Эксперимент: электронный ключ, позволяющий переоформить квартиру, можно получить на любого человека



    17 мая на Хабре публиковалась новость о фиксировании первого известного случая отъема квартиры путем фальсификации электронной цифровой подписи. Тогда сообщалось, что владелец квартиры на Тверской улице г. Москва обнаружил, что его квартира каким-то образом переоформлена на другого человека. Сделано это дистанционно, злоумышленник подписал документы электронной подписью реального владельца. Самое интересное то, что сам владелец никогда не получал электронную подпись и носитель с ключом.

    Оказалось, что получить электронный ключ на любого человека действительно несложно. Журналисты СМИ 47news провели эксперимент и без труда выполнили эту операцию. Как оказалось, любой разбирающийся в налоговых процедурах человек может без проблем завладеть не только чужой квартирой, но и чужой компанией.

    Для этого не нужные какие-то преступные связи или сотни тысяч долларов США. Хватит десяти тысяч рублей, которые и нужны для оформления электронного ключа. Он требуется для проведения сложных процедур купли-продажи недвижимости, переоформления квартиры и т.п. По мнению разработчиков, электронная подпись по уникальности равноценна обычной подписи, она так же уникальна и значима. Физически она записывается на устройство, которое по внешнему виду напоминает флешку.

    Организации, удостоверяющие личность человека, пришедшего оформлять электронный ключ, представляют собой обычные частные фирмы, которые получили в Министерстве цифрового развития специальную аккредитацию. Кроме того, таким компаниям для старта деятельности нужно получить лицензию от ФСБ.

    Свидетельство дает право продавать ЭЦП, но вот обязанностей контроля действий владельца подписей не налагает. Сотрудников удостоверяющего центра не контролирует никто — ни ФСБ, ни Минсвязи, ни какие-либо иные органы.

    Эксперимент СМИ заключался в том, что журналист этого издания должен был получить ЭЦП за генерального директора и одновременно главного директора издания. В самом начале две городские конторы обратили внимание заявительницы на то, что оформлять документ может помощник руководителя, но вот оплачивать услуги требуется лишь со счета организации, на которую нужно получить ЭЦП.

    После того, как журналист пожаловалась на то, что генеральный директор очень занят, ей пошли навстречу и предложили заполнить бланки и оплатить с любого счета, как фирмы, так и личного. Участники эксперимента решили получить подпись, которая позволяет подавать отчетности в налоговую, производить регистрационные действия и решать большое количество других задач, включая переоформление недвижимости. Ключ действует год.



    Для получения ключа требовались установочные данные организации, включая ИНН, ОГРН, ФИО и ИНН директора. Все эти данные без труда можно найти в открытых источниках. После оплаты счета пришло письмо с приглашением загрузить документы в личный кабинет. В компании, которая оформляла ключи, не задавали вопросов о том, почему ЭЦП заказывается на одну фамилию, а в чеке указана другая.

    Самым сложным моментом во всей этой истории была подделка подписи человека, на которого оформлялся ключ. СНИЛС был нарисован в графическом редакторе. Авторы идеи сообщают, что они приложили отсканированную копию паспорта, но фото гендиректора заменили на фото журналиста, причем лицо изменили и нанесли на лоб водяной знак.

    Затем последовало приглашение поехать в офис компании для получения ключа. Как оказалось, проверка прошла успешно, проверяющий не обратил внимания на фотографию, которая выглядела достаточно странно.



    По словам экспертов, при помощи электронного ключа можно выполнить многие действия юридического и налогового характера. «Сделать можно всё: ликвидировать фирму, реорганизовать, сменить генерального директора, завысить или занизить налоги для отчётности. Разве что учредителей не поменять. Сегодня, не как в девяностые, просто так собственников с завода не выкинешь. А вот испортить ему жизнь или забрать налоговую переплату, предварительно сделав руководителем нужного человека — легко», — заявил генеральный директор консалтинговой компании «Лодж» Александр Рокин.



    И это не теоретическая ситуация, проблемы уже возникают. Случаи, подобные ситуации с переоформлением квартиры обсуждаются в социальных сетях и на форумах. Бухгалтеры и юристы рассказывают о случаях, когда за них уже подана налоговая декларация по поддельным ЭЦП.
    Share post

    Comments 150

      +2
      Этого следовало ожидать.
        +6

        Напрашивается вопрос: а бороться с этим как?

          +1
          Чтобы не попасть в такую ситуацию, Светлана советует всем сходить в МФЦ и написать заявление, что они запрещают любые действия с их недвижимостью без личного присутствия.

          В первой статье по ссылке ответ.

            +6
            И в комментариях к той же статьей ещё написано, почему это не сработает:
            m.habr.com/ru/news/t/452292/comments/#comment_20169434
            Мне по телефону в росреестре сказали, что запретить подачу документов в росреестр с помощью ЭП нельзя никак. Законом не предусмотрено. И тут же объяснили, что волноваться не стоит, т.к. все УЦ надежные.

            8 (800) 100-34-34 горячая линия росреестра. Они подробно объясняют, что такое Заявление о невозможности действий с недвижимостью без личного участия собственника.

            В этом заявлении, которое мне предоставили в МФЦ, именно фраза «без личного участия». Никаких упоминаний ЭП или «без личного присутствия» в этом заявлении нет, это стандартная форма, и этих фраз в заявлении не предусмотрено.
              +3
              Надежные?
              Ну не знаю.
              Потребовалось недавно подписи получать и физика и ИП
              У одно из двух УЦ вполне нормально токен выдать прямо с уже сгенеренной подписью (и тут я вспоминаю правила безопасности по работе с НЕ сертифицированными подписями — например то что ключ надо генерить — самостоятельно и он вообще никому не должен попадать, никак). У второго (Контур) — генерация ключа на моей машине (правда закрытым софтом и только под Windows). Правда вот сертификат для Эльбы (сдача отчетности) генерируется примерно как с банками ниже.

              С банками для ИП вообще интересно. Все хотят еще и сдачу отчетности через них И общение с налоговой, для чего надо получить, правильно, сертификат. Получение выглядит как 'подпишите вот тут распечатку с хэшем сертификата. Файл выдать хотя бы? А у нас Сертифицированная Облачная Подпись'(подтверждение операции — по СМС)(у одного из банков еще и саму услугу этой Облачной подписи оказывает не сам банк).

              Нет, я понимаю зачем эта Облачная подпись придумана (потому КриптоПро и аналоги — это тот еще гемморой, на 100% нормально работающий только только под Windows а пользователи почему то не оценивают это) но… мне например — не очевидно (хотя документы — читаны) — та же подпись Эльбы облачная или там подпись для сдачи отчетности банка — она может быть для чего то ЕЩЕ использована быть? А если таки кто-то сопрет? Какие там у этих облачных подписей меры безопасности и кто за это отвечает?

                +3
                С Эльбой всё очень весело. Надеюсь, скоро допишу статью на эту тему. Если кратко — а) они генерируют сертификат квалифицированной электронной подписи _заочно_, на основании скана паспорта и СНИЛСа (что, кмк, уже повод для обращения в прокуратуру для проверки на предмет соблюдения ФЗ об ЭП).
                б) приватный ключ остаётся на их стороне. Мало того, что они сгенерирован ими, так ещё и у пользователя _вообще нет к нему доступа_
                в) за четыре месяца общения с их поддержкой они не смогли привести НИ ОДНОГО аргумента против того, что их сертификат _достаточен_ для подписания договоров и совершения прочих действий, для которых он, по логике, не предназначен (исключительно работы с отчётностью в рамках Эльбы). В св-вах сертификата (проверял, запрашивая данные из их УЦ) прописаны значения, достаточные для использования этого сертификата в кач-ве «электронной подписи, эквивалентной собственноручной». Особенно весело это для ИП, для которых такой серт эквивалентен собственноручной подписи ФЛ, для продажи квартиры, например, или получения микрозайма.
                  0
                  Т.е. если взять мегакредит по их ключу, а потом рассказать, что этот ключ никогда сам не генерил, в глаза не видел и всякое такое — попадает эльба и прочие онлайновые?
                  Вы эту тему в своей статье раскройте поподробнее. Как можно заэксплуатировать в плане халявных макбуков и прочих приятностей :)
                    0

                    Так у вас это не получится — ваш приватный ключ вы даже не увидите. А вот кто его увидит — не узнаете.

