А вот где и как я задействую сертификат, это тайна за семью замками
Вероятно, имелось ввиду «как я задействую закрытый ключ», т.к. сертификат применяется исключительно для проверки подписи.
Для начала ключ надо извлечь из контейнера сертифицированного СКЗИ (если это аппаратное СКЗИ с неизвлекаемым ключом, то задача еще более нетривиальная), в котором он создавался.
Маски обычно не ищут, а изымают. Потом работают эксперты, а они обычно находят. Можно, конечно, шифровать тома, прятать сервера и т.п. А оно вам надо?
Я вам трержу-твержу — твержу о проверке сертификаты, а вы опять
Создалось впечатление, что у вас есть возражение по приведенным мною аргументам, поэтому пытаюсь их разъяснить. Если нет, то предлагаю закруглить.
Извините, Владимир, я не нашел федерального закона о «Государственной системе PKI». Скиньте ссылку, изучу и буду готов дальше дискутировать в контексте этой системы.
СЕРТИФИКАТ, полученный в УЦ, аккредитованном в государственной системе аккредитации
Это, видимо, все-таки про квалифицированную ЭП из 63-ФЗ, цитаты из которого приводил выше. Заметьте, что не свое мнение, и не ссылки на гуру Хабра, а конкретные нормативные документы.
Проверить какие средства (да и зачем это проверять, проверяется подпись) для подписи он использовал НЕВОЗМОЖНО
Зачем — это если есть в этом заинтересованность, например, финансовая (примеры выше), т.е. если я заинтересован в том, чтобы признать, например, наше с вами соглашение, подписанное КЭП, недействительным и профит будет выше трудозатрат, я это сделаю.
Как — тоже не большая проблема. Например, загляну в поля сертификата, которые согласно 795 приказу ФСБ, должны содержать сведения о сертифицированном средстве ЭП. Допустим, вы подделали это поле в запросе и обманом заставили УЦ выпустить сертификат. Уверены на 100%, что завтра к вам не заглянут в гости маски-шоу с выемкой средств электронной подписи в рамках расследования мошенничества (например опять же по моему заказу)?
Кстати, проверка подписи включает в себя проверку сертификата, это по поводу «зачем это проверять, проверяется подпись».
тем более если это токен со встроенной криптографией
Ну это как бы не совсем не «что хочу» и не опенсорс, это вполне себе сертифицированное СКЗИ.
А что хранится в облаке? Уж не ключ ли? Так накажите УЦ, выдавший сертификат!!!!
В общем смысле сервис подписи (облако) и УЦ, это разные сущности, и вполне себе могут быть разными организациями.
Честно говоря, я не понимаю о чем вы? Толи о технической безграмотности, толи о правовой, толи о безалаберности? О чем?
Я о накоплении заблуждений, основанных на свободном пересказе других пересказов и т.д. в отрыве от первоисточников. Технические действия, как и любые другие, имеют свои правовые (юридические) последствия, и наоборот, правовые нормы тесно связаны с технической реализацией предъявляемых ими требований. Все очень тесно переплетено и взаимосвязано.
Как гражданин, а тем более свободный художник, разрабатывать я могу все
С этим не спорю, и деньги для себя тоже можно рисовать в чуланчике ради любви к искусству, и пистолеты точить в гараже на токарном станке… до поры до времени. Это я к тому, что согласно ПП 313 исключения из лицензирования относится только к тех.обслуживанию, но не к разработке. Вероятность, что вас за это пожурят, конечно, ниже чем в случае с деньгами/пистолетами.
Подытожу сказанное: нарушать, конечно можно (тащ майор, это гипотетически), но если правовые последствия от этого ниже, чем выгода.
Но вот если мы говорим о КЭП, то это (обычно) что-то более весомое, чем эксперименты, с вполне конкретными правовыми последствиями. Стоит ли заигрывать с государством?
Это не о своем, а о пользователях (владельцах бизнеса и руководителях, «ИБ-шниках», ИТ-шниках и т.д.), которые начитавшись экспертных статей, но не заглянув в первоисточники, руководствовались «чем подписывает и проверяет, это его дело».
Я уже писал, но повторюсь еще раз по поводу:
Но в статье и говорится о КЭП.
