Как стать автором
Обновить

Что не так с федеральным законом «Об электронной подписи» (63-ФЗ), и как это можно исправить

Время на прочтение24 мин
Количество просмотров44K
Всего голосов 51: ↑50 и ↓1+49
Комментарии182

Комментарии 182

Я полностью согласен что это должно делать МВД, а если нет то пусть и паспорта выдают левые конторы.

И вообще давно пора каждому выдать свой номер который при этом же будет являться его телефонным номером (с гибкой фильтрацией входящих вызовов, но это уже другая идея) и паспорт-карту которые в себя будут включать универсальную банковскую карту и цифровую подпись (а также военник, загранник, снилс, инн и вся остальная кипу бумажек).
А для проведения каких либо действий нужна была бы эта карта + биометрия + подтверждение по телефону. После чего всё отправляется в цод где подтверждается эта операция и заносится в неизменяемый архив.

Во-вторых, для МВД потребуется организовать закупки технических и криптографических средств в массовых масштабах, а это будут гигантские бюджетные траты.

На мой взгляд лучше туда чем на «Защиту Российского сегмента интернета»
И вообще давно пора каждому выдать свой номер

Эта здравая идея с точки зрения IT, но жуткая ересь с точки зрения многих мировых религий.

Прямо уж многих?

С точки религий любой метод идентификации (тот же СНИЛС) — не меньшая ересь.
Но решается проблема просто: не хотите — не регистрируйтесь, и обслуживайтесь по бумажкам в ближайшем пункте за 100 км.
Ну может не столь радикально, но в целом информации о нас предостаточно, если ее объединить в одну базу или связку баз то вполне возможно уже сейчас определить уникальность человека. Номер у нас есть, это номер паспорта, почти все важные документы имеют свое электронное подтверждение (правда ведь?), получить номера телефонов привязанных к паспортам тоже можно (у нас ведь любят заставлять?), биометрические данные сбер уже собирает (поделится? поделится, заставим, у нас любят заставлять). Все нормально, все осуществимо надо просто сделать, и денег на это много не надо (по сравнению с Российским Фаерволом). В этом и главный минус, много рутинной работы, мало расходов на закупки, это придется платить людям за работу, что немыслимо.
Почему это к примеру нельзя привязать к уже существующему телефонному номеру?
Номера телефонов слишком часто угоняют
А номера телефонов, привязанных паспорту не угонят разве?
Вот кстати у меня вопросы:
1) зачем придумывать еще один номер, когда уже есть СНИЛС (он у каждого)?;
2) зачем нужны все остальные номера (см. пункт первый), если можно создать единую базу и привязать все к СНИЛС?
3) карту СНИЛС наверное лучше превратить в этот самый единый паспорт-карту, с авторизацией по отпечатку и пинкоду.
Ну по этому и предлагается идентифицировать людей по связке ИНН + СНИЛС.
Связка значений нужна для того, чтобы избежать проблем (дублирование, отсутствие и т.д.) с одним из номеров.
Избыточно ИНН. Насколько я знаю СНИЛС уникален и не может пересекаться. Кроме того у человека на руках может не быть ИНН. Да и в системе где один лишь СНИЛС, эти все ИНН, паспорт и прочие идентификаторы — лишняя информация, для меня вообще загадка зачем было все так усложнять.
Возможно хватит и одного СНИЛС. Для точного ответа на вопрос нужно проводить дополнительное исследование.

P.S.
Проблема может быть в том, что не у всех он есть. Получить могут люди зарегистрированные в ПФР. Соответственно у каждого субъекта будут периоды времени когда у него нет СНИЛС. Впрочем это справедливо и для ИНН.

Как тогда его идентифицировать? Запрещать электронные сделки до получения СНИЛС?
>СНИЛС есть у всех работающих граждан — большинство россиян (за исключением военнослужащих) получают его на первом месте работы, однако, возможно и его самостоятельное на себя или на своего несовершеннолетнего ребёнка.

Кто не работает, тот не ест тот не совершает сделок с участием ЭЦП обычно. Если вместо первой работы ты решаешь сразу открыть свой бизнес, СНИЛС тебе все равно понадобится
ИННа может и не быть.
У меня у ребенка нет ИННа, а вот СНИЛС появился, еще месяца не было (не знаю зачем, но в поликлиниках, по мимо полиса СНИЛС требуют).
ИНН может и быть. ЗАГС подает сведения о новорожденных и умерших в ФНС. Там их вносят в базу и вуаля! Вы становитесь обладателем «дьявольских» цифр ;)
Не должны по идее. Это все-таки номер налогоплательщика, а не вообще.
Я недавно получал в ФНС свидетельство о цифрах дьявола (ИНН) и к моему удивлению ИНН мне присвоили меньше чем через месяц поле рождения

Не пытайтесь избежать уплаты налогов!

