Pull to refresh

Мошенники переоформили квартиру в Москве с помощью поддельной цифровой подписи

Information Security *Legislation in IT
В России зафиксирован первый известный случай отъёма квартиры путём фальсификации электронной цифровой подписи.

Владелец квартиры на Тверской улице г. Москва по имени Роман обнаружил, что в очередной квитанции за коммунальные услуги у квартиры указан уже новый владелец. Гражданин обратился в Росреестр и выяснил, что осенью он подарил свою квартиру некоему жителю Уфы. Причём сделал это дистанционно, подписав документы своей электронной цифровой подписью.
Читать дальше →
Total votes 45: ↑44 and ↓1 +43
Views 78K
Comments 133

Как изменится закон «Об электронной подписи»

Information Security *ECM *
Правительство поддержало законопроект о внесении изменений в Федеральный закон «Об электронной подписи». Предлагаемые изменения вызвали бурную дискуссию: кто-то поддерживает нововведения, а кто-то видит в них препятствия для развития малого и среднего бизнеса. Что появится в 63-ФЗ?

Новые понятия


Документ вводит новые понятия, центральное из которых — «доверенная третья сторона». Это юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах для обеспечения доверия при обмене данными и электронными документами. В связи с этим появляются понятия: «средства доверенной третьей стороны» и «метка доверенного времени».

image

Международные подписи


Также законопроект признает юридическую силу на территории РФ электронных подписей, созданных по правовым нормам иностранного государства и с соблюдением международных стандартов, соответствующих признакам усиленной электронной подписи.

Идентификация заявителя


Появятся установленные способы идентификации заявителя на получение сертификата, в том числе посредством предоставления сведений из единой биометрической системы. Текущая версия закона не регулирует способы установления личности, что создает опасный прецедент.
Читать дальше →
Total votes 14: ↑14 and ↓0 +14
Views 10K
Comments 16

«Сбербанк» тоже хочет выдавать ЭЦП юрлицам

Information Security *Cryptography *Legislation in IT
Руководитель «Сбербанка» Герман Греф предлагает внести изменения в законопроект об электронной цифровой подписи, который Госдума приняла в первом чтении в ноябре 2019 года.

Новый закон сильно ужесточает требования к выдаче усиленных квалифицированных электронных подписей (УКЭП) — цифрового аналога собственноручной подписи и печати, который создаётся с помощью сертифицированных ФСБ средств шифрования. С помощью УКЭП организации и граждане обмениваются юридически значимыми документами в электронном виде, заключают сделки, в том числе о купле-продаже недвижимости.

Сегодня КЭП выдаются повсеместно: в России насчитывается почти 500 удостоверяющих центров (УЦ), в том числе банки, страховые компании, биржи, брокеры, «Почта России», частные ИТ-компании и т. д. Главная проблема — недостаточная идентификация клиентов удостоверяющими центрами. Сотни коммерческих УЦ предлагают получить цифровую подпись по копии паспорта или в офлайне по ксерокопии. Триггером для внесения изменений в закон «Об электронной подписи», возможно, стали недавние истории, как с помощью электронной подписи воруют квартиры и как мошенники оформляют на ничего не подозревающих граждан фиктивные фирмы.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 4.6K
Comments 8

Как стать участником электронных торгов государственного заказа

Self Promo
Sandbox
Во многих отраслях бизнеса получение государственного заказа является гарантией востребованности услуг и обеспечения сотрудников работой, стабильной прибыли и продвижения в рейтингах, своеобразной подушкой безопасности.

Среди большого числа российских компаний бытует мнение, что после получения сертификата электронной цифровой подписи в одном из множества удостоверяющих центров, сразу можно участвовать в электронных торгах, например, государственного заказа.

Как правило, за день до начала торгов, совершенно неожиданно, выясняется, что нужно сделать кучу дел, занимающих кучу времени.

