Comments 84
Правда, есть один нюанс — ключ не подлежит копированию.
Я Вас расстрою возможно, но он запросто копируется. Здесь же вот, на Хабре, и писали как это сделать.
Копируется только если носитель определенный, не любой можно скопировать.
Рутокен 2.0 можете скопировать?
Предлагаю поменьше об этом писать, чтобы не прикрыли эту лазейку в ближайшем будущем.
Многократно обсуждалось, что если есть доступ к созданному ключу в обход СКЗИ, то да можно. Но если ИФНС создавала ключ на токене и не отметила флаг"экспортируемый", то без специальных и дорогостоящих методов никак.
Но если ИФНС создавала ключ на токене и не отметила флаг"экспортируемый",
В интерфейсе в котором операторы точек выдачи КЭП ФНС России делают свои проверки, создают закрытый ключ ЭП и запрос на открытый сертификат такого чекбокса попросту нет! И все ключи, как они считают создаются неэкспортируемыми.
Наверное "не подлежит копированию" и "запросто копируется" немного разные вещи. Возможно, "он запросто копируется", либо если сотрудники УЦ ФНС России при создании ключей электронной подписи нарушили свой собственный Регламент (Приложение к приказу ФНС России от «25» апреля 2022 г.№ ЕД-7-24/340@), а именно пункт 5.1.1 этого регламента: "Ключевой носитель должен отвечать следующим требованиям: иметь действительный сертификат соответствия, выданный ФСБ России или ФСТЭК России;", либо если эти конторы при сертификации токена проглядели у него такие недекларируемые возможности. А вообще ситуация странная. Руководитель организации должен быть сам заинтересован, в том чтобы правом своей безграничной подписи мог распоряжаться только он, а для остальных сотрудников - ЭП физлица и МЧД с ограниченными, конкретными полномочиями, подписанная ЭП руководителя.
Нет, именно "запросто". Дело нескольких секунд. Причём используется легитимное ПО от известного вендора, ранее находившееся в свободном доступе (сейчас уже нет). Возможно (скорее всего) не со всех моделей токенов.
Руководитель организации должен быть сам заинтересован, в том чтобы правом своей безграничной подписи мог распоряжаться только он, а для остальных сотрудников - ЭП физлица и МЧД с ограниченными, конкретными полномочиями, подписанная ЭП руководителя.
Здесь у руководителя имеется конфликт интересов. С одной стороны безопасность, а с другой эффективная работа бизнеса. Здесь можно долго погружаться в философию но скажу только, что есть системы которые до сих пор не умеют в МЧД. И на этом как бы всё.
Поэтому такие костыли, как описаны в этом посте, делать все равно будут. В плане безопасности это мало чем отличается от простого копирования ключа, но зато кто-то на этом поднимет нормально денег.
В тематических тредах 1С с прошлого года ходят страшилки, как один программист размножил ключ утилитой, единовременно поток подписанных документов пошел по всем направлениям, чем привлек комплексную проверку "фнс-фсб-прокуратура".
Одна моя компания умудрилась получить неэкспортируемый ключ от ФНС на флешке, вопрос был закрыт однострочным скриптом subst в автозапуске, криптопро прекрасно работает с эмулированными томами.
На странице "Контура" до сих пор висит предупреждение:
В файле подписи будут указаны только ФИО физлица. Чтобы доказать правомочность своих действий от имени компании, нужна электронная доверенность (МЧД). МЧД - новый инструмент для документооборота, который продолжают разрабатывать для широкого применения. Последние 4 слова не внушают никакого доверия.
«Коллеги, кто сталкивался? При попытке входа под подпись выданной по доверенность ругается: „Пользователя не существует или пользователь не является директором“ При добавлении по инструкции в список, вроде как строчка добавляется в список, но в полях кроме ФИО — чёрточки. И при входе опять та же ошибка. Поддержка спустя две недели просто переслала тот же сертификат что я м скинул и всё, никаких комментариев.(( Попробовал добавить, проблема та же.(»©
Хотели как лучше, а получилось как всегда©
Скиньте ссылочку пожалуйста, чет никак не найду
Я возможно что то не понимаю...
