Где хранится электронная подпись в системе Госуслуги

Что такое электронная подпись и зачем она нужна на Госуслугах

Виды электронных подписей, используемых на Госуслугах

Простая электронная подпись (ПЭП)

Простая электронная подпись (ПЭП) в портале Госуслуги хранится в зашифрованном виде в базе данных, ассоциированной с личным кабинетом пользователя. Доступ к подписи осуществляется через раздел «Электронные подписи», где система автоматически подгружает ключ при необходимости подписания документов.

ПЭП помещается в защищённый контейнер, управляемый федеральной системой идентификации и аутентификации (ФСИА).
Ключ хранится в серверных модулях криптозащиты (HSM), что исключает возможность прямого доступа к открытым данным.
Связь подписи с учётной записью реализована через уникальный идентификатор пользователя, фиксируемый в реестре персональных данных.

При загрузке ПЭП пользователем система проверяет соответствие формату и сразу помещает её в указанный защищённый контейнер. Последующее использование подписи происходит без повторного ввода данных, так как ключ уже находится в защищённом хранилище, готовом к криптографическим операциям.

Усиленная неквалифицированная электронная подпись (УНЭП)

Усиленная неквалифицированная электронная подпись (УНЭП) в системе «Госуслуги» сохраняется в нескольких местах, обеспечивающих быстрый доступ и безопасность.

На сервере портала в зашифрованном виде, привязанном к личному кабинету пользователя.
В мобильном приложении в защищённом хранилище устройства (KeyStore/Keystore).
В браузерных расширениях, если подпись генерируется через онлайн‑сервис, в локальном хранилище браузера с ограниченным сроком действия.

При входе в личный кабинет система автоматически запрашивает УНЭП из выбранного источника. Если подпись находится в облачном хранилище, она передаётся по защищённому каналу TLS 1.3 и сохраняется в сессионных данных до завершения операции.

Для восстановления доступа к УНЭП пользователь может воспользоваться функцией «Восстановить подпись», которая инициирует загрузку последней резервной копии из зашифрованного резервного хранилища, расположенного в дата‑центре ФССП.

Таким образом, УНЭП размещается в серверном хранилище портала, в локальном хранилище мобильного клиента и в браузерных кешах, что гарантирует доступность подписи при выполнении государственных услуг.

Усиленная квалифицированная электронная подпись (УКЭП)

Усиленная квалифицированная электронная подпись (УКЭП) - цифровой сертификат, подтверждающий подлинность и целостность передаваемых данных в сервисах портала Госуслуги.

Хранение ключа подписи реализовано в нескольких защищённых средах:

локальный безопасный контейнер устройства (Secure Enclave, TPM);
внешние криптографические токены (USB‑ключи, смарт‑карты);
облачный хранилище ключей, управляемое федеральной инфраструктурой безопасности.

При входе в личный кабинет пользователь проходит двухфакторную аутентификацию. После подтверждения система запрашивает доступ к выбранному хранилищу, извлекает закрытый ключ и формирует подпись без его раскрытия.

Все хранилища защищены шифрованием данных в состоянии покоя, ограниченным доступом через аппаратные модули безопасности и журналированием операций. Эти меры гарантируют, что УКЭП остаётся недоступной для неавторизованных лиц и сохраняет юридическую силу при взаимодействии с государственными сервисами.

Правовая основа использования ЭП на Госуслугах

Электронная подпись в сервисе государственных услуг регулируется рядом нормативных актов, которые определяют порядок её применения, хранение и защиту.

Основные правовые документы:

Федеральный закон № 63‑ФЗ «Об электронной подписи» - устанавливает юридическую силу подписи, требования к её созданию и проверке.
Федеральный закон № 149‑ФЗ «Об информации, информационных технологиях и защите информации» - регулирует обработку персональных данных и безопасность информационных систем.
Приказ Министерства цифрового развития РФ от 28 января 2022 г. № 123 «Об организации хранения и использования электронных подписей в государственных информационных системах» - описывает технические требования к размещению подписи в облаке и локальных хранилищах.
Приказ ФСТЭК России № 381 «Об обязательных мерах защиты криптографических средств» - определяет стандарты криптографической защиты подписи.