Читать дальше →
Total votes 5: ↑2 and ↓3 -1
Views 1.3K
Comments 10

NIC India выдал цифровые сертификаты на домены Google

Information Security *Cryptography *


2 июля компания Google обнаружила несколько поддельных цифровых сертификатов на свои домены, выданные Национальным центром сертификации (NIC) Индии. Есть вероятность, что NIC выдал сертификаты и на другие сайты, не Google.

Сертификаты NIC Индии входят в каталог Indian Controller of Certifying Authorities (India CCA), который является частью корневого каталога Microsoft Root Store. Поэтому, к сожалению, фальшивые сертификаты принимались в большом количестве программ под Windows, включая браузеры Internet Explorer и Chrome. Только браузер Firefox использует собственный корневой каталог, а не Microsoft Root Store.
Читать дальше →
Total votes 62: ↑55 and ↓7 +48
Views 17K
Comments 19

Новые отраслевые требования: Удостоверяющие Центры прекращают выпускать 3-летние SSL-сертификаты с 1 марта 2018 года

GlobalSign corporate blog Information Security *System administration *
С 1 марта 2018 года Certification Authority/Browser Forum (CA/B Forum) вводит новые требования для всех Удостоверяющих Центров: максимальный срок действия всех типов SSL-сертификатов не должен превышать 825 дней (27 месяцев). 

Решение было принято на голосовании 193. Единогласно – за высказались 24 Центра Сертификации: GlobalSign, DigiCert, Entrust Datacard, Certum, Comodo, SymantecTurkTrust, Izenpe, Certinomis, Amazon, CNNIC, HARICA, GDCA, Disig, Trustwave, Let’s Encrypt, Quo Vadis, SHECA, CFCA, OATI, Buypass, Logius PKIoverheid, Cisco, SwissSign), а также 5 браузеров  – за: Apple, Qihoo 360, Microsoft, Opera, Google и 1 «воздержался» Mozilla

Данные меры будут направлены на повышение уровня безопасности при проверке организаций и доменов. Все Центры Сертификации обязаны следовать новому отраслевому стандарту. 

Следуя новым требованиям, с 26 февраля 2018 года, GlobalSign перестанет выпускать 3-летние доверенные сертификаты SSL. Начиная с указанной даты, SSL-сертификаты могут быть выпущены с максимальным сроком действия - 2 года.

До 26 февраля мы предлагаем приобрести SSL-сертификат на 3 года, что позволит вам: 

  • избежать лишних хлопот с оформлением или продлением, увеличив интервал между заказами сертификатов;
  • сэкономить деньги, приобретая SSL сразу на несколько лет.

Читать дальше →
Total votes 17: ↑11 and ↓6 +5
Views 6.6K
Comments 25

Отзыв 50 тысяч сертификатов DigiCert

IT-companies
В начале февраля компания Trustico, выступающая реселлером SSL-сертификатов DigiCert, запросила (без объяснения причин) отзыв всех сертификатов, которые были выданы через Trustico.
Читать дальше →
Total votes 30: ↑30 and ↓0 +30
Views 8.5K
Comments 11

Mozilla и Apple забанят удостоверяющие центры WoSign и StartCom

IT-companies

Расследование, проведённое Mozilla, показало, что китайский удостоверяющий центр WoSign (о бесплатных сертификатах которого был ряд статей на Хабре) за последние пару лет допустил вопиющее количество нарушений.
Читать дальше →
Total votes 66: ↑65 and ↓1 +64
Views 52K
Comments 88

Google Chrome перестал доверять сертификатам WoSign и StartCom

IT-companies


Как сообщалось ранее Google Chrome заблокировал сертификаты WoSign и StartCom.


Сегодня вышла новая версия Google Chrome 56, и начиная с нее браузер больше не доверяет сертификатам WoSign и StartCom выпущенным позднее October 21, 2016 00:00:00 UTC.