Но сделать из технологии требующей физический ключ - технологию управления доступом, это разве не костыль?
Ведь "гибкая настройка прав доступа" это то что уже есть в любой системе, хоть с логином+паролем, хоть с сертификатом или ещё чем...
Вы же как то даёте доступ (по какому то признаку) к ключу, так зачем все эти пляски? На этом признаке нельзя сделать доступ сразу?
А то получается какой то сюр, "Повесили амбарный замок на дверь что бы никто не ходил, а для избранных сотрудников кладём ключ под коврик."
с реалиями бизнеса это соотносится очень плохо.
Я к тому что в статье обсуждаются "ключи для доступа к внутренним ресурсам" которые сначала гуляли бесконтрольно по рукам, затем к ним начали выдавать удалённый доступ.
И я искренне не понимаю что именно организация решает таким образом?
Они же каким то образом идентифицируют сотрудника что бы выдать ему доступ к ключу, так зачем тогда ещё одна бесполезная прослойка в виде ключа?
Государство делает со своей стороны из лучших побуждений такие условия, что старые БП уже не работают, или работают с издержками (издержки — это не только «цена токена», это еще езда туда-сюда, получение, и т.д.). поэтому вполне реально, что кто-то с помощью такой системы «возвращает БП в привычное русло».
«ключи для доступа к внутренним ресурсам» которые сначала гуляли бесконтрольно по рукам, затем к ним начали выдавать удалённый доступ.
И я искренне не понимаю что именно организация решает таким образом
«пусть безобразно, но однообразно». заодно — предотвращение физической потери, которая повлечет за собой не столько атаку или потерю доступа к ресурсу, сколько очередной геморрой.
Это до тех пор, как главбух не вывел n-миллионов $ и не свалил куда-нибудь в южную америку
Это кто же дает такие полномочия главбуху, что такие суммы проводятся без подписи гендира (а зачастую для таких сумм еще и одобрение владельцев нужно)?
Там, где есть много свободных миллионов на счету — там есть соответсвующие процедуры, и там такую «коробочку» применять не будут.
Потом кто-то обидевшись звонит в ФНСы/ЕГАИСы и говорит, что Иван Иваныч с такого по такое число отдыхал на багамах и самолично ничего не подписывал. ЭЦП скомпрометирована, что там из отчётности подписывалось - пойдёт на новую проверку?
Впрочем, если не выходить за рамки «книжных» бизнес-процессов, то никаких копий делать не надо. Право подписи имеет один человек, поэтому токен должен находиться именно у него. Когда он уходит в отпуск или заболеет, то передаёт ключ своему заместителю.
Неверная предпосылка ведет к неверным выводам. Когда носитель ключа уходит в отпуск или заболеет - то право подписи он делегирует своему заместителю. И заместитель подписывает документы своим ключом.
В бумажном-то документообороте так и работало (ну почти) т.к. собственноручную подпись отдать кому-либо проблематично.
Например. у нашей компании два владельца, обладающих практически одинаковыми правами. Плюс к этому — дистанционно работающий главный бухгалтер.
Вот в слове "практически" наверно есть маленький ньюанс, что один владелец просто владелец, а второй генеральный директор с правом подписи. Ну а главный бухгалтер, он так-то никогда и не имел права распоряжения деньгами организации - максимум право второй (дополнительной) подписи платежек. Такая вот бумажная двухфакторная аутентификация платежей.
Одному нужно подписать отчёт, другому — договор, третьему — зайти на ЕГАИС
Действительно, понапридумывали всяких электронных доверенностей и т.п. бюрократий. Делаем одну общую ЭЦП "на все" и начинаем придумывать как с этим жить.
Понятно было бы если вы написали, что вот есть все эти возможности, но в силу ряда причин ими неудобно пользоваться (что так и есть), поэтому решили выбрать вот такую схему работы.
собственноручную подпись отдать кому-либо проблематично.
Факсимиле?
