2. Насчёт компуктеров куда был сгенерирован ключ — сотрудники идиоты и влетят они на сумму в 5 нолей за одну подпись. У Тензора что на внутренней сети, что в ЛК клиента видно на какой носитель сгенерирован ключ и какие ключи ещё генерировали на этот же носитель не спроста
Судя по тому что tensor_sbis отметился в обсуждении по существу статьи, но не заметил некоторых комментариев, вариант «промолчат» — выглядит очень вероятным :) Либо это реальный косяк и втягиваться в диалог просто невыгодно.
Такая мысль мне приходила. Возможно что на месте это решил делать какой то конкретный специалист, вряд ли это политика организации. Я посмотрел список ключей на той машине — там кого только не было, и ИП и муниципальные предприятия. А вдруг они с этим специалистом разойтись подоброму не смогут :) мало ли что он может этими ключами натворить в гневе.
И еще в ответном письме от Минцифры была отсылка к пункту 1 части 6 статьи 17 ФЗ №63-ФЗ:
6. Владелец квалифицированного сертификата обязан:
1) не использовать ключ электронной подписи и немедленно обратиться в аккредитованный удостоверяющий центр, выдавший квалифицированный сертификат, для прекращения действия этого сертификата при наличии оснований полагать, что конфиденциальность ключа электронной подписи нарушена;
Слово «обязан» меня пугает. Когда я вижу слово «обязан» и не делаю этого, либо знаю что кто то другой обязан — но не знает об этом, я чувствую себя преступником :)
Вот например кучка небольшая муниципальных организаций ключи которых были так же сохранены на том компе. можно же предположить что они тоже скомпрометированы? Но они об этом не знают — не буду же я каждым звонить и это рассказывать. Минцифра наверное тоже не будет это делать пока не убедится в этом хотя бы на основании моего заявления.
Нужно ли предупредить государство в лице прокуратуры о возможном преступлении? вот не знаю :(
Был у нас с Тензором один неприятный случай до нового года. Написал о нем письмо в МинЦифру, попросил разъяснить :) На вопрос не ответили, но обещали когда нибудь разобраться :) Суть конфликта ниже (выдержка из письма):
Наша организация является пользователем сервиса СБИС (http://sbis.ru/), компании Тензор. В середине октября 2019 года для ООО «ХХХ», в связи с изменением фамилии директора, в удостоверяющем центре (УЦ) компании Тензор в городе ХХХХ была сгенерирована ЭП на носитель рутокен. После этого, на портале СБИС появилась эта новая ЭП. При просмотре ее свойств мы обратили внимание на надпись: записан на реестр компьютера KOMPUKTER. Так как мы не копировали ЭП на какой-либо компьютер, я обратилась в службу техподдержки с вопросом, что это значит и как так получилось. Сотрудник техподдержки объяснил мне, что вероятно мы сделали копию в реестр ПК сами, что это за ПК сотрудник не знает.
Надпись «записан на реестр компьютера KOMPUKTER» являлась гиперссылкой и открывала окно в котором отображались все электронные подписи которые установлены в реестр компьютера «KOMPUKTER». Там множество ЭЦП различных ХХХ-ских фирм и предпринимателей. Исходя из полученных данных я предпологаю что сотрудники удостоверяющего центра компании Тензор в городе ХХХХ делают копии ключей на свои ПК.
Мной 24.10.2019 было написано письмо в компанию Тензор на эл. почту tensor@tensor.ru с просьбой разъяснить данную ситуацию. До настоящего времени ответа от компании Тензор не получено. Однако, в интерфейсе сервиса СБИС произошли изменения, надпись о копии в реестр постороннего ПК была исправлена компанией Тензор на другую. Таким образом, после моего обращения были произведены действия, которые убрали следы описанной мной проблемы.
Я считаю, что сотрудниками УЦ компании Тензор в г. ХХХХ были нарушены требования по хранению сертификатов ключей ЭП, а все указанные ЭП являются скомпрометированными и требуют отзыва.
Не знаю насколько это случай серьезный. Прав ли я в своих подозрениях, но бесит то что сам тензор никак не среагировал и ничего не объяснил :( Ну хоть бы успокоил, рассказал бы в чем я не прав :(
Там было 84 электронные подписи :)
И еще в ответном письме от Минцифры была отсылка к пункту 1 части 6 статьи 17 ФЗ №63-ФЗ:
Слово «обязан» меня пугает. Когда я вижу слово «обязан» и не делаю этого, либо знаю что кто то другой обязан — но не знает об этом, я чувствую себя преступником :)
Вот например кучка небольшая муниципальных организаций ключи которых были так же сохранены на том компе. можно же предположить что они тоже скомпрометированы? Но они об этом не знают — не буду же я каждым звонить и это рассказывать. Минцифра наверное тоже не будет это делать пока не убедится в этом хотя бы на основании моего заявления.
Нужно ли предупредить государство в лице прокуратуры о возможном преступлении? вот не знаю :(
Не знаю насколько это случай серьезный. Прав ли я в своих подозрениях, но бесит то что сам тензор никак не среагировал и ничего не объяснил :( Ну хоть бы успокоил, рассказал бы в чем я не прав :(