По факту это не так. Даже свидетельство о рождении может быть не единственным.
Вообще уникальный идентификатор — главная проблема всех госданных.
В теории так то оно так, но у меня их два!!!
При этом пенсионный фонд ничего сделать не может, так с двумя и хожу.
если проблему не решить сейчас, то с пенсией возникнут проблемы.
А я пытался, ответ от пенсионного фонда лучше ничего не трогать и пользоваться только одним, иначе можно оба потерять при слиянии баз.
У меня недавно было 2 снилс. :) абсолютно легально. Институт и работодатель в свое давнее время каждый оформили мне по снилсу. И так было много лет, пока пару лет назад в пФ чего-то там не начали объединять, и сообщили моему текущему работодателю о задвоении. Пришлось топать в ближайшее отделение пФ.
У меня их три штуки. Увольнялся из одной компании в период, когда их вводили. Сначала выдали в старой и новой, а потом прислали уведомление, что мол придите и получите
1) Возможно можно и СНИЛС, это не принципиальный момент, главное уникальный.
2) Если вы про «а также военник, загранник, снилс, инн и вся остальная кипу бумажек». То разумеется я имел в виду не номера, а возможность получить эту информацию хоронящеюся в ЦОД. Если будет единая база то нет никакого смысла в этих документах.
3) Необходима система онлайн подтверждения(хотя бы только для важных операций). Это поможет уведомлять вас о том на что вы соглашаетесь. Ещё возможно проводить анализ голоса (вы ли это и каково ваше эмоциональное состояние).
возможность получить эту информацию хоронящеюся в ЦОД
Так уже почти допилили проект «Единый цифровой профиль гражданина». Сейчас идёт тестирование, в декабре обещают выкатить.
В РФ никто не будет создавать ЕдинуюБазуДаныхГраждан.
Это поле разбито на кучку мелких огородиков, которые индивидуально окапывают разные структуры, которые при случае всегда готовы «помочь» соседу, применив гербицид по площади соседа.
Дааааа....? А разве её уже не создали?
В рамках эксперимента планируется создать единую систему идентификации и аутентификации, которая обеспечит доступ к сведениям о гражданах в базах государственных органов

предполагается создание взаимоувязанных механизмов обработки данных в государственных и муниципальных информационных системах, установление единства форматов и атрибутов данных и применение единых требований к управлению данными.


Там ещё много интересного, это ещё про госуслуги обещали.
Будем ждать и надеяться что не получится очередной ходульный велосипед.
НЛО прилетело и опубликовало эту надпись здесь

По идее это функция органов Загс. В России они не относятся к федеральным структурам, но если относить, то логично отнести к Минюсту.

Уже выдумали «номер социального страхования» в США или другие аналоги в других странах.

Но меня терзают сомненья, как то я пытался переносить архив медицинской организации на современные хранилища, мы потонули на этапе согласования.
НЛО прилетело и опубликовало эту надпись здесь

Только по биометрии нельзя. Т.к. достаточно надежная биометрия — сложно и дорого (ну не отпечаток пальца же за нее считать. Сам по себе он годиться только для подтверждения мелких расходов)


В свое время где-то я высказывал идею:
Электронных удостоверений личности должно быть три:
первое и второе — функционально одинаковые и именно они предъявляются там, где сейчас документы хотят. Два одинаковых — чтобы можно было вторым из них пользоваться, если перовое потерял. Защищать — двумя факторами (отпечаток пальца и пин одновременно).


Третье — законодательно и технически запрещено использовать иначе как для восстановления утерянных из первых двух. Идешь с ним в ближайшее учреждение с нужными полномочиями (а таких может быть довольно много) и там тебе сравнительно быстро, с использованием простой, но не мобильной биометриии (снимок глазного дна пойдет), делают копию взамен утраченной. Причем процедура by design включает в себя добавление в результат ЭЦП и прочей информации того сотрудника и учреждения, кто эту копию делал.


Если же ты и третье потерял — то добро пожаловать в региональный центр. Там с тебя биометрии побольше снимут (ту, для которой уже сканеры посерьезнее нужны) и только после этого дадут полный комплект документов.

Достаточно четко прописать алгоритм идентификации, сделав его контролируемым извне. И не нужно будет мучить МВД. Можно же в той же ЕСИА хранить дополнительные метаданные о процессе идентификации каждой подписи. Их там любой проверяющий сможет выгрузить и ознакомиться.

А в МВД с технической базой всё как-то печально. Когда я последний раз был в управлении К (осенью), то оборудование и обстановка в «офисе» свидетельствовали о недофинансированности.
Ты придумал УЭК. И да, единая нумерация людей *не работает*.
Основная причина проблем не в простоте или сложности получения ЭЦП, а в том что эта простота или сложность задается одна для всех. Поэтому если у человека текущая сложность не отвечает его требованиям, то он вынужден или оставаться без этих возможностей или же делить их с неадекватно широким кругом лиц.
При этом первое получение подписи несомненно должно быть максимально защищено, сильнее даже чем паспорт, т.к. паспорт требует личного присутствия для действия, а подпись нет.
А вот после первого получения человек должен иметь возможность оттюнить дальнейшие операции с подписью как ему удобно. Запретить всё вообще (для параноиков). Разрешить покупать недвигу, но запретить продавать. Разрешить вообще все (для тех кто современен и моден). Передоверить часть операций другой ЭЦП! (что бы не отдавать свою, для юр.лиц допустим).

