание документа с помощью КриптоПро

Если необходима подпись в формате sig, то просто смените расширение — при подписи это будет учтено и создасться файл именно этого формата.

3.2 С помощью сервиса Контур.Крипто

Заходим на сайт Контур.Крипто по ссылке https://crypto.kontur.ru/

Необходимо авторизоваться на сайте (шаг 1), если у вас уже есть регистрация в других сервисах контура или с помощью своей ЭЦП. Иначе зарегистрироваться нажав кнопку Начать пользоваться (шаг 2).

Главная страница сервиса Контур.Крипто
Главная страница сервиса Контур.Крипто

Для взаимодействием с вашей ЭЦП сервису будет необходимо настроить ваш ПК, поэтому он сам предложит вам установить программу в систему и плагин в браузер. Если это необходимо, то сверху страницы будет отображаться предупреждение:

Предупреждение о необходимости настроить работу с сервисом Контур
Предупреждение о необходимости настроить работу с сервисом Контур

Для этого есть специальный сайт https://install.kontur.ru/crypto

Окно установки интеграци сервиса Контур.Крипто

После чего просто закидываете в сервис необходимые файлы, выбираете нужную ЭЦП и нажимаете Подписать. Файлы подписи с расширением sig будут лежать рядом с исходными файлами под теми же именами. Можно подписывать сразу несколько файлов за раз, что удобно.

Подписание документа в сервисе Контур.Крипто
Подписание документа в сервисе Контур.Крипто
Результат подписания в сервисе Контур.Крипто
Результат подписания в сервисе Контур.Крипто

Более подробная информация о пользовании сервисом доступна на официальном сайте: https://crypto.kontur.ru/help