                  –2
                  на 100% нормально работающий только только под Windows

                  квалифицированная электронная подпись под macOS прекрасно работает, enjoy plz!
                  habr.com/ru/post/450516
                    0
                    Спасибо но…
                    — статья даже этого месяца. это к вопрос про «100% нормально работает»
                    — при попытке пройти по шагам не заработало (на тестировании подписи начались проблемы) хотя думаю получится разобраться дальше, кажется понятно в чем дело. Спасибо за ссылку.
                    — я заранее извиняюсь но на мой взгляд сам факт что эта статья — нужна — означает что это не «100% нормально работающее»
                    — почему вообще об этом надо на Хабре искать информацию а не на сайте одного из УЦ что выдавали подписи? (у Контура насколько удалось понять вообще очень четко сказано — только винда, все).

                      0
                      — при попытке пройти по шагам не заработало (на тестировании подписи начались проблемы) хотя думаю получится разобраться дальше, кажется понятно в чем дело. Спасибо за ссылку.

                      так вы напишите плиз в комментах к моей статье, какие проблемы возникли и как решили – буду признателен!
                +3

                Это должно быть по умолчанию то есть нужно в МФЦ ходить, чтобы разрешить это действие, а не запретить. Но у нас всё продумано как всегда.

                  0

                  Ходил сегодня в московский мфц. Говорят, что электронная подпись эквивалентна личному присутствию и предалагают обращаться в росреестр, чтобы запретить использовать эцп. На горячей линии росреестра говорят что запретить использование эцп нельзя. Шах и мат.

                  0
                  Так как ваш вопрос не содержит указания на лицо, которому надо бороться, то ответ мой прозвучит не менее вакуумо-сферично. Борьба должна заключаться в модификации законодательства, таким образом, чтобы получение ключа по доверенности было возможно только по нотариальной доверенности во всех случаях (в т.ч. для юрлиц).

                  Если вы хотите почувствовать себя сопричастным к этой борьбе, то напишите обращение в Минкомсвязи о необходимости подобной законотворческой инициативы. Я написал уже года полтора назад об этом.
                    +2
                    Нотариальная доверенность так же подделывается, к примеру, случаи выдачи дубликатов СИМ карты, с последующим уводом средств с привязанных счетов.
                      0

                      А у вас там доверенность разве в едином реестре не регистрируется?

                        +1
                        Я не верю в то, что кто-то нашел черного нотариуса, чтобы тот выдал настоящую доверенность без присутствия лица, которое доверяет, только ради того, чтобы стырить деньги с симки. Тут риски в сотни раз выше потенциального профита.

                        Зато я верю в то, что кто-то нафотошопил доверку, а работник ОПСОСа не проверил её через открытый реестр доверенностей.
                          0
                          > http
                          > https reestr-dover.ru — CN=www.reestr-zalogov.ru
                          Это прекрасно
                            0
                            чтобы стырить деньги с симки


                            Мне даже как-то неловко указывать на то, что тырить деньги собираются не с симки, а с банковского счета через онлайн- или мобильный банк, доступ к которому подтверждается через 2FA путем отсылки подтверждаюего кода на телефонный номер.
                        0
                        > а бороться с этим как?

                        ну я планировал разместить где-нибудь у нотариуса заведомый отказ от любой электронной подписи,
                        но боюсь, что это не сработает.
                          +1
                          Писать в прокуратуру. На предмет проверки соответствия работы таких УЦ закону об ЭП. У меня Контур-Эльба на очереди.
                          +1

                          Интересно, возможно ли взыскание ущерба с конторы, которая выдала ключ не в те руки.

                            +3
                            С данном случае в работе УЦ на самом деле практически нет нарушений. При получении сертификата по доверенности на должностное лицо юридического лица у УЦ нет обязанности (и права) требовать оригиналы паспорта. СНИЛС вообще не является документом — это цветная ламинированная бумажка без признаков документа — нет ни печати, ни подписи, ни степеней защиты. А доверенность обязана быть удостоверена согласно ч. 4 ст. 185.1 ГК РФ, и она была именно так и удостоверена. Проверять, что это подделка у УЦ опять таки нету ни возможности, ни права.
                              +1

                              Так ведь завершённой нотариусом доверенности и не было.

                                –11
                                Откройте, пожалуйста, ч.4 ст. 185.1 ГК РФ. Прочтите с выражением вслух )
                                  +9

                                  Если бы вы процитировали эту норму, то вам не пришлось бы упражняться в остроумии. И ваши комментарии не дают ответ на мой вопрос.

                                    –14

                                    Я дал вам удочку, а вы хотите рыбу.

                                  0
                                  В случае с юрлицами доверенность не нужно заверять у нотариуса. Достаточно подписи директора и печати.
                                  +1
                                  СНИЛС с этого года не выдается в бумажном виде, создается только в электронном виде.
                                    –4

                                    Я знаю. И?

                                +25
                                Проблем тут несколько
                                1) Паспортные данные, СНИЛС используется как аутентификационная информация, но по сути это публичные данные. Нужно искоренять практику, когда для аутентификации личности используется данная информация.

                                2) У текущей схемы государственного PKI — набора аккредитованных УЦ (63-ФЗ) есть фатальная проблема конфликт интересов УЦ между безопасностью и продажами. УЦ зарабатывают на количестве проданных ЭП (электронных подписей). Для упрощения продаж ослабляются процедуры проверки документов и идентификации личности. Клиенты не хотят заморачиваться и любую «безопасность» воспринимают как бюрократию, в результате чего пойдут в тот УЦ, где «бюрократии» нет. Это не проблема одного УЦ, это системная проблема, решить которую можно только на уровне законодательства. Нужно менять всю схему. Текущая вариант, когда государство периодически проводит проверки качества работы УЦ по факту не решает проблему.

                                С точки зрения публикации, то тут журналисты совершили уголовку — подделали подпись собственника (заявителя) ЭП, подделали сканы паспорта. Такое может быть даже если документы будут внимательно проверять. По сути работник УЦ ОБЯЗАН был звонить не журналисту «заминать» вопрос, а в полицию и возбуждать 159, 327 УК РФ.

                                Не стоит забывать, что подделывая бумажную подпись можно бед натворить много больше, нежели с помощью ЭП.
                                  +2
                                  Нужно искоренять практику, когда для аутентификации личности используется данная информация.

                                  А как её искренишь? Никакой секретной информации (при этом подходящей для проверки) у человека нет. Пароль? Так это ещё хуже ЭЦП.

                                    0
                                    Менять бизнес-процессы и принятые бизнес-практики, но это очень сложно, почти нереально.

                                    Если говорить о практике, то варианты есть — кодовое слово, биометрическая идентификация, идентификация через доверенный сторонний сервис и т.д. Ну и в конце концов, можно применять различные методы идентификации для операций различного уровня риска.

                                    Проблема в том, что это будет «усилий» от клиента, но тут уже ничего не поделаешь. Хочешь жить — борись за жизнь.
                                      +5
                                      Менять бизнес-процессы и принятые бизнес-практики, но это очень сложно, почти нереально.

                                      Бизнес-процессы? При оформлении недвижимости? Напишите конкретно, без воды.


                                      биометрическая идентификация

                                      Один раз утечет в сеть и всё. Больше никогда ничем владеть уже нельзя. Подпись хоть оспорить можно, отпечаток не оспоришь.

                                    +7
                                    > подделали сканы паспорта
                                    > работник УЦ ОБЯЗАН был звонить не журналисту «заминать» вопрос, а в полицию и возбуждать 159, 327 УК РФ.