нужно аналогичным образом усиливать и процедуры выдачи SIM-карт
Перевыдачу — да. Но вот выдачу самих карт надо было бы ослабить, вплоть до введения препейдных без паспортных.
То что сейчас устроили — это ад адский. Продаван с зарплатой в 30 тысяч сканирует паспорта кучи людей покупающих симки, фотках их с паспортом и тут же без спроса рассылает заявки в кредитные бюро потом радостно спрашивая не хочет ли кто кредита уже одобренного. Раньше можно было взять симку у каждого забора и без этих рисков — все были счастливы.
НЛО прилетело и опубликовало эту надпись здесь
В ЕСИА бывают перебои… вешать всё на один сервис опасно.
Надо какие то дублёры создавать и в случае чего другой сервис использовать.
Там шина в СМЭВ данных и очереди. В теории — очень надёжная штука. Если поставщик сведений работает как положено
Относительно уполномоченного органа и третьей стороны вообще: а нет ли смысла как раз здесь применить распределенный реестр на блокчейне? Вероятно, при участии государства, но с полной прозрачностью для прочих участников — полагаю удостоверяющие центры, банки, да и просто крупный бизнес, смогли бы выделить на это мощности.

Кстати, о банках: а почему бы им не стать удостоверяющими центрами?
1. У них уже есть наработанные и стандартизованные процедуры идентификации.
2. У них, как правило, уже есть достаточно мощные IT-структуры, да и с криптографией они знакомы.
3. Их деятельность ведется под пристальным государственным контролем.
4. У крупных банков уже есть инфраструктура для работы с большим количеством клиентов — отделения, сотрудники…
5. Психологический момент — человек, даже не особенно понимая, что такое электронная подпись, получив ее в банке, будет серьезней относиться к вопросам паролей и безопасности вообще. В конце концов, банковские карты сейчас почти у всех, но массовых эпидемий кражи данных карт как-то не наблюдается.

Что касается стандартизации и прописывания четких процедур — не могу не согласиться.
Блокчейн как технологическая основа сервиса третьей доверенной стороны довольно интересен. Например, сервис длительного обеспечения юридической значимости документов это прям для него. Но тут нужна проработка, кто будет хранителем реестра, как защитится от уязвимостей свойственных данной технологии (например, проблема контроля 51% вычислительной мощности и др.) и еще много чего.

В отношении банков, то они уже и так выполняют много чего (валютный контроль, сбор биометрии), что не свойственно «классическим» кредитным организациям и причем за «спасибо» от государства. Вводить для них новую обязаловку, думаю не здорово, а на добровольной основе они могут выполнять функции УЦ и так.
Собственно, с хранителем реестра вырисовывается два варианта: или основной хранитель — государство, а удостоверяющие центры и проч. его контролируют, или наоборот, хранители — удостоверяющие центры, а государство контролирует (они ж в любом случае лицензируются и регулируются). Ну, и это тот случай, когда можно использовать Proof of Authority, что, в общем-то, снимает проблему 51%.

Про банки да, верно, вроде как несвойственные им функции… Но если технология пойдет в массы, я не очень представляю, кто еще сможет обеспечить инфраструктуру — нынешние УЦ все же под работу с юрлицами заточены. К тому же, банки уже затянуты в подобные дела — та же биометрия, или дополнительное подтверждение личности на госуслугах через личный кабинет Сбера…
Проблем с 51% легко обходится, когда реестр ведут всего его региональные подразделения, а их 80+ штук. Проблематично договориться со всем даже в административном порядке. Слишком широк будет круг посвящённых.
Кстати, если решить «проблему 51%» в общем случае, то от необходимости государства в этой сфере можно вообще избавиться. Но, боюсь, она так просто не решается.
Где это в банках безопасность?
Кредиты как 20 лет назад выдавали, так и выдают по фото паспорта в телефоне.
Что в банке, что в телефоне слабое место — это именно человек.
А это немного другой вопрос. Нужные процедуры у них вполне прописаны, контролировать надо.
Лично я считаю, что это не будет работать, пока этим управляют люди, а по другому — никак. Ведь даже какой-нибудь ИИ должен кем-то управляться.

Тем не менее тенденция переноса всей бюрократии в онлайн мне нравится. Суть такая же, но хотя бы бегать лишний раз не надо.
На 100% не будет. Но как-то двигаться в лучшую сторону, наверное, можно.
Кредиты как 20 лет назад выдавали, так и выдают по фото паспорта в телефоне.
На такой банк вы можете подать жалобу и если это действительно так, то у него отберут лицензию.
По крайней мере, по закону именно так, да.
По закону сотрудник кредитной организации должен подтвердить вашу личность. Сделать это можно с помощью документов удостоверяющих личность, одним из которых является паспорт. Но это должен быть оригинал паспорта, ни фото ни даже нотариально заверенная копия. Только оригинал.
Именно так. Но я не готов утверждать, что закон никем не нарушается. Хотя со мной такого не было, мне и дебетовую карточку пытались не выдать из-за надорванной страницы паспорта.
Не забывайте, что оригинал паспорта у вас сотрудник банка забрать и пришить к делу не может (и это хорошо). А люди не все честные, и некоторые (о, ужас) готовы взять копию, которую они подошьют к делу и отчитаются начальству. Или даже что-то похожее на копию, например, распечатку фотографии.
>>Кстати, о банках: а почему бы им не стать удостоверяющими центрами?

