Comments 81
Нет уж, спасибо.
Самое прелестное, что теперь, при наличии эцп, необходимо всюду распихать бумажки, что, при наличии эцп, все действия совершать только в личном присутствии держателя эцп.
Это великолепно! Что за дивный новый мир!
А могли бы Вы привести эту цитату, если возможно?
Я обеспокоился этим вопросом и внимательно изучив это утверждение с сайта Россреестра — вижу только упоминание термина "личное участие".
Личное участие это однозначно лично присутствие в офисе или лишь подтверждение личности (через ЭЦП)?
Чёткого ответа на этот вопрос я нигде не нашёл, а как будет трактовать этот термин суд я не знаю. Я спрашивал в Росреестре про этот термин — они уверяли меня, что это означает присутствие в офисе. Но меня что-то терзают сомнения.
Фактически гражданин стал более виртуальным, и не имеет значения его присутствие или согласие во время самого процесса.
Но именно это было противовесом и сдерживанием от мошенников,
именно бумажный носитель сдерживал легкий отжим всего.
Она просто хранится на защищенном сервере в облаке, и именно туда отправляются на подписание нужные пользователю документы— какая же это тогда МОЯ подпись? если я её никак не контролирую
Тем временем, только спустя почти год с помощью двух судов я доказал что я не верблюд, и что ЭП выпустил не я. Сейчас будет ещё суд на компенсации.
Даже не знаю как воспринимать эту новость, с одной стороны если изымут функции выпуска ЭП от >400 УЦ, то возможно это даже хорошо, т. к. сотрудников которые это могут сделать будет меньше, а значит меньше желающих помошенничать. С другой стороны тут уже надо надеяться на нерушимость системы безопасности этого облака, учитывая как пишут софт на распилах, это очень сомнительно.
Проблема не в наличии 400 УЦ, а в отсутствии ответственности сотрудника и самого УЦ за последствия нарушений при выпуске подписи. Перенос в "облако" тут ничего не поменяет, кроме того, что теперь государству будет проще совершать "сделки" от имени оппозиционно настроенных граждан.
Как минимум угону логин с паролем уже подвержены.
Страшно представить, какие последствия могут быть, если/когда данные из этого облака утекут в народ, так сказать.
Использование такого рода ЭЦП это мировая практика. Южная Корея давно применяет данный механизм, и как было где то на Хабре написано в Латвии так.
Зачем поднимать панику?
Они ж собрались всем ЭП через «Госулуги» раздать.
Учётку в госуслугах можно подтвердить в почтовом отделении, там запаренная тётенька даже паспорт мой толком не смотрела. Не говоря уже о том, что ответственности у них в любом случае никакой.
Получай на кого хочешь ЭП, и вперёд.
Так что на гос. услугах есть подтвержденные на почте и в МФЦ и они, как оказалось, разные по уровню доверия.
Тем не менее, там ещё есть вариант «выслать код подтверждения заказным письмом на почту», который по сути сводится к проверке паспорта сотрудником почты.
Ну или они там одним почтам больше доверяют, другим — меньше.
Но факт остается фактом имея подтвержденную на почте учетку в ЛК ФНС меня не пускали пока я не пере-подтвердил ее с паспортом через МФЦ.
Всё что можно сделать максимально плохо — так и будет сделано
Должно быть действительно место проклятое
Так боролись же — объявляли врагами народа и расхитителями социалистической собственности с конфискацией имущества и отправкой в лагеря. Но хорошую идею скомпрометировали, когда стали просто неугодных так же.
Люди, далекие от IT, с этим будут согласны, потому что это удобно — не нужно никаких ключей, токенов и вот этого всего.
Удобно до первого слива облака.
Удобно до первого слива облака.
Или перевыпуска sim-карты и продажи квартиры какого-нибудь счастливчика
Тут другое непонятно. Аутентификация-то как будет проходить?
не думаю. что это так просто.
Все зависит исключительно от организационных мер.
Для этого нужно 3 ключа из 5.
Если все эти ключи могут попасть в руки одного человека (ну зачем всем троим ходить делать бэкап, пускай админ один там что-то сделает), то все просто.
Приходилось проделывать подобную процедуру.
Тут другое непонятно. Аутентификация-то как будет проходить?
Скорей всего что-то вроде этого
www.cryptopro.ru/products/mydss
Если все эти ключи могут попасть в руки одного человека (ну зачем всем троим ходить делать бэкап, пускай админ один там что-то сделает), то все просто.
Приходилось проделывать подобную процедуру.
А руки у вас длиной в несколько метров? Просто пин-пады для кворумной аутентификации должны находиться на расстоянии, превышающем размах рук, как в бункере РВСН. Иначе это залет.
Предполагают последовательный ввод 3-х ключей. Просто подходят носители ключей по очереди, прикладывают смарт-карту и вводят пин.
Только физический токен, полученный только при моём личном присутствии, с внесением в единый реестр и автоматическим уведомлением о выдаче оного на те же госуслуги.
