Pull to refresh

Comments 193

Проблема в том как выдается подпись. Фактически ЭП на директора, это ЭП выданная физическому лицу с дополнительными атрибутами. Да все верно введение МЧД (машино читаемых доверенностей) должно решить эту проблему, а так же проблему с тем что вам каждый раз надо делать новую ЭП на каждого сотрудника. Когда введут МЧД, все станет как надо. ЭП будет выдаваться на человека, а для подписи доверенности будет нужна ЭП гендирерктора которая выдается в ФНС.

А решит ли проблему с доступом к личным данным физ лица ?

Конечно :) ЭП будет выдан на физическое лицо, т.е. подпись наконец будет личная, как и в бумажных документах. Но если мы тут говорим за ЭП гендиректора, боюсь ничего не поменяется и не может поменяться, так-как это ЭП гендиректора и она все так же будет выдана физическому лицу.

Звучит, что нужен поддомен который только на уровне юр лиц работает. Тогда появится возможность пофиксить ситуацию доступа к данным физ лиц.

Не нужно. ЭП привязана к физическому лицу и это нормально. Передавать ЭП генерального директора не надо просто.

А по вашему, сколько документов в день, должен подписать лично ГД? Как это сделать при при 3-4, если не десятке разрозненных сервисов, с запутанным интерфейсом? Как пример, предоставление прав на сторительство. А остальные ГНИ, ФСС и пр, да теже тендерные площадки. И у всех есть "изюминка". И все ТРЕБУЮТ ЭП ГД!

Я согласен, что передача ЭП ГД это откровенное нарушение. Но если ваш ГД, это не просо человек сидящий на стуле, это вся эта цифровизация, это лишь способ продить дубликаты ЭП и раздача их сотрудникам с надеждой на лучшее. Что есть совсем не гуд.

Просто всё как всегда сделано на коленке. Ни плана развития, ни внятных руководителей. Только бюджет...

В одном профильном чатике меня просто закидали тапками когда я им сказал что добрая половина бюджетных порталов даже не заводят учетные записи не на руководителя... А уж про то чтобы делегировать подпись в документе... Мы как централизованная бухгалтерия устали от всего этого. А еще (слава богу пофиксили) была фишка на одном из "внутренних" порталов что нельзя поставить подпись не сотрудника организации!!! Т.е. нам как цб надо было каким-то странным образом получить по 125 ЭП на директора цб (формализованная должность главный бухгалтер) и по 125 на главного экономиста в каждой организации... когда они фактически даже не сотрудники. Ну и вишенка на торте - подписывать в итоге должна ЭП руководителя организации... При всем при этом у нас договор обслуживания по которому все эти роли полностью переданы нам!

Роли вы по договору можете передавать кому угодно. А вот ответственность - нет.

Не только не надо, но и запрещено. Личная подпись не должна передаваться никому. Мало ли что он за вас подпишет. Если нужна подпись для бухгалтера, то делается подпись для бухгалтера, а не передаётся ему своя.

А с введением доверенностей изменится то, что одному физлицу, работающему с несколькими организациями не нужно будет заводить подпись на каждую организацию, у него будет только одна подпись физлица)

Тут вопрос в другом, с чего в друг эп физ лица или директора выдана другому физическому лицу пусть и сотруднику? Почему не перевели право подписи и бухгалтер заходит не со своей подписью, а подписью директора?
Если правильно помню это нарушение и такая подпись уже скпомпромитирована и должна быть отозвана. Понятное дело что так никто не делает потому что "удобно" но жаловаться при этом на госуслуги потому что сами себе злобные буратины... как то странно.

Лень и жадность. Для того чтобы сделать как указано надо делать подпись на бухгалтера, осуществлять бюрократию. Поверьте у меня есть пара сервисов которые содержат такие подписи просто чтобы автоматически документы отправлять куда надо.

Правда со следующего года подпись директора выдается только на токене откуда закрытый ключ вынуть нельзя, так что тут хоть копию сделать нельзя она привязана к физическому устройству.

Я буду использовать хаб, и кого я знаю тоже .

Уже получил подпись в этом месяце с выставленным флагом (некопируемая).

А можно закон который запрещает передачу ЭП? Как раз таки это не запрещено и я вполне могу это сделать: https://www.garant.ru/consult/civil_law/1270970/

Да с оговорками, но вполне приемлимо.

Опять же есть очень много госпорталов не предполагающих вообще доверенностей и прочего.

Проблема в том как выдается подпись.

Я так и не понял в чём проблема. Вы директор, получили подпись на себя и можете зайти в свой кабинет.

В любом приличном уц закрытый ключ формируется пользователем за своим компьютером, потом он едет подтверждать личность, потом опять за своим компьютером получает сертификат к закрытому ключу. Ну а с действующей подписью уже никуда ехать не надо (до следующего года).

введение МЧД (машино читаемых доверенностей) должно решить эту проблему, а так же проблему с тем что вам каждый раз надо делать новую ЭП на каждого сотрудника

Врядли те, кто всем предприятием пользуются подписью директора, будут что-то менять.

У нас уже много лет есть подписи на директора и сотрудников. И, внезапно, когда директор не раздаёт свою подпись всему предприятию, как это положено по закону, то у него не возникает вопросов, почему он со своего компьютера может зайти со своей подписью в свой кабинет.

Я так и не понял в чём проблема. Вы директор, получили подпись на себя и можете зайти в свой кабинет.

Люди негодуют что доступ в ЛК Директора доступен под его ЭП :) Так-как воспринимают ЭП директора как печать, а не как подпись.

В любом приличном уц закрытый ключ формируется пользователем за своим компьютером, потом он едет подтверждать личность, потом опять за своим компьютером получает сертификат к закрытому ключу.

Да но нет. Чаще всего генерация всего делается прямо в УЦ и тупо пишется на флешку клиенту. По этой причине принудительное использование токенов это благо.

Врядли те, кто всем предприятием пользуются подписью директора, будут что-то менять.

А придется. ЭП директора будет выдаваться только на токене. Ключ скопировать никак, в итоге так или иначе придется получать подпись ЭП на человека, особенно если ключ использовался для подписания отчетности в автоматизированном сервисе. Раньше ключ просто копировался несколько раз и использовался где надо.

Отдаст токен в бухгалтерию да и всё

Все верно, только вот ключи с токена вынуть нельзя. Если раньше украсть ключи можно было простым копированием, то в случае токена только кража физического носителя. А это уже другие риски.

Уважаемый, я вот несколько раз пытался купить смарт-токены в Питере - это нереально. В итоге мне Актив выслал один бесплатно на обзор. В УЦ тоже такими токенами не барыжат. А если даже и барыжат, то запросто могут сгенерить ключ без использования набортной крипты, а софтваоно.

Так сот только сам, только на своём рабочем месте.

Ну вон люди выше спрашивают у меня что это за плохие центры :) А по факту все так.

тупо пишется на флешку клиенту

Я такого не видел, ничего не могу сказать, видимо не попадались такие убогие уц.

ЭП директора будет выдаваться только на токене.

Место получения меняется, а требования к носителю где прописаны?

Я такого не видел, ничего не могу сказать, видимо не попадались такие убогие уц.

К сожалению бывают

Место получения меняется, а требования к носителю где прописаны?

В законе прописаны. Использование только токенов. Флешки как носитель использовать нельзя

Где такое прописано в законе?

Дружище, а вас спрашиваю про закон (номер закона, статья, часть, пункт), а вы мне кидаете ссылку на обзорную статью журнализдского качества.

TL;DR.

Я догадываюсь, что вы имели ввиду, Приказ ФНС (что ни разу не закон, а максимум подзаконный акт), но он касается только ЮЛ.

Ну дак и речь идет про ЮЛ и ИП. Остальные где получали там и получают.

Если вы читали внимательно и с выражением приказ ФНС о введении в эксплуатацию удостоверяющего центра, и имеете способность понять, а не заснуть, далее десятого предложения на канцелярите, то там много лулзов.

Например, технические требования к токену (в части, например, интерфейса подключения) распространяются только на случай изготовления ключей в УЦ ФНС. А если вы самостоятельно изготавливаете ключи, то вы обязаны предъявить токен и сертификат на него, а технических требований к нем нет. То есть если вы придете туда с токеном на смарткарте (Рутокен ЭЦП 3.0, например), то прочитать они его не смогут, но и отказать в выдаче сертификата тоже =)

Разумеется, практики по этому тонкому троллингу ФНС ещё пока нет вразумительной, но всё как говорится спереди...

В законе зато написано, что ключи можно хранить в облаке у какого-то дяди.

Там требуется специальный HSM и акредитация

А кроме того (и самое главное), требуется отношение доверия владельца ключа и аккредитирующего органа. Вот ни разу мне не понятно откуда это отношение должно и может возникать. Вы писали хоть раз жалобу в Минсвязи (ныне Минцифры) на очевидные нарушения 63-ФЗ со стороны УЦ? Получали отписки? И как после этого этим долбоёбам можно хоть что-либо доверять? =)

респектую, я вот стеснялся их так вслух назвать.