Вы будете смеяться, но многие банки имеют свои аккредитованные УЦ. Только выдачей сертификатов на сторону они не имеют права заниматься, поскольку такого вида деятельности у них нет в уставах. Внести изменения в устав они сейчас тоже не могут — ЦБ не даст :)
Так что для своих клиентов банк может выдавать квалифицированные сертификаты, а на сторону — нет. Кстати, с переводом средств граждан из ПФР в НПФ некоторые банки хорошо поураганили, выдавая «одноразовые» сертификаты исключительно для этой операции
Не буду смеяться. У меня где-то есть подпись, выданная аккредитованным (и аффилированным) УЦ Сбера. Это я так квартиру в ипотеку покупал. Надо бы, кстати, разобраться, чего там куда и как я могу ею пользоваться.

И вот мне, право, не понятно, почему этим-то заниматься им ЦБ не дает.
Ну вот да. Собирать биометрию для ЕБС банкам можно, а быть УЦ — нельзя. Впрочем логику тут искать тяжело
Проблема № 5 — стандартизация средств электронной подписи

Почему бы не создавать такие средсва на базе токенов PKCS#11 с поддержкой российской криптографии. При этом токены используются не как флэшки (что сегодня происходит сплошь и рядом), а именно как криптографические устройства.
А поскольку сегодня сертификат встал вровень с паспортом (квартиры переписывают и т.д.), то конечно хотелось бы, чтобы их выдавали госструктуры.

Какой конкретно использовать стандарт — это тема отдельной дискуссии. Главное положить конец существующему «СКЗИ-рабству», т.е. когда электронное взаимодействие привязано к решениям одного вендора.
Ситуация слега абсурдна: квартиры УЖЕ переписывают, а мы ведём академические дискуссии о механизмах информационной и организационной защиты института ЭЦП. Не было бы более разумным СНАЧАЛА создать безопасную систему, а затем вводить её в эксплуатацию?

И, судя по написанному в статье, у этой системы столько технологических и концептуальных дыр, что затыкать их можно до бесконечности и всё равно где-то будет «протекать».
Как-то в п. 5 вы широко так малярным валиком по картине импрессионистов. И вообще эта проблема слегка выбивается из общего списка и ее решение или текущее отсутствие такового мало влияют на «ужасы» упомянутые в начале статьи. Как и предлагаемые вами решения.
Как говорил классик — СКЗИ бывают разные…
1. В статье речь идет только о средствах электронной подписи, наверное этим и стоит ограничиться.
2. Чем вам поможет стандартизация архитектуры и структуры средств ЭП (что бы это не значило)?
3. Параметры криптоалгоритмов и ряда протоколов, а также большинство форматов передаваемых данных и представлений открытой ключевой информации уже стандартизированы и реализованы в современных средствах ЭП большинства вендоров.
4. Пользователь практически никогда не пользуется напрямую API средства ЭП. Он использует либо функционально законченное средство подписи файлов типа КриптоАРМ, либо некоторую информационную систему, в которую встроено средство ЭП. Поэтому стандартизация API это не решение проблем пользователя, а решение проблем IT.
5. Проблема СКЗИ-рабства лежит несколько в другой плоскости, чем отсутствие стандартизации, а точнее еще как минимум в одной. Приходя в УЦ пользователь сейчас практически лишен возможности выбора средства ЭП, которым ему предстоит пользоваться. А УЦ, в свою очередь, ограничен либо средствами УЦ, либо своими коммерческими соображениями.

Этот список также неполон и поверхностен, как и п. 5 в публикации. Это действительно очень технологичная тема, требующая отдельной дискуссии.

НЛО прилетело и опубликовало эту надпись здесь
Проблема № 7 — «атака назад в будущее»

Time Stamp Authority сервис не используется что ли?
Насколько я понимаю, проблема в том, что использование TSA не является обязательным условием для признания подписи действительной в соответствии с текущим законодательством.
Как-то не вяжутся самые главные тезисы статьи:
Таким образом, мы получаем ситуацию, когда быть правильным удостоверяющим центром, проводящим строгую идентификацию клиентов, невыгодно.
Оформление злоумышленниками поддельных сертификатов это не проблема какого-то конкретного удостоверяющего центра, а системный кризис уровня федерального законодательства.
Вы уж определитесь, то ли законодательство хреновое, то ли правильным УЦ быть не выгодно.
Сейчас же основная существующая проблема — коммерческие УЦ не могут обеспечить доверие к своей работе (вполне возможно, из-за недостаточной жесткости законодательства).
Но даже принятие максимально жестких карающих законов не даст гарантий, что какой нибудь УЦ для своей коммерческой выгоды, не станет их (иногда) нарушать.

