Comments 44
Астрологи объявляют неделю мошенников. Количество слежки за пользователями и продаж квартир и автомобилей неизвестным людям увеличивается вдвое.
В принципе ничего особо не изменилось. Раньше куча объяв на авито была (может и сейчас есть) раньше, где для получения квал. подписи достаточно было скана паспорта, скана снилса и фотки с паспортом в руках посланных на обычное е-мыло где-нибудь на маил.ру что характерно. Формально нелегально, т.к. требуется личное присутствие.
Тут по большому счету то же самое, поэтому нам не вполне понятно как тут личное присутствие обходят. Кто-нибудь из юристов может пояснить?
Через удостоверение от единой системы идентификации и авторизации ЕСИА (которая для этого и делалась), подтверждение учетной записи в которой либо через личное присутствие в МФЦ делалось, либо через Сбербанк, где тоже личное присутствие было.
И если да, то почему тогда одного лишь входа через ЕСИА (при подтвержденной учетке) недостаточно для квал подписи?
Закон 63-фз статья 5, 3 вида
простая (коды, пароли)
усиленная НЕквалифицированная (полученная на основе криптографии,действует на условиях и основании договора регулирующего ее применение между применяющими ее сторонами, позволяет определить лицо, подписавшее электронный документ, позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания)
усиленная квалифицированная, те же требования что и неквалифицированной + принадлежность владельцу заверена удостоверяющим центром и создается сертифицированным П/О
и получается, что вход через ЕСИА не обеспечивает того, что обеспечивает квалифицированная подпись.
Сразу же интересует момент - как можно отказаться от этой услуги? Уж очень она упрощает возможность украсть у меня все и разом.
электронную подпись, которая хранится в защищенной и безопасной инфраструктуре электронного правительства
А вот с этого места хорошо бы поподробней. Сам ключ должен храниться только на устройствах пользователя, но некоторые сервисы это правило нарушали — не только разрешали альтернативные схемы хранения, но и, в некотором смысле, навязывали хранение на стороне сервера как единственную возможность. Я в свое время не смог побороть Федеральную налоговую службу, но надеялся, что хотя бы другие государственные сервисы будут делать, как положено.
может мне кто-то может объяснить смысл облачного хранения ЭЦП. т.е. ты заходишь в сервис используя простую ЭЦП, а внутри сервиса хранится усиленная квалифицированная эЦП. Какой блин в этом смысл. ведь всё равно, чтобы использовать эцп достаточно простой подписи.
Усиленная ЭП более наглядно и тесно связанна с предметом подписи чем простая и этим ее "неотрекаемость" более очевидна и доказуема, имхо.
Возможность кому то еще давать этой подписью ограниченно пользоватся.
Примеры:
- Банк Точка, оказывают услугу по регистрации ИП И открытию счета. но надо подписать бумагу про ЭЦП (там даже хеш напечатан). Зачем? Им нужно от имени клиента заявление в налоговую отправить.
- Бухгалтерские сервисы как при банках так и отдельные (вроде Эльбы/МоеДело) — для общения с налоговой нужна подпись. Хотя логичнее бы нормальной подписью (на токене) подписать какую то электронную доверенность на права сервиса общаться с налоговой и только на это.
Знакомый бухгалтер рассказывал, что изначально можно было такие права делегировать, к примеру, на персональную подпись бухгалтера. А потом переиграли и теперь все документы подписываются только эцп директора - что означает наличие доступа к этой подписи у большого круга лиц.
Проблема в том, что мне вот например из статей вроде той что по ссылке — не понятно как ситуацию с аутсорсным бухгалтером то решать? (Считаем что я ему — доверяю общение с налоговой, в моем случае — там прямо контракт с материальной ответственностью за ошибки сервиса). Бухгалтер формирует документы и просит подписать? Или все же вернут в каком то виде электронную доверенность на право общения с налоговой, которую надо подписать? Или будут через какую то дыру как раньше делать подпись без ограничений (и удаленно разумеется)
Так-то новая система уже больше месяца как бы работает. Можно напрягать свой УЦ на предмет разъяснения и всего такого. Но есть стойкое ощущение, что в реальности ничего еще не реализовано и не работает. Всё как обычно будет допиливаться в последний момент, а потом 1-го января все будут бегать с выпученными глазами. Ну как это обычно у нас бывает. У нас же как, всё такие изменения надо обязательно с первого января запускать, и по хрену, что вся страна в пьяном угаре неделю.