И, быть может, еще и с защитным периодом дней в несколько, чтобы заработало не сразу по получении (на случай получения подписи по подложным документам злоумышленниками).
В качестве дополнительной защитной меры (но не факт, что поможет) — активация ЭП в едином реестре, как валидной, только после установки соответствующей галки на госуслугах.
UPD. По идее, если ЭП фактически равноценна в сделках бумажному паспорту, то и выдавать её должны с предосторожностями соответствующими.
Сейчас симки перевыпускают ради сотни тысяч рублей на счету или чтобы угнать не сильно дорогие домены, а уж ради квартир и подавно будут это делать.
«Договор может быть немедленно расторгнут в течение дней с момента подписания путем письменного обращения одного из субъектов договора с условием возврата имущества/средств в том состоянии, в котором он его получил, с учетом нормального износа или в состоянии, обусловленном договором, или возместить субъекту при расторжении договора материальные расходы, связанные с инфляцией/ненормальным износом».
Тут довольно широкий простор для манипуляций может быть и кому-то нужно будет с этим разбираться. Но есть государство, которое будет осуществлять мониторинг и контроль. насколько качественно оно будет реализовано — уже следующий вопрос.
ЭЦП должна генерироваться и храниться в железке, которую я лично контролирую. Все остальное от лукавого.
Эта идея фактически равносильна пачке чистых листов бумаги с вашей подписью.
Ключи, которые генерируются и хранятся не локально — заранее скомпрометированы.
Даже сейчас я никогда не даю выдавать мне готовый токен с подписью. А то выходит в УЦ некий Вася и вручает «флэшку» с подписью (тут выше кто-то отписался про это).
Всегда генерирую закрытую часть сам. И всем рекомендую. Потому что потом этот Вася может со всеми ключами уволиться и дальше делать, что хочет. И нарушений при выдаче никаких нет — человеку выдали подпись в его присутствии.
Ни слова, естественно, не сказано про то, как будет произведена защита от перехвата ПИН-кодов (паролей) к подписи.
Что, мало случаев мошенничества с этим? Пин-коды от карточек перехватывают разными способами (вирусы, соц. инженерия).
Как обычно, деньги пилить на эксперименты уже начали, не решив при этом глобальных, прежде всего, организационных проблем.
Почему все сразу вспоминают об «удобстве» воткнуть что-то в iphone, но забывают об безопасности, да и насколько часто вообще кто-то будет втыкать токен в iphone при совершении операции по которым хотят разрешить использование ЭП? (Хотя и для iphone найдутся различны токены!)
И тут еще основной вопрос, что с аутентификацией? Ничего надежнее пока того же токена или u2f не придумали, логин/пароли для таких вещей не актуальны и не безопасны от слова «совсем», или их надо будет делать очень сложным и длинным, а в наше время это уже 20+ символов или это прямой путь попрощаться со своей ЭП:) при чем опять же узнать об этом только потом! Вот будет такой сюрприз:)
А если все-таки доступ по токену или u2f то зачем тогда хранить ЭП в облаке, если надежнее как раз на токене…
P.S. Решение не безопасное, не продуманное и бестолковое!
Но в принципе вы правы. Безусловно.
Тем более, что
1. Никто не знает, как это там реализована. Практика (например, э-голосование в Москве) показывает, что скорее всего реализовано будет неграмотно и с дырами. Для серьезных систем нужен как минимум общественный аудит.
2. ЭП фактически всем навязывается, в том числе людям, которые не готовы следить за ее безопасностью, держать в тайне пароль и т.д. Нет бы еще выдавали ее только желающим с тщательной проверкой личности.
И не надо вообще ни о чем беспокоится. За вас всё подпишут и отправят. Все нужное. Все важное. Вам даже делать ничего не нужно. Вам даже знать ничего не нужно. Всё чисто и безопасно. Мы гарантируем.
Зы: а теперь представьте что эта облачная база целиком кем то сольется и продастся сотнями и тысячами копий в сеть. А рано или поздно это случится. А современное отношение к безопасности и нарушениям безопасности в нашей стране показывает, что это случится очень даже рано.
Чтобы уберечься от сделок с недвижимостью, Росреестр рекомендует гражданам принести заявление о невозможности проведения сделок с их недвижимостью без личного участия. После получения такого заявления в ЕГРН вносится специальная запись.
А была же недавно статья habr.com/en/news/t/470539 где сказано, что это уже пофиксили:
После разбирательств с участием чиновников президент РФ Владимир Путин подписал 2 августа закон, согласно которому операции для сделок с недвижимостью должны сопровождаться использованием усиленной квалифицированной электронной подписи. Новый законопроект добавил поправки в закон «О государственной регистрации недвижимости».
С 13 августа закон вступил в силу, после чего удаленные операции с недвижимостью были отключены по дефолту — для их использования нужно подать заявление, причем в письменном виде. Подавать документ должен владелец недвижимости.