Поэтому курс на пересмотр правил выдачи ЭП (в том числе, возможная передача этих функций налоговой), как раз и является вариантом ужесточене федерального законодательства, за который вы радеете.
Вы уж определитесь, то ли законодательство хреновое, то ли правильным УЦ быть не выгодно.

Скажем так, в текущей законодательной базе быть правильным УЦ невыгодно.
Это все очень хорошо, но хотелось бы увидеть конкретные шаги, которые на данный момент может предпринять физлицо для хоть какой-то защиты.
Эта статья про uprade закона.

В текущий ситуации с защитой от мошенничества с ЭП как для физ. лиц так и для юр. лиц чуть лучше чем никак. По защите от регистраций левых ЮЛ на физ. лицо можно посмотреть в этом посте.
Лучше решение — оформить электронную подпись себе и хранить её не используя. По-моему так. Нельзя софрмировать ещё одну подпись если есть действующая.
Вроде как в прошлом топике же сошлись на том, что подписей у человека может быть несколько…
Квалифицированных сертификатов может быть выпущено сколько угодно, ограничений нет
Можно сколько угодно оформить
Часть озвученных проблем, действительно, имеет место быть.
Только предлагаемые решения — в основном заточены на усложнение процессов вокруг ЭЦП.

Текущий мир ЭЦП итак очень недружелюбен к обычным пользователям.
Тест очень простой, а может ли ваша мама использовать ЭЦП для решения своих повседневных вопросов без посторонней помощи.
И предлагается его (этот мир ЭЦП) еще больше усложнить. Что еще больше отдалит обычных пользователей от ЭЦП. Может быть новый мир ЭЦП будет очень классным, но пользы от него для обычных людей будет мало. История примерно как с bitcoin — bitcoin может и классный, только обычные люди им не пользуются.

А вот что точно надо делать -это стандартизация всего ПО, совместимость между вендорами должна быть. Вот тут государству надо приложить усилия.
Насколько я понял мысль автора, усложнить он предлагает жизнь УЦ и регулирующим органам, а вот пользователям наоборот — очень сильно упростить за счет унификации и стандартизации процессов.
Самое главное — это усложнить жизнь мошенникам, всё остальное уже менее важно.
Тогда проще всех граждан посадить за решетку и заставить ходить строем. Главное ведь преступников посадить, да? Остальное менее важно?
Зачем так передёргивать? Для меня более важно, что бы мошенники не могли, как сейчас, с лёгкостью переписать мою квартиру на себя, чем то, что моя или ваша мама не смогут воспользоваться этой подписью.
всё остальное уже менее важно
Это не мои слова. Я готов согласиться с:
Для меня более важно, что бы мошенники не могли, как сейчас, с лёгкостью переписать мою квартиру на себя, чем то, что моя или ваша мама не смогут воспользоваться этой подписью
Но не с квантором всеобщности.

Отменить ЭЦП вообще в точности соответствует вашему желанию.

Ваше беспокойство понятно, мне бы тоже не хотелось бы судиться и доказывать, что квартиру продали мошенники используя нелегально полученный КЭП.
Но,
беспокоит ли вас, что квартиру можно продать без вашего участия по нелегальной доверенности?
беспокоит ли вас, что квартиру можно продать без вашего участия по поддельным документам удостоверяющим личность?
Что вы можете сделать с этим?
Нужно ли кардинально менять институт доверенностей и собственноручных подписей?
Конечно беспокоит, и да, безусловно нужно. И поэтому я не понимаю беспечности некоторых комментаторов, которые пишут, что пусть система и дырявая, но чуть-чуть удобнее стало.
Если моей матери сложно использовать что-то… то она просто это не использует. Альтернативы ЭЦП есть — обычная подпись, просто надо куда-то поехать. И если (чего очень-бы хотелось) примут в закон вариант заявления «запрещаю выдавать мне ЭЦП до письменной отмены этого решения в МФЦ/КГБ/ФСБ/ПВО/Сарае» — для таких людей это будет замечательно, поскольку эта самая ЭЦП им нужна раз в сто лет.
Текущий мир ЭЦП итак очень недружелюбен к обычным пользователям.
Тест очень простой, а может ли ваша мама использовать ЭЦП для решения своих повседневных вопросов без посторонней помощи.


При выборе вариантов правки закона приоритет делался на сохранение простоты использования ЭП для ее владельца. По сути единственным препятствием для них станет необходимость личного визита в УЦ. Да, это «тяжело». Но тут ничего не сделаешь, текущий уровень безопасности системы слишком низок. В остальном их жизнь, с появлением стандартизированных СКЗИ, должна стать значительно проще.
а МВД, а отдельные списки для запрета выдачи ЭЦП, а извещения?
Списки запрета, извещения — доп. возможности. Если гражданин ими не пользуется, то для него все останется как есть.
1. Сертификаты на должностных лиц выдают на конкретную организацию, с их помощью как-то навредить физическому лицу нельзя;
2. Все выпускаемые сертификаты давным-давно регистрируются в ЕСИА через СМЭВ;

Если уже есть база всех сертификатов, и тем более, что они в ЕСИА, то добавить ограничение и уведомления не очень задранная тема.