Использование только токенов. Флешки как носитель использовать нельзя

И причём тут запрет на копирование? Это атрибут электронной подписи, а не носителя.

Скопировать контейнер с флешки вы можете. А вот вынуть из токена закрытый ключ или к примеру контейнер никак

Посмотрел ещё раз информацию, на руководителя действительно на носителе с неизвлекаемым ключом, был неправ.

Но вы так пишете

А вот вынуть из токена закрытый ключ или к примеру контейнер никак

как будто все носители с неизвлекаемым ключом, бывают и токены с извлекаемым.

Вообще если токен позволяет извлекать ключ, это как бы ЖЖ и не очень настоящий токен

вынуть из токена закрытый ключ или к примеру контейнер никак

Вопрос только в том, какое оборудование для этого потребуется.

В ЛК можно просто отключить вход по ЭП, не блокируя сами подписи. Для новых учётных записей вход по ЭП, вроде как, сейчас по умолчанию отключён.

Блокировка подписи означает, что ей нельзя заявления на портале подписывать и всё.

С сайта госуслуг:

Что будет, если заблокировать электронную подпись

В этом случае вы и никто другой не сможете пользоваться электронной подписью на Госуслугах. Например, нельзя будет войти на портал, зарегистрировать организацию или изменить настройки учётной записи

Это временная блокировка, её можно снять и снова пользоваться электронной подписью

Хм... Возможно, сам ни разу не блокировал. Но вот этот переключатель работает точно.

И потом нельзя будет авторизовываться электронной подписью на всяких порталах госзакупок типа etp-ets.ru

я потому и не хотел полностью выключать доступ по ЭП.

Вот было бы очень неплохо если бы:


  • можно было научить приложение госуслуг работать с ЭП с мобильных (ну а что — USB-порт и переходники, раз уж не под силу производителям ГОСТ-токенов сделать NFC-версии, хотя сама задача — решаемая — у YubiKey такое есть, там конечно не ГОСТ)
  • научить приложения на андроид (вроде ГисЖКХ и банков) не запрашивать по новой логин и пароль госуслуг а запрашивать доступ через приложение Госуслуг (как Facebook делает — приложения нет — мобильная веб-страничка, приложение есть — запрос в этом приложении)
  • разрешить отключать телефонную 2FA — вход только с токеном (а отключение этой опции — в МФЦ)
  • сделать дополнительный способ 2FA — "нажмите ДА в приложении Госуслуг на телефоне" (вроде того же Google Prompt)

Вообще все это давно есть. Просто сходите на сайт того рутокена. Ключи есть работающие через bluetooth и с кнопкой. И да это можно все запустить на андроиде и даже есть нужное SDK

научить приложения на андроид (вроде ГисЖКХ и банков) не запрашивать по новой логин и пароль госуслуг а запрашивать доступ через приложение Госуслуг (как Facebook делает — приложения нет — мобильная веб-страничка, приложение есть — запрос в этом приложении)

Это тоже давно есть называется ЕСИА. К нему могут подключаться в том числе и некоторые коммерческие структуры. К примеру банки и провайдеры.

Вообще все это давно есть. Просто сходите на сайт того рутокена. Ключи есть работающие через bluetooth и с кнопкой. И да это можно все запустить на андроиде и даже есть нужное SDK

Приложение Госуслуг на андроиде умеет этими ключами пользоваться?
А отключить в этом случае смсную 2FA можно? (у меня соответствующую опцию найти не вышло).


Это тоже давно есть называется ЕСИА. К нему могут подключаться в том числе и некоторые коммерческие структуры. К примеру банки и провайдеры.

Что можно использовать другим ресурсам авторизацию я в курсе. Но вот только ГисЖКХ на андроиде — работает именно как описано мной. Открывается вебвью с сайтом госуслуг а НЕ установленное приложение госуслуг. Приложение ВТБ делает точно также. Госуслуги.Стопкороновирус (показывалка и проверялка QR-кода) тоже показывает вебвью. Яндекс(приложение) (для функции показа QR-кода) тоже показывает вебвью.
Если в спецификации ЕСИА сказано что при наличии на том же устройстве приложения госуслуг должно вызыватся оно а не вебвью — почему тогда такое количество разработчиков сделало криво?
Вот что я имею ввиду для случая Facebook, в картинках https://habr.com/ru/post/116417/

Приложение Госуслуг на андроиде умеет этими ключами пользоваться?
А отключить в этом случае смсную 2FA можно? (у меня соответствующую опцию найти не вышло).

Нет конечно. Там круг пользователей в данный момент весьма невелик.

Если в спецификации ЕСИА сказано что при наличии на том же устройстве приложения госуслуг должно вызыватся оно а не вебвью — почему тогда такое количество разработчиков сделало криво?

ЕСИА как раз про web там только oauth по этому и вылазит webview. А вот про приложение там ничего нет насколько я помню, по этому все и делают через webview

Рутокен ЭЦП 3.0 - смарт карта с ГОСТ.

Но входить по ЭП, я считаю, плохо. Вы подписываете при входе какие-то рандомные данные, которые не видите. Они могут быть и не рандомными вовсе.

А расскажите, как сгенерировать подпись самому и получить на нее сертификат?

Недавно получал подпись в такском. Специальная веб-странчяка вызвала биологический ГСЧ, я поводил мышкой и подпись была записана на джакарту. Потом приехал курьер и привез сертификат.

UFO just landed and posted this here
После чего я генеририрую ключевую пару на токене со своего ноута, и записываю сертификат, подписанный УЦ, на токене (это делается элементарно, средствами плагинов через браузер).

Вот тут ТС сам генерирует пару ключей. Собственно Tsvetik просил подробности процесса.

Ищите УЦ который позволяет подписывать запрос csr тогда закрытая часть останется только у вас.

Вот так происходит у них процесс.

https://youtu.be/E1x47IWHeyI?t=166

И мне кажется, что ключи генерируюстя у меня. Такском олько сертификат выпускает.

А можно поподробнее про csr и как все это делать?

При такой схеме csr формируется самим софтом на вашем компьютере и подписывается у них, тут все хорошо и ничего менять не надо.

УЦ Росреестра. Есть в каждом регионе. 700 рублей

Точно так же, только токен я сам вставляю в свой комп и не передаю никому. И сертификат загружается тоже через веб-страницу после подтверждения заявления оператором. А Вам курьер привез, скорее всего, токен, и что с ним делали, не экспортнули ли вашу ЭП по дороге - одному богу известно.

Есть опыт формирования ЭП со стороны бюджетных организаций через Федеральное казначейство - они просто создали портал, где с помощью программки формируется закрытая часть ключа и заявление на получение сертификата, который вам присылают на почту через некоторое время - по итогу закрытая часть ключа остается только у вас и никто кроме вас не имеет к ней доступа.

Не-не. Токен у меня свой. Курьер привез бумаги.

Я некоторое время назад был вот этим самым "Васей", только от Контура. Посмотрев видео, могу сказать, что немного отличается схема работы. У Контура она следующая:
сначала нужно сформировать заявление (в офисе УЦ или дома, но потом приехать с распечатанным заявлением, паспортом и СНИЛСом в отделение УЦ). Менеджер проверяет данные, пробивает по базе и если все ок - тыкает кнопку и говорит, мол, можем начать выпуск подписи, как поступим, в офисе начнем или самостоятельно? Вот на этом этапе вы можете уходить домой - с приобретенным пустым токеном или своей USB-флешкой (да, на нее тоже можно выпустить ЭП), не суть важно. Дома заходите на определенный контуровский сайт (несколько вариантов логина, предпочтительный - по номеру телефона, придет смска), после чего попадаете в свой ЛК УЦ. Если менеджер нажал кнопочку правильно, вы увидете, что ваша подпись готова к выпуску. Клац-клац, качаете плагины и Крипту, генерируете контейнер, проходит от пяти минут до нескольких часов в зависимости от типа подписи и, введя еще одну смс, заканчиваете выпуск (к уже готовому контейнеру "прикрепляется" открытая часть подписи). Для сохранности можно сделать копии на другие носители и/или реестр.

В таком случае у вас просто нет вариантов, где "Вася" в теории может перехватить подпись. На серверах УЦ хранятся только открытые части ЭП, но ими ничего не сделать - ни залогинится куда-либо, ни подписать документ.
Что касается статьи, то автору только остается ждать МЧД (введения и полировки) и просто поддерживать хорошие отношения с владельцами копий своей ЭП) Все-таки с ее помощью можно вещи пострашнее провернуть, чем войти в ЛК физика и там набедокурить.

спасибо, полезный комментарий.

Ну и на всякий случай disclaimer: никого из Василиев обидеть не хочу, это просто, не знаю, как назвать, собирательный образ, что ли. Марь Иванн прошу тоже не обижаться (написал на всякий случай, а то все-таки они держат меня за .... подпись)

В таком случае у вас просто нет вариантов, где «Вася» в теории может перехватить подпись
Код приложений, которые предлагается скачать, открыт?

А это интересный вопрос.

