Використання КЕП / УЕП
Користувачі системи Шрифт під час підписання документів можуть використовувати електронний підпис системи Шрифт, а також кваліфікований електронний підпис (КЕП) та удосконалений електронний підпис (УЕП), які базуються на кваліфікованому сертифікаті (далі - КЕП).
КЕП використовується фізичними та юридичними особами для ідентифікації особи, що підписує, та підтвердження цілісності даних в електронному документі та має юридичну силу і презумпцію його відповідності власноручному підпису.
Система Шрифт під час підписання КЕП застосовує позначку часу, що дає можливість гарантувати юридичну чинність документів і дає змогу підтвердити достовірність електронного підпису навіть після того, як термін дії сертифіката завершився або він був анульований.
Підписання КЕП
Використання КЕП для підписання електронних документів гарантує захист від підробки підпису. За допомогою криптографічних методів КЕП пов'язано з документом та з особою, яка його підписує, таким чином, він не може бути підроблений.
Для підписання КЕП не потрібно встановлювати жодних спеціальних додатків, плагінів та іншого. Достатньо лише будь-якого веб-браузера, на якому відкрито систему Шрифт. Винятком є підписання ключем КЕП з апаратного носія (USB-пристрою), для зчитування даних з якого потрібне встановлення спеціального плагіна.
Система Шрифт забезпечує можливість підписання безліччю підписів безлічі файлів будь-якого формату, що знаходяться в одному документі.
ASIC-E - це сучасний стандарт збереження КЕПів (файл з розширенням asice), визнаний на міжнародному рівні, який забезпечує довгострокове зберігання електронних документів. У результаті підписання формується файл, що містить усі поставлені підписи та всі підписані файли документа.
Технологія підписання, яку використовує система Шрифт, забезпечує підписання на локальному пристрої користувача. Таким чином, ні дані, ні ключі підпису не залишають локальний пристрій користувача, який підписує документ.
Про використання європейських алгоритмів підписання для українських КЕПів та використання європейських КЕПів у Шрифт, читайте в цій статті.
Підписання файловим ключем
Детально про повний процес створення документа читайте у статті Створення документа.
Для підписання документа УЕП потрібно завантажити файл ключа зі свого комп'ютера або просто перетягнути його у вікно. Можна вибрати центр сертифікації, яким він виданий, або система автоматично його визначить. Після введення пароля до ключа, натиснути Зчитати ключ. Система зчитає ключ і покаже дані сертифіката підпису.
Якщо ви вже використовували на цьому пристрої файлові ключі та вибрали варіант збереження інформації про них, то система запропонує вибрати один з останніх використаних ключів.
Підписання хмарним ключем
Якщо у документа є лише один файл, що підписується, такий документ можна підписати не тільки файловим ключем, але також і хмарним ключем. Це обмеження викликане схемою підписання хмарним ключем.
Для того, щоб підписати документ хмарним ключем, на сторінці підписання потрібно обрати спосіб підписання Хмарний ключ та обрати один із доступних варіантів хмарних ключів. QR-код, що з'явився на екрані, потрібно відсканувати в мобільному застосунку відповідного видавця ключа. Після успішного виконання відобразяться дані сертифіката підпису і стане доступна кнопка Підписати. Після її натискання знову відобразиться QR-код і після виконання тих самих дій, що й на попередньому кроці, документ буде підписано.
Наразі в системі доступно три варіанти хмарних ключів - Приватбанк, Вчасно та ДІя.Підпис.
Дія.Підпис відповідає регламенту eIDAS Європейського Союзу. Документи, підписані таким підписом, дійсні як в Україні, так і в країнах ЄС.
Згенерувати такий підпис можна абсолютно безкоштовно в мобільному додатку “Дія”(Google Play и Apple Store). Для цього необхідно мати хоча б один біометричний документ у «Дії»: ID-картку або закордонний паспорт. І ви отримаєте електронний підпис у вашому смартфоні одразу у двох варіантах: за українським та міжнародним стандартом.
Дія.Підпис вже використовують понад 19 мільйонів українців!
Існують деякі технологічні обмеження використання хмарних ключів під час підписання документів з боку провайдерів цих ключів. Наприклад усі хмарні ключі не можуть використовувати формат підпису XaDES (xml файл).
Також хмарні ключі, крім Дія.Підпис, не можуть:
підписувати файли з використанням контейнера asice;
використовувати інші формати підпису крім CaDES (p7s файл), якщо в документі 2 і більше файлів.
Підписання ключем КЕП з апаратного носія (токена)
Токен - це спеціальний пристрій, у формі USB-пристрою або картки з чіпом. Приватний ключ, що знаходиться на такому пристрої, захищений від копіювання та зміни.
Для підписання документа за допомогою ключа, розміщеного на токені, необхідно підключити його до вашого пристрою.
Якщо на пристрої раніше не використовувався токен, веб браузер запросить встановити відповідне розширення для взаємодії з токеном. Необхідно встановити запропоноване розширення, яке є сертифікованим в Україні.
Для використання встановленого розширення в іншому браузері того ж пристрою, браузером буде запитано ваше підтвердження про це.
СЭД Шрифт автоматично визначить наявність підключеного токена та його тип. Після введення пароля будуть показані дані власника сертифіката ключа і стане доступною дія підписання.