в силу ряда причин ими неудобно пользоваться (что так и есть), поэтому решили выбрать вот такую схему работы.
Чаще всего лень и жаба. «Вот раньше прописывали всем ключ в реестре занахаляву с паролем 123 — и теперь хотим так же».
Проблема в том что государство переведя всех директоров на "некопируемые" ЭЦП не создало нормально работающей схемы получения ЭЦП на работников с последующей выдачей доверенностей и доступов к нужным ресурсам. А некоторым функциям на госуслугах в принципе не предусмотрена возможность подписания кем-то кроме директора указанного в ЕГРЮЛ, работник предприятия с доступом к этой услуге может только создавать черновик документа.
ЭЦП на работников с последующей выдачей доверенностей
Тут кроется ключевой момент — новые ЭЦП будут не на сотрудника, а на физическое лицо(со всеми вытекающими областями применения этой ЭЦП). В принципе, это уже сейчас вроде работает, но видимо не до конца — выпуск и использование «ЭЦП на сотрудника» продлено до сентября 2023(хотя ранее срок был декабрь 2022).
И вот если ЭЦП на сотрудника ограничена действиями в пределах организации, и особого вреда от того что ЭЦП для документооборота установлены на сервере(который занимается взаимодействием между корпоративной ИС и оператором ЭДО), то у ЭЦП на физика уже слишком много полномочий, чтобы человек разумный отдал токен для втыкания в такой вот хаб. Если конечно человеку объяснили эту разницу. Тоже касается работы с ФТС — их ЭЦП и ранее были «неэкспортируемыми», но сотрудники вполне себе подменяли коллег выпускаясь под их подписями. Теперь же получается что им придётся или делиться «собственноручной подписью», либо перестраивать свою работу…
Моё личное мнение — херню придумали, старый вариант(когда ЭЦП имела полномочия строго для того юрлица на сотрудника которой выдавалась) был более безопасен для сотрудника с подписью.
Не претендую на то, что что-то понимаю, но вроде бы идея действительно в том что каждая подпись обозначает конкретного человека, она заменяет подпись ручкой. Соответственно в идее когда два человека с одинаковыми правами и бухгалтер, то должно быть три подписи каждому? Это не шутки, документ подписанный этой штукой может продать квартиру, взять кредит или дать расписку какую-нибудь
Вроде токен юрлица и токен физлица имеют разные возможности. То есть кредит взять именно на физлицо токеном фирмы взять нельзя и наоборот.
В бумажном-то виде это как работает? Есть устав - там написано кто имеет право действовать от имени организации без доверенности. Все остальные сотрудники и даже владельцы должны для осуществления действий предоставлять доверенность в которой написано какие именно полномочия им доверяются.
Опять же право второй подписи на платежных документах может быть оговорено в уставе. И с такой оговоркой гендир никак не сможет провести никакой платеж "в одну каску" без подписи второго лица. Я правда, такую оговорку видел только один раз и довольно давно.
Часто банки требуют две подписи и безо всяких уставов. Главбух (либо его зам) + дирик (либо его зам).
Это какие банки? Этот момент указывается в Уставе организации, и является инструментом ограничивающим полномочия гендира. Более того, есть положение о т.н. "крупных сделках" которые гендир не имеет права проводить единолично без письменного согласия владельцев.
https://www.buhonline.ru/forum/index?g=posts&t=268430
По ссылке история со сбером
Во-первых, таких постов на Хабре уже было ( https://habr.com/ru/post/547880/ , https://habr.com/ru/post/445094/, к примеру); во-вторых, можете сделать фотографии с двукратным зумом? Просто иначе ну как-то совсем не заметен бренд производителя. Наконец, пишется, что заменили все ключи после "пилота", а на обоих фото и 12 ключей не набирается, так же, как и скриншотах с панели управления.
Девайсина прикольная (емнип только usb там не скоростные, под капотом линукс-сервер). Мне вот глянулось софтовое решение, usb virtual here, недорого и вкусно.