По идее, ЭП это средство крипто-защиты информации (СКЗИ) и персональных данных, по 152-фз курирование защиты ПД с использованием СКЗИ возложено на ФСБ, так что по идее на ФНС туда жалобу писать надо было, и думаю вряд ли ФСБ стало бы ФНС тут покрывать.
Тут проблема не в том, что ФНС один раз что-то сделали не так, а системная. Почему вообще считается нормальным, когда приватный ключ пользователя живет на сервере? Это же вопиющее нарушение с точки зрения основ криптографии. Возможно, в каких-то регулирующих ФЗ именно это и прописано. (В некотором смысле, так и правда удобней пользователю — меньше шансов потерять ключ.) Конкретно ФНС не только разрешает такую схему хранения ключа, но и технически затрудняет использовать нормальную схему (видимо, не из вредности, а по раздолбайству). Не знаю, как сейчас, но несколько лет назад, когда я с этим столкнулся, предлагалось использовать их закрытый проприетарный (хотя наверняка лицензированный ФСБ) софт под винду, который, начиная с какой-то версии, перестал нормально работать у меня в виртуалке. И мне кажется, что ситуация не только не улучшается (я бы ожидал переход на более стандартный универсальный открытый софт), но и усугубляется за счет увеличения популярности и количества подобных сервисов.
Почему вообще считается нормальным, когда приватный ключ пользователя живет на сервере?
Не знаю, по моему это в корне противоречит Приложению к приказу ФАПСИ РФ от 13 июня 2001 г. N 152 "Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", там все расписано как должно обращаться с СКЗИ, и оно все довольно жестко, и за несоблюдение административная ответственность, а в случае повлекшем ущерб еще говорят и уголовная может быть за халатность, т.ч. трудно себе представить, как то, что там написано совмещается с тем что вы рассказываете, и заявлениями типа
"где для получения квал. подписи достаточно было скана паспорта, скана снилса и фотки с паспортом в руках посланных на обычное е-мыло где-нибудь на маил.ру "
Ну — мне вот двумя УЦ приходилось пользоваться.
В одном — подписывается все и проверяется, затем за своим компом производится генерация ключевой пары и запись на токен. И выдана инструкция по которой это сможет сделать самая тупая блондинка.
Во втором — паспорт? ок. вот вам ваш токен, мы все сами сгенерировали.
Процедура обновления в обоих УЦ более нормальная.
Нежданчик. Что благородней духом. Бежать ставить приложение или, ополчась, на их поделки, заявление о запрете выпуска сертификата на себя, пока мошенник не выпустит его за тебя?
У нас в стране много сертификационных центров. Обмена информацией между ними и какой-то централизованной гос. базой нет. Мошеннику главное не придти в тот, в котором вы выпустили свою подпись.
Думаю, для них не проблема будет аннулировать мою и выпустить мошеннику новую. На самом деле жуть. Теперь только пароль от еасиа нужен и все.
Другой вопрос насколько надёжно это работает и все ли УЦ отчитываются о выпущенных сертификатах.
Впрочем со следующего года работа с ЭЦП кардинально меняется (формально старт новой системы произошёл уже 1-го июля). Здесь можно почитать.
Да? А откуда список выданных сертификатов на госуслугах взялся? С указанием кто его выдал и серийника. И да — можно потом связаться и спросить а вы вообще кто и зачем выдали? Правда вместо внятного объяснения можно получить отзыв а может потом появится запрос от бухсервиса с просьбой подписать заявление и отправить скан о том что не возражаю чтобы выдали сертификат, бухсервису.
Хорошая попытка, дорогое правительство, но нет.
Зная качество всего, что происходит на стыке IT и государства, вангую экспоненциальный рост мошенничества с использованием ЭЦП.
Раньше было неравенство людей по социальному статусу, по размеру имущества, физической силе и т.д. Мы же живём в эпоху цифрового неравенства. Тот редкий индивидуум кто шарит в ЭЦП получает все профиты, а большинству населения (даже с высшим ИТ-образованием) ничего не шарящих, предлагается поверить в эту технологию на словах, поэтому они будут вечно угнетенными, у них будут воровать подписи и проделывать различные аферы, доказывать свою невиновность тоже нечем, т.к. наше родное законодательство по сути считает ЭЦП неотделимой частью организма человека, т.е. если документ подписан вашим ворованным ЭЦП то автоматически считается что это сделала ваша рука.
При этом ЭЦП хранится в некоем "защищенном хранилище", а не у гражданина. Можно шарить сколько угодно, но если твое участие не требуется, то обойдутся без тебя =)
Прошаренный как раз этого и не будет делать. Как бы это смешно и страшно ни звучало, поможет только чипирование всех граждан РФ )
Я кажется упустил нить беседы. С чем именно должно помочь чипирование?