                                    Может быть, на вас возбудить за то, что вы подделываете логику? )
                                    Во-первых, нельзя подделать то, что документом не является. Скан документа != документ до тех пор, пока он хотя бы кем-то не заверен.
                                    Во-вторых, совершенно верно написал журналист, что работник УЦ не может делать НИКАКИХ выводов на основании звонка непонятно кого. Потому что в противном случае он своими руками организует Denial of service.
                                      +2
                                      Работник УЦ ОБЯЗАН руководствоваться регламентом УЦ. Когда клиент выбирает в каком УЦ получить ЭП, он должен ознакомиться с регламентом, оценить удовлетворяет ли он его требованиям безопасности и т.д.

                                      Если в регламенте УЦ написано, что блокировка производится по простому звонку, то оператор ОБЯЗАН выполнить ее. Клиент должен был оценить риски подобных действий до подписания документов.

                                      На практике, все удостоверяющие центры гос. и коммерческие обычно, с которыми я работал, проводят подобные действия по кодовому слову.
                                      Скорее все журналисты столкнулись с преступной халатностью работников УЦ.

                                      И на последок про DoS. Если вы нашли на улице банковскую карту, то вы можете позвонить в банк эмитент сказать им об этом и ее заблокируют просто по вашему звонку…
                                        0

                                        У меня есть сертификаты в четырех УЦ. Ни в одном никогда не возникало какой-либо речи о кодовом слове. Так что про такую практику я слышу впервые. Я допускаю, что УЦ может так поступить если хотя бы я представляют владельцем скомпрометированного сертификата. Но тут намеренно они представляются а бы кем.

                                          +5
                                          Когда клиент выбирает в каком УЦ получить ЭП

                                          Клиентом вы в данном случае называете мошенника? Настоящий клиент вообще не получал подпись. А мошенник конечно ознакомился с правилами безопасности и выбрал подходящий центр.

                                        +1
                                        С точки зрения публикации, то тут журналисты совершили уголовку — подделали подпись собственника

                                        А если они действовали по обоюдному согласию с исследовательской целью и зафиксировали это в виде какой-то расписки? Считается ли это преступлением?

                                          +1
                                          В приведенных статьях УК РФ нет понятий «исследовательских целей». Преступление это или нет должна решать полиция.
                                            +1

                                            Есть преступления в которых требуется наличие заявы от пострадавшей стороны.

                                              0
                                              Решает суд, в данном случае состава преступления нет.
                                              +3
                                              Журналистам обычно много что прощается по «журналистскму расследованию», если они не получили выгоды, конечно. Подозреваю, что в данном случае тоже.
                                              В том числе в GDPR и смежных документах у журналистов специальные условия.
                                            –3
                                            Но все все еще считают, что ответственность программистов и прочих IT обработчиков персональных данных не нужна.
                                            Я еще могу сказать, что и с госуслугами такая же дыра — я оформлял пособие по уходу за инвалидом, при этом в ПФ мне просто сказали: «Раз у инвалида нет госуслуг и мобильного, дайте чей-нибудь номер телефона, на него придет пароль, пусть его вам сообщат». Это говорят работники ПФ, потому что оформить без регистрации в госуслугах пособие невозможно.
                                              +11

                                              Ответственность программистов за то, что продавец выдал ЭЦП по поддельным документам? Это вы классно придумали.

                                                +9
                                                Он просто думает, что манагеры в УЦ — это IT ) Быль в том, что они в 95% случаев даже не знают, что такое электронная подпись. Что продают — толком не понимают. Обучены делать какую-то последовательность действий и тупо ей следуют.
                                                  –3
                                                  IT, разрабатывавшие все это, должны были предусмотреть ВСЕ возможные варианты мошенничества, в том числе и получение ЭП по фальшивым документам, и предусмотреть какой-то способ сообщения юзеру, что на его имя получается некий «ключ от всех дверей». Или какой-то тайм-аут для верификации операции с помощью девочки на телефоне. Но зачем? Можно прикрыть зад EULA и не париться — проблемы юзеров шерифа не волнуют.
                                                  Внизу в комментах пишут, что возможно получение неограниченного числа копий ЭП — в этом, разумеется, тоже виноваты исключительно девочки-манагеры, а не разработчики идеологии системы ЭП.
                                                    +5
                                                    IT, разрабатывающие все это, делают это в строгом соответствии с поставленным им ТЗ и законодательством, и за самодеятельность там можно очень больно получить.
                                                      +5
                                                      > IT, разрабатывавшие все это, должны были предусмотреть ВСЕ возможные варианты мошенничества, в том числе и получение ЭП по фальшивым документам

                                                      IT? Фальшивые документы? Написать программу, которая говорит «ПРЕДЪЯВЛЕН ФАЛЬШИВЫЙ ДОКУМЕНТ!»? На нейросетях, наверное?

                                                      > и предусмотреть какой-то способ сообщения юзеру, что на его имя получается некий «ключ от всех дверей»

                                                      Вот допустим я сейчас хочу сообщить Вам (не на хабре, а официально), что на ваше имя получается ключ от всех дверей. Как мне с вами связаться? Это даже государство не всегда может, а вы предлагаете отвечать за это IT.

                                                      > Можно прикрыть зад EULA

                                                      EULA, конечно же, пишут тоже программисты, а не юристы.

                                                      > Внизу в комментах пишут, что возможно получение неограниченного числа копий ЭП — в этом, разумеется, тоже виноваты

                                                      В этом вообще никто не виноват. Это не бага. Это фича.
                                                        +1
                                                        Ну вообще-то у нас давно даже в соцсетях регистрируют по номеру мобильника — но, видимо, для всех прочих это за пределами сложности. Обычная почта с уведомлением заказным письмом, как это было, например, на «Молотке» — тоже.
                                                        Военкомат, между тем, работает на бумажном документообороте, и они реально присылают заказные письма — мол, вами поданы следующие документы (список) для рассмотрения (цель) при сдаче документов, и второе письмо «ваше обращение (цель) рассмотрено, решение такое-то вынесено, забрать документы (если представлены были оригиналы) там-то и там-то». Помимо писем сообщают и по телефону тоже, но письма идут с печатью и подписью и являются документом, который можно «пришить к делу». Если такое письмо было б отправлено, а юзер его не получил — тогда разговор становится уже немного другим, если же все документодвижения делаются втихаря за спиной юзера — система сделана через место пониже спины.
                                                        Неограниченное число копий — это не фича, это баг, причем критический — это как иметь сотни копий паспорта, каждая из которых может оказаться где угодно.
                                                          +1
                                                          Обычная почта с уведомлением заказным письмом
                                                          Очень долго, особенно если сам УЦ и адрес регистрации лица в разных концах страны. Пока письмо дойдет и будет получено, дел может быть наворочено очень много.
                                                          Помимо писем сообщают и по телефону тоже
                                                          Как можно узнать номер телефона, если человек его специально не оставлял, и какой-либо единой базы телефонных номеров привязанных к личности не существует?
                                                          Неограниченное число копий — это не фича, это баг, причем критический
                                                          Тут вы правы, но непонятно, почему по этому багу вы катите бочку на разработчиков программных систем, а не на законодателей и профильные министерства
                                                            +3
                                                            Ещё раз. Ситуация. Приходит в УЦ (оставим сейчас работу по проверке документов в сторону) хрен с бугра и предъявляет полный набор документов на вас, необходимый для получения сертификата ЭП. При этом ваши контактные данные там полностью не настоящие. Не настоящий адрес прописки, не ваш телефон (то есть он мошенника), не ваш email. Как УЦ должен по этим данным связаться с настоящим вами?