КЭП регулируется 63-ФЗ, где в ст.5 сказано однозначно:
… для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
Там же в статье 10 указаны требования к участникам электронного взаимодействия:
использовать для создания и проверки квалифицированных электронных подписей, создания ключей квалифицированных электронных подписей и ключей их проверки средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
И далее про условия признания:
… проверка осуществляется с использованием средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом…
Выше я писал не про «разбрасывается своим закрытым ключом», а именно от том, какие средства и как пользователь использует для подписания и проверки электронных документов квалифицированной электронной подписью. Да, тут как с примером про ПДД, кого не проверят (сейчас почти никого), того пронесло, но бывают и грустные исключения. Две недели назад ФНС заявила, что планирует заняться этим более плотно, для них это шикарный источник поступления дополнительных средств в бюджет: выявили использование несертифицированных средств подписи (например, пресловутых «облачных») — отказали в налоговом вычете, вкатили миллионные штрафы за не предоставление декларации, т.к. то, что пришло ранее по формальным признакам признается не подписанным надлежащим образом. Т.ч. в ближайшей перспективе это боль массовая.
И OpenSource здесь ни причем. Весь мир работает на нем
Увы (ну или к счастью), но мы живем в РФ и на нас распространяются её законы.
Оставлю за скобками, что разработка криптографических средств, это лицензируемый (313 ПП) вид деятельности. Эта тема отдельного обсуждения.
Надеюсь, что теперь я расставил все точки над «i».
В чем проблема как раз известно: для перевода ГУЦ на новые рельсы им нужен новый ПАК, и не абы какой, а сертифицированный по КА. Такой надо сделать, потом сертифицировать, потом пройти все этапы ввода в эксплуатацию. А они пока на этапе «сертифицировать», если не ошибаюсь, и там песня долгая, с припевами и притопами.
Увы на свои неоднократные вопросы я так эти требования не увидел. В том документе, на который косвенно ссылались речь только о КЭП.
Нигде такого утверждения нет и быть не могло. Оно бессмысленно, т.к. юридическая значимость понятие юридическое, а этим все сказано
Извиняюсь, тут уже я не точно выразился, речь шла о том что есть «требования», а статья призвана их удовлетворить. Не удовлетворит, увы.
А можно пример, в каком госоргане у нас принимают электронную подпись не по ГОСТ, RSA? например
Легко:
ФНС принимает RSA подпись от физиков в ЛК
В технологии ЕГАИС принимаются технолонические неквалифицированные сертификаты
Гос.торговые площадки по 44-ФЗ работают с НЭП...
И что это за ложный путь? В чем он заключается? Уж не в том ли, что при разработке СКЗИ с криптографией ГОСТ можно опираться на разработке OpenSource?!
В том числе. Многие уверены, что если сертификаты у них на ГОСТе и тем паче выпущены аккредитованным УЦ, то для подписи они могут использовать что угодно/удобно/нравится.
А потом суд о непризнании электронной подписи под договором на основании того, что она создана в нарушение 63-ФЗ (при помощи того же OpenSSL), аннулирование договора, замороженное бабло на счетах контрагента и боль…
Статья и комментарии изобилуют утверждениями, что для электронной подписи (без уточнения, что только квалифицированной) с 2019 года должен применяться исключительно ГОСТ Р 34.10-2012.
Это не так.
Утверждается, что переход на ГОСТ Р 34.10-2012 при использовании несертифицированных СКЗИ (ибо статья не про них), позволит обеспечить юридическую значимость.
Это не так.
Регулярно звучит, что только ГОСТовая (российская, отечественная...) ЭП обеспечивает юридическую значимость.
Это тоже не так. Даже если назвать ее «квалифицированной», что совсем не то же самое, что ГОСТовая, то это тоже не совсем так. Есть условия признания трех видов (определенных в ФЗ) ЭП равнозначными собственноручной подписи. В соответствии с этими условиями усиленная неквалифицированная может оказаться более значимой, чем КЭП (например, если она создана при помощи несертифицированного средства ЭП).
Я, возможно, нудный, но такие вот неточности пускают многих по ложному пути, от которого боли больше, чем от родных регуляторов.
Тот самый, сертификат которого стоит в корне цепочек доверия всех квалифицированных сертификатов. Пока ГУЦ не перейдет на новые ГОСТы таких сертификатов у пользователей не может быть в принципе. А они не шибко спешат, проблемы индейцев вождя не волнуют, а требований к ним (как и к гос.органам уметь принимать подпись на ГОСТ Р 34.10-2012) быть готовыми к какому-то сроку — нет. И это боль. Вероятное развитие событий будет таким: выпустят корень к концу года, и все УЦ в авральном режиме и за свой счет будут перевыпускать миллионы сертификатов, ибо вешать это на пользователей они не могут себе позволить.