А вот процессы - капец, как уже отметили выше. Токен - это решения для мультифакторки, который символизирует фактор обладания. Подобными решениями этот фактор убивается. Не говоря про риски - потому что да, это прям должно отпечататься в голове, в том числе у бизнеса и бэкофиса, что токены с эцп, особенно с каким-нить УКЭП - это тоже самое, что синяя печать и реальная подпись. И по-хорошему токен должен быть личный, у каждого кому нужно право подписи. Если копеечки жалко всем по токену - то хотя бы в сейф под наблюдение, ну и удалённому буху все ж выдать (и обмазать СЗИ).
Были случаи, когда эцп фигачили в криптоконтейнер «в реестре» чтоб не морочится, или делали общий комп с постоянно воткнутыми токенами.. компы троянились, платёжки подписывались, бабки улетали.
У нас такое было еще в 2000-х. Целевой троян подсадили на конференции на нотник директора (чето-там копировали и т.п.) и когда воткнул флешку с ключом, ключ и пароль к нему "ушли". Выручило, что оператор в банке знала наш профиль платежей и перезвонила уточнить чего за платеж на полную сумму счета-10 руб.
Да, сами лопухи, но для 2000-х это было довольно неожиданный вектор атаки. Ессно, когда позже подобное стало возникать у клиентов, мы уже типа на опыте выдавали рекомендации.
2000x тысячные.. флешка(!) с ключом(!)
какое из десятилетий 2-х тысячных то?
У знакомых такой случай в начале десятых: флешка от банка в сервере, удобно же.
Ночью 2 платежа, на 900 и 600к в адрес ООО, зарегистрированного 3 дня назад.
Оба банка слились, ничем не помогали, вроде какой-то платеж удалось остановить.
Были случаи, эцп фигачили в криптоконтейнер «в реестре» чтоб не морочится
Почему «были»? До сих пор стандартная практика для очень многих.
Заметил несколько фактов:
1) интерфейс клиентского приложения 1-в-1 как у virtualhere, отличие в шильдике
2) издатель клиентского приложения VirtualHere Pty. Ltd.
Видимо, "под капотом" именно по части usb over ip - решение от австралийской компании.
Тут, на хабре, не так давно "безопасники" рассказывали про эксперименты с "проникновением" и сколько всего можно интересного найти даже средь бела дня просто на столах. А вы им прям целый набор - вся жизнь вашей фирмы. Уверен там рядом еще на всякий случай и тетрадка с кодами от токенов же лежит?
Именно чтобы физического доступа не было.
Это в любом случае проще и надёжнее, чем толпа сотрудников, бегающих со своими флэшками. Особенно когда речь идёт о том, что к одному ключу должны иметь доступ несколько человек.
Я не говорю, что это правильно, но это лучше, чем ключи у каждого в реестре или свободная передача ключа директора любому сотруднику, которому что-то вдруг понадобилось подписать.
Коллеги - вот этот вот всё серьёзно? Да ещё под тегом "информационная безопасность"? Что тогда дальше? Статья "как мы поменяли полиси и разрешили заходить под эккаунтом администратора без пароля и это очень быстро и удобно и не надо запоминать пароли"? Или это просто попытка скрытой рекламы некоего устройства собственного производства?
Нахожу несколько странным что все упоминания этого продукта на хабре либо от аккаунтов, которые только-только зареганы, либо которые ничего кроме как про эту железку не постили. Надо бы менять тактику господа, уж слишком палитесь. (причем не знаю даже кто больше - НЛО, которое инвайты раздает таким постам, или сами разрабы железки)
А разве идея с токенами ИФНС была не "токен у ОДНОГО человека, на остальных делаются МЧД и МЧД + токена на физика достаточно"?
Ну да — некоторые сервисы с МЧД сильно тормозят.
Эта идея разбилась об инструментарий Контура, который гуляет по сети. Процедура копирования обычной ЭЦП не для ЕГАИСа (Рутокен 2.0) занимает минуту от силы. И вопрос вовсе не о "набрать кредитов" или "отжать фирму", а о банальном удобстве.
