Подпись документов электронной подписью для размещения на сайте

Актуально для Windows. Инструкции для Linux пока нет.

Раньше наличие документа на сайте было достаточно, чтобы подтвердить его подлинность. Сайт открывается по зашифрованному https протоколу подтвержденному сертификатом выданным на официальный домен организации). Подменить документ “на-лету” нельзя (в процессе передачи от сервера к клиенту) не нарушая цепочку сертификатов (о чем сразу сообщит браузер как о не доверенном соединении).

То теперь согласно новым требованиям к сайту образовательной организации локальные нормативные акты, размещённые на сайте, должны быть подписаны электронной подписью (ЭП). Требования к ЭП самые щадящие: хватит простой электронной подписи (ПЭП). При этом не сказано кем должен быть подписан документ: директором, уполномоченным лицом, организацией или кем угодно, что и нивелирует всю ценность данной процедуры. По сути требование заключается в том, чтобы просто иметь отображение ЭП на сайте или в документе, а о методах проверки данной подписи ни слова. Чем и пользуются некоторые сервисы по созданию сайтов для образования на базе своего конструктора сайтов внедряя в документ фиктивную ЭП, которая ничего не подтверждает по сути, но она есть и значит требования были выполнены.

Проблема усугубляется ещё и тем, что уже размещённые документы надо привести в соответствии требованиям.

1. Немного теории и личного мнения

1.1 Неотчуждаемая электронная подпись

Большая часть инструкций в интернете показывает как подписать PDF документ квалифицированной ЭП выданной на организацию (есть у всех и ничего докупать не нужно). Делается это с помощью программы КриптоПро PDF, которая без покупки лицензии может использоваться только в ручном режиме в программе Adobe Reader, чего для исполнения нехитрых требований закона вполне хватит.

Такая подпись документов, когда ЭП встраивается в сам документ (а соответственно формат файла предоставляет такую возможность) называется неотчуждённой ЭП.

Остановимся подробнее. Не смотря на то, что данный способ удобен, визуально нагляден и его вполне себе хватает для исполнения требований минусы данного способа довольно существенны.

Обычный пользователь открыв документ увидит визуальное представление ЭП, но Adobe Reader выдаст ошибку проверки ЭП, следовательно теряется ЭП смысл. Чтобы этого избежать, необходимо настроить рабочее место (установить корневые сертификаты, КриптоПро PDF и настроить их взаимодействие), что вряд ли будет делать обычный пользователь. Файлы формата PDF могут открываться сразу в браузере и никакой проверки подлинности там нет.

Хоть PDF и является довольно универсальным форматом для отображения и печати документов, но что, если необходимо выложить документ созданный в программах Word (doc, docx) или Excel (xls, xlsx). Эти форматы так же поддерживают встраивание ЭП, но на  текущий момент нет бесплатного способа встроить квалифицированный сертификат выданный казначейством, который бы работал на актуальных версиях Microsoft Office.

Отдельным особняком стоят системы шифрования, которые создают свой формат шифрованного файла в который внедряется и исходный файл. Это тоже неотчуждаемая ЭП (т.к. файл один). Минусы подобного варианта очевидны – их невозможно открыть и проверить на правильность без установки соответствующего программного обеспечения. Подобные файло-контейнеры имеют место быть при межведомственном взаимодействии и не подходят для использования на сайте, т.к. противоречат требованиям к типу размещаемых файлов на сайте и возможности их просмотра без затрат со стороны пользователя.

1.2 Отчуждаемая электронная подпись

Другой способ подписи документов, который повсеместно используется в документообороте, к примеру, в налоговой.

Принцип заключается в том, что файл подписи отделён от файла документа. Обычно это выглядит как два файла с одинаковыми именами, но у файла подписи в конце добавлено .sig или .p7s в зависимости от типа подписи.

Остановимся подробнее. Не смотря на кажущуюся сложность, данный способ в итоге более удобен для работы с документом, проверки и обработки данных.

Простота настройки рабочего места: в криптопровайдер КриптоПро CSP начиная с версии 5 встроен инструмент подписывания документа и проверки подписанного документа. Так же есть бесплатный сервис Контур.Крипто, с которым легко начать работать и подписывать файлы “пачками”. Для проверки подписи файла не обязательно ставить какую-либо программу – просто воспользуйтесь одним из доступных веб-сервисов загрузив туда оба файла, к примеру https://fzs.roskazna.ru/public/validate-sign (требуется браузер с поддержкой шифрования ГОСТ) или тот же Контур.Крипто. В случае уже размещённых документов на сайте – нет необходимости перезаливать из уже изменёнными – достаточно всего лишь рядом добавить файл с подписью.

При проверке сайта допустимы оба варианта. Очевидно к какому варианту склоняюсь. Для любителей подстраховаться можно использовать сразу оба способа одновременно: сначала первый, а затем второй. От теории к практике.

---

В инструкции указаны ссылки на официальные источники файлов. В случае проблем или неточностей напишите в комментарии, постараюсь дополнить.

Информация будет актуализироваться с течением времени. Последнее обновление информации 2024-04-07 18:08:03

2. Подпись документа неотчуждаемой подписью (для размещения документа на сайте).