По хорошему, надо купить дистрибутив криптопро, с которым будет сертификат соответствия, что ПО было проверено ФСТЭК и ФСБ, в нем будут хеши ПО с диска. Это даёт какие-то гарантии.

Но у нас все скачивают с сайта. Хотя производите и вводят такое понятие как электронный формуляр, насколько это правильно с точки зрения законодательства не могу сказать.

И да, все ПО проприетарное, хотя все компоненты имеются в опенсорсе, но с точки зрения законодательства надо использовать только после соответствующей сертификации, а тут опенсорос уже не прокатит.

Для ЮР лиц это все обязательно, по факту к ним могут прийти и проверить.

А проверять хэши вы чем будете? Тем же ПО с диска? Другим-то низя, ведь там хэши ГОСТ, но ой, ведь шпиён если подменит ПО на диске, подменит и проверялку хэшей.

Да хоть openssl. Алгоритмы ГОСТ криптографии и реализация к OpenSSL есть.

Ну дома на своей уютной кухоньке-то да. А в серьезной организации нет. Не сертифицирован этот ваш OpenSSL. Вообще не является СКЗИ по закону и не может быть использован для этих целей.

с точки зрения законодательства надо использовать только после соответствующей сертификации, а тут опенсорос уже не прокатит.
Чем, кроме желания чиновников, обусловлен отказ от опенсорса после/при сертификации?

Этот процесс стоит денег и не малых,

Там есть момент что сертифицированной считается строгоопределенная версия собранного ПО которое прошло испытания т.е бинарник. Нужно менять законодательство таким образом, чтобы сертификация на соответствие получалась просто по факту прохождения открытого набора тестов к примеру. Но никому из участников процесса это не интересно.

Достаточно подписать софт. Это будет гарантировать, что софт именно производителя и его никто не модифицировал.

Юридически такой гарантии нет.

будет гарантировать, что софт именно производителя и его никто не модифицировал
Лично я буду доверять производителю только тогда, когда или сам сделаю аудит открытого кода, или это сделает независимая организация, а не только правоохранительные органы.

Код приложений, которые предлагается скачать, открыт?

Насколько я понимаю - нет. Из мастхевного плагин Контура и сама Крипта, остальное ПО по желанию/удобству, в процессе генерации и записи ЭП оно не участвует.

Намек понимаю, но очень сильно сомневаюсь, что крупнейшие УЦ будут хранить на своих серверах ЭП клиентов, даже если бы у них технически была такая возможность. Это незаконно и наказуемо. Хранятся только открытые части ключей.

Насчет собственно технической возможности ничего сказать не могу, знаю про "внутреннекапотную" генерацию контейнера аж ничего, но сильно сомневаюсь, что есть возможность одновременной генерации контейнера в какое-то другое место.

Это незаконно и наказуемо. Хранятся только открытые части ключей.
Ровно до той поры, пока государство или органы сами не заинтересованы.

Если у вас флешка да. Если у вас именно криптотокен, то перевозка безопасна. Вынуть закрытую часть ключа из токена нельзя. Никак :)

Вынуть закрытую часть ключа из токена нельзя. Никак :)
Зависит от производителя токена, реализации ГПСЧ и время от времени всплывающих уязвимостей. Еще следует учесть, что закрытый ключ могли импортировать в токен из-вне, вместо генерации на устройстве.

я про штатный конечно же функционал. Бывает что есть возможность вынуть, но с таким же успехом можно и флешкой пользоваться.

я про штатный конечно же функционал
Так и я о нём. Вам нужно каким-либо образом убедиться, что:
1) завод бренда не заложил бекдор;
2) бренд не уменьшил качество ГПСЧ;
3) не было третьего человека между вами и производителем (продавец/доставщик/коп), который теоретически может импортировать секретный ключ, при условии что вы забудете регенерировать на новый.

хм. получается что всякие сервисы ужаленной бухгалтерии, типа того что "точка" предоставляет тоже могут расхаживатб по ЛК Госуслуг...

Не уверен как реализовано там. Но обычно передаётся сертификат открытого ключа(без закрытого ключа). В таком случае можно реализовать защиту.

как без закрытого ключа они могут подписывать документы и отправлять документы? обычно всякие сторонние сервисы хранят и закрытый ключ (без этого же не подписать), просто используют еще и в терминологии 63-ФЗ простую подпись, то есть присылают смс с кодом подтверждения действия (подписания), если юзер подвтердил, то закрытым ключом подписывают документ

обычно всякие сторонние сервисы хранят и закрытый ключ (без этого же не подписать)

Все так и есть. Я участвовал в разработке подобного сервиса (лет 5 назад).

Нет, не могут. Там схема работы такова — вы через договор делаете их уполномоченными представителями вашей организации для сдачи отчетности, но подписывают они ЭЦП, который выпускается на их имя.

я перепроверю (как раз сейчас надо ключи выпускать на следующий год), но кажется я прав.

Видимо мне почудилась подписанная (посколько МоеДело требует) мной бумага что мной получен (хотя реально файлов не имею) сертификат с открытым ключом таким то от Калуги-Астрал (а теперь от Аналитического Центра, но зато там через myDSS хоть, с myDSS хоть много слов умных сказано что оно через КриптоПРО HSM работает и сертифицировано),

Называется облачный токен.

Что тут вообще обсуждать?

Логин - это Ваша почта/СНИЛС или телефон. Свой логин сделать нельзя. Логин утекает достаточно быстро, он же не секрет.

Подбирай пароль сколько хочешь. Нормальной защиты от подбора судя по всему НЕТ. Мой пароль из 10 символов подобрали за полгода. Хоршо, была включена 2F, пришла СМС на телейфон. Логирования с успешных паролем нет. Только полноценный вход (после СМС) - т.е. если проблемы с телефоном - ты и не узнаешь, что твой пароль подобрали. На почту инфа придет только после полного входа.

Даже в онлайн-банках используют отдельный свой логин, что бы было сложно подобрать пару логин-пароль.

Действительно. Попробовал рандомный набор данных в credentials. После третьей попытки один(!) раз запросило ввести капчу и далее просто кликал на кнопку входа раз 100-150, капчи больше не было.

Позорище.

UFO just landed and posted this here

Аналога pki.gov.kz для физлиц в РФ нет...

Собственно первый и третий этап технически подкованный пользователь вполне может сделать дома и самостоятельно, нужно лишь распечатать бумажку-заявление. Заодно и быстрей всё будет.

Проблема в том, что к остальным могут прийти вежливые и убедительные люди (и программы) — 'помощники', которые тот же ключ помогут правильно создать. И не забудут записать его себе, как в сценарии с Васей.


Поэтому единственный вариант, который кажется правильным — это
(a) использование правильного токена, который ключи сам умеет делать
в комплекте с
(b) вусмерть засертифицированным и запломбированным со всех сторон HSM в удостоверяющем центре, куда этот токен втыкается для всех процедур создания личной ЭП. Причем хорошо бы — чтобы это происходило на виду у получающего подпись и с печатью этим же HSM каких-нибудь подтверждающих бумажек.

на хабре даже была статья про проблемы с рутокен лайт. И да, как и что там генерится, не утекает ли ключевая пара на сторону , тоже не известно. Но хотя бы формально есть сертификаты, аккредитация.

Как вообще можно сертифицировать "криптоконтейнеры" без криптопроцессора?

Если "неизвлекаемый" закрытый ключ необходимо каждый раз физически с носителя считывать (пусть даже потом и расшифровывать в памяти компа)... Что-то тут категорически не так с безопасностью.

Криптобезопасность путём обфускации (на самом деле нет). Тут люди ищут способы борьбы с утечками закрытых ключей по побочным каналам - в том числе и от считывания путём травления или механического доступа к кристаллам. А у нас "зашифрованные флешки" под видом криптоконтейнеров продают.

я тут во многом согласен.

Так он и не извлекается в ПК, данные для подписи передаются в токен, а оттуда возвращается хешь. Как раз для этого токен и нужен.

Кажется, под "«криптоконтейнеры» без криптопроцессора" имели ввиду не крипто-токен, а флешки без чипа и ПО, реализующее «криптоконтейнер», на ПК без TPM-модуля.

Любой вариант с генерацией ключа неизвестным вам алгоритмом (по сути - бинарником, собранным неизвестно из чего) потенциально небезопасен.Здесь была статья, в которой демонстрировалась возможность генерации валидной пары ключей RSA, у которых по публичному ключу можно идентифицировать приватный, достаточно всего лишь искусственно ограничить используемую энтропию ГСЧ, подобрав из нескольких генерируемых вариантов промежуточных множителей выбрать тот, который удовлетворяет определённому условию. Возможно, я немного не точно описываю модифицированный процесс генерации пары ключей, но суть в том, что полученные на выходе ключи никто, кроме создателя модифицированного алгоритма, не отличит от нормальных.

В этом году для двух ЭЦП проводили полностью дистанционное продление сертификатов в разных УЦ.

Имеется (пока) действующая квалифицированная ЭЦП для организации.