                                                            Военкомат априори знает ваш настоящий адрес, ему не нужен для этого хрен с бугра, который перед началом документооборота туда явится вместо вас и введет их в заблуждение.
                                                              0
                                                              Например сделать запрос в паспортный стол, и свериться с данными, находящимися там (номер паспорта, адрес проживания и тп)
                                                                +2
                                                                А в паспортном столе прямо ждут, когда им работы подкинут, чтобы кто-то мог заработать денег, а они (в паспортном столе) нарушить закон о полиции.
                                                                  –1
                                                                  В любом случае виновны те, кто разработал и сделал эту насквозь дырявую и убогую систему. Если не хотят лишней работы — не надо вводить новых сущностей. А то очень удобно — подкладывать другим свинью, а потом ни за что не отвечать. Да, можно по подложным документам оформить генеральную доверенность, но при бумажном документообороте шансов, что где-то спалят, много больше, либо надо много своих людей. А тут — ни сном ни духом не знаешь, чего там намудрят без твоего ведома. Если у вас нет возможности сделать систему безопасной, тем более с такими явными дырами — не надо ее делать совсем.

                                                                  На коммент ниже: да, я буду называть того, кто разработал убогую идеологию системы (со множественными ключами и отсутствием обратной связи) программистом, потому что это именно он.
                                                                    0
                                                                    Я смотрю вам уже напихали за шиворот минусов, а вы всё не уйметесь. А я вам всё-таки поясню, последний раз.

                                                                    Законодательной основой, которая стоит за ВСЕЙ это кухней, является Федеральный закон №63-ФЗ «Об электронной подписи». Именно в нём прописывается то, как должен работать УЦ, и другие затрагиваемые вами нюансы. Я даже спорить не буду с тем, что в нём куча косяков — это так. Правда вы даже не представляете себе какие там косяки. Они уж точно посерьезнее того, что обсуждается в данной статье.

                                                                    В результате того, что такой закон родился на свет, появились коммерческие фирмы, которые получили акредитацию в Минкомсвязи как УЦ, которые используют разработанные совершенно другими фирмами средства криптографической защиты информации (СКЗИ), для осуществления своей деятельности по извлечению прибыли.

                                                                    Программисты в этой истории разработывают СКЗИ, которое выполняет элементарные криптографические операции, и может быть использовано кем угодно и как угодно. В том числе как угодно криво.

                                                                    Таким образом, ваше утверждение равносильно тому, что убийства совершаются Калашниковым, Макаровым, Стечкиным и т.д., а не теми, кто применяет их оружие.
                                                                      0
                                                                      Разница в том, что автомат Калашникова — это изначально оружие, а ЭП — это тостер, в который разработчики зачем-то встроили ядерную боеголовку. Ну, или если взять пример с АК — это автомат, который в разгар перестрелки внезапно начинает пускать мыльные пузыри. Но разумеется, конструкторы в этом не виноваты — атомная бомба в тостер попала совершенно случайно, потому что в любой тостер можно затолкать атомную бомбу, или потому что им так захотелось или еще по какой-то иной, столь же дурацкой причине.
                                                                        +2
                                                                        Если продолжать аналогию с АК, то вы пытаетесь на Калашникова переложить ответственность в том, что в некой стране законодательно разрешили свободную продажу АК, которая привела к всплекску убийств. И никакого тостера с ядерной боеголовкой тут нет, не выдумывайте.
                                                                      +1
                                                                      На коммент ниже: да, я буду называть того, кто разработал убогую идеологию системы (со множественными ключами и отсутствием обратной связи) программистом, потому что это именно он.

                                                                      То есть эти люди программистами не являются и к программированию вообще никакого отношения не имеют, но вы упорно называете их "программистами".
                                                                      Л — логика.

                                                                        0
                                                                        Я же выше писал, что нужно возбудить дело за подделку логики )
                                                      +2
                                                      оформить без гос. услуг можно.
                                                        +1
                                                        Я оформил маме учётку в госуслугах, чтобы сменить ей поликлинику. Никаких номеров телефонов вообще не потребовалось, только e-mail и данные из документов.
                                                          0
                                                          Работники ПФР нагоняют статистику использования сайтом госуслуг,
                                                          у них план по электронным заявлениям, также как и у всех госучреждений.
                                                          Принять заявление они могут в любом виде при большом желании посетителя.
                                                            +3

                                                            Как же любят граждане называть программистами любого, кто хоть чуть связан с IT. Водителя инженером-конструктором не называете?
                                                            Ты с конпутером работаешь? Значит погромист. Я сказал погромист, а не секретанша! И нечего умного человека путатьт, иди утюг чини.


                                                            сделать запрос в паспортный стол

                                                            На самом деле не туда.

                                                            –4
                                                            Сегодня уже проходил совет от юристов на эту тему.
                                                            Оказывается есть такая государственная услуга как «Запрет на сделки с недвижимостью».
                                                            Идем в МФЦ и подписываем бумажку о запрете на любые действия с вашей недвижимостью.
                                                            После установки запрета — все действия с вашей недвижимостью только при вашем ЛИЧНОМ присутствии. Всякие электронные ключи теряют силу.
                                                            Обезопасит от:
                                                            оформление залога или аренды вашего объекта третьими лицами;
                                                            прекращение прав на владение объектом;
                                                            оформление продажи, дарения или мены объекта.
                                                              +4

                                                              После прошлой статьи один хабраюзер звонил в Росреестр, и ему там сказали ровно обратное: https://m.habr.com/ru/news/t/452292/comments/#comment_20169434

                                                              Все равно даже при наличии этой записи о невозможности можно оформить сделку, если есть ЭЦП.
                                                              Запись о невозможности без личного участия собственника означает, что другое лицо, отличное от собственника, не сможет подать документы.
                                                                +2

                                                                Это запрет на сделки по доверенности. При наличии ЭП он, кстати, легко снимается через сайт росреестра

                                                                  +1
                                                                  Интересно, а если я пойду в нормальный удостоверяющий центр и зарегистрирую себе ЭП, то это как-то защитит от повторной регистрации моей ЭП злоумышленниками?
                                                                    +3

                                                                    Нет. У вас может быть неограниченное количество одновременно действующих сертификатов.

                                                                      +3

                                                                      Ну тогда это просто дырень. А если у меня банально украдут токен? ИМХО должен быть государственый реестр действующих сертификатов. Чтобы можно было отозвать в случеа чего.

                                                                        +1
                                                                        Если украдут токен, то связываетесь с тем УЦ, в котором вы получали сертификат и заявляете, что ключи ЭП скомпрометирован. УЦ вносит ваш сертификат в реестр отозванных сертификатов.
                                                                          +1
                                                                          Так смысл всего этого в том чтобы была единая государственная база данных (как раз тот случай когда государство и централизация нужны). Может этот конкретный УЦ к тому времени сам сдуется и исчезнет:)
                                                                            0
                                                                            Я как-то не улавливаю, откуда вы почерпнули такой странный смысл ) Сказать, что это не так, это ничего не сказать. Это вообще совсем не так. Смысл электронной подписи в следующем:
                                                                            1) Подлинность (в смысле принадлежности автору подписи)
                                                                            2) Неизменность после подписания
                                                                            3) Неотрекаемость
                                                                            и всё это, чтобы юридически значимо и без использования бумаги.

                                                                            В настоящий момент есть проблемы с п.3) потому что есть проблема с установлением времени, когда была совершена подпись. Это фиксится законодательно путем службы времени или блокчейном. И с п.1) по описанным в статье причинам. Впрочем я не вижу ничего страшного в этом. Когда институт нотариусов устаканивался, там тоже было множество злоупотреблений.