2.1 С помощью КриптоПро PDF и Adobe Reader (только PDF)

Установить и настроить КриптоПро CSP как сказано в разделе 2 инструкции Настройка электронно-цифровой подписи для работы с государственными сайтами

2.1.1 Скачать Adobe Reader DC и установить

• Страница скачивания offline-установщика (для установки не требуется интернет) с выбором языка, версии и разрядности: https://get.adobe.com/ru/reader/enterprise/
• Страница выбора версии и загрузки: https://get.adobe.com/ru/reader/otherversions/

Обязательно выберите 32-битную версию (шаг 1). Чтобы ничего лишнего не поставилось – уберите все галочки в центре экрана (шаг 2).

2.1.2 Скачать КриптоПро PDF и установить

Прежде чем ставить эту программу – убедитесь, что установлен криптопровайдер КриптоПро CSP не ниже 4-й версии. Подробнее об этом можно почитать в разделе 2 соседнего материала.

• Страница загрузки: https://www.cryptopro.ru/products/other/pdf/downloads
• Прямая ссылка: https://www.cryptopro.ru/sites/default/files/products/pdf/files/20/2175/cppdfsetup.exe (версия 2.0.2175 от 05 мая 2022 г.)

Важно! Обратите внимание на разрядность программ. По-умолчанию Adobe Reader скачивается в 64-битной версии, а exe-установщик КриптоПро PDF всегда ставит 32-битную версию. Убедитесь, что устанавливаете Adobe Reader 32-битной версии. 64-битная версия КриптоПро PDF для разработчиков не работает с 64-битной Adobe Reader, проверено на момент написания статьи.

2.1.3 Запустить и настроить Adobe Reader.

После запуска Adobe Reader необходимо перейти в меню Редактирование – Установки.

В открывшемся окне слева выбрать пункт Подписи и в блоке Создание и оформление нажать на кнопку Подробнее

В открывшемся окне выбрать:

• Метод подписания по умолчанию – КриптоПро PDF (обычно уже стоит так, если в момент установке не снимали соответствующую галочку) (шаг 4)
• Формат подписания по умолчанию – Эквивалент CaDES (шаг 5)

Настройка выполняется один раз на одном рабочем месте.

2.1.4 Подписание документа

Открыть необходимый для подписи документ

Открыть Инструменты (Дополнительные инструменты в панели справа) и выбрать пункт Сертификаты

• В появившейся панели вверху документа нажать кнопку Поставить цифровую подпись (шаг 1).
• Выделить необходимую область на документе (шаг 2). На которой нет никакого пёстрого фона, т.к. визуализация электронной подписи с прозрачным фоном и всё что за ней будет видно.
• В появившемся окне выбрать нужный сертификат (шаг 3). Обязательно убедиться, что пункт Визуализация подписи в соответствии с 63-ФЗ отмечен галочкой (шаг 4).
• Нажать кнопку Ок (шаг 5) и в открывшемся окне выбрать куда сохранить подписанный файл.

В результате откроется подписанный документ, где будет визуализирована цифровая подпись

2.1.5 Возможные проблемы

2.1.5.1 Зависает при первой попытке подписи.

Просто закройте Adobe Reader (можно принудительно через диспетчер задач) и откройте документ по-новой. Причина мне неизвестна, наблюдал пару раз.

2.1.5.2 Сертификат недействителен

Обычно отображается при следующем открытии подписанного документа или сразу после подписания. Проблема в корневых сертификатах, которые используются для проверки подписи. В таком случае рекомендуется выполнить инструкции из раздела 1 статьи Настройка электронно-цифровой подписи для работы с государственными сайтами , если это ещё не сделано и перезапустить ПК.

3. Подпись документа отчуждаемой подписью  (для отправки в учреждения).

3.1 С помощью инструментов КриптоПро CSP

Начиная с версии 5 у КриптоПро CSP появились Инструменты, которые можно запустить из меню Пуск. Имея 4 версию можно обновиться до 5, но не 5 R2.

В левой части окна есть несколько вкладок. Необходимо нажать на вкладку Создание подписи (шаг 1). Выбрать один из доступных сертификатов (шаг 2), которым будете подписывать документ. Нажать кнопку Выбрать файл для подписи и в открывшемся окне найти необходимый файл. Поле с путём к подписи заполнится автоматически. Файл с подписью будет иметь имя подписываемого файла с расширением p7s. Нажать кнопку Подписать.

Если необходима подпись в формате sig, то просто смените расширение – при подписи это будет учтено и создасться файл именно этого формата.

3.2 С помощью сервиса Контур.Крипто

Заходим на сайт Контур.Крипто по ссылке https://crypto.kontur.ru/

Необходимо авторизоваться на сайте (шаг 1), если у вас уже есть регистрация в других сервисах контура или с помощью своей ЭЦП. Иначе зарегистрироваться нажав кнопку Начать пользоваться (шаг 2).

Будте осторожны! Если у вас стоит версия КриптоПро версии 4, то обновлять её совсем не обязательно! Если выбрать автоматическую настройку, то КриптоПро обновится до последней версии, вследствие чего может слететь лицензия на этот продукт.

Подробнее об этом см. пункт 2 инструкции по настройке рабочего места для ЭЦП.

После чего просто закидываете в сервис необходимые файлы, выбираете нужную ЭЦП и нажимаете Подписать. Файлы подписи с расширением sig будут лежать рядом с исходными файлами под теми же именами. Можно подписывать сразу несколько файлов за раз, что удобно.

Более подробная информация о пользовании сервисом доступна на официальном сайте: https://crypto.kontur.ru/help

Приложение к статье

• Ссылки на скачивание файлов упомянутых в инструкции