Более того в сертификаты уже сейчас прописывается область применимости.
Прочитав Проблему 2 я задумался о компетентности автора

Допустим, я мошенник и заказываю ЭЦП, думаете я буду ограничивать область ее применения?

В Проблеме 2 не идёт речь о выпуске подписи злоумышленником

В Проблеме 2 рассматривается возможность задания физлицом глобального ограничения областей применимости сертификатов которые могут быть выпущены на его имя

Если так, значит я невнимательно прочитал. Но я слабо представляю, как такое сделать.

Я так понимаю автор предлагает интегрировать такую возможность в ЕСИА
А такое и не надо. Надо именно что невозможность выпустить за кого-то. Только в личном присутствии.

Всё таки Проблема 2 это про то, что кто-то может получить доступ к легально выпущенному серту.

Я исхожу из формулировки автора:
К сожалению, данная формулировка не позволяет полностью запретить выпуск и использование электронной подписи, в результате чего от электронной подписи страдают граждане, которые никогда в жизни ее не выпускали (например, жертвы приведенных в начале статьи инцидентов).
Курсив мой.
Т.е., как я понимаю, Проблема 2 и о том и о другом. Вероятно, стоило бы их разнести.

Именно. Потому что моё внимание зацепило


Проблема усугубляется тем, что количество людей, которым может оказаться доступна электронная подпись должностного лица, трудно поддается ограничению и практически не зависит от воли владельца подписи
Да, это действительно другая проблема. Которая, ИМХО, решается вообще без привлечения законодательства. В отличие от той, которая зацепила моё внимание.
Проблема 2 — про защиту от нелегального использования легально выпущенной подписи, а также про защиту от неправомерного выпуска подписи.
Вы правда думаете, что некое ООО или сервис «Яндекс.Картинки» владеет авторскими правами хотя бы на одно из приведенных изображений? Это как ставить (С) Интернет…
«Дыра» в «электронной подписи» была заложена изначально — это возможность иметь сколько угодно электронных подписей одному человеку. И придумали это, полагаю, неспроста. :)

— А кто фактически руководил?
— Кто его знает! Это был один человек. И он был голова. Я ему пальца в рот не положил бы. «Золотой теленок»


Как уже говорили — это не баг, а фича. У вас может быть один сертификат для прдписывания писем, другой для подтверждения личности на сайтах и третий пля подписи документов. И логично, что к физической защите каждого можно применять различные правила. Первый таскать всегда с собой, последний — хранить дома в сейфе

Подумалось: а было бы неплохо иметь возможность самостоятельно выпускать временные ограниченные сертификаты, подписывая их основным. Как виртуальные карты во многих интернет-банках.
В целом, учитывая реальность и отсутствие сколько-нибудь приличной защиты подписи, стоит говорить о многократно более дешёвом решении — обычной ручной подписи. Суммарные затраты и потери от использования ЭЦП будут на порядки больше, нежели от использования обычной подписи, даже если нужно подписывать много документов. Хотя да, если подпись чужая — подписывающему плевать на его безопасность, а вот личное время он наверняка сможет сэкономить. Но такой вариант опять же подсказывает владельцу подписи — нафиг оно, такое счастье.
Ручная подпись всё-таки на порядки небезопаснее. Точнее, она небезопасна вовсе. Всё, 21 век, без электронной подписи никуда.
Если в реестре установлен запрет на выпуск электронной подписи, то удостоверяющий центр обязан отказывать заявителям в выпуске.
А если мне нужна КЭП, но я хочу быть уверен, что ни кто не сделает еще одну? Каждый раз писать заявление в МФЦ о разблокировке, а после получения писать на блокировку? Или писать заявление на разрешение выпустить ЭЦП конкретным УЦ один раз? Что-то мне подсказывает, что дешевле сразу в МФЦ передать услугу выдачи КЭП, с блекджекомаутентификацией и матрешкамитокенами.
А если мне нужна КЭП, но я хочу быть уверен, что ни кто не сделает еще одну?

Это решается активной безопасностью, при которой человек получает от «Госуслуг» уведомления о выпусках ЭП. Если выпустили «левую» подпись, то по заявлению, лица на которое она выпущена подпись отзывается.

От всех угроз не защитится, а делать очень сложную систему не самая хорошая идея. Нужен баланс.
Уведомление придёт с задержкой, человек отреагирует с задержкой, а может и совсем не сможет получить уведомление и отреагировать (нет связи).
Этой подписью сто раз успеют воспользоваться.
Всё-таки нужен именно запрет на выпуск новой подписи.

Это не активная, а реактивная — реагируем на нарушение, минимизируя его последствия (успеют продать только имеющиеся квартиры, а которые купим в будущем этой подписью уже не продадут), а не предотвращаем его

Меня задело. Извините, но:
Где еще тогда можно взять деньги?
Если рассматривать государство в противовес бизнеса, то да. Если рассматривать государство, как совокупность бизнеса и его инструмента (власти), то это перекладывание из одного кармана в другой.