На основе её сертификата создаётся и ей же подписывается CSR, который дистанционно через интернет передаётся в УЦ. Некоторые поля в CSR относительно "старого" сертификата причём поменялись - например ИНН в подписи был организации а стал ИНН физлица, а ИНН-ЮЛ ушло в поле с пока не понимаемым многими старыми прогами OID - может это особенность того УЦ (старый сертификат был не их).

Закрытый ключ для нового сертификата полностью генерируется на стороне клиента.

да, при продлении, если подпись действующая, то заявление на выпуск можно ею подписать (ну, что лоигчно). А если истекла, или новая - то по закону нельзя дистанционно, насколько я помню.

В РК другая проблема - наркомански реализовано по для формирования подписей (NCALayer). На Хабре статья была по поводу хранения пути и пароля до ключа на странице. Нуц вроде бы исправил эту проблему в основном модуле, но много модулей эту шляпу притащила к себе. Так же каждый модуль отдельных систем может поидее творить что угодно, и пользователь не будет знать этого, механизм аудита этих модулей отсутствует. Работа только по вебсокету - не заводилось на куче старых АИС, древних как говно мамонта, и требующих режим совместимости с ишаком версии 9 и ниже. Я сам лично танцевал над одной системой, запустили через ёжика. А вот некоторые забили. И или пользовались старыми системами и поддерживали допотопные решения с апплетами. А некоторые умудрились тогда даже деньги на новые системы выпросить. И самая главная проблема на мой взгляд - пользователь не видит, что подписывает. Лично моё мнение - это обязательная фича должна быть. Во времена калкана и апплетов была история, как один чел реализовал при входе в систему подписание договора на передачу органов. За пол года ни один человек не обратился.

UFO just landed and posted this here
Позвольте, Вы получили ЭП на Иванова И.И., гендира ООО «Аленький цветочек», и возмущены тем, что можете войти с этой ЭП в личный кабинет того же Иванова И.И.?

У меня для Вас новости: ЭП гендира ООО «Алекнький цветочек» Иванова И.И. — это ЭП все того же физлица Иванова И.И. в статусе гендира ООО, а не ЭП гендира ООО, которым сегодня является Иванов И.И., а завтра непойми кто. Завтра Непоймикто П.П., назначенный на должность гендира ООО, будет вынужден получить свою собственную ЭП, с которой не сможет зайти в личный кабинет Иванова И.И.

Да, я предвидел этот комментарий и ответ на него отразил в своем посте. И новость Вы никакую мне не сообщили. Пожалуйста, читайте внимательно.

Проблема ведь другим: снова игра в одну калитку. Хочешь удобно ("без геморроя") пользоваться отчетностью - приходиться отдавать директорскую КЭП. При этом наличие КЭП не означает наличие доступа ко всем сервисам: вот у УЦ и есть тарифы: дешевый за 1000 и дорогой за 5000 с большим набором OID. Что и удручает - теряется суть КЭП (аналог собственноручной)): "ручки" приходится использовать разные.

То есть, чтобы побольше собрать с пользователя денег, разделение по OID сделали, а с доступом в ЛК почему-то про такое разделение "забыли".

Вы когда в банк как гендир своей компании впервые пришли, просто паспорт показали, или еще кучу дополнительных OID документов представили — устав, приказ о назначении, причем с нотариальными копиями, которые небесплатны? А когда карточку в банке на себя как на гендира получили, эта карточка стала удостоверять Вашу личность при проверке документов? Не удивляет, почему, хотя для ее получения пришлось предъявлять паспорт, который личность удостоверяет?

почему у вас такой негативно-агрессивно-надменный тон в комментариях? я вас чем-то обидел?

я же пишу - статусы разные получаются. я когда продаю или покупаю квартиру, машину, действую уже не как ЮЛ, а как ФЛ. Хотя собственноручная подпись одна и та же.

И логика мне эта понятна - я написал же в статье и я, в целом, согласен. Я же про другое говорю: надо аккуратно относиться к ЭП (спасибо, кэп, или, в данном случае, КЭП), что мы загнаны в определнные рамки (МЧД до сих пор нет), что можно было бы сделать разделение между подписями - да, подпись одна, но уровни доступа могут быть раные, что блокировка ЭП не всегда срабатывает.

Если у меня есть логин пароль от одного сайта, совсем не обязательно на другом сайте давать возмодность заходить по этому же логину и паролю без явного разрешения пользователя. Может, не совсем точная аналогия, но, думаю, понятно: подпись - это идентификация и аутентификация, но не обязательно авторизация.

Сожалею, если задел Вас своим тоном, такой цели не было. А комментарий мой относился к Вашей ключевой фразе, вынесенной в подзаголовок:
А вы знаете, что электронная подпись юридического лица дает возможность заходить на «Госуслуги» под видом частного лица и… делать все, что угодно (в рамках возможностей ЛК), например, смотреть личные данные (недвижимость, обращения, налоги) и т. п.?

Кажется, мы выяснили, что это не ЭП юрлица, а все того же физика, так что не «под видом» а под самим собой и безопасность «Госуслуг» тут ни при чем, тем более в кавычках. Их есть за что пинать и без того, в т.ч. и в части безопасности.

Все-таки я не понимаю. Вы пишете:

Вы получили ЭП на Иванова И.И., гендира ООО «Аленький цветочек»

Если бы ЭП выдали просто на Иванова И.И, как физ лицо, это дало бы право входить в кабинет "Аленького цветочка"?

Полагаю, что нет. Или вы считает, что "ДА"?

Если все же "нет", если для входа в кабинет "Аленького цветочка" нужна специальная подпись, а не просто "выданная Иванову И.И.", то с чего вдруг по ней можно войти в кабинеты других компаний, для которых такой операции не осуществлялось?

  1. Вы не действуете "как ЮЛ", вы всё ещё действуете как ФЛ, но наделены правом представлять интересы ЮЛ. В этих понятиях настолько огромная разница, что лучше её постараться уловить, а если вдруг не получится, то просто принять как факт. И отдельной ЭП, в которую входило бы только это право, не существует и не может существовать, как и нет какой-то отдельной вашей физической подписи или отдельного паспорта.

  2. Не давайте свою ЭП никому и никогда если не можете доверять этому человеку как самому себе.

  3. Если по каким-то причинам не хочется возиться с доверенностями или есть какие-то сложности с их принятием в различных органах - сделайте себе нескольких генеральных директоров, ограничьте уставом полномочия второго ГД сдачей отчётности и выпустите ему свою собственную ЭП, благо это уже давно разрешается.

Кажется, Вы промахнулись веткой ;)

Вы похоже не понимаете, что ЮЛ это фикция.

Не в негативном контексте, а в правовом.

Нет у ЮЛ никакой подписи.

У ЮЛ есть исполнительный орган.

Бывает единоличный, бывает коллегиальный, но это ФЛ.

Вы когда нибудь ЮЛ на скамье подсудимых видели?

В камере с уголовниками?

А мультиучредителядиректора?

Всё это отчасти справедливо, но причём здесь госуслуги? Претензия должна быть к тем ведомствам, куда ваш бухгалтер вынужден подавать отчёты, подписанные подписью директора. Госуслуги в данном случае работают именно так, как надо: удостоверяют физлицо по его электронной подписи.

Ежу ясно, что давать свою подпись другим лицам – это полнейшее пренебрежение безопасностью. Неважно, в силу каких обстоятельств оно образовалось.

По сути, у вас тут просто путаница в понятиях, часто встречающаяся в малых предприятиях. Нет никакой подписи юридического лица. Есть подпись руководителя (и подписи других лиц по доверенности, и именно с доверенностями – обычными бумажными – мне кажется, вам надо разобраться).

Ровно как и нет никаких подписей физических лиц вне контекста конкретных операций. Есть некая операция (договор), и есть подпись привязанная к конкретному физическому лицу в контексте этой сделки. Гражданский ли договор, в контексте исполнения обязанностей согласно должностной инструкции, устава и т.д. Вот этот контекст в ЭП прописан. Вы, к примеру, оформлены главбухом в организации с одной ЭП, там же кладовщиком на пол ставки с другой ЭП. Аналог: когда вы подписываете бумажный документ, то рядом с подписью будет стоять расшифровка "главный бухгалтер" или "кладовщик", определяющий контекст и зону ответственности подписавшего согласно должностной инструкции бухгалтера или кладовщика. В конечном итоге как ГБ подписавший не обязан лично проверять каждую машину на предмет загрузки, а как кладовщик - обязан. Это я к тому что контекс подписи неразрывно связан с самой подписю.

Далее утрируем больше - допустим у вас 2 ЭП, выданные в разных странах, пофантазируем. Доступ к инфо все еще должен быть внеконтекстовым? Допустим в одной стране этот человек прикупает квартирку, а в другой у него доступ к самым страшным тайнам?

Мое личное представление таково, что выпуск ЭП в некотором контексте действия этой ЭП, включая все доступны это более удобная штука, чем ЭП просто физического лица с доступом ко всему, что с этим физлицом связано. И именно потому что ЭП можеть быть передано ненасильственно другому лицу, в отличии от живой руки живого человека, подписывающего всегда в рамках какого либо контекста. Эта разница существенна и аппеляция к одинаковости подписей не верна.

