МЧД: Машиночитаемые доверенности

С 1.09.2023 Электронные Цифровые Подписи (далее ЭЦП) не выпускаются на сотрудников предприятия (кроме Ген. Директора - он может выпустить ключ на ЮЛ в своем лице). Теперь ЭЦП выпускаются на Физическое Лицо, а ЮЛ должно уведомить ФНС, какими полномочиями подписи обладает это Физическое Лицо в штате этой компании. Для этого необходимо оформить МашиноЧитаемую Доверенность (МЧД): создать её в формате XML, подписать откреплённой подписью Юридического Лица (Ген. Директора) и загрузить её в Единый Распределенный Реестр. Для этих действий существует ряд платных сервисов (Контур.Доверенность, СБиС и т.д.) - к ним мы отношения не имеем, при работе с ними пользователю следует обратиться в поддержку этих сервисов за помощью/консультациями. Ниже рассмотрим бесплатный (насколько это возможно) и общедоступный функционал для работы с МЧД.

Создание МЧД

Необходимо зайти на портал m4d.nalog.gov.ru, на левой панели выбрать вкладку "МЧД" и в всплывающем списке выбрать "Создать доверенность":

Далее следует выбрать типа доверенности. Для большинства операция, в том числе для ЕГАИС, следует выбрать Единую форму доверенности версии 003 ( у меня еще не возникало ситуаций, когда нужны были МЧД других типов, если они возникнут - я дополню этот блок) и перейти к пункту "Ввод сведений":

Сведения о доверенности

- уникальный номер GUID доверенности - генерируется автоматически, менять его НЕЛЬЗЯ, можно перегенерировать нажатием на круговую стрелочку в правой части поля (но зачем?)
- внутренний номер доверенности - заполняется вручную в вольном формате, достаточно порядковой нумерации типа 1,2,3 и т.д. 
- Дата совершения (выдачи) и Дата окончания - сроки начала и окончания действия доверенности, флаг "Без срока действия" автоматически устанавливает дату окончания действия через 1 год после выдачи, вручную можно выставить больше

После заполнения раздела рекомендую пользоваться кнопкой "Следующий раздел" - произойдет проверка заполненных полей, незаполненные или заполненные некорректно подсветятся, если все ок, то откроется следующий раздел

Сведения о доверителе:

Доверитель - тот кто выдает доверенность. Чаще всего ЮЛ или ИП.
- Категория доверителя: выбираем категорию (ЮЛ, ИП и т.д.), заполняем реквизиты и нажимаем "Далее", если все заполнено корректно, Наименование и Адрес подтянутся из реестра ФНС автоматически:

- Добавить Единоличный Исполнительный Орган (ЕИО): для ЮЛ вводим данные Генерального Директора

Сведения о представителе

Представитель - на кого оформляется доверенность, в нашем случае - Физическое Лицо
- Категория представителя: Физическое лицо
Далее заполняем данные представителя и переходим к следующему разделу

Сведения о передаваемых полномочиях:

- Состав полномочий: выбрать из классификатора
- Полномочия: перечисляем полномочия, которыми будет обладать представитель. В поле работает поиск по частичному совпадению текста. Для формирования RSA сертификата ЕГАИС и дальнейшей работе УТМ с ключом Физического лица необходимо и достаточно полномочие "RAR_00000001 - Подписывать документы, направляемые в Росалкорегулирование"
- Оформление передоверия: на усмотрения доверителя. Рекомендуем "не допускается"
После заполнения всех полей нажимаем "Просмотр результата":

Проверяем данные и жмем "Сформировать XML":

Браузер может заблокировать загрузку, жмем "Сохранить", в загрузках появляется файл МЧД в формате XML с названием ON_EMCHD_[ГГГГ.ММ.ЧЧ]_[уникальный номер GUID доверенности].xml. Если на этом этапе возникли проблемы - листай вниз до *
Далее её необходимо подписать и загрузить в реестр.

Подпись МЧД

Это единственный пункт, который может быть платным. ПО для электронной подписи документов, как правило, распространяется платно. Для подписи МЧД подойдут КриптоПро CSP, КриптоАРМ ГОСТ (есть триал на 14 дней) или Такском - Криптолайн (распространяется бесплатно). КриптоАРМ ГОСТ и Такском - Криптолайн требуют наличия действующей лицензии КриптоПро CSP. При необходимости создания большого количества МЧД следует приобрести лицензию КриптоАРМ ГОСТ или аналогичного ПО, или приобрести подписку на сервисы по созданию МЧД, о которых упоминалось в начале статьи. Или можно пользоваться КриптоПро CSP и Такском - Криптолайн, если его функционал устраивает пользователя (и если ПО и в дальнейшем будет распространяться бесплатно).

Для подписи МЧД нам понадобится:

- действующая ЭЦП доверителя
- установленные драйверы носителя ЭЦП (Рутокен, JaCarta и т.д.)
- установленное ПО КриптоПро CSP с действующей лицензией (пути её получения остаются на личное усмотрение пользователя)

- (ОПЦИОНАЛЬНО) установленное ПО КриптоАРМ ГОСТ с действующей пробной лицензией на 14 дней или Такском - Криптолайн .