Ну если сформулируете почетче, то в меру своих сил ...
Вроде и так предельно подробно расписал: известны ли вам документы, устанавливающие требования ко всем видам «ГОСТовой подписи», не только квалифицированной, перейти на ГОСТ Р 34.10-2012, ибо «выписка из документа ФСБ России от 31 января 2014 г. №149/7/1/3-58» не в счет?
По этому утверждению возражений не имею абсолютно.
Я за точность формулировок: если мы про технические изыскания, то и обсуждать надо в этом ключе, а не дискутировать о решении для «соблюдения требований».
Попробуйте и поймете. Заявитель сам решает какой ключ у него будет
Попробовать я могу все, что угодно. В т.ч. я я экспериментировал с выпуском сертификата на ключ с ГОСТ Р 34.10-2012 (256 бит), подписанного на ГОСТ Р 34.10-2001. Работает. Однако в документации ПАК УЦ (в рамках его сертифицированного использования) такое смешение недопустимо. Именно поэтому, пока не будет сертификата ГУЦ на ГОСТ Р 34.10-2012 пользователи аккредитованных УЦ живут только на ГОСТ Р 34.10-2001. Про длину ключей в рамках ГОСТ Р 34.10-2012 я ничего не говорил.
Извольте пояснить понятие «подписи по ГОСТ»
Подпись по ГОСТ Р 34.10
Так, а теперь хотелось бы посмотреть на нормативный документ, ориентированный на пользователя (не выписка из закрытого документа, а ФЗ или подзаконный акт) где от него требуется именно «подпись по ГОСТ Р 34.10», а не «СКЗИ, имеющие подтверждение соответствия требованиям (сертификат соответствия)».
Если взглянут чуть внимательнее на ту бумажку (показанную нам ТК 26, которая вызывает бурление… разума, то там есть интересная фраза: "… в случаях, подлежащих регулированию со стороны ФСБ России". Напомню, что в разрезе 63-ФЗ (который регулирует аспекты ЭП) ФСБ определяет требования именно к КЭП и средствам работы с ней. Т.о. ни о каких требованиях, которые «касается любой подписи по ГОСТ» там не говорится. Отсюда и мой вопрос: может быть вы знаете что-то ешё?
… я как гражданин могу просматривать и сертификаты и электронные подписи чем мне удобно
А смысл? Это не проверка а ознакомление с содержанием. Это разные, в смысле принятия решения на их основе, действия. Проверка подразумевает в качестве результата однозначный ответ: действительна подпись или нет. А для этого только так: ст.5 п.4 63-ФЗ
… для создания и проверки <квалифицированной> электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям
...
СПО от OpenSource может быть сертифицировано. Такие примеры в России есть и с криптографией тоже.
Примеры, пожалуйста, где формуляры (указанные в сертификате соответствия ФСБ) таких средств содержат исходники, из которых допускается тех.документацией собирать СКЗИ самостоятельно, а не готовые бинарники, в студию.
У меня тоже есть несколько ответов от ГУЦ, не более грамотных, к сожалению. Опускание ключевых моментов. в письмах регуляторов плодит многостороннее их толкование
Я не говорю что требования не существуют, хочу лишь отметить, что стоит читать их правильно, не додумывая:
ГОСТ — это не требование
В контексте КЭП (а не вообще для эфемерного понятия «российской подписи») требуется использовать сертифицированные СКЗИ (средства ЭП и УЦ) в рамках тех.документации
Однобокое исполнение требований не решение конкретной задачи, а эксперимент. Это как в ПДД: если я соблюдаю скоростной режим, но при этом в стельку и без прав, то это не означает, что я молодец.
Гораздо продуктивнее общение экспертов складывается, если они в своих утверждениях опираются на первоисточники (прочитанные не по диагонали), а не на мнения других экспертов, иначе накопление ошибок и домыслов с накоплением итераций превращает предмет обсуждения в байку «о которой все что-то знают»
В первую очередь мы должны выполнять требования ФЗ о использовании сертифицированных средств ЭП при создании и проверке КЭП. А статья, как я её прочел, и комментарии про Open Source. Т.ч. это две разные песни, пересекающиеся только в области понятия ГОСТ, что не есть требования, а лишь стандарт. В требования стандарт превращается только в нормативных актах при определенных условиях.