Откуда в ЭП возьмётся контекст? Может, у вас в ЭП стоит “главный бухгалтер”, а вы фактически уже вчера уволены. Именно поэтому контекст определяется другими документами (зарегистрированным уставом предприятия, доверенностями). А подпись просто подтверждает, что вы Иванов Иван Иванович.

Не вижу, кстати, никакой принципиальной проблемы с подписанием одной подписью покупки квартиры в одной стране и страшной тайны в другой стране (за исключением того чисто технического нюанса, что национальные требования к криптосредствам могут различаться).

И именно потому что ЭП можеть быть передано ненасильственно другому лицу, в отличии от живой руки живого человека, подписывающего всегда в рамках какого либо контекста. Эта разница существенна и аппеляция к одинаковости подписей не верна.

Если вас беспокоит именно эта деталь, держите свою ЭП в контейнере, открывающемся по биометрии сетчатки глаза. Вообще не передать будет.

На практике же крайне распространена подделка бумажных подписей другими лицами по обоюдному согласию сторон.

так еще раз с другой стороны. вот марьиванна кладовщик ловко научилась расписываться как директор и пошла в банк обналичила расчетные счета организации, условно? Нет, так в реальном мире не работает, улыбнемся мы, ее в банке забреют. Подпись та, но весь контекст немного другой. А с ЭП выходит что пожалуйста.

ПС. Плюс само умение подделать подпись не дает никакой информации по НДФЛ, допустим. В реальном мире вещей это само собой разумеющееся, что само по себе умение расписываться не достаточно, а в электронном виде стало неразумеющимся.

Как по мне так была создана новая сущность типа "электронный аналог личности" это совершенно особенная сущность со своими свойствами и силой действия, не имеющая аналогом ни саму физическую личность человека, ни тем более только его отдельно подпись. И уравнивать их это значит принципиально не желать учитывать разницу.

Ну я гендир. Подпись свою никому не давал. Всю отчётность подписываю сам. Бух готовит xml-ки, я загружаю их в контур, проверяю и подписываю.

А то, что вы говорите - это от желания не исполнять не интересные обязанности гендира, но необходимости такой нет.

Я тоже не понимаю, в чём тут проблема. Почему нельзя выпустить для «Марь Иванны» свою отдельную ЭП и передать ей право подписи на определенные виды документов через доверенность, как это обычно делается для физической подписи?

Потому что пока что нет средств хранения и проверки таких электронных доверенностей. Обещали с января 2022 года ввести, но как обычно не справились и отложили на год.

Это вообще-то в статье отражено, вы читали?

А причем здесь средства хранения доверенностей? Наша компания каким-то образом именно по доверенностям и работает. Просто прикрепляет к каждому подписанному документу ещё и доверенность. Да, сейчас кривая процедура, проблемы бывают с неопытными сотрудниками, но редко. Обещанные МЧД по сути ничего принципиально нового не принесут, кроме того, что доверенности не надо будет прикреплять каждый раз и упростят их выдачу.

Спасибо за комментарий, вы четко все объяснили. Может, я действительно, плохо выразил мысль, но мне на момент написания казалось, что достаточно простым языком, пусть и по-обывательски, я объяснил проблему.

Я не вижу проблемы, делается бумажная доверенность на право предоставления отчености той же Марь Иванне, при необходимости эта доверенность подписывается ЭП гендиректора в КриптоАРМ и направляется в гос. органы. Просто бывает, что не хотят оформлять такую доверенность. Да и вообще многие генеральные не относятся должным образам к требованиям ИБ, но это скорее от нежелания всем этим заморачиваться. Грубо говоря все держится на порядочности ИТ специалистов, которые выпускают эти самые подпси для ленивых ГД и Марь Иванны, которая эту подпись пользует.

примерно так: владелец сертификата ООО "Аленький цветочек", субъект - Иванов П.П. - сотрудник цветочка, имеющий право действовать по\без доверенности и т.д.
На юр.лицо тоже можно выпустить ЭП, типо для СМЭВ и т.д.

Ребята, вы честно смешные. Вы представляете кто пишет ТЗ на всё на это, осуществляет приёмку, разрабатывает, поддерживает? Это сотрудники с низкой квалификацией и зарплатой. Причём эти два фактора жёстко взаимоувязаны.

Отсюда все эти проблемы. Я об этом не задумывался, пока не "посчастливилось" поработать на государство. Отвратительно низкая квалификация и полнейшее отсутствие мотивации на всех уровнях. Имитация бурной деятельности и усталость как мера работы, это всё про это.

И даже нельзя сказать, что целиком и полностью, в царящем ужасе, виноваты сотрудники. Сама система выстроена так, что хтоническая бюрократия сломает любого человека, какая бы у него не была высокая мотивация и желание работать. Пол года и человек сгорел.
А от тех кто там остается, нельзя ожидать хороших результатов.

В данном случае как раз наоборот. Схема применения электронных подписей рассчитана на определённый уровень информационной безопасности, который не обеспечивается в небольших фирмах, где все бегают подписывать документы с флешкой директора.

Схема рассчитана на определённый уровень информационной безопасности потому, что люди, которые ее разрабатывали, обладают недостаточно высокой квалификацией. Более квалифицированные специалисты могут сделать защиту от больших дураков.

Такое ощущение что за пару лет, последние адекватные сотрудники покрутили фиги у уехали/нашли нормальную работу.
Реализация отчётности с этого года хромает на обе наполовину ампутированные ноги. Работа с ЭП сделала решительный шаг назад по удобству и качеству.
У меня как у ИП, наоборот прибавилось проблем и значительно упало удобство с этим ЕНС, по которому уже месяц(если не больше, раньше не обращал внимание) нельзя даже онлайн баланс посмотреть на сайте налоговой. И с новой ЭП от налоговой, такая же история. Зачем к примеру для того чтобы узнать изменение статуса отчёта использовать ЭП? И это только одна из мелких проблем.

Увы и ах, но какое-то время будет вот так "весело". Во первых кризис в ИТ обусловленный жестким цейтнотом по импортозамещению, во вторых частичный отъезд коллег за границу, и не забудем всякие подарки, которые мы получили от зарубежных ИТ компаний.

Добавьте к этому, всё увеличивающийся провал в управлении и в понимании управления, и получите не самую приглядную картину.

Но есть и позитив - эта кризисная ситуация такова, что отступать и рефлексировать не получится, придётся работать. И я уверен, что ситуация развернётся к лучшему.

@bromiumА Вы в разных компаниях, в которых являетесь руководителем, разными подписями подписываете бумажные документы? Или всё-таки для бумажных документов Вы используете одну единственную подпись, которую же используете и для подписания бумаг личного характера?

частично написал ,в чем проблема: https://habr.com/ru/post/597321/#comment_23858683

могу ответить симметрично: а вы когда устраиваетесь на работу, также переписываете все свое имущество на работодателя или даете работодателю беспрепятственный доступ к своему имуществу?

Это не симметрично. Ваша ЭП — аналог Вашей обычной подписи. Если Вы пописали документ руками, то не имеет значения какой это документ — личный или рабочий — подпись действительная и документ действительный. Вы же не переживаетет по поводу того, что в приказе на отпуск или на премирование сотрудников расписались так же, как, например, в договоре при приобретении личной СИМ-карты. Чтобы не переписывать своё имущество на работодателя, не нужно отдавать другим сотрудникам свою ЭП.

однако обладание этой подписью не дает ее обладателю ничего большего вне контекста сделки. ни информации о недвижимости, ни НДФЛ. Как Вы вообще себе представляете обратный физический аналог электронной подписи в рельном мире вещей, что так легко аппелируете к этому аналогу? ФП и ЭП очень разные вещи и уравнены они только законодательно, но никик не в своей сути.

UFO just landed and posted this here

И снова обладание таким мошейническим листом не наделает обладателя теми возможностями, которыми наделяет его обладание ЭП.

Каким образом можно с помощью чистого листа с подписью получить данные о НДФЛ? Вот напишите Вы на листе: Я, Петров Петр Петрович сией подписью разрешаю мне предоставить данные о моем НДФЛ и куда с ним пойдете? В ФНС? А ФНС спросит: является ли обладатель этого листка заодно и обладателем паспорта этого лица? (двухфакторная авторизация). А обладатель паспорта совпадает ли лицом с фотографией в паспорте? (трехфакторная). Это все есть и подразумевается по умолчанию в реальном мире, а в электронном об этом забыли. И подменили это все подписью удостоверяющего центра, аналогов чего в реальности нет вовсе. Собственно даже для НДФЛ подписи недостаточно. Это я сейчас об условном НДФЛ, я понимаю что это может быть вообще открытая информация.

ЭП это совершенно другие возможности и другая практика ее применения, это другая сущность и ее свойства и методы придумываются законодателем и предоставителем услуг "на лету", что вдвойне печальнее, т.к. даже "опытные пользователи" сейчас сами не знают, какими еще волшебными свойствами и доступами наделят этот предмет завтра эти самые предоставители услуг.