Читать дальше →
Total votes 27: ↑26 and ↓1 +25
Views 28K
Comments 61

Инфраструктура открытых ключей. Цепочка корневых сертификатов X509 v.3

Information Security *Python *IT Infrastructure **nix *Shells *
Неумолимо приближается час «Ч»: «использование схемы подписи ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается!».
Читать дальше →
Total votes 16: ↑14 and ↓2 +12
Views 6.9K
Comments 44

Зачем нужен собственный удостоверяющий центр

GlobalSign corporate blog Information Security *Website development *Development for IOT *

Примеры 1) промежуточного УЦ в открытой иерархии доверия и 2) частной иерархии, которая изолирована от открытой иерархии, со своим собственным корневым УЦ

Инфраструктура открытых ключей (PKI) традиционно имеет иерархическую структуру. В ней удостоверяющие центры (УЦ) связаны отношениями подчинённости. Все пользователи доверяют одному и тому же корневому (головному) УЦ, а каждый нижестоящий УЦ подчиняется более высокому в иерархии.

Но что, если мы хотим создать частную инфраструктуру PKI со своим собственным УЦ? Действительно, в некоторых ситуациях такие промежуточные или частные иерархии очень удобны на практике.
Читать дальше →
Total votes 15: ↑14 and ↓1 +13
Views 9.1K
Comments 8

FAQ про облачную [электронную] подпись

РОСЭЛТОРГ corporate blog Information Security *
Наша площадка стала первым федеральным оператором электронных торгов, внедрившим новую технологию облачной электронной подписи. Если обычная ЭП вызывала кучу вопросов, то эта услуга, с одной стороны, пока ещё больше непонятна бизнесу, а с другой — всё стало сильно проще.



— Что это такое?

Раньше была бумажная подпись на документе. Она не очень удобна, не очень безопасна и требует физического наличия бумаги. Потом появилась флешка с сертификатом и обвесом вокруг (вплоть до антивируса). Её сначала назвали ЭЦП — электронная цифровая подпись. Потом она стала просто ЭП. Теперь эту флешку положили в облако, и она стала ОЭП.

— Как работает ОЭП?

Предположим, вы подаёте свое предложение на тендер. Раньше, чтобы подписать документ, надо было поставить плагин для браузера, который умел связываться с софтом на локальном компьютере пользователя. Этот софт обращался к софту на флешке, софт на флешке выдавал ключ, этим ключом подписывалась транзакция и передавалась в готовом виде в плагин в браузер. Теперь мы вынимаем из этой цепочки флешку: софт обращается в облачное хранилище по шифрованному туннелю.
Читать дальше →
Total votes 20: ↑19 and ↓1 +18
Views 15K
Comments 52

Каким станет электронный документооборот после вступления в силу изменений в закон об электронной подписи?

Information Security *Legislation in IT
Sandbox
Приветствую вас, друзья!

Недавно я ознакомился с новым законом, который вносит существенные поправки в сферу электронного документооборота, а именно в 63-ФЗ «Об электронной подписи» (далее — ЭЦП). Внедрение изменений предполагается за счет использования IT-технологий, например, они коснулись способов хранения электронного ключа, теперь он будет храниться в облачном сервисе.

Мои размышления на этот счет и привели к написанию данной статьи. Хочу поделиться с вами своими мыслями о том, как изменится рынок ЭЦП после вступления закона в силу и что ждет участников электронного документооборота.

Речь идет о законе № 476-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи». 28 декабря он был опубликован на официальном интернет-портале www.pravo.gov.ru, а значит прошел все стадии подписания и рассмотрения. Он вступит в законную силу 1 июля 2020 года, кроме п.14 ст.1, он начнет действовать 1 января 2022 года.


Читать далее...
Total votes 23: ↑21 and ↓2 +19
Views 18K
Comments 24

Удобное шифрование с удостоверяющим центром

Cross Technologies corporate blog System Analysis and Design *

Удобное шифрование с удостоверяющим центром.

Привет всем читателям Хабра! В этой статье рассмотрим проблемы и способы использования шифрования в документообороте. Перед командой стояла задача разработки новой архитектуры шифрования, которую нужно внедрить в наш продукт.