Сегодня уже много сертифицированных комплексов УЦ с ГОСТ Р 34.10-2012
Увы, этого не достаточно. Средства УЦ (в рамках условий их сертифицированного применения) не позволяют выпускать сертификаты со смешением алгоритмов подписи. Т.о. Для того, чтоб сертификат КЭП содержал ключ проверки с ГОСТ Р 34.10-2012, он должен быть подписан на этом же алгоритме квалифицированной подписью УЦ, который в свою очередь должен быть подписан ключом ГУЦ на том же ГОСТ Р 34.10-2012. А такового не существует (ссылка: e-trust.gosuslugi.ru/MainCA).
Но требования про ГОСТ 2012 касается любой подписи по ГОСТ, а не только квалифицированной.
Извольте пояснить понятие «подписи по ГОСТ» (на основании терминологии, принятой в нормативных документах, определяющих требования). Так же ссылку на данные требования в студию (имеются ввиду требования, обязательность которых проистекает из ФЗ, и имеющие статус нормативного акта).
Давайте не будем сами придумывать несуществующие «требования».
Если говорить о обязательном применении 2012-х ГОСТов, то это только в отношении КЭП, к которой данная статья не имеет отношения (см. 63-ФЗ в части обязанности применения сертифицированных средств ЭП).
Это же касается и утверждения, что «если требуется российская криптография, то нужны сертифицированные СКЗИ». Это не верное умозаключение.
Требования следуют из законов и подзаконных актов. Именно они определяют, в каких случаях должны применяться сертифицированные СКЗИ. Про ГОСТы в них абсолютно ничего не говорится. Другое дело, что сертификацию проходят только те СКЗИ (средства ЭП и т.д.), которые реализуют эти ГОСТы в соответствии с требованиями ФСБ к этим средствам.
По поводу бессмысленности получения сертификата на 2001-х ГОСТах (опять же с учетом «требований», которые соотносятся только с КЭП): научите, как сделать иначе до перехода ГУЦ на новый ПАК не нарушая сертификационных ограничений средств УЦ?
Вероятно, имелось ввиду «как я задействую закрытый ключ», т.к. сертификат применяется исключительно для проверки подписи.
Для начала ключ надо извлечь из контейнера сертифицированного СКЗИ (если это аппаратное СКЗИ с неизвлекаемым ключом, то задача еще более нетривиальная), в котором он создавался.
Маски обычно не ищут, а изымают. Потом работают эксперты, а они обычно находят. Можно, конечно, шифровать тома, прятать сервера и т.п. А оно вам надо?
Создалось впечатление, что у вас есть возражение по приведенным мною аргументам, поэтому пытаюсь их разъяснить. Если нет, то предлагаю закруглить.
Извините, Владимир, я не нашел федерального закона о «Государственной системе PKI». Скиньте ссылку, изучу и буду готов дальше дискутировать в контексте этой системы.
Это, видимо, все-таки про квалифицированную ЭП из 63-ФЗ, цитаты из которого приводил выше. Заметьте, что не свое мнение, и не ссылки на гуру Хабра, а конкретные нормативные документы.
Зачем — это если есть в этом заинтересованность, например, финансовая (примеры выше), т.е. если я заинтересован в том, чтобы признать, например, наше с вами соглашение, подписанное КЭП, недействительным и профит будет выше трудозатрат, я это сделаю.
Как — тоже не большая проблема. Например, загляну в поля сертификата, которые согласно 795 приказу ФСБ, должны содержать сведения о сертифицированном средстве ЭП. Допустим, вы подделали это поле в запросе и обманом заставили УЦ выпустить сертификат. Уверены на 100%, что завтра к вам не заглянут в гости маски-шоу с выемкой средств электронной подписи в рамках расследования мошенничества (например опять же по моему заказу)?
Кстати, проверка подписи включает в себя проверку сертификата, это по поводу «зачем это проверять, проверяется подпись».
Ну это как бы не совсем не «что хочу» и не опенсорс, это вполне себе сертифицированное СКЗИ.
В общем смысле сервис подписи (облако) и УЦ, это разные сущности, и вполне себе могут быть разными организациями.
Я о накоплении заблуждений, основанных на свободном пересказе других пересказов и т.д. в отрыве от первоисточников. Технические действия, как и любые другие, имеют свои правовые (юридические) последствия, и наоборот, правовые нормы тесно связаны с технической реализацией предъявляемых ими требований. Все очень тесно переплетено и взаимосвязано.
С этим не спорю, и деньги для себя тоже можно рисовать в чуланчике ради любви к искусству, и пистолеты точить в гараже на токарном станке… до поры до времени. Это я к тому, что согласно ПП 313 исключения из лицензирования относится только к тех.обслуживанию, но не к разработке. Вероятность, что вас за это пожурят, конечно, ниже чем в случае с деньгами/пистолетами.