Во всей этой теме с ключами я вижу больше не заботу о безопасности, а отжатие неплохого куска бизнеса у УЦ. В нашей налоговой появился чудо-вендинговый аппарат по продаже токенов. Совсем не палевно, конечно.
Документы с МЧД уходили на этого оператора по роумингу, а там они отражались как «с неудостоверенной подписью».
Usbip в линуксе и его виндовом клиенте уже 20 лет в обед. Ждём запрета запроса "usb over ip opensource" в Яндексе ради процветания импортозамещения?
Вы через эту штуку раздаете как некопируемые, так и копируемые ключи. Почему вы уверены, что теперь все ходы у вас записаны? Разве нельзя подключить себе на рабочее место копируемый ключ и скопировать? Эта железка такие кренделя не отслеживает, так что вы и не заметите.
А у нас токены надо гладить (потрогать рукой) после ввода ПИН. Как это делать удаленно?
"Постоянно передавать токен из рук в руки — вариант очень плохой. От него мы отказались буквально через неделю. И начали искать другой метод. "
Разогнать бы там весь ваш "ит" отдел за профнепригодность.
Может сначала стоит разобраться как это делается правильно и почитать законодательство и нормативку по использованию ЭЦП да и вообще что это и зачем? А не тратить деньги на костыли и еще учить остальных как делать не правильно?
Ключ уже на законодательном уровне сделали не экспортируемым, потому что рукожопы уже десятилетия используют его не так как надо и все равно находятся подобные умники... Как говорят эту страну не победить.
Заметьте, как профессионально сделаны фото и скриншоты, на них на всех четко видно название железяки. Статья очень смахивает на рекламу, еще одну такую про сотрудника за границей, которому ну никак без ключей, уже читал на Хабре. С точки зрения ИБ это шаг в бездну...
руководство нашей компании приняло решение получить ЭЦП в ИФНС. При помощи этой подписи можно подавать налоговую отчетность, отправлять документацию в госорганы, принимать госзаказы, работать с ЕГАИС и проч.
Так и гуляет это выражение "получить ЭЦП в ИФНС" или в УЦ. Но ведь ваше руководство приняло решение ПОДПИСЫВАТЬ налоговую отчётность, отправлять документы в госорганы с электронной подписью. Для это необходимо получить СЕРТИФИКАТ в ИФНС/УЦ на токене и, возможно закрытый ключ (лучше делать самому). А вот с помощью полученного сертификата и закрытого ключа и соответствующего программного обеспечения руководство или кто-то другой будет ставить электронные подписи под документами!
Насчёт "передать токен", очень точно сказал OneManStudio
А для чего такие сложности? Сделайте ключ на учредителя, на бухгалтера и на ответственного по ЕГАИСу, раздайте доверенности и пусть каждый работает со своим ключом. Как минимум по закону даже заместителю нельзя передавать ключ руководителя. Или так хочется попытаться "обойти" систему? 😂
Ой .. а мы идиоты ... копий наклепали зачем-то ... а надо было вот так бюджет пилить.
Оставляя за скобками обсуждение безопасности такой схемы в целом (ибо если говорить не про ЭДО, а про гос. порталы, МЧД не работают примерно нигде, так что был бы выбор...) - предлагаемое решение не решает ещё одну проблему. А именно ту, что использование ЭЦП на компьютере каждого пользователя требует установки на этот компьютер как минимум кучки гос. и окологос. сертификатов в качестве доверенных, плагинов / расширений к браузерам и т.п. И тянуть это на рабочие места, с которых есть доступ к внутренним ресурсам и осуществляется работа с конфиденциальными данными (при этом пользователь не настолько квалифицирован, чтобы "отделять мухи от котлет" самостоятельно), - крайне плохая идея. В этом плане гораздо проще все ЭЦП завести на одну машину и для подписания / подачи документов пускать тех, кому надо, на неё по RDP. Те же вопросы по обеспечению безопасности всего этого хозяйства, но минус ещё одна головная боль.
Скажите зачем этот рекламный пост маршрутизатора "технологии USB over IP"?