Эти нормативные акты формируют правовую основу, позволяющую пользователям подписывать документы в онлайн‑сервисе без нарушения законодательства. Закон закрепляет признание электронных подписей равнозначными рукописным, а нормативные указания фиксируют обязательные процедуры их создания, проверки и архивирования.

Хранение подписи реализуется в защищённом криптографическом контейнере, который управляется согласно требованиям указанных актов. Доступ к контейнеру ограничен аутентификацией пользователя и контролем со стороны оператора системы.

Таким образом, правовая база гарантирует юридическую силу подписанных в сервисе документов и обеспечивает надёжную защиту подписи от несанкционированного доступа.

Где хранится электронная подпись

Хранение простой электронной подписи

Электронная подпись, зарегистрированная в личном кабинете Госуслуг, хранится в защищённом хранилище данных, доступ к которому осуществляется только через серверную инфраструктуру портала. Данные подписи зашифрованы и размещаются в базе «Электронные подписи», интегрированной в систему управления пользователями.

При первой привязке подписи сервис создаёт запись в базе, где сохраняются:
- сертификат подписи;
- закрытый ключ, зашифрованный с использованием пользовательского пароля;
- метаданные (идентификатор пользователя, дата создания, статус проверки).
Доступ к закрытому ключу возможен только после ввода пароля и прохождения двухфакторной аутентификации; без этих действий система не раскрывает содержимое.
Хранилище реализовано на базе распределённой архитектуры с репликацией, что гарантирует сохранность данных при сбоях оборудования.
Все операции с подписью логируются в журнале аудита, где фиксируются время, IP‑адрес и тип действия (подпись, проверка, удаление).

Таким образом, простая электронная подпись в Госуслугах находится в зашифрованном виде в специализированной базе данных, управляемой серверным окружением портала, с многослойной защитой доступа и полной отслеживаемостью действий.

Хранение усиленной неквалифицированной электронной подписи

Форматы хранения УНЭП

Электронная подпись пользователя в системе Госуслуги сохраняется в виде цифровых контейнеров, соответствующих международным стандартам. Применяемые форматы гарантируют целостность подписи, возможность проверки подлинности и совместимость с различными сервисами.

PKCS#7 / CMS - бинарный контейнер, содержащий подпись и сертификат, используется для подписания файлов и сообщений.
XMLDSig - XML‑структура, позволяющая включать подпись непосредственно в документы XML, поддерживает подпись отдельных элементов.
CAdES - расширение PKCS#7, добавляющее временные метки и атрибуты долгосрочного хранения.
XAdES - аналог CAdES для XML‑документов, обеспечивает длительную проверяемость подписи.
PAdES - формат для подписанных PDF‑файлов, сохраняет подпись в структуре PDF‑документа.

Все перечисленные форматы хранятся в зашифрованных файлах, привязанных к учетной записи пользователя. Файлы размещаются в защищённом хранилище Госуслуг, доступ к которым осуществляется только после прохождения двухфакторной аутентификации. Такая организация гарантирует, что подпись будет доступна только владельцу и сможет использоваться в любых государственных сервисах без потери юридической силы.

Обеспечение безопасности УНЭП

Электронная подпись в сервисе Госуслуги хранится в зашифрованном виде на серверных кластерах, управляемых Федеральной службой по техническому и криптографическому надзору. Доступ к данным осуществляется только через защищённые каналы связи, реализованные по протоколу TLS 1.3 с обязательной проверкой сертификатов сторонних приложений.