 

КриптоПро

Как правило уже установлена на ПК, где ранее хоть раз работали с любым КЭП, но если что скачать можно тут, заполнив форму. После установки желательно перезагрузить ПК. Затем заходим в меню "Пуск" в папку КРИПТО-ПРО -> Инструменты КриптоПро.
В главном окне выбираем вкладку "Создание подписи", выбираем из списка сертификат доверителя, нажимаем "Выбрать файл для подписи" и в проводнике выбираем *.xml файл МЧД:

Директория сохранения подписи автоматически указывается идентичная директории хранения *.xml, при желании можно изменить её нажав "Сохранить подпись как". Дефолтное расширение подпись - *.p7s, он нам подходит, но при желании тут же можно изменить его на *.sig, указав желаемое разрешение в имени сохраняемого файла:

Затем жмём "Показать расширенные" и выставляем флаг "Создать отсоединённую подпись":

             

Получаем уведомление об успешном создании подписи, проверяем наличие файла подписи в указанной директории:

 

 

КриптоАРМ ГОСТ

Можно скачать тут с учетом разрядности ОС:

После установки запускаем КриптоАРМ ГОСТ и переходим на вкладку подпись и шифрование:

Добавляем созданную ранее МЧД в основное поле путём "перетаскивания" или с помощью кнопки "+" в правом нижнем углу:

Выделяем добавленный файл и в правом поле проставляем:
- операции: Подпись (ТОЛЬКО Подпись)
- Сертификат подписи: жмём "Выбрать" и выбираем из списка действующую подпись ЮЛ - доверителя, от которого сформирована доверенность, подтверждает кнопкой "Выбрать":

- Настройки подписи:
а) Стандарт подписи: CMS (стоит по умолчанию)
б) Вид подписи: ОТСОЕДИНЕННАЯ
в) Кодировка: DER (стоит по умолчанию)

Остальные поля оставляем без изменений.
Ставим флаг "Документы просмотрены" и жмём "Выполнить":

В результате в основном поле увидим строку с одноименным файлом расширения .sig с информацией о подписи:

Создастся этот файл в той директории, откуда добавляли МЧД в КриптоАрм (в данном случае - загрузки):

Такском - КриптоЛайн

Загрузить инсталлятор можно здесь

После установки запускаем ПО, нажимаем "Добавить" и выбираем *.xml файл МЧД:

Затем нажимаем "Подписать", в открывшемся окне "Подпись файлов" нажимаем "Добавить", выбираем из списка действующую подпись Доверителя, нажимаем "Выбрать". В блоке "Параметры подписи" выставляем расширение файла - .sig,  флаг "Откреплённая подпись", кодировка DER и нажимаем "Подписать":

 результате в основном поле увидим строку с одноименным файлом расширения .sig с информацией о подписи. Выделяем его, жмём выгрузить и выбираем директорию для сохранения:

Получаем сообщение об успешной выгрузке и файл .sig в выбранной директории:

Именно эти 2 файла ( .xml и .sig) и представляют собой созданную МЧД, они необходимы для регистрации в некоторых сервисах, в том числе для выпуска RSA-сертификата для ЕГАИС. ВАЖНО: нельзя изменять xml файл после подписи (в этом собственно, и есть смысл подписи). При необходимости таких изменений следует заново подписать измененный файл.
На данном этапе МЧД является НЕДЕЙСТВИТЕЛЬНОЙ, т.к. она не внесена в реестр ФНС. Об этом далее.

Загрузка МЧД в реестр ФНС

Необходимо зайти на портал m4d.nalog.gov.ru, на левой панели выбрать вкладку "МЧД" и в всплывающем списке выбрать "Загрузить в реестр":

На открывшейся странице добавляем файлы МЧД (перетаскиванием или через проводник):
- Исходный документ: файл с расширением .xml

- Файл с подписью: файл с расширением .sig

И нажимаем "Загрузить":

В случае отсутствия ошибок получим сообщение об успешной загрузке в реестр:

Если на этом этапе возникли проблемы - листай вниз до *

Проверка статуса МЧД

Рекомендуется делать и сразу после загрузки МЧД в реестр, и ОСОБЕННО если Вам пересылают готовую МЧД для помощи в регистрации в каком-либо сервисе/ выпуске RSA сертификата для ЕГАИС. Если МЧД не проходит проверку на портале ФНС - значит она недействительна/не загружена в реестр и нигде работать не будет.
Необходимо зайти на портал m4d.nalog.gov.ru, на левой панели выбрать вкладку "МЧД" и в всплывающем списке выбрать "Проверить статус доверенности":

Уникальный номер GUID доверенности можно взять из пункта 1 создания МЧД (если сохраняли) или из имени файла (помним, что он сформирован по принципу ON_EMCHD_[ГГГГ.ММ.ЧЧ]_[уникальный номер GUID доверенности].xml) и жмём "Просмотр результата":

В ответ получаем статус доверенности и период её действия:

Дополнительно, если вам переслали готовую МЧД для работы, стоит воспользоваться функционалом портала "Посмотреть доверенность", чтобы убедиться, что доверенность выдана корректным доверителем корректному представителю с корректными полномочиями. Для этого необходимо зайти на портал m4d.nalog.gov.ru, на левой панели выбрать вкладку "МЧД" и в всплывающем списке выбрать "Посмотреть доверенность", заполняем GUID ИНН доверителя и представителя и жмём "Просмотр результатов":

Если все проверки пройдены - с МЧД можно работать.

*- при скачивании МЧД и загрузке МЧД в реестр неоднократно наблюдались ошибки, связанные с нестабильностью работы сервиса, такие как "Сбой загрузки", "Внутреняя ошибка системы" и т.д. (ниже пример одной из них):

На момент написания инструкции этих проблем не наблюдается, но если столкнётесь - варианты действий:
- подождать некоторое время и попробовать позже (я проверял каждый час на протяжение недели - без результатно)
- написать обращение в тех.поддержку ФНС через Личный Кабинет (не ответили до сих пор)
- многократно жать кнопку "Загрузить" (или "Скачать XML" ), игнорируя ошибки, до достижения цели (меня посетил успех через 15 минут)
Надеюсь, что к моменту прочтения вами этого блока, информация уже не актуальна и работа сервиса стабилизирована