                                                                            Кстати, возможно, что блокчейн хороший вариант и как единый реестр выданных сертификатов. Опять же, главное, чтобы это было законодательно прописано.
                                                                              0
                                                                              Ну неизменность и неотрекаемость делаются криптографически (тот же блокчейн, хотя там и обычной асимметричной криптографии достаточно). А вот как быть с принадлежностью автору? Как связать конкретную подпись с человеком? ИМХО, вот как раз здесь и нужно государство как служба. Ну а в идеале хорошо бы все эти функции туда заложить, чтобы уж была единая служба.
                                                                                +1
                                                                                Возьмите, как пример, нотариусов. С одной стороны это частно практикующие люди, с другой стороны они выполняют государственную функцию (за что берут в том числе государственную пошлину). Мне, например, не очевидно, что УЦ должны идти другим путём. Правда, если бы государство избавилось бы от нотариусов, я был бы только рад, уж больно они мерзкие (и пусть мне ещё минусов наставят за это).
                                                                                  –1
                                                                                  Правда, если бы государство избавилось бы от нотариусов, я был бы только рад, уж больно они мерзкие (и пусть мне ещё минусов наставят за это).
                                                                                  С чего бы? Вот нотариус мой жене вопрос задавала конкретный: вы понимаете, что подписав эту доверенность, вы передаете право делать с квартирой что угодно своему мужу и он сможет её продать или подарить без вашего ведома?
                                                                                  И ведь риэлторы ничего про это не объясняли, когда текст давали. А текст юридический распутывать далеко не все могут, как и понять что человек сможет сделать по какой-нибудь бумажке.
                                                                                  Так что их роль как раз понятна и нужна и пока не придумают информационную систему, которая сможет сама растолковывать последствия подписи и анализировать вменяемость подписывающего, а так же что он понимает результат — заменить их нечем.
                                                                                    0
                                                                                    Ну, допустим, что сам институт доверенности нужен для того, чтобы обеспечить сделку, не имея возможности физического присутствия. Уже одно это становится ненужным при переходе в цифру… Для чего ещё вам нужен нотариус (если исключить навязанные государством моменты)?
                                                                                      0
                                                                                      Для чего ещё вам нужен нотариус (если исключить навязанные государством моменты)?
                                                                                      без навязанных государством моментов по большей части будет ещё больший бардак. спасибо, нафиг не надо.
                                                                                      Ну, допустим, что сам институт доверенности нужен для того, чтобы обеспечить сделку, не имея возможности физического присутствия.
                                                                                      И от этого никуда не деться вообще.
                                                                                      Уже одно это становится ненужным при переходе в цифру…
                                                                                      а, вы уже живете в цифре… нет, мы по старинке — в реальности. и тут куча мест, где без физического — никак, не говоря уже о том, что цифра туда дотянется не скоро.
                                                                                        0
                                                                                        а, вы уже живете в цифре…


                                                                                        Нельзя так передергивать, как это делаете вы, в приличной дискуссии. Разговор о нотариусах был начат в этом каменте, и по его смыслу очевидно, что речь идет о развитии институтов УЦ в будущем и о предложении в будущем же от нотариусов уйти. Поэтому не так важно, где я уже живу, сколько то, где мы будем с вами жить.
                                                                                          0
                                                                                          Так кто в цифре будет проверять ваши документы и разбираться в хитросплетении требований и прочего?
                                                                                          Вот сейчас уязвимости описанные — они как раз по причине того, что физические документы в уц не нужны и не важны оказались, а только продажи. И никакой ответственности.
                                                                                          Единственный вариант — это сделать прошаренную коробочку с а-ля ИИ в духе сдачи крови в момент подтверждения личности, анализ радужки и анализ голоса, одновременно с анализом вменяемости личности и т.п. Потому что, чтоб получить доверенную подпись вам вначале нужно доверять в плане того, что вы и есть тот человек и дееспособны в данный момент.
                                                                                    +1
                                                                                    За нотариусами тоже нужен контроль, и известны случаи участия нотариусов в преступных схемах. Просто на момент их появления еще не было технической возможности. Сейчас — есть, и сильная криптография, и блокчейн, и само проникновение Интернета достаточно.
                                                                                    0
                                                                                    Что касается блокчейна, то вопрос тоже спорный. Это модная сейчас тенденция, но она требует большой инфраструктуры. С другой стороны надежная чистая ЭП по сути требует только трёх участников — подписант, УЦ и служба времени.
                                                                                      0
                                                                                      Например, централизованный реестр подписей можно вести как раз в блокчейне. Подписи создаются/отзываются не каждый день, а в идеале — один раз в жизни, так что в масштабах государства нагрузка будет небольшая. Зато у самого государства не будет возможности изменить что-либо задним числом.
                                                                                        0
                                                                                        Например, централизованный реестр подписей можно вести как раз в блокчейне.


                                                                                        Вы повторяете мою мысль из последнего абзаца в этом каменте

                                                                                        Подписи создаются/отзываются не каждый день, а в идеале — один раз в жизни

                                                                                        Сертификаты подписей имеют срок годности 12 месяцев. Хотят сделать 24 месяцев для хороших ключевых носителей, но пока это только мысли. С чего вы взяли про один раз в жизни?
                                                                              0
                                                                              А если у меня банально украдут токен?

                                                                              Для этого у токена существует PIN-код, но большинство оставляет его дефолтным
                                                                                0
                                                                                Потому что покупают в УЦ «электронную подпись под ключ»! )
                                                                      +2
                                                                      По мнению разработчиков, электронная подпись по уникальности равноценна обычной подписи, она так же уникальна и значима. Физически она записывается на устройство, которое по внешнему виду напоминает флешку.

                                                                      Первое, "на устройство, которое по внешнему виду напоминает флешку", записывается не электронна подпись, а сертификат и закрытый ключ, которым владелец будет подписывать документы. У каждого документа будет своя уникальная подпись. Сегодня беда в том, что закрытый ключ хранится где попало. Надо все же переходить на криптографические токены PKCS#11. И самое главное, на мой взгляд запретить УЦ генерировать/выдавать устройства с закрытым ключом (где гарантия, что у них не остался дубликат). В УЦ заявители должны приходить с электронным запросом на сертификат и необходимыми документами.

                                                                        +18
                                                                        Вы такие здравые вещи говорите, будто статью не читали. Не важно что там за устройство с вашими ключами, если его любому зашедшему с улицы выдают.

                                                                        Так-то, конечно, ключ должен генерироваться на токене и приватная часть там навечно и оставаться, но чтобы вкусить плоды такого хайтека сначала надо, чтобы государство с пальмы слезло.
                                                                          0
                                                                          Но я с вами, коллега, одновременно согласен и одновременно нет. У нас цифровизацию экономики начали с ТСЖ. Задолго до того, как ею заболел Путин, все ТСЖ фактически обязали иметь электронную подпись (2014 год, на секундочку). А кто у нас председатели ТСЖ? В основном пенсионеры, отставные военные и прочее. Вы думаете они знают, кто такие Алиса и Боб? Не сильно лучше, кстати, дела обстоят с руководителями других организаций. Поэтому если сделать так, как предлагаете вы, это породит более страшную вещь — для генерации запроса на сертификат будут нанимать вообще мутных чуваков со стороны, которые будут тырить эти ключи и продавать их на черном рынке. Это ещё хуже контролируемый процесс, чем эта вакханалия в УЦ.

                                                                          Увы, но это задача без решения в настоящее время. Никакого стимула вникать в эту порнокриптографию у людей далеких от айти сейчас нет. По сути их превратили в обезьян с гранатой, только гранату их заставили взять, а не случайно оставили без присмотра.
                                                                            +1
                                                                            В некоторых банках юр. лицами именно так и получается электронная подпись (банковская). через запрос на сертификат.
                                                                              +4
                                                                              В результате подпись получает не директор, а за него это делает сисадмин.
                                                                                0
                                                                                У госорганизации существует 6 компьютерных систем,
                                                                                где все документы должен подписывать руководитель электронной подписью.
                                                                                То есть руководитель должен целый день бегать по этажам и подтверждать документы на компьютерах пользователей.
                                                                                А теперь догадайтесь, как на самом деле это организовано.
                                                                                  0

                                                                                  Очень давно чешутся руки пощупать, что такое СМЭВ физически. Но нет возможности. Я правда сильно подозреваю, что руководитель может это все подписать не вставая с места, т.к. там облако. Но ему лениво в это вникать.