Это как «налог на балванки». Деньги с населения все равно собираются, но формально это делает не государство, а «типочастная» контора, тесно связанная с ФСБ. В чем проблема? Да в том же самом, что и с РСП: есть некий Михалков (целая группа, т.к. УЦ много), который получает прибыль, хотя деньги собирают с совершенно другой целью (по крайней мере так декларируется).

Так не проще сократить количество этих УЦ до 1 (государственного), тем самым сократив стоимость КЭП или даже сделав ее бесплатной (переведя в налог). Заодно куча людей с высокой квалификацией (например бывшие сотрудники ФСБ, как это принято) перестанут просиживать штаны в ожидании клиентов, а займутся делом (например можно отправить их ловить реальных педофилов, а не блокировать сайты за невнятный хентай или «критику» власти).
то электронная подпись — на короткий, как правило, не больше года и трех месяцев.
Выдавайте КЭП на длительный срок (10-15 лет — в самый раз). Нет проблем. Только выдавайте его в обязательном порядке всем и по умолчанию только с одной функцией: выпуск расширенных КЭП. Кто готов рискнуть и пользоваться ей для подписи документов — ССЗБ (пишет отдельное заявление на расширение функционала при выдаче, «в здравом уме...»), остальные получат способ ограничить произвол частных УЦ и не сильно перегрузят МВД и/или МФЦ.
служба штампов времени

NTP. Но ни кто не заставит им пользоваться. Спасет только от установки даты больше текущей, но не спасет от установки даты в прошлом (можно записать ответ и использовать его постфактум). Но кто не мешает поднять свой криптоNTP, с известным закрытым ключем.
служба гарантированной доставки сообщений
СЭД. Их тьма. Но проблема с ними та же, что и с КЭП — можно сделать дубль ЛК.
служба электронного нотариата
Ну так и дурак может. Вся суть внедрения КЭП (к.м.к.) была в том, что документ можно удостоверить не демонстрируя его 3-й стороне. Иначе можно просто регистрировать документ в госуслугах, без каких-либо КЭП.
Ну и главное, что ни кто не мешает украсть и подпись нотариуса. Схема чуточку сложнее, но в разы, а не на порядки.
служба архивации и длительного хранения электронных документов
См. предыдущий пункт.
Пример (все совпадения случайны): мой сын — «электронный нотариус» (админ обслуживающий сервис). Я хочу написать завещание. Если я его оформляю просто с помощью КЭП, то он узнает его содержание только после моей смерти (… Полуживого забавлять, Ему подушки поправлять,...). А если я его опубликую в таком «архиве», то мне точно не жить…

Проблема есть и её точно нужно решать (хотя пока что она почти не эксплуатируется), но решение должно быть более элегантным. Предложенные Вами способы затыкают дыры, создавая новые. Но как говорится — за попытку спасибо.
Пример (все совпадения случайны): мой сын — «электронный нотариус» (админ обслуживающий сервис). Я хочу написать завещание. Если я его оформляю просто с помощью КЭП, то он узнает его содержание только после моей смерти (… Полуживого забавлять, Ему подушки поправлять,...). А если я его опубликую в таком «архиве», то мне точно не жить…

Вроде бы в таких сервисах можно хранить (и хранят) не сами тексты документа, а их заверенные хэши. Тогда и содержание документа посторонним неизвестно, и можно подтвердить, что вот именно этот текст когда-то электронному регистратору предъявлялся.


Причем до некоторой степени оно делается буквально на коленках — смотри, например, Proof of Existence

Это решается активной безопасностью
Есть проблема: Вы не предлагаете отказаться от текущей схемы с десятками УЦ. А значит никакого СМС-уведомления, как и сейчас.

Это сработает для тех, кто озаботился своей безопасностью, а остальные все также будут узнавать о том что подарили квартиру из квитанций на квартплату.
делать очень сложную систему не самая хорошая идея.
Вы и предлагаете, как я понял, добавить еще костылей к существующей системе.
Нужен баланс.
Не нужен. Нужна кардинально другая система, с устранением проверки личности на стороне УЦ, как наиболее уязвимой точке. А такими темпами и от УЦ как таковых можно отказаться.

Как вариант — сам себе УЦ. Государство выдает 10-30-летние личные корневые сертификаты пригодные только для выпуска краткосрочных (до 1,25 года) КЭП, а уже сам владелец КЭП, выписывает себе пригодную для работы. Возможно с каким-нибудь усложнением (типа тех же УЦ, нескольких свидетелей или регистрацией открытой части КЭП в госуслугах).
их заверенные хэши.
Технически, раз уж подпись подделали, можно подобрать документ так, чтобы хэш был один для 2-х документов.
Тогда и содержание документа посторонним неизвестно
В некоторых случаях сам факт существования документа говорит достаточно. Кстати завещание — тот самый случай.

И да, это еще один способ манипуляции: т.к. хэш известен, то заинтересованное лицо может попробовать удалить этот хэш из базы (например через взятку), тем самым анулировав правильно подписанный документ документ, даже без подделки подписи.
Технически, раз уж подпись подделали, можно подобрать документ так, чтобы хэш был один для 2-х документов.