Получается профанация идеи ЭП!
Вместо того чтобы каждому сотруднику оформить свою собственную личную ЭП!
И использовать их вместе с электронными доверенностями подписанными первой ЭП (которая будет храниться в сейфе).
Вы по сути создали дыру в безопасности и похерили основы...
Я понимаю когда usb ключи защиты типа HASP пробрасывают на виртуалки чтобы избежать их эмуляции, которая не очень законна.
Но пробрасывать подобным образом ЭП это изврат.
Вот все про "электронные доверенности" aka МЧД пишут... а куда эти МЧД, простите, засунуть, если ЭЦП нужны для судов (КАД, ГАС), ЕФРСБ, ЕФРСДЮЛ, Росреестра, Росстата, обязательных публикаций в Коммерсанте? Они же, насколько я понимаю, пока работают только для ФНС и для операторов ЭДО. Ну может какие-то ЭТП уже внедрили, давно не смотрел.
Плюс сотрудники, если основываться на статистике утери пропусков и ключей от офиса :), свои токены точно потеряют в самый неподходящий момент, так что как-то копировать всё равно надо. Плюс тянуть на компьютеры сотрудников доверенные сертификаты и плагины, которые нужны для работы с гос. порталами, идея так себе...
Вот и извращается каждый как может. Вариант автора поста мне не нравится, но идеальный вариант, который предполагается авторами закона, тоже не очень работоспособен.
Хорошая альтернатива копированию ключей. Спасибо.
то есть не просто наплодили хаос, но и подписались под уголовку половиной конторы. Хороший, годный подход!
А это не работает у вас? Кажется уже везде внедрили и работает "удаленное подписание"
https://sbis.ru/help/ep/additionally/coding/remote_use
А почему никто не пишет, что на клиентская часть этого устройства монополизирует доступ к ключу только для одной учетной записи локальной или доменной. Если один сотрудник со своей учеткой работает с ключом, другим сотрудникам ключи не доступны.
Не совсем понимаю как предполагается решать эту проблему иначе если по факту эта штука наверняка просто прокидывает USB протокол по сети прозрачно для устройства и системы. Тут возможен только монопольный режим, любые другие решения потребуют неиллюзорных костылей под каждый тип устройства (если не под каждую конкретную модель с отдельными девайсами).
Кстати, а никто не знает ли способа подключить к одному ПК одновременно условно 20 мышек/клавиатур/сенсорных экранов, но при этом чтобы реально работало только одно устройство в момент времени, а остальные при этом "висели" в винде устройствами, но данные с них не шли бы? Пока видится вариант как-то через командную строку включать выключать конкретное устройство, но не знаю как, если они имеют одинаковые vid pid и вообще..
Итак, было принято решение полностью отказаться от выдачи токенов на руки и постепенно переходить на дистанционную модель.
Ничего нового под Луной:
«Работа шла без задержки. Резина отлично заменила человека. Резиновый Полыхаев нисколько не уступал Полыхаеву живому. (с) ЗТ
Основное достоинство новой парадигмы — полный контроль за использованием ключей.
»Серну Михайловну со всех сторон осадили сотрудники. Все они держали в руках большие и малые бумаги. Прождав еще час, в продолжении которого гул за дверью не затихал, Серна Михайловна уселась за свой стол и кротко сказала:
— Хорошо, товарищи. Подходите с вашими бумагами.
Она извлекла из шкафа длинную деревянную стоечку, на которой покачивалось тридцать шесть штемпелей с толстенькими лаковыми головками, и, проворно вынимая из гнезд нужные печати, принялась оттискивать их на бумагах, не терпящих отлагательства" (с)
По-хорошему, обезличенные ключи от ФНС (https://www.nalog.gov.ru/rn77/related_activities/ucfns/anonymized_certificate/) должны быть экспортируемыми для установки на серверы без танцев с бубном.
А вот именными ключами должны пользоваться только их владельцы и ответственности тоже должны нести только они.
История о том, как «некопируемый» токен изменил концепцию работы с ключами