                                                                                    +1
                                                                                    На самом деле это должно быть реализовано правильным внедрением системы электронного документооборота. В таком случае и по этажам не придется бегать, и закрытый ключ кому либо доверять.
                                                                                      +1

                                                                                      И получается интересная тема, как у нас в организации: На подписание документов мне надо в бухгалтерии держать 3(!) системы — одна для СУФД, вторая для эл.бюджета и третья для контура, потому что если их поставить на одну систему — регулярно друг-друга выбивают при обновлении.
                                                                                      Если я подойду к директору и предложу реально подписывать все документы как положено, а еще и проверять их — думаю его это как минимум не обрадует.


                                                                                      Правильная система документооборота должна быть прежде всего оправдана — не всем нужны многоступенчатые схемы подписи.

                                                                                0
                                                                                не случайно оставили без присмотра.

                                                                                Конечно согласен с вами. Но одно должно быть сделано — реальный человек должен сам приходить на УЦ и получать сертификат. И документы приносить реальные. А то ведь это пародокс, что сканы (подчеркиваю СКАНЫ), заверенные электронной подписью заявителя считаются фактически оригиналами. А что и как получены эти сканы — это десятое дело

                                                                                  –1
                                                                                  Вот сегодня вы потребовали лично прийти за симкартой и ЭЦП, а завтра вам ноги и токен с телефоном трамвай переехал. Действие по доверенности должно быть априори для всех юридических действий, иначе возможны пусть редкие, зато очень неприятные ситуации.
                                                                                    0

                                                                                    За ЭЦП-то ходить зачем? Вы ее нигде не получаете, вы ее сами будете ставить где хотите и когда хотите! И доверенность есть доверенность.

                                                                                      –1
                                                                                      Ну не за самой ЭЦП, за программно-аппаратным комплексом, позволяющим подписывать свои документы ЭЦП.
                                                                                        0

                                                                                        И за ним (за программно-аппаратным комплексом, позволяющим подписывать свои документы ЭЦП) ходить не обязательно. Если вы имеете в виду СКЗИ, то его можно приобрести у производителя или дилера и на УЦ за ним ходить не надо. УЦ один из продавцов СКЗИ. А на УЦ нужно идти, как и в УФМС за паспортом, за сертификатом ключа проверки электронной одписи. Это его главная задача по запросу после проверки всех документов изготовить и выдать сертификат.

                                                                              –3
                                                                              Пусть этим занимается исключительно МВД.
                                                                                +3
                                                                                тут хабраюзеры не до конца могут понять, что здесь происходит, а вы хотите озадачить этим бедных пентов? ))
                                                                                  +3
                                                                                  Не МВД, а МФЦ было б логичней.
                                                                                  Но категорически не коммерческие конторы — это должна быть строго государственная структура и контроль за выпуском электронных подписей должен быть не менее строгий, чем за выпусков паспортов граждан.
                                                                                    –1
                                                                                    И будет этот выпуск стоит 10000 рублей госпошлины и занимать месяц. И никаких способов через запросы на сертификат. И ключевой носитель выбирает МФЦ, какой ему больше нравится купили через госзакупку с распилом.
                                                                                      +11
                                                                                      Пусть он лучше 10 000 стоит и месяц выпускается, всё-таки эта штука нужна не каждому и использоваться может многократно потом, чем вот всякие мутные конторы будут позволять мошенникам уводить чужие квартиры!
                                                                                        +5
                                                                                        Вообще-то, как раз сейчас так и есть, только вместо МФЦ — мутные операторы и коммерческий тариф.
                                                                                          0

                                                                                          У меня ЭП за 500 рублей. Выпущена через запрос на сертификат на токене с неизвлекаемым ключем.

                                                                                        0
                                                                                        К слову, последние пару лет предпринималось несколько попыток похоронить бизнес коммерческих УЦ, передать выпуск квалифицированных сертификатов госам.
                                                                                        Предыдущая итерация, подразумевавшая выпуск ЭП ЮЛ в ФНС, ЭП госов и муниципалов — в ФК, а ЭП ФЛ — в МФЦ, встретила серьезное сопротивление на общественных слушаниях и до госдумы не дошла.
                                                                                        Модифицированная версия законопроекта буквально на днях прошла через совфед в госдуму на первое чтение.
                                                                                          +1
                                                                                          У МВД небритость — повод вглядеться повнимательней.
                                                                                          А несоответсвие в одну букву, повод затребовать вагон бумажек для разъяснения.
                                                                                          И любой шаг в сторону — не по инструкции.
                                                                                          А МногоФункциональныйЦентр та же мутная организация-прослойка, с никакой ответственностью.
                                                                                        +12
                                                                                        Автору статьи жирный минус. Скрестил статью о фейке про переоформленную с помощью ЭП квартиру и статью о реальном выпуске сертификата, но на юридическое лицо, и выдал нам заголовок о том, что сертификат (который он по незнанию называет электронным ключом) ключа проверки электронной подписи, можно получить на любого человека (т.е. на физическое лицо).

                                                                                        Для тех, кто не в курсе, но действительно хочет разобраться в том, что происходит — для получения в УЦ сертификата на физлицо по доверке, доверка должна быть строго нотариальная или приравненная к ней. Для получения на юрлицо доверка должна быть просто с печатью организации — этот факт и эксплуатировали журналисты Фонтанки (дочернего издания 47news). При этом сертификат выдается на человека-должностное лицо организации, и он не может быть использован для решения вопросов этого человека-физлица.
                                                                                        Причем для тех, кто вариться в этом, это уже давно не новость, а секрет Полишинеля.

                                                                                        Кроме того, журналисты фонтанки тоже слегка притянули сову на глобус, так как узнать СНИЛС человека не так-то просто. Можно, конечно, оформить сертификат на левый СНИЛС, нарисованный в фотошопе — у УЦ нету возможности его проверить. Но любой документ по такому сертификату не сложно оспорить по понятным причинам.

                                                                                        А вам, автор, надо журнализдом на life news работать, раз у вас такая тяга к искаверканным фактам в степени жареных заголовков.
                                                                                          +5
                                                                                          Добавлю, что если у человека есть паспортные данные директора и он уже сделал «мокрую» печать организации, то тут и без ЭП можно разных дел наделать. Тем более доверенности он уже научился выписывать ;)

                                                                                          А отчётность за юр. лицо и обычной почтой можно отправить, не имея вообще никаких данных, кроме тех, что есть в ЕГРЮЛ (изготовив опять «мокрую» печать). Зачем для этого делать ЭП непонятно. Разве только, чтобы стать настоящим сварщиком :)
                                                                                            +2
                                                                                            Помножим это на то, что сейчас ООО (и каким-то ещё ОПФам) разрешили вообще не иметь печати ;-)
                                                                                            +1
                                                                                            За последнее время далеко не первая новость, в заголовке которой реальность перевёрнута с ног на голову. Видимо маразм будет крепчать и дальше, пока администрация не пожелает начать бороться с этим явлением.
                                                                                              +4
                                                                                              СНИЛС узнать как раз проще чем паспортные данные, его НЕ берегут, он по сути бумажка, имеется в поликлиннике на карточке и еще куча где мест, на той же работе у бухов…
                                                                                                0
                                                                                                Если плясать от того, что у вас есть чей-то СНИЛС, то да. А вот обратная задача, когда вам нужно узнать СНИЛС конкретного человека, не решается в общем случае. Даже УЦ не могут его никак проверить, кроме очевидного контроля проверочных цифр в самом номере СНИЛСа. Поэтому УЦ обычно требуют предъявлять ламинированную бумажку СНИЛСа, считая, что это чего-нибудь гарантирует, а сейчас тихо матерятся из-за того, что выдачу ламината упразнили.
                                                                                                  0
                                                                                                  Нет, не так.
                                                                                                  Последние несколько лет УЦ через СМЭВ подтверждают валидность СНИЛС в сервисе ПФР, паспорта — в сервисе МВД и ИНН — в сервисе ФНС.
                                                                                                    0
                                                                                                    сервис МВД и ФНС публичный. Про ПФР мне не известно, чтобы они предоставляли такой сервис организациям, не входящим в структуру органов власти. И зачем бы им тогда кроме номера требовать предъявлять ламинат?
                                                                                                      +1
                                                                                                      Они это делают не через публичный сервис, а через СМЭВ (иначе не считается за проверку и могут быть вопросы на очередной проверке регуляторами). Сервис ПФР там.
                                                                                                      Зачем просят оригинал — не знаю. Навскидку — дополнительное доказательство в суде, что сделали все что можно, чтобы не выдать ЭП не тому. Строго говоря, приносить саму картонку СНИЛСа 63-ФЗ не требует:
                                                                                                      2. При обращении в аккредитованный удостоверяющий центр заявитель <...> представляет следующие документы либо их надлежащим образом заверенные копии и сведения:
                                                                                                      1) основной документ, удостоверяющий личность;
                                                                                                      2) номер страхового свидетельства государственного пенсионного страхования заявителя — физического лица;
                                                                                                      ...
                                                                                                        0
                                                                                                        Про то, что не требует, я знаю. Про СМЭВ не знал. Спасибо!
                                                                                                          0
                                                                                                          Сервис потому что полудохлый. В МФЦ к примеру время приема документов на услугу примерно 15 минут. А ответа по сервису СНИЛС ты можешь ждать минуты три, и не дождаться т.к. СМЭВ3
                                                                                                  +3
                                                                                                  Скрестил статью о фейке про переоформленную с помощью ЭП квартиру