Якщо ключ залишається підключеним до пристрою, його можна буде використовувати під час підписання наступних документів без введення пароля під час кожного нового підписання. Оновлення сторінки браузера очистить збережені дані та вимагатиме введення пароля до ключа під час наступного підписання документа.
Якщо після встановлення або оновлення бібліотеки залишається інформація про необхідність оновити бібліотеку, рекомендується перезавантажити браузер або весь ПК, після чого за необхідності знову виконати встановлення бібліотеки.
Імпорт готових КЕП у систему
У документ можуть бути імпортовані готові підписи (КЕП), які були створені (поставлені) на будь-якому іншому ресурсі (майданчиках, сайтах або СЕД), якщо ці ресурси не блокують скачування підпису у вигляді файлу.
Система Шрифт дозволяє без обмеження скачування готового КЕП будь-яким користувачем системи.
Імпорт готового підпису дуже зручний, якщо, наприклад, контрагент підписав документ в іншій системі. Ви можете його підписати для нього в тій самій системі. Після чого завантажити файли підпису (контрагента і свого) та імпортувати у відповідний документ своєї компанії в Шрифт.
Це поки що єдиний на цьому етапі розвитку ринку СЕД в Україні, спосіб розв'язання проблеми відсутності працюючих схем інтеграції різних СЕД між собою.
Об'єктивною причиною - чому контрагент не зміг підписати запропонований документ у Шрифт, може бути, наприклад, те, що він був ініціатором документа і вже підписав його в іншій (своїй) системі.
Є й суб'єктивні причини: коли контрагент уже працює в якійсь іншій системі і не хоче погоджуватися на прохання ініціатора документа підписати його в Шрифті. Це можна пояснити відсутністю в його системі інструменту імпорту КЕП або просто неповагою до свого контрагента.
Після успішного імпорту в документ такий підпис відображатиметься в документі та проходитиме перевірку дійсності як усередині системи, так і на зовнішніх ресурсах так, ніби його було поставлено всередині системи. Детальніше про перевірку дійсності КЕП читайте в цій статті.
Будь-який готовий (поставлений) КЕП є самодостатньою сутністю, оформленою у вигляді файлу. Це означає, що його унікальність пов'язана тільки з його автором і файлом (файлами), які цей підпис засвідчив. Таким чином, не існує жодної причини, щоб пов'язувати КЕП з будь-якою СЕД, сайтом тощо, в яких цей підпис було сформовано.
Після імпорту підпису, документ може бути підписаний всередині системи. Також імпорт підпису можна повторити на будь-якому етапі роботи з документом, який передбачає можливість його зміни.
Файли з підписом можуть бути імпортовані в модальну форму створення документа або надалі - в таб Деталі документа. Для цього просто перетягнете відповідні файли в документ.
У документ можна імпортувати один або відразу кілька підписів. Система запитає - якій посаді всередині компанії або зовнішньому контакту відповідає імпортований підпис. Якщо система визначить відповідність ідентифікатора співробітника або контакту зазначеному в його даних тому, що міститься в КЕП, то буде запропоновано відповідний варіант вибору. За необхідності запропонований варіант можна буде змінити.
Система повідомить про помилку, якщо під час імпорту готової КЕП у документі будуть знаходитися підписувані файли, які не відповідають цьому підпису.
Існують обмеження на імпорт готових PaDES (КЕП усередині pdf файлу) до іншого pdf файлу хоч і того самого змісту. Це викликано технологічними особливостями стандарту формування підпису такого формату.
Для форматів підпису CaDES (p7s файли) і XaDES (xml файли) може бути імпортовано як файл, що підписується, разом із підписом, так і окремо файл підпису, за умови що він відповідає підписаному файлу у документі. Для контейнерів asice також допускається наявність файлів у документі, якщо вони відповідають підписаним файлам у контейнері.
У разі імпорту asice контейнера з CaDES підписом у документ, що вже містить asice контейнер з іншим CaDES або XaDES підписом, система додасть такий підпис у документ в окремому asice контейнері.
У разі імпорту asice контейнера з XaDES підписом у документ, що вже містить asice контейнер з іншим XaDES підписом, система додасть такий підпис до документа в існуючий asice контейнер.
Як перевірити електронний підпис
У підписаному КЕП документі підписи зберігаються та можуть бути перевірені в будь-який час.
Поруч із датою та часом підписання відображається прізвище і ініціали підписанта та іконка КЕП. При наведенні курсору на це поле, з'являється інформація з докладними відомостями про підпис.
Другим способом перевірки дійсності КЕП є онлайн запит системи Шрифт до відповідного ЦСК (центру сертифікації ключів), який повертає відповідь-підтвердження про факт та час підписання. Найбільш актуальний факт перевірки відображається після цього в інформації про КЕП (див. вище).
Третім способом перевірки дійсності КЕП є офлайн перевірка на зовнішньому ресурсі, наприклад на сайті державного посвідчувального органу Міністерства цифрової трансформації України. Для цього достатньо скачати файл підпису та завантажити його на зазначеній сторінці сайту.
Після успішної перевірки сервіс надасть результати.
За результатами проведеної перевірки буде сформовано протокол створення та перевірки КЕП, у якому буде зазначено підписантів (ПІБ, податковий номер і дата підписання), тип підпису (вдосконалений або кваліфікований) та іншу інформацію.