Подытожу сказанное: нарушать, конечно можно (тащ майор, это гипотетически), но если правовые последствия от этого ниже, чем выгода.
Но вот если мы говорим о КЭП, то это (обычно) что-то более весомое, чем эксперименты, с вполне конкретными правовыми последствиями. Стоит ли заигрывать с государством?
Это не о своем, а о пользователях (владельцах бизнеса и руководителях, «ИБ-шниках», ИТ-шниках и т.д.), которые начитавшись экспертных статей, но не заглянув в первоисточники, руководствовались «чем подписывает и проверяет, это его дело».
Я уже писал, но повторюсь еще раз по поводу:
КЭП регулируется 63-ФЗ, где в ст.5 сказано однозначно:
Там же в статье 10 указаны требования к участникам электронного взаимодействия:
И далее про условия признания:
Выше я писал не про «разбрасывается своим закрытым ключом», а именно от том, какие средства и как пользователь использует для подписания и проверки электронных документов квалифицированной электронной подписью. Да, тут как с примером про ПДД, кого не проверят (сейчас почти никого), того пронесло, но бывают и грустные исключения. Две недели назад ФНС заявила, что планирует заняться этим более плотно, для них это шикарный источник поступления дополнительных средств в бюджет: выявили использование несертифицированных средств подписи (например, пресловутых «облачных») — отказали в налоговом вычете, вкатили миллионные штрафы за не предоставление декларации, т.к. то, что пришло ранее по формальным признакам признается не подписанным надлежащим образом. Т.ч. в ближайшей перспективе это боль массовая.
Увы (ну или к счастью), но мы живем в РФ и на нас распространяются её законы.
Оставлю за скобками, что разработка криптографических средств, это лицензируемый (313 ПП) вид деятельности. Эта тема отдельного обсуждения.
Надеюсь, что теперь я расставил все точки над «i».
Вот с этого я и начал.
За что и минусанули, так мне и надо
В чем проблема как раз известно: для перевода ГУЦ на новые рельсы им нужен новый ПАК, и не абы какой, а сертифицированный по КА. Такой надо сделать, потом сертифицировать, потом пройти все этапы ввода в эксплуатацию. А они пока на этапе «сертифицировать», если не ошибаюсь, и там песня долгая, с припевами и притопами.
Увы на свои неоднократные вопросы я так эти требования не увидел. В том документе, на который косвенно ссылались речь только о КЭП.
Извиняюсь, тут уже я не точно выразился, речь шла о том что есть «требования», а статья призвана их удовлетворить. Не удовлетворит, увы.
Легко:
В том числе. Многие уверены, что если сертификаты у них на ГОСТе и тем паче выпущены аккредитованным УЦ, то для подписи они могут использовать что угодно/удобно/нравится.
А потом суд о непризнании электронной подписи под договором на основании того, что она создана в нарушение 63-ФЗ (при помощи того же OpenSSL), аннулирование договора, замороженное бабло на счетах контрагента и боль…
Это не так.
Утверждается, что переход на ГОСТ Р 34.10-2012 при использовании несертифицированных СКЗИ (ибо статья не про них), позволит обеспечить юридическую значимость.
Это не так.
Регулярно звучит, что только ГОСТовая (российская, отечественная...) ЭП обеспечивает юридическую значимость.
Это тоже не так. Даже если назвать ее «квалифицированной», что совсем не то же самое, что ГОСТовая, то это тоже не совсем так. Есть условия признания трех видов (определенных в ФЗ) ЭП равнозначными собственноручной подписи. В соответствии с этими условиями усиленная неквалифицированная может оказаться более значимой, чем КЭП (например, если она создана при помощи несертифицированного средства ЭП).
Я, возможно, нудный, но такие вот неточности пускают многих по ложному пути, от которого боли больше, чем от родных регуляторов.
Тот самый, сертификат которого стоит в корне цепочек доверия всех квалифицированных сертификатов. Пока ГУЦ не перейдет на новые ГОСТы таких сертификатов у пользователей не может быть в принципе. А они не шибко спешат, проблемы индейцев вождя не волнуют, а требований к ним (как и к гос.органам уметь принимать подпись на ГОСТ Р 34.10-2012) быть готовыми к какому-то сроку — нет. И это боль. Вероятное развитие событий будет таким: выпустят корень к концу года, и все УЦ в авральном режиме и за свой счет будут перевыпускать миллионы сертификатов, ибо вешать это на пользователей они не могут себе позволить.