                                                                                                  Дайте ссылку на опровержение или ещё какое-нибудь обоснование того, что там фейк. Это важно.


                                                                                                  для получения в УЦ сертификата на физлицо по доверке, доверка должна быть строго нотариальная или приравненная к ней.
                                                                                                  В той статье как раз и объяснялось, что проблема в том, что _должно_ быть так-то и так-то, а на практике может быть по-другому, причем и в случае мошеннических действий, так и просто из-за раздолбайства.
                                                                                                  так как узнать СНИЛС человека не так-то просто.
                                                                                                  Так-то в наше время СНИЛС засвечивается чуть ли не а большем числе мест, чем паспорт. И к защите своих данных СНИЛС люди не относятся так же серьезно, как и к паспортным данным.
                                                                                                    +1
                                                                                                    Дайте ссылку на опровержение или ещё какое-нибудь обоснование того, что там фейк. Это важно.


                                                                                                    Ссылки у меня нету. И вряд ли она будет, потому невозможно разыскать якобы какого-то Романа из Москвы, про которого больше вообще ничего не известно, нельзя.

                                                                                                    Фейком это признано людьми, которые с темой выдачи ЭП хорошо знакомы (при этом они не имеют отношения к УЦ) по совокупности фактов:
                                                                                                    1) В статье не указан УЦ, выдавший сертификат, которым была подписана
                                                                                                    2) В статье не указано, каким образом, произошла выдача сертификата не владельцу: ошибка УЦ, подделанная нотариальная доверенность и т.д.
                                                                                                    3) Мошенничество с продажей квартиры довольно легко раскрывается, т.к. в нём очевидна сторона-бенефициар
                                                                                                    4) Всё это случилось аккуратно в тот момент, когда Ростех объявил о запуске своего УЦ.
                                                                                                    5) Параллельно с этим во околовластных кругах с новой силой начались тёрки за то, что все УЦ нужно позакрывать, а и родить очередную монополию в лице угадайте кого? А тут такой повод!

                                                                                                      +3
                                                                                                      А вот, кстати, не фейк: habr.com/ru/news/t/452292/#comment_20172916

                                                                                                      Прочитайте весь тред с этим товарищем.
                                                                                                    +1
                                                                                                    Кликбейт статья :(
                                                                                                      0
                                                                                                      Секундочку, но ведь сделки по ЭП с недвижимостью физлиц запрещены уже лет 5 как.
                                                                                                      0
                                                                                                      Интересно скоро ли будет история, что какая нибудь пенсионерка при помощи электронной подписи подарила квартиру, о чем стало известно после ее смерти. И дальше семья покойной не смогла доказать, что квартиру продала не она, потому что узнали об этом через пару лет.
                                                                                                        0
                                                                                                        Историю-то можно написать хотя завтра )
                                                                                                          +2
                                                                                                          Судя по смайлику — это должно быть смешно?
                                                                                                          Сбербанк при оформлении электронной ипотечной сделки с помощью сервиса ДомКлик выпускает на ваше имя полноценную электронную подпись. Ужас в том, что вам даже не выдают ключевой носитель, а ключи (как открытый, так и закрытый) остаются у Сбербанка. Это равносильно тому, что вы оставляете ему пачку чистых листов А4 с вашей подписью внизу — далее можно оформлять что угодно от вашего имени. Кредит на миллиард? Пожалуйста! Это, конечно, полный ужас. То, что до сих пор не случилось чего-то подобного, означает, что всё ещё впереди. Но если вас угораздило вляпаться в эту историю, то не забудьте, после завершения сделки, хотя бы сделать отзыв вашего сертификата электронной подписи в удостоверяющем центре, выдавшим вам сертификат.
                                                                                                            0
                                                                                                            Для чего вы мне цитируете меня же из моего поста? ) Смешна не возможность. Смешно то, что человек, которому я отвечал, думает про это как про что-то в отдаленном будущем, в то время как странно, что этого не произошло уже.
                                                                                                              0
                                                                                                              не нашел кого вы цитируете, но совет дельный – сразу же отзывать одноразовые электронные подписи.
                                                                                                              но в случае с domclick, нужно признать, риск минимальный. КЭП выпускается УЦ Корус Консалтинг (крупная и серьезная структура, дочка сбера) и хранится в облаке КриптоПро DSS, подтверждение операций с КЭП (подписание договора) происходит кодом в sms. лично пользовался.
                                                                                                                0

                                                                                                                Риск не минимальный, а весьма-таки критический. Серьёзность, как Вы выразились, структуры не гарант того, что в этой структуре не может быть мошеннических действий. SMS тоже не гарант от компрометаций.
                                                                                                                А вот тот факт, что у вас на руках нет ни открытого, ни закрытого ключа, но который остаётся валидным — весьма серьёзная critical уязвимость.

                                                                                                                  0
                                                                                                                  вы вольны в личных оценках, но публично заявлять о критическом уровне уязвимостей вы никак не вправе, кто-то может поверить, а другой попросить ответить за сказанное.
                                                                                                                  давайте так: если уровень риска критический – то получается (а) нельзя покупать/продавать квартиры при сделках с электронной регистрацией; (б) нельзя выпускать сертификаты ЭП в половине УЦ, т.к. они не берут наш запрос на сертификат и генерят закрытый ключ сами. но что мы имеем в реальности: квартиры покупаются/продаются, а сертификаты ЭП выпускаются.
                                                                                                                  в одном из комментов к другой статье я писал, что есть УЦ с уставным капиталом 10К, а есть 100М+ — habr.com/ru/news/t/452292/#comment_20181256 – оценка раз. использование сертифицированных криптопро hsm и криптопро dss при работе с ЭП – оценка два. присутствие гос.органа и крупной финансовой структуры в сделке – оценка три. итого, методом экспертных оценок мы можем сделать вывод, что риск при ипотечной сделке в сбере минимален, все безопасно и можно использовать. я прошел этот путь и знаю о чем говорю, а вы, извините, видимо не владеете практикой вопроса.
                                                                                                                    0

                                                                                                                    Давайте не цепляться к терминологии, но тот факт, что на наш запрос на сертификат они генерят закрытый ключ сами и неизвестно, что с ним потом делают — это весьма небезопасно.
                                                                                                                    То, что у вас лично положительный опыт не может являться убедительным аргументом, т.к. единичный случай не может говорить о ситуации в целом. Да, я не осуществлял ипотечную сделку таким образом, но это не значит, что риск минимален.