Процедура не такая и простая — собственник квартиры или дома должен подать в регистрационный орган заявление на бумаге, выражая согласие на применение электронной подписи при проведении сделок с его недвижимостью, что подразумевает переход права собственности к другому лицу.
Другое дело, что кроме сделок с недвижимостью, существует еще много других сделок, которые можно сделать через ЭЦП. Например, зарегистрировать ООО и отмывать через него деньги…
Когда мой секретный ключ лежит в государевом облаке и им можно подписать любую бумагу от моего имение — я что-то с этим не согласен…
Доступ через ЕСИиА — ну круто, а мимо ЕСИиА сколько человек имеют туда доступ?
Что должно быть в облаке — государев реестр электронных подписей граждан и организаций — так что бы одно лицо — один ключ. И уведомление при регистрации ключа когда его раньше не было. Но в реестре только публичная часть ключа. Приватная должна быть только у меня.
При правильной реализации ключ лежит в зашифрованном виде, а пароль от него — только у вас. Расшифровка ключа и подписывание им документов должны осуществляться на аппаратном и программном обеспечении, которое контролирует владелец ключа.
В таком виде, в принципе, всё довольно надёжно. Но: 1) неудобно; 2) стойкость равна минимуму из стойкости пароля и стойкости ключа; 3) есть сомнения, что реализуют именно так, а не образом, подобным вставке картинки подписи в документ.
Только зачем тогда вся эта супернадежная надстройка над паролем?
А то что по нормальному не реализуют — это я почему-то не сомневаюсь.
Это как-бы процесс перевода подписи на бумаге в подпись внутри цифровой памяти.
И первичным источником подписи может служить только собственная подпись настоящего живого человека, сделанная сразу же перед преобразованием.
Всё остальное неправильно, ибо там полно дыр и всё это легко подделать.
Как аутентификация-то будет происходить? по паролю? Ну тогда секретность — это секретность пароля. И при чем тут ЭП? Это скорее система централизованной проверки подлинности паролей.
Интересно, одновременное появление виртуального голосования и неконтролируемых ЭП — это что? синхронный распил или что-то большее.
И при чем тут ЭП?
при том, что паролем разблокируется закрытый ключ внутри HSM-а, которым подписывается входной документ (тем же HSM-ом).
Это слезы.
HSM в облачных решениях используется в каскадной схеме, и в нем ничего пользовательского не подписывается.
Там строится каскад где HSM — основание перевернутой пирамиды формирования секретов. И клиенты облачных крипто-сервисов работают с верхним (широким) уровнем. Там где можно поднять кучу инстансов и обслуживать «толстые» потоки данных. Т.е. ни один клиентский документ непосредственно в HSM не подписывается.
Подробности
Хотя, конечно, вопрос в трактовке слова «специальный».
Ну и судя по картинке, под устройством пользователя понимается ПК, ноутбук или мобильный девайс.
И это самое КриптоПро CSP 5.0 надо скачивать (там ссылка есть) и устанавливать.
Как это — «устройство установлено на сервере»?
Сервис на сервере обращается к КриптоПро CSP 5.0 и выполняет криптооперации.
КриптоПро CSP 5.0 может использовать КриптоПро DSS в качестве криптопровайдера доступного системе. Это удобно, когда нужно использовать какое-то существующее ПО, которое может работать c CryptoAPI.
В статье, скорей всего, предполагается немного другой вариант. Когда документы формируются на сервере и на сервере с использованием КриптоПро CSP 5.0 (или каким-то другим сертифицированным криптопровайдером) подписываются. А пользователь просто выполняет подтверждение, в схеме это приложение на телефоне myDSS, которое выполняет визуализацию подписываемого документа. И которое взаимодействует с сервером, используя криптографию по ГОСТ.
(где-то тут табличка «сарказм» отвалилась)
Для этого нужно, чтобы пользователь отличал приватный ключ от публичного и цифровую подпись от скана в формате jpeg, т.е. должны быть какие-то минимальные знания математики (почему это всё работает и как не испортить всё) и компьютерной грамотности (какую кнопку жать, чтобы отправить подпись, а не приватный ключ).
Наверно, пора бы уже объяснять эти вещи в начальной школе, 21й век всё-таки.
Как я писал выше, многие сотрудники УЦ даже не понимают, как это все работает — они как обезьянки нажимают на нужные кнопки, как им сказали, и все. Поэтому на заявление, что закрытый ключ буду генерить сам — круглые глаза и поиск Васи, который в этом хоть что-то понимает.
Очень интересно, почему же тогда СКБ "Контур" с этого года отказалась от практики выдачи облачных ЭП? (рожа "упоротого" негритенка)
Вступление в наследство до сих пор в любом случае через нотариуса — хоть недвижимости, хоть вкладов и других зарегистрированных ценностей.
Облачная ЭЦП для россиян: планируется масштабный эксперимент