UFO just landed and posted this here
Если вы написали заявление на получение выписки из госреестра или запрос в налоговую на выписку по операциям по НДФЛ. Так же получили доступ, как обладая ФП. Только в мире электронных вещей, все эти операции выполняются быстрее. Вы же представляете, что значит подписать пустой лист бумаги и отдать чужому человеку?

Просто генацвале презюмирует необходимость передачи закрытого ключа третьим лицам (буху). Именно необходимость (как он думает).

На самом деле то, что у нас называют 'подписью' надо в наших реалиях было назвать 'Электронная Печать'. Было бы сильно понятней по сценариям использования и странности такого вида не возникали бы. То что документы в конкретной организации заверяются печатью как раз для этой организации и предназначенной — это выглядит нормальным. А привязка того, что это печать именно моя и я имею право ее использовать — это отдельный механизм.

Я так понимаю, что если бы это была именно "Электронная печать", то автора можно было бы понять. Действительно, как это печатью одной компании заверяются документы другой? Это неправильно. В настоящий же момент это называется "Электронная подпись", что равносильно личной подписи и никакого диссонаса вызывать не должно бы, по-моему.

Да, но только в какой-то момент времени эти сценарии смешали и изобрели 'подпись для руководителя'. Ну вот и получили путаницу из за неудачной терминологии.

Печать уже необязательна для юрлиц, проклятое наследие царизма. Подделать ее не труднее чем подпись, сама по себе она ничего не удостоверяет.

простите меня, я не автор, просто заинтересовала тема. но если это именно подпись, а не печать, то на кой черт подпись юр лица? подписывать физ. лицом и всё.

Это именно подпись, для которой существует распространённая порочная практика использования её в качестве печати.

Если бы проблема госуслуг была только ЭП...

Я вот в июне подхватил ковид однвременно с прививкой, вызвал врача через госуслуги, и этот вызов завис и так и висит. Удалить невозможно. Информации о прививке тоже нет, но это вероятно проблема не госуслуг, а госуслуг Московской области...

А есть ли какой-то гайд по ЭП? Как нужно делать и как не нужно, для чего сейчас используется, как избежать проблем и тд?

Есть. Комплект документации к Средству криптографической защиты информации. Содержит очень много всего, от Формуляра и до Руководства Администратора безопасности. Для пользовательского КриптоПро скачивается с сайта производителя, недалеко от дистрибутива.

Также имеет смысл читать регламенты (со всеми приложениями и отсылками) Удостоверяющих центров, в которых вы покупаете сертификат подписи - они тоже выставляют требования к пользователю.

Комплект документации ... Содержит очень много всего ... со всеми приложениями и отсылками

Поэтому я и пишу - гайд :) Короткий, понятный, достаточный.

Вообще это как-то не совсем правильно - передавать свою подпись третьему лицу, пускай даже любимой сотруднице Мариванне, она с этой подписью много чего может сделать. А регистрировать ее на организацию - тоже как-то не понятно, это какая-то обезличенная подпись получается. Сама логика тут как-то не стыкуется.

Намного логичнее давать человеку с его личной ЭП доверенность и он сможет по ней уже подписывать документы, и эти документы буду иметь силу при действительной доверенности.

Намного логичнее давать человеку с его личной ЭП доверенность

Использование личной ЭП подходящей везде (включая общение с государством), создает угрозы. Придется токен с ней всегда с собой всегда носить и втыкать в технику, тебе не подконтрольную. То что какой-нибудь зловред подсунет этому токену подписать совсем не то, что ты видишь — становится более вероятным.


Это как раз воспроизведение недостатка бумажной личной подписи, которая везде одинакова. И похоже на использование одного ключа на все двери, которые ты открывать должен.


Логичнее как раз выписывать 'печать' (в которой вписано, кому именно она выдана) в отдельном токене и ограничивать ее область действия только какой-то конкретной организацией/сценарием итд итп. И такая подпись-печать главного бухгалтера не должна подходить к его учетке на госуслугах. Да и вообще никуда больше не должна подходить.


А после увольнения человека — отзывать соответствующий ключ с конкретной даты. Плюс, вообще говоря, подпись/печать должна заверять документ с заверенной меткой времени, по которой тоже можно проверить, действителен 'штампик' или уже нет.

Зачем изобретать велосипед? Доверенность решает проблему ограничения полномочий. Когда вы даете кому-либо доверенность на продажу вашего автомобиля, например, в ней вы можете написать что доверяете этому человеку продать конкретный автомобиль в конкретный период времени, он не сможет по этой доверенности продать ваш дом, например, или другой ваш автомобиль. Точно так-же вы можете эту доверенность и отозвать.

И с предприятием - "Доверяю Мариванне вести бухгалтерию ООО Рога и копыта, на весь период ее работы в указанном ООО", и все, ее подпись имеет юридическую силу, до тех пор пока доверенность не отозвана, и пока ограничения, описанные в ней, соблюдаются.

А подписываеться этот человек должен своей личной подписью.

Проблема безопасности подписи - она тут в совершенно параллельной плоскости находится. Втыкать токен в неконтролируемые компы, действительно не стоит, тут и спорить не о чем.

Кстати, бумажная подпись при нынешнем развитии технологий, как мне кажется, совсем утратила какую-то безопасность. И раньше эти подписи с легкостью подделывались, сейчас же не представляет особого труда создать машину, которая будет копировать подпись практический идеально, учитывая силу нажатия на ручку, скорость, и внося небольшие отклонения для того что-бы копию не вычислили по повторяемости результата (человек никогда не подпишется идеально, всегда есть какие-то микроотклонения).

Зачем изобретать велосипед? Доверенность решает проблему ограничения полномочий.

Ну вот и можно технически устроить, что такая 'печать' — и есть такая доверенность. Которая не прикладывается рядом с подписью, а прямо напрямую применяется.
Ее так или иначе ведь все равно надо генерировать и подписывать. Почему бы сразу ключевую пару не сделать.


Какая задача решается тем, что надо использовать именно личную подпись? Понять кто подписывал? Так в данных 'печати' вписано. Понять область применения? А все равно нужно в общем случае какую-то бумажку читать, что именно можно тут человеку делать, а что нельзя.

И с предприятием — "Доверяю Мариванне вести бухгалтерию ООО Рога и копыта, на весь период ее работы в указанном ООО", и все, ее подпись имеет юридическую силу, до тех пор пока доверенность не отозвана, и пока ограничения, описанные в ней, соблюдаются.

А МЧД разве не про это?
Более менее внятно описание что это такое — https://www.diadoc.ru/articles/22019-mashinochitaemye_doverennosti_mchd
И даже хотели внедрить с 1 января 2022 но отложили.


Ну или да — заставить принять бумажную доверенность.

Там проблема в том что формат МЧД не утвержден :) В проекте только общие словая про то что как будет здорово когда оно будет.

Прилетел Морфиус и оставил эту запись.

зловред подсунет этому токену подписать совсем не то, что ты видишь

- Попробуй осознать истину.

- Какую истину?

- В 99% вы подписываете вслепую, не видя то, что программа (браузер, плагин) реально отправляет на криптографическое преобразование.

Вам показывают красивую человекочитаемую форму отчета в ФНС, а на самом деле на подпись улетает довольно уродливая XML-ка с кириллическими тэгами. Но ничто не мешает отправить на подпись заявление о переходе прав на квартиру.

Хм, всегда казалось, что директор должен просматривать документы и подписывать их своей подписью.

Когда бумажные документы подаются в налоговую, бухгалтер же не рисует самостоятельно подпись, похожую на подпись директора, а директор сам расписывается? Так и с ЭП, бухгалтер подготовил документы, потом директор их подписал своей подписью, не важно цифровой или физической.

 бухгалтер же не рисует самостоятельно подпись, похожую на подпись директора, а директор сам расписывается

Думаю, такое вполне имеет место быть в некоторых компаниях.

бухгалтер же не рисует самостоятельно подпись, похожую на подпись директора

Вы не поверите, но в половине компаний, где я работал, было примерно так (не всегда подписывал бухгалтер - это мог быть завкассой или личный помощник руководителя). С ЭП примерно такая же история - очень редко где выпускается подпись на доверенное лицо, чаще, особенно в микробизнесе, используют ЭП гендиректора, что, как минимум, логически неверно, впрочем, как и "подпись, похожая на подпись директора".

Вероятно это от нежелания погружаться в ИБ и делать правильно, но чуть сложнее…
UFO just landed and posted this here

Не понимаю претензий. У вас есть ЭП, выданная человеку (не компании, у юрлиц не может быть ЭП), и с её помощью можно делать многое, подписывать документы и, в частности, входить на сайт Госуслуг. Это совершенно нормально и ожидаемо. А вот то, что марьванны из бухгалтерии вместо того, чтобы получить доверенность на совершение определённых действий и пользоваться своей ЭП, пользуются чужой -- это опасно. Потом будет трудно доказывать, что это не руководитель подписал документ, а кто-то другой, если понадобится оспорить что-нибудь.