Вроде и так предельно подробно расписал: известны ли вам документы, устанавливающие требования ко всем видам «ГОСТовой подписи», не только квалифицированной, перейти на ГОСТ Р 34.10-2012, ибо «выписка из документа ФСБ России от 31 января 2014 г. №149/7/1/3-58» не в счет?
Я за точность формулировок: если мы про технические изыскания, то и обсуждать надо в этом ключе, а не дискутировать о решении для «соблюдения требований».
Попробовать я могу все, что угодно. В т.ч. я я экспериментировал с выпуском сертификата на ключ с ГОСТ Р 34.10-2012 (256 бит), подписанного на ГОСТ Р 34.10-2001. Работает. Однако в документации ПАК УЦ (в рамках его сертифицированного использования) такое смешение недопустимо. Именно поэтому, пока не будет сертификата ГУЦ на ГОСТ Р 34.10-2012 пользователи аккредитованных УЦ живут только на ГОСТ Р 34.10-2001. Про длину ключей в рамках ГОСТ Р 34.10-2012 я ничего не говорил.
Так, а теперь хотелось бы посмотреть на нормативный документ, ориентированный на пользователя (не выписка из закрытого документа, а ФЗ или подзаконный акт) где от него требуется именно «подпись по ГОСТ Р 34.10», а не «СКЗИ, имеющие подтверждение соответствия требованиям (сертификат соответствия)».
Если взглянут чуть внимательнее на ту бумажку (показанную нам ТК 26, которая вызывает бурление… разума, то там есть интересная фраза: "… в случаях, подлежащих регулированию со стороны ФСБ России". Напомню, что в разрезе 63-ФЗ (который регулирует аспекты ЭП) ФСБ определяет требования именно к КЭП и средствам работы с ней. Т.о. ни о каких требованиях, которые «касается любой подписи по ГОСТ» там не говорится. Отсюда и мой вопрос: может быть вы знаете что-то ешё?
Так я вроде и не утверждал, что с НЭПом туда пускают.
А смысл? Это не проверка а ознакомление с содержанием. Это разные, в смысле принятия решения на их основе, действия. Проверка подразумевает в качестве результата однозначный ответ: действительна подпись или нет. А для этого только так: ст.5 п.4 63-ФЗ
Примеры, пожалуйста, где формуляры (указанные в сертификате соответствия ФСБ) таких средств содержат исходники, из которых допускается тех.документацией собирать СКЗИ самостоятельно, а не готовые бинарники, в студию.
Я не говорю что требования не существуют, хочу лишь отметить, что стоит читать их правильно, не додумывая:
Увы, этого не достаточно. Средства УЦ (в рамках условий их сертифицированного применения) не позволяют выпускать сертификаты со смешением алгоритмов подписи. Т.о. Для того, чтоб сертификат КЭП содержал ключ проверки с ГОСТ Р 34.10-2012, он должен быть подписан на этом же алгоритме квалифицированной подписью УЦ, который в свою очередь должен быть подписан ключом ГУЦ на том же ГОСТ Р 34.10-2012. А такового не существует (ссылка: e-trust.gosuslugi.ru/MainCA).
Извольте пояснить понятие «подписи по ГОСТ» (на основании терминологии, принятой в нормативных документах, определяющих требования). Так же ссылку на данные требования в студию (имеются ввиду требования, обязательность которых проистекает из ФЗ, и имеющие статус нормативного акта).
Если говорить о обязательном применении 2012-х ГОСТов, то это только в отношении КЭП, к которой данная статья не имеет отношения (см. 63-ФЗ в части обязанности применения сертифицированных средств ЭП).
Это же касается и утверждения, что «если требуется российская криптография, то нужны сертифицированные СКЗИ». Это не верное умозаключение.
Требования следуют из законов и подзаконных актов. Именно они определяют, в каких случаях должны применяться сертифицированные СКЗИ. Про ГОСТы в них абсолютно ничего не говорится. Другое дело, что сертификацию проходят только те СКЗИ (средства ЭП и т.д.), которые реализуют эти ГОСТы в соответствии с требованиями ФСБ к этим средствам.
По поводу бессмысленности получения сертификата на 2001-х ГОСТах (опять же с учетом «требований», которые соотносятся только с КЭП): научите, как сделать иначе до перехода ГУЦ на новый ПАК не нарушая сертификационных ограничений средств УЦ?