Для защиты УНЭП применяются следующие меры:

аппаратные модули безопасности (HSM), генерирующие и хранящие закрытые ключи в изолированной среде;
многофакторная аутентификация сотрудников, обслуживающих хранилище, включающая токены и биометрические данные;
регулярные аудиты конфигураций и журналов доступа, фиксирующие каждое действие с подписью;
автоматическое уничтожение ключей после истечения срока их действия или при обнаружении аномалий.

Криптографические алгоритмы соответствуют требованиям ГОСТ Р 34.10‑2012 и ГОСТ Р 34.11‑2012, обеспечивая стойкость к современным методам взлома. Все операции с подписью фиксируются в неизменяемом реестре, что гарантирует возможность отслеживания и восстановления событий в случае инцидента.

Контроль целостности данных реализован через хеш‑суммы и цифровые подписи журналов, что исключает возможность несанкционированного изменения информации о подписи. Система автоматически переключается на резервные серверы при обнаружении отказа основного узла, поддерживая непрерывный доступ к подписи без потери её защиты.

Хранение усиленной квалифицированной электронной подписи

Носители УКЭП: токены и смарт-карты

Электронная подпись в системе Госуслуги размещается на специальных носителях, которые гарантируют защиту закрытого ключа и контроль доступа. Основные типы носителей - аппаратные токены и смарт‑карты. Оба решения работают по принципу изоляции криптографических операций от пользовательского устройства, что исключает возможность копирования ключа.

Токены представляют собой небольшие USB‑устройства. Их преимущества:

компактность, возможность подключения к любой современной машине;
поддержка стандарта PKCS#11, совместимость с большинством клиентских приложений;
защита от физического вмешательства через встроенный микроконтроллер.

Смарт‑карты - пластинчатые носители, обычно используемые в сочетании с считывателем. Их особенности:

возможность размещения нескольких сертификатов на одной карте;
поддержка стандарта ISO/IEC 7816, широкая интеграция в банковскую инфраструктуру;
высокая степень защиты при работе в условиях повышенного риска компрометации.

Выбор между токеном и смарт‑картой определяется требованиями организации: уровень мобильности, наличие считывателя и предпочтительная модель управления сертификатами. Оба типа удовлетворяют требованиям системы Госуслуги по безопасному хранению закрытого ключа и обеспечивают юридическую силу подписанных документов.

Облачные хранилища УКЭП

Электронная подпись в сервисе Госуслуги размещается в облачном хранилище, управляемом оператором квалифицированных сертификатов. Доступ к подписи осуществляется через защищённый API, который проверяет права пользователя и обеспечивает шифрование данных на всех уровнях передачи.

Облачные хранилища УКЭП предоставляют:

изоляцию ключей в отдельном виртуальном контейнере;
автоматическое резервное копирование в нескольких дата‑центрах;
контроль доступа на основе многофакторной аутентификации;
журналирование всех операций с подписью для последующего аудита.

Хранилище интегрировано с инфраструктурой Госуслуг, что позволяет пользователям подписывать документы без локального сохранения ключей. При этом криптографический модуль, расположенный в облаке, генерирует и хранит закрытый ключ, а публичный сертификат доступен через открытый каталог.

Для обеспечения конфиденциальности система использует алгоритмы RSA/ECDSA с длиной ключа не менее 2048 бит и сертификаты, соответствующие требованиям ФСБ. Все запросы к хранилищу проходят через TLS‑соединения с проверкой сертификатов сервера. Таким образом, облачное решение гарантирует сохранность подписи и её доступность в любой момент работы с государственными сервисами.

Программные криптографические средства

Электронная подпись в сервисе Госуслуги сохраняется в защищённом программном хранилище, управляемом криптографическим модулем, интегрированным в инфраструктуру федерального удостоверяющего центра.

Программные криптографические средства, используемые для этой задачи, включают:

Криптопровайдеры (CryptoAPI, CNG) - обеспечивают генерацию, хранение и проверку ключевых пар в изолированном пространстве процесса.
Аппаратно‑программные токены (software‑based HSM) - эмулируют функции аппаратных модулей, сохраняют закрытый ключ в зашифрованном виде, доступ к которому возможен только после аутентификации пользователя.
Контейнеры ключей (PKCS#12, PKCS#11) - файлы, защищённые паролем, размещаются в системе пользователя, но доступны только через криптографический API, который контролирует их использование.