Это абсолютно нормально. И благодаря этому лично я без отдельных заморочек для физ. лица начал пользоваться госуслугами давным давно :)

Как тут правильно написали, это подписывает физ. лицо, а не организация. И пользоваться чужими подписями не правильно, надо пользоваться своей, при необходимости, с доверенностью. Вот и все.

Единственная проблема в статье, касающася безопасности именно сайта Госуслуг - возможность аутентифицироваться и совершать операции по "заблокированной" ЭП. Вы вот про это не пробовали с их техподдержкой пообщаться?

Это безумие. Кроме госуслуг, ЭП руководителя может подписать почти ЛЮБОЙ документ от имени юр.лица. Не давайте ЭП на директора кому-либо кроме самого директора. На всех остальных делайте личные ЭП и ДОВЕРЕННОСТЬ. То что "так сложилось" что большинство не включая голову передают подписи свои сотрудникам, бухгалтерам и прочим - равносильно передаче постронним ключей от своей квартиры или личного смартфона. Сам являюсь директором в одном юр.лице и наемным сотрудником в другом - никогда не было непреодолимой проблемой оформить доверенность на подписанта.

Ну не совсем понятна претензия, изначально ЭЦП (а позже ЭП) это фактически полноценная подпись человека и я тоже не понимал как можно доверять ее третьим лицам.

То есть автор боится что некий бухгалтер случайно без злого умысла что-то сделает на госуслугах, но я наприпер боюсь, что бухгалтер просто создаст вордовский документ и подпишет что угодно от моего имени и по закону подпись будет легетимной и ее наверное можно будет оспорить в суде, но опять же это время/деньги/нервы.

Вообще кажется можно было на тендерных площадках делать доверенность на сотрудника на совершение операций от лица юр. лица и подпись на него оформлять, но там тоже не все так просто было.

В маленькой компании у нас не было регламентов относительно ЭП и вообще все время таскал с собой ЭП ген дира и постоянно проверял дома сроки подписания контрактов перед сном. Друг из авиакомпании говорил, что у них ЭП стоит в сервере, на который заходят по терминальному доступу и с него уже делают все операции по подписанию и отправке заявок в тендеры и на электронных площадках.

В чем собственно говоря проблема?

Есть интсрумент, его не корректное использование удобно, но не безопастно, вы понимаете, что так небезопастно, НО используете данный интрумент не корректным образом.

Вопрос, почему притензии к инструменту, а не к себе? Если вы используте инструмент значит вас все устривает, если не устраивает зачем вы его используете?

Проблема в том, что директора организации вместо того, чтобы корректно организовать процесс внутри компании положили прибор на собвтенную информационную безопасность. Ну так это их добровольный выбор. Думается мне, если бы никто не стал использовать ЭЦП подобным образом, ситуация давно была бы заметно другой.

На Госуслугах до сих много не только дыр в безопасности, но и страшных и тяжелых ошибок. Месяц назад я создавал подряд две учетные записи по просьбе знакомой и ее мамы. При создании первой записи туда были внесены ФИО, паспорт, адрес, СНИЛС, медицинский полис. Затем я вышел из госуслуг, очистил куки и в том же браузере создал новую запись. Добавил в нее аналогичные реквизиты для другого человека. В результате на обоих аккаунтах получил дикую кашу из реквизитов - СНИЛСы, адреса, паспорта задублировались, причем не с первого на второго, а произвольно в обе стороны. Это уже никак не лечилось, пришлось всем втроем ногами идти в МФЦ и стоять там час в очереди. Что случилось в точности непонятно, но ясно, что на сервере произошла привязка сессии к конфигурации компьютера, а при завершении сессии на клиенте на сервере она не умерла, и подхватилась затем для второй учетки. Значения полей ушли в базу в соответствии с фазами Луны.

Со сторон сайта, конечно, бага, но для такого лучше использовать приватный режим. При его закрытии всё очищается и потом можно заново начинать.

Так в том и дело, что это вряд ли помогло бы. По сути я имитировал приватный режим. Сессия жила на сервере и даже не думала умирать, когда я ее с клиента "закрыл" да еще куки почистил. Привязка была не к кукам. Вот мне интересно - к чему?

Так в том и дело, что это вряд ли помогло бы

Магии не бывает. Что вы ты там имитировали, нам тут сейчас не разобраться. А если делать так, как сказал предыдущий оратор, то сервер может знать только о том, что эти две учетки создаются с одного IP-адреса и в одной версии браузера. Больше там нет и не может быть какой-либо ещё информации, которая может протечь из одной учетки в другую.

Магии не бывает
Популярные инструменты «обходят» приватный режим браузера с включенными методами защиты от fingerprint'а.

Это же специально нужно запариться на тему того, чтобы отслеживать юзера про fingerprint'ам. Чтобы что? Чтобы заполнять его данными другую учетку?

Давайте серьезно, я не про возможность намеренной слежки за юзером, а про возможность случайного перетекания данных между различными сессиями.

Я бы очень обиделся, если бы мне пришлось чистить куки во всем браузере. Думаю, я тредстартер тоже решил не обламываться, а удалил куки точечно, но что-то не учел и какой-то домен просмотрел.

Чтобы что? Чтобы заполнять его данными другую учетку?
Я крайне не поддерживаю подобные механизмы идентификации, но слышал, что их продвигают под соусом «защиты» от злоумышленников. Мол по идентификатору можно понять зашёл ли тот же человек из анон. режима или злоумышленник со схожим UA и адресом.

Банки любят использовать фингерпринтинг во время входа и/или оплаты.

Это не единственный вариант, хотя в fingerprint на госуслугах я тоже не особо верю. Но есть еще, как минимум, ETag, и это более вероятно.

Приватный режим все-таки не панацея, если постараться, уникальные идентификаторы можно составить из тех данных, которые не зависят от режима. Да, приватный режим надежнее, чем почистить куки. Но дело даже не в этом. Я вообще не должен был даже куки чистить. Ведь я явно сказал серверу: - Закрой сессию! Это я уже подстраховался (недостаточно), потому что заранее ожидал подлянки от госуслуг. И, как видим, ожидания меня не подвели.

Возможно были очищены куки самого сайта, а не ЕСИА портала, через который осуществляется вход. Чем и хорош приватный режим: там ничего нет для всех доменов, не только одного. Ничего случайно не пропустить.

Вам бы всё равно пришлось бы топать в МФЦ, чтобы активировать эти учетки. Ведь я так понимаю у ваших подопечных не было ни Сбербанк онлайна, ни Тинькова?

Так надо было прямо из приложения создать учетку на ГУ и никуда не ходить.

"нормального механизма с электронными доверенностями нет (насколько я знаю, поправьте, если не прав). То есть надо оформлять доверенность на сотрудника, как правило, в бумажном виде, отвозить в налоговую и тогда, возможно, получится отправлять электронную отчетность по электронной подписи сотрудника. При чем для каждого из органов, куда сдается отчетность, нужно оформлять свою доверенность."

На самом деле все нормально работает с доверенносями сейчас (в большой компании гендир в принципе не может подавать сам отчетность, а передавать кому то свою ЭП он же тоже не может - мало ли что ей подпишут) -

1) Действительно ФНС требует, чтобы доверенность им отвезли именно бумажную. Если это сделать один раз, то далее они вносят данные о доверенном лице в свою внетреннюю систему, и доверенное лицо может спокойно подавать отчетность по доверенности. Сделано это (бумажная доверенность, а не электронный документ заверенный ЭП гендиректора) именно из-за иноформационной безопасности, так как ФНС не доверяет частным удостоверяющим центрам, выдающим ЭП.

2) В иные госорганы (например, ПФР и соцстрах) можно подать электронно скан бумажной доверенности, заверенный ЭП гендира - они не требуеют привозить бумажную доверенность.

После этого доверенное лицо может подавать отчетность.

Вы спутали механизм и отсутствие механизма.

> Действительно ФНС требует, чтобы доверенность им отвезли именно бумажную.

Сие вообще не про электронную доверенность.

так как ФНС не доверяет частным удостоверяющим центрам, выдающим ЭП.

Вы уже почти полгода как можете получить сертификат КПЭП в ФНС. Так что это не может являться причиной отсутствия механизма.


> В иные госорганы (например, ПФР и соцстрах) можно подать электронно скан бумажной доверенности, заверенный ЭП гендира - они не требуеют привозить бумажную доверенность.

Сие не электронная доверенность, хотя так может показаться.

Электронная доверенность - это электронный, машиночитаемый (то есть структурированный и формализованный) документ, а не его человекочитаемое представление в виде pdf'очки.

Впрочем и автор не прав. Механизм уже есть, более того, с Нового года он должен был стать обязательным для юрлиц и ип, но его отложили на год. Что, впрочем, не мешает принимать эти доверенности госорганам.