                                                                                                                      0

                                                                                                                      ок, я же не спорить с вами хочу, а услышать что конкретного вы можете предложить, ведь в нашей власти управлять рисками

                                                                                                                        0
                                                                                                                        Эм, и как вы лично можете управлять рисками, когда закрытый ключ хранится не у вас? Апеллировать к ошибке выжившего?
                                                                                                                          0

                                                                                                                          Вам выше задали весьма актуальный вопрос, жду ответа.
                                                                                                                          На ваш же вопрос ответ банален — не ходить и не доверять таким УЦ. Как максимум, отозвать лицензии у таких УЦ, доработать законодательную базу, отслеживать недобросовестные УЦ и проч.

                                                                                                                            0
                                                                                                                            вот вы пишете «отозвать лицензии», «доработать законодательную базу» – а это вообще в ваших силах? вы можете отозвать лицензию или принять закон? думаю что нет, тогда зачем сотрясать воздух. может быть вместо этого сосредоточиться над тем что мы можем: написать жалобу в ген.прокуратуру, администрацию президента, подать законодательную инициативу, провести исследование, написать статью.

                                                                                                                            аналогично с управлением рисками. ну если процедура выдачи ЭП такова, что ключ какое-то время хранится на рабочей станции УЦ, то не нужно заявлять что это hi risk. это low risk, т.к. у вас есть возможности:
                                                                                                                            — выбрать УЦ, который крупный и выдает ЭП только при личном присутствии;
                                                                                                                            — присутствовать при генерации ЭП (я лично присутствовал),
                                                                                                                            — отзывать «одноразовые» подписи (как в случае с ипотекой от сбера),
                                                                                                                            — сменить паспорт и больше не предоставлять его копий кому попало (даже работодателю можно только показать и предоставить данные без копии),
                                                                                                                            — заблокировать возможность сделок с недвижкой и регистрации компаний — habr.com/ru/news/t/453802
                                                                                                                            — получить список всех своих подписей, вот сейчас как раз это выясняю — habr.com/ru/news/t/453208/#comment_20208522
                                                                                                                            — не сдавать биометрию, не выпускать облачных КЭП,
                                                                                                                            — не хранить ЭП в реестре или на флешках,

                                                                                                                            ну что разве мало способов управления рисками?

                                                                                                                            p.s. не вижу вопроса, потрудитесь приводить ссылки, или пишите в личку плз.
                                                                                                                              0

                                                                                                                              К сожалению, налицо — законодательная дыра, которой пользуются мошенники, и пока не ужесточат контроль за выпуском ЭЦП, такие ситуации будут случаться только чаще.


                                                                                                                              P.S> Вопрос Вам выше задал тов-щ Am0ralist.

                                                                                                              0
                                                                                                              История уже есть, но про пенсионера и он еще не умер, но замысел преступления был именно такой как вы и описали.
                                                                                                              +1

                                                                                                              СКБ Контур уже озвучивал свою позицию. Как редактор блога компании, могу повторить официальный ответ Контура: «Сотрудники СМИ действительно обращались в представительство нашего удостоверяющего центра, чтобы получить сертификат квалифицированной электронной подписи. Но процедура выдачи сертификата не была завершена, т.к. заявитель представил заведомо поддельные документы. Мы отказали ООО «47 НОВОСТЕЙ» в получении сертификата, оплаченные по заявке деньги будут возвращены.


                                                                                                              Несмотря на то что система безопасности по проверке заявок на сертификат в нашем УЦ сработала и сертификат по поддельным документам получить не удалось, мы понимаем, что при тех возможностях, которые сегодня дает квалифицированная электронная подпись, нужно усиливать требования к заявителям, в частности, законодательно закрепить, что доверенность на уполномоченное лицо может быть представлена только в нотариальной форме. Совместно с регулятором в этой отрасли, Министерством цифрового развития, массовых коммуникаций и связи, мы ведем работу по совершенствованию законодательства в этой сфере. Также мы планируем поднять вопрос об установлении ответственности заявителя за предоставление в удостоверяющий центр заведомо поддельных документов, вплоть до уголовной.»

                                                                                                                +2

                                                                                                                Я тоже из Контура, и вот моя неофициальная интерпретация нашего «официального ответа»:


                                                                                                                • Журналисты в своей статье достаточно вольно относятся к фактам. В частности, мы не выдали им ключ электронной подписи.
                                                                                                                • Журналисты рассказали в статье, что фотошопили документы и подделывали подпись. Не надо так делать, от этого пахнет уголовкой.
                                                                                                                • УЦ работают так, как требует закон, а закон не идеален. Мы в курсе, общаемся об этом с Минкомсвязью.
                                                                                                                  0
                                                                                                                  Кстати вот не думали сделать официальную поддержку macOS? С документацией, возможностью задавать вопросы вашей техподдержке по macOS.
                                                                                                                    0

                                                                                                                    Привет! Думали и даже кое-что тестируем. Как будет готово, сразу расскажем на сайте УЦ и будем консультировать через техподдержку, обязательно.

                                                                                                                    0

                                                                                                                    О, пиар-служба на сайте написала: https://kontur.ru/press/news/company/2019/5/6686

                                                                                                                    0
                                                                                                                    полагаю, многие проблемы были бы решены, если бы был единый реестр выданных сертификатов электронных подписей. тогда каждый мог бы зайти и посмотреть, где и когда на его имя были выпущены сертификаты. ну и в идеале для секьюрности авторизовываться через ЕСИА, реализовать уведомления о моих сертифкатах и т.п.
                                                                                                                    Вообще говоря такой реестр есть – e-trust.gosuslugi.ru/Certificates, – но он нихрена не работает. Я пытался найти свои сертификаты, используя все возможные данные сертификата и комбинации полей – безрезультатно.
                                                                                                                    p.s. написал запрос в саппорт на sd@sc.minsvyaz.ru, тикет SCR#1534800. ждем.
                                                                                                                      0
                                                                                                                      Представьте себе, тикет закрыли с формулировкой что "… оказание информационно-методической поддержки… осуществляется исключительно Уполномоченным лицам и Участникам информационного взаимодействия". По телефону сообщили, что контакты на сайте e-trust.gosuslugi.ru/Contact указаны неверно, это контакты «Ситуационного центра Электронного правительства», а по вопросам работы реестра и ЭП нужно обращаться напрямую в Министерство.
                                                                                                                      Вопрос уже заинтересовал меня. Подал обращение в Минкомсвязи. Ждем.
                                                                                                                      скриншоты
                                                                                                                      Ответ на запрос на sd@sc.minsvyaz.ru:

                                                                                                                      Обращение в Минкомсвязи:

                                                                                                                        0

                                                                                                                        Напишите, пожалуйста, когда Вам ответят. Тоже заинтересовал вопрос.

                                                                                                                          0
                                                                                                                          Ответ из Минкомсвязи поступил спустя четко 30 дней.
                                                                                                                          Мне предоставили список выпущенных на мое имя сертификатов (название УЦ и сроки действия), без пояснения отозван сертификат или нет. В принципе, никакой чувствительной информации в ответе нет, учитывая, что обращался я просто через форму обратной связи, без какой-либо авторизации и верификации. Но говорит это о том, что четкого регламента в министерстве на этот случай нет. По остальным вопросам: почему по контактам нельзя достучаться и почему реестр не работает – бестактно умолчали.
                                                                                                                          Вывод: получить список подписей и УЦ можно только в ручном режиме за месяц, что сводит на нет всю ценность данной информации. Т.к. за месяц с помощью ЭП можно сделать Все.
                                                                                                                          ответ из Минкомсвязи

                                                                                                                          0
                                                                                                                          Глядя в свой хрустальный шар, пророчествую, что данный портал относительно скоро (с учетом времени, необходимого на сертификацию, опытную эксплуатацию и может быть что-то еще) будет заменен на новую версию, которая, возможно, будет более рабочая, чем текущая.

                                                                                                                        Only users with full accounts can post comments. Log in, please.