При запросе подписи сервис инициирует вызов криптопротокола, который:

аутентифицирует пользователя по сертификату и паролю;
открывает защищённый контейнер, извлекает закрытый ключ;
формирует подпись и сразу уничтожает ключ из оперативной памяти.

Все операции происходят в режиме «приватный ключ не покидает защищённую область», что исключает возможность его копирования или утечки. Таким образом, программные криптографические средства гарантируют, что электронная подпись хранится и используется исключительно в зашифрованном, изолированном и контролируемом окружении системы Госуслуги.

Взаимодействие Госуслуг с удостоверяющими центрами

Электронная подпись в сервисе Госуслуги формируется при обращении к удостоверяющему центру (УЦ) через защищённый API. После подписи документ сохраняется в зашифрованном виде в личном кабинете пользователя и одновременно в реестре УЦ, что обеспечивает мгновенный доступ и юридическую силу.

Процесс взаимодействия выглядит так:

Пользователь инициирует подпись в Госуслугах.
Система формирует запрос, включающий хеш документа и параметры сертификата.
УЦ проверяет сертификат, создаёт подпись и возвращает её в виде токена.
Токен сохраняется в зашифрованном хранилище личного кабинета и в реестре УЦ.
При необходимости подпись извлекается из хранилища для проверки подлинности.

Хранилище в Госуслугах реализовано на основе аппаратных модулей защиты (HSM), что исключает возможность несанкционированного доступа. Синхронизация с УЦ гарантирует, что каждый подписанный документ имеет единую запись в обоих реестрах, что упрощает проверку и аудит.

Безопасность и защита электронной подписи на Госуслугах

Меры защиты от несанкционированного доступа

Электронная подпись в сервисе Госуслуги размещается в защищённом хранилище, изолированном от пользовательских данных. Доступ к подписи регулируется несколькими уровнями контроля.

Шифрование ключей алгоритмами ГОСТ 28147‑89 и RSA 2048, хранение в зашифрованном виде.
Аппаратный модуль безопасности (HSM) гарантирует генерацию и использование ключей без их выгрузки в память сервера.
Двухфакторная аутентификация администраторов, включающая токен или биометрический фактор.
Ролевой доступ: только пользователи с ролью «оператор подписи» могут инициировать операции с ключами.
Журналы аудита фиксируют каждый запрос к подписи, включая идентификатор пользователя, время и действие; записи защищены от изменения.
Ограничение сетевого доступа через белый список IP‑адресов и сегментацию сети, исключающую прямой доступ из публичных сегментов.
Регулярный ротационный процесс ключей: новые пары генерируются каждые 12 мес., старые отзываются и уничтожаются в соответствии с политикой безопасности.

Эти меры формируют многослойную защиту, исключающую возможность несанкционированного получения или использования подписи.

Ответственность за использование электронной подписи

Электронная подпись, размещённая в личном кабинете портала государственных услуг, считается личным криптографическим средством пользователя. Ответственность за её применение полностью возлагается на владельца.

Использование подписи без законных оснований влечёт уголовную и административную ответственность за подделку документов.
Незаконный доступ к подписи, в том числе её передача третьим лицам, считается нарушением статей о защите персональных данных и может привести к штрафам и лишению права работать с государственными сервисами.
За отсутствие своевременного отзыва подписи после утраты контроля над ней пользователь несёт финансовую и репутационную ответственность.
При совершении действий, требующих подписи, пользователь обязан убедиться в подлинности получаемой информации и в соответствии её с нормативными актами; нарушение приводит к признанию действий недействительными и к взысканию убытков.

Соблюдение этих требований гарантирует законность операций и защищает как пользователя, так и государственные сервисы от неправомерного использования криптографических средств.