Читать далее
Total votes 6: ↑5 and ↓1 +4
Views 2.3K
Comments 10

Примеры грамотного применения SSH-шаблонов

ITSumma corporate blog Information Security *Server Administration *GitHub *Software
Translation


SSH-сертификаты — очень мощный инструмент. Первоначально в удостоверяющем центре step-ca мы реализовали только минимальный набор функций для аутентификации по сертификатам пользователя и хоста. Затем добавили шаблоны сертификатов X.509, а ещё в августе прошлого года — и SSH-шаблоны, в версии 0.15.2. Наконец, мы задокументировали эту функцию и готовы о ней рассказать.

Шаблоны для сертификатов SSH действуют аналогично шаблонам X.509: это JSON-файлы, написанные в Go text/template. Они применяются для настройки SSH-сертификатов, которые выдаёт step-ca. Давайте посмотрим, что представляют собой эти шаблоны и как их можно использовать.
Читать дальше →
Total votes 22: ↑22 and ↓0 +22
Views 7.9K
Comments 1

Памятка для удостоверяющих центров и других участников PKI

Альфа-Банк corporate blog Information Security *Cryptography *IT Infrastructure *IT Standards *
✏️ Technotext 2021

Удостоверяющий центр, в чьи функции входит поддержание жизненного цикла сертификатов открытых ключей проверки электронной подписи, шифрования, аутентификации и защиты каналов передачи данных, их выпуск, распределение, депонирование, резервное копирование, восстановление, отзыв и ведение списка отозванных сертификатов, является важнейшим участником и арбитром инфраструктуры открытых ключей.

УЦ должен работать, как часы. От его правильного функционирования зависит электронный документооборот множества клиентов и систем.

Некорректная работа или сбой удостоверяющего центра может привести к санкциям регуляторов, искам недовольных клиентов для самого УЦ и значительным финансовым и репутационным потерям всех участников электронного обмена.

Для удостоверяющих центров, аккредитованных в Министерстве цифрового развития, связи и массовых коммуникаций, выпускающих квалифицированные сертификаты и обеспечивающих безусловно юридически значимый электронный документооборот, такой вопрос стоит еще более остро.

В этом посте я хочу рассказать, с какими критическими проблемами и нарушениями в работе УЦ часто приходится сталкиваться, а также о том, как их избежать.

У полноправного участника Public Key Infrastructure, должна быть информационная система со встроенными СКЗИ, которая позволяет вести электронный документооборот с клиентами и партнерами, обмениваясь с ними документами с электронной подписью (ЭП) или зашифрованными данными.

Когда партнер присылает документы с ЭП, система выполняет ряд действий. Она проверяет электронную подпись на документе и партнерский сертификат открытого ключа проверки этой подписи.

Читать далее
Total votes 12: ↑12 and ↓0 +12
Views 4.9K
Comments 0

Электронный медицинский документооборот — последняя миля

Cloud services *

01 февраля 2021 года  вступил в силу Приказ Министерства здравоохранения РФ от 7 сентября 2020 г. N 947н “Об утверждении Порядка организации системы документооборота в сфере охраны здоровья в части ведения медицинской документации в форме электронных документов".  Приказ финализирует законодательные инициативы в области  медицинского документооборота. Пора ли клиникам начинать активный переход в область цифровых документов и какое место занимают разработчики в процессах?

Читать дальше
Total votes 2: ↑1 and ↓1 0
Views 4.3K
Comments 1

Работа с квалифицированными сертификатами в свете новой редакции Приказа №795 ФСБ РФ от 21.01.2021. Часть II

Information Security *Cryptography *Programming *Desktop environments *Development for Linux *
imageПосле опубликования статьи, посвящённой требованиям Приказа №795 ФСБ России в редакции от 29 января 2021 года, меня не покидало чувство её незавершённости. Это чувство было связано с тем, что в статье ни слова не было сказано про утилиту CAFL63, которая позволяет разворачивать удостоверяющие центры. И естественным является то, что её тоже необходимо привести в соответствие с новыми требованиями.
Читать дальше →
Total votes 5: ↑4 and ↓1 +3
Views 3.1K
Comments 0