Странно писать мне, что я что-то путаю, когда я описываю как механизм работает на практике в текущий момент. Причина в том, что это Вы как раз путаете машиночитаемую доверенность, про которую я ничего не писал, и доверенность в виде электронного документа, про которую я писал, и которая работает как механизм уже сейчас, пока не была еще изобретена МЧД.

 когда я описываю как механизм работает на практике в текущий момент. 

Вы описываете работу (или скорее неработу) другого механизма, который как вам кажется, является аналогом МЧД.

Причина в том, что это Вы как раз путаете машиночитаемую доверенность, про которую я ничего не писал, и доверенность в виде электронного документа, про которую я писал, и которая работает как механизм уже сейчас, пока не была еще изобретена МЧД.

Я не путаю эти механизмы, я как раз вам указал на их абсолютно разную природу. Но давайте обратимся к автору поста, чтобы понять, что он имел ввиду. Читаем:

тогда, возможно, получится отправлять электронную отчетность по электронной подписи сотрудника.

То есть автору нужна доверенность не просто на возможность сотруднику подавать отчетность, но именно подавать отчетность, подписанную своей УКЭП. Что говорят НПА на эту тему. А говорят вот что: Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 18.08.2021 № 857 "Об утверждении единых требований к формам доверенностей, необходимых для использования квалифицированной электронной подписи"

доверенность в виде электронного документа, про которую я писал,

Давайте посмотрим, про что писали вы. Слава атому, все ходы записаны:

можно подать электронно скан бумажной доверенности

Опять же, черт его знает, что вы там имели ввиду, но сложившаяся практика применения терминологии в этой сфере, говорит о том, что вы писали не про электронный документ, а про электронный образ документа на бумажном носителе. Закон и в особенности суды принципиально различают эти два понятия.

Вы привели ссылку на порядок, который будет действовать в будущем, который описывает МЧД (машиночитаемую доверенность), которая будет применяться только при сделках между юрлицами и отношениями с госорганами. Действительно станет все намного четче и лучше. В остальных сделках и далее будет применяться доверенность в бумажной форме или в виде электронного документа (человекочитаемая).

Что такое доверенность в виде электронного документа, в отличие от машиночитаемой, Вы можете почитать например здесь (ее например нотариусы выдают, но ее может выдать любое лицо с УКЭП): https://www.law.ru/article/22936-elektronnaya-doverennost

Сегодня как раз обсуждали вопросы безопасности ЭП в компании. И пришли в ужас когда осознали масштаб трагедии. А многофакторная проверка при входе в госуслуги может решить проблему входа в них "ненужными людьми"

А 2FA на ГУ работает при входе через ЭП разве?

Единственная поддержка Госуслуг, которая реально что-то может поменять на сайте это Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации. Я жаловался. Мне помогли. На самих Госуслугах пока ни одна проблема решена не была. Честно говоря я забыл уже когда в последний раз мог достучаться до поддержки Госуслуг непосредственной.

Нигде не увидел заветного слова ЕСИА.

Столкнулся с этой проблемой ещё года полтора назад. И техподдержка госуслуг в принципе аргументировано спросила, в своём ли я уме. ЕСИА - Единая система идентификации и аутентификации. Она так и задумывалась, чтобы физлицо было неразрывно связано с юрлицом. И никакая тётя Валя из бухгалтерии не имела возможности сдавать за генерального директора юридически значимые документы через портал Госуслуг. Разделить это - значит нарушить все выверенные законодательство цепочки ответственности и убить идеи создания ЭДО и использования ЭЦП.

Выхода - нет. С точки зрения доверенностей в госуслугах ЕСТЬ функционал передачи полномочий другому ответственному лицу. Однако фактически он не работает. И дело вот в чём. Задолго до самих госуслуг различные ведомства (ИФНС, Таможня customs.ru) пилили свои информационные системы, и достаточно неплохо справлялись своими силами. Выдавали логины/пароли, заставляли делать ЭЦП. Но затем пришла стандартизация и унификация, и всех стали загонять под одну гребёнку. И появилась на порталах этих госструктур возможность заходить старым способом по ЭЦП и ещё через ЕСИА Госуслуги. Фактически это пока используется, но в перспективе ЕСИА заменит всё. Ведомства помоложе уже, к сожалению, пилят свои порталы только со входом через ЕСИА. Однако всех их связывает одно - даже если ты сделал доверенности в Госуслугах, конкретно на портале ведомства ты не сможешь подписать какое-нибудь заявление подписью никого, кроме генерального директора. Портал заглядывает в реестр юрлиц, не находит там этого доверенного лица в списке генеральных директоров и отвергает запрос. И это можно понять - никто из ведомств не хочет потом разбираться, как так получилось, что тётя Валя намутила что-то с налогами. Отвечать за это кто будет? По закону только генеральный директор. Поэтому все хотят только генерального директора и никого больше. Саботируют от греха.

- переход на ЕСИА неминуем

- доверять свою ЭЦП кому-то в рамках юрлица должно быть равносильно доверия всей своей жизни, свободы и т.п. Всё это вопрос более на логику с философским уклоном. Но по-другому и быть не может. Если ты, генеральный директор, "условно халатно" отнёсся к своей подписи, значит "условно халатно" ты отдал другому человеку всю свою жизнь, имущество и свободу.

ЕСИА в общем случае никак не связан с УКЭП. ЕСИА - это простая электронная подпись (ПЭП), а УКЭП - это УКЭП, то что вы по старинке называете ЭЦП (хотя такого термина в НПА более нет).

ЕСИА - Единая Система Идентификации и Аутентификации

Когда я читал закон про электронные подписи (довольно давно это было, ещё когда пытались вводить УЭК, собственно, содержащую и КЭП), я уяснил такую мысль: квалифицированная электронная подпись равнозначна собственноручной подписи физлица, и даёт все полномочия данного физлица - если он руководитель организации - этой КЭП можно подписывать юридически значимые документы данной организации, этой же подписью можно подписывать любые документы (вплоть до договоров купли-продажи недвижимости) от имени данного физлица, и по-хорошему, у одного физлица должна быть только одна актуальная квалифицированная электронная подпись... но как-то эта тема не взлетела - слишком много УЦ, способных выпускать КЭП, слишком плохая коммуникация между вовлечёнными организациями (банки, налоговая, ПФ, росреестр и прочие) и УЦ, нет единой инфраструктуры управления подписями (по подписи установить, кому она принадлежит - можно, а вот наоборот - узнать, какие подписи выпущены на конкретное физлицо - нельзя)... в итоге, получили имеющуюся анархию - та самая "МарьИванна" подписывает документы не от своего имени, по доверенности, а от имени гендира, что для меня - дикость (которую я, будучи руководителем разных ИТ-подразделений, наблюдал в подавляющем большинстве компаний, включая и весьма крупные).

В компании, где я работаю сейчас, все бухгалтера, вовлечённые в электронный документооборот (включая банковские операции, сдачу отчётности, ЭДО с контрагентами) используют индивидуальные электронные подписи - это позволяет не только оградить личные кабинеты руководителей от случайного вмешательства третьих лиц, но и отследить путь спорных операций (по крайней мере, владельцу хватило именно этой аргументации)... да, приходится ради каждого сотрудника гонять курьера с доверенностями по всем нужным инстанциям, но оно того стоит, по крайней мере, если это не микро-бизнес с парой сотрудников.

Так всегда было, руководитель организации может заходить в аккаунт организации и в свой личный аккаунт.

Аналогично, если человек включен в организацию как представитель, он при входе может выбрать личный кабинет организации или свой личный кабинет.

Прочитал этот эпос и возник один вопрос к автору... Как вы смогли зайти в ЛК Госуслуг с помощью УКЭП, если авторизация в ЛК таким методом по умолчанию выключена в разделе "Безопасность"?

В ГосУслугах единый вход.
Попробуйте используя подпись ЮЛ зайти в личный кабинет ФЛ в налоговой вы удивитесь вам скажут что данный вид подписи не соответствует. Вот вам и разница.

На самом деле не всё так просто. Работаю в одном московском уц, каждый день через меня проходит около 100 эп, всё очень жестко. Журналы, пломбирования, учёт. Если произойдёт компрометация - лучше и рассказывать не буду.

И да, генерация эп клиентом вполне стандартная процедура, при которой закрытая часть не проходит через руки сотрудника уц, так что если не доверяете людям, то можете оформить услугу именно так.

Ключи от машины давайте всем подряд, а потом рассказывайте, что "Я то дал ключи, чтобы человек машину на мойку свозил и помыл, а он ее свозил в автосервис в гаражах, и там коробку сняли и на б/у поменяли. Автопроизводитель не обеспечивает безопасность автомобиля, выдавая ключи от машины."
Тем более что ключи от машины выдает сотрудник салона, а он мог их скопировать. И дверь в квартиру ставит монтажник, тоже может ключ скопировать пока к вам едет с этой дверью и замком. А сотрудник банка пока налик выдает - может взять и выдать на руки фальшивые деньги. И где тогда безопасность? Кругом враги и обман)))

Твоя подпись - ты входишь куда хочешь

Или автор с головой не дружит?

Sign up to leave a comment.

Articles