Закрытый ключ ЭЦП нужно записать на чип и вживить в мозг.
А как его тогда перевыпускать раз в год? =)
А зачем? Риск утечки только при операциях на мозге, или усекновении головы. В первом случае как раз и можно перевыпускать, во втором и не надо больше уже
Если без шуток, именно подобными аргументациями плавно подведут население к необходимости чипирования, но про то что там кроме ЭЦП ещё много чего может быть особо много рассказывать не будут. Я конечно не верю в успех мероприятия, но попытки безусловно в будущем мы увидим, если доживем.
А мы точно говорим о приложении, которое служит для подтверждения юридически значимых действий?
Лицензионное соглашение:
--
6. Ответственность
6.1. Приложение предоставляется Пользователю исключительно на условиях «как есть». Правообладатель ни при каких условиях не несет ответственности за любой ущерб (прямой или косвенный), связанный с использованием или невозможностью использования Приложения, за последствия несанкционированного использования Приложения третьими лицами.
6.2. Правообладатель не предоставляет гарантий в отношения безошибочной и бесперебойной работы Приложения или отдельных его компонент на Мобильном устройстве Пользователя, а также в отношении соответствия Приложения конкретным целям Пользователя, не гарантирует точность, полноту и своевременность полученной Пользователем информации, а также не предоставляет никаких иных гарантий, прямо не указанных в настоящем Соглашении.
Здорово, правда?
Потерял телефон, 1234, госуслуги, 1234, и
ключ электронной подписи создается, хранится и применяется в приложении, не нужны USB-токены, СМС-пароли и, самое главное, все функции доступны без личной явки и без бумаги, а
через некоторое время смогут подписывать через сервис договора по купли-продажи автомобилей и аренды недвижимости.
Ещё хуже, чем ЭЦП из удостоверяющих центров, которые выдают кому попало.
Интересно, а служба метки времени туда уже встроена? Ведь без нее эти подписи ничего не стоят. Подписал, тут же отозвал подпись и выпустил новую. Старый подписанный документ превратился в пшик?
precise location (GPS and network-based);
А ГЛОНАСС ?
ЭЦП и личная подпись стали две большие разницы,
как говорят в Одессе, –
каждые живут своей жизнью.
Если я правильно понимаю, то ЭЦП, равно и личная подпись, – подтверждение воли владельца подписи или/и ЭЦП.
То есть на каждый документ должна быть уникальная подпись, хорошо если и юридически заверенная, что и должно быть реализовано в ЭЦП, –
уникальность подписи на каждый документ и уникальная идентификация владельца подписи для каждого подписанного документа.
В Японии использовали заверенную нотариусом РАЗОВУЮ ПЕЧАТЬ для каждого документа с уникальным дефектом печати. Потом наборную печать разбирали и шрифт уничтожали.
Для нового документа собирали новую печать, заверяли оттиск у нотариуса по целевому назначению подписи.
Этого, сильно похоже, что не реализовано в нынешнем варианте ЭЦП.
Ибо для проверки уникальности подписи должна быть транспарентность и для автора документа и для его контрагентов.
Если подпись каждый раз уникальна, то в транспарентности нет опасности, если подпись хранят тайно, то, скорее всего такая ЭЦП реализована по принципу физическая ЕДИНАЯ ЛИЧНАЯ ПЕЧАТЬ, как биомаркер, что с тз безопасности чрезвычайно небезопасно, -- образцы биомаркеров воруют без особых трудностей, к сожалению.
Автор документа нуждается иметь в своём распоряжении копию или доступ к просмотру ЭЦП на предмет проверки реквизитов подписи: что подписано, когда подписано, кто/что заверили подпись, ID этой конкретной подписи, ID документа, иметь возможность получить заверенную выписку из этого реестра подписей, -- о документе и его реквизитах, заверенную копию документа. В этих требованиях к ЭЦП скрыт конфликт с существованием нотариусов в принципе, если их не включать в этот процесс и эту проблему не похоже что не решили, или решили?
Эту информацию нужно предоставлять и «потребителю» документа.
Видеть реквизиты подписи, – это не означает вмешиваться в суть реквизитов подписи.
То, что предлагают в ЭЦП, – наводит на вопросы о безопасности, ответов на которые не предоставляют.
Минцифры запустило мобильное приложение «Госключ» для подписания договоров онлайн