Тут как бы считается, что криптографический хэш у нас правильный и двух осмысленных документов с коллизией построить нельзя. Если этого нет — то вообще вся затея с ЭЦП не имеет смысла, т.к. в процессе подписи по факту обычно подписывается именно хэш


В некоторых случаях сам факт существования документа говорит достаточно. Кстати завещание — тот самый случай.

По хэшу понять, что именно там подписали — то ли завещание, то ли просто мусор, нельзя.


И да, это еще один способ манипуляции: т.к. хэш известен, то заинтересованное лицо может попробовать удалить этот хэш из базы (например через взятку)

Я не зря ссылку на Proof of Existence давал. Если верить описанию, там эти хэши прямо в данные биткоиновского блокчейна вбиваются. Уталить, не пересчитав цепочку (которая чем дальше, тем длиннее), не получится. Именно поэтому этот блокчейн по поводу и без повода вспоминают в связи с регистрацией всяких прав.


Можно, конечно, исходить из того, что ЭЦП сломали и более новый документ добавили. Но следы никуда не денутся.

Тут как бы считается, что криптографический хэш у нас правильный и двух осмысленных документов с коллизией построить нельзя. Если этого нет — то вообще вся затея с ЭЦП не имеет смысла, т.к. в процессе подписи по факту обычно подписывается именно хэш

Если мы так считаем, то толку от этого архива чуть больше чем ноль. Насколько я понял, автор предлагал архив в качестве решения для длительного хранения документов в условиях постепенного уменьшения стойкости криптографических алгоритмов, которыми они были подписаны. Без хранения полного содержимого документа тут не обойтись, мы не можем гарантировать, что лет через сто не появится какая-нибудь практически осуществимая атака на используемые сейчас алгоритмы хеширования.
Когда речь шла о службе длительного хранения, то имелось ввиду именно хранение полного документа, а не только хэша.

Это сработает для тех, кто озаботился своей безопасностью

Да, это так. В статье предлагается дать возможность людям на самооборону. При этом, если человек ничего не хочет, то для него все останется как было.

Нужна кардинально другая система, с устранением проверки личности на стороне УЦ,

Не надо излишне демонизировать УЦ. Проблема идентификации также остро стоят и в банках, и в МФЦ, и на почте, и еще много где. Как с ними быть?

Технологически 63-ФЗ базируется на доверенной третьей стороне (УЦ), выдающей сертификаты. Есть и другое решение, без третьей стороны — это сеть доверия, реализованная в GnuPG. Но для государственной ЭП она мало подходит.

Государство выдает 10-30-летние личные корневые сертификаты
Обычные граждане вырядили смогут обеспечить конфиденциальность ключей в течение 30 лет.
Как с ними быть?
И вот тут массовое применение КЭП, стоящих 3 копейки приходит на помощь. Хотя если сейчас для большинства 1500 р. в год за КЭП — деньги, то и 1000 р. за многоразовую флешку-ключ ни кто платить не будет.
Но для государственной ЭП она мало подходит.
Опять же — если это принципиально, то можно не отказываться от УЦ, а только убрать у них обязанность опознания клиента, переложив эту функцию на МФЦ/МВД при выдаче паспорта.
Обычные граждане вырядили смогут обеспечить конфиденциальность ключей в течение 30 лет.
У американцев как-то получается хранить в секрете от большинства свой SSN. Защитить же токен, на которой записан ключ и которую нужно предъявлять только в одном случае (а не в каждую затычку, как SSN), к.м.к. несколько проще.
Опять же — если это принципиально, то можно не отказываться от УЦ, а только убрать у них обязанность опознания клиента, переложив эту функцию на МФЦ/МВД при выдаче паспорта.

Это и есть основная идея предлагаемых мер защиты. Только полностью исключать УЦ из идентификации нельзя, так как это породит свои уязвимости.
Если рассматривать государство в противовес бизнеса...

Государство рассматривается как провайдер инфраструктурных сервисов. Чем качественнее и дешевле сервисы тем лучше. Противовеса нет, задача наоборот улучшить условия ведения бизнеса.

Выдавайте КЭП на длительный срок (10-15 лет — в самый раз). Нет проблем.

Срок действия ключа в 1 год (3 месяца на переоформление) выбран не зря. С точки зрения практической безопасности это оптимальный срок жизни криптографических ключей при условии их эксплуатации с помощью программных СКЗИ на персональных компьютерах. Для увеличения срока необходимо гораздо более дорогое СКЗИ (HSM).

NTP. Но ни кто не заставит им пользоваться.

Для юридически значимого ЭДО используют TSP, а не NTP. Принципиально разные службы и для разных целей используемые.

служба гарантированной доставки сообщений
СЭД. Их тьма. Но проблема с ними та же, что и с КЭП — можно сделать дубль ЛК.

Подобные службы в России называются «специализированными операторами связи». Раньше они в обязательном порядке использовались при передачи отчетности в электронном виде в налоговую. Потом, в связи с небольшим количеством инцидентов оспаривания дат передачи документов, они перестали быть обязательными.

Но проблема с ними та же, что и с КЭП

Идея в том, что они с КЭП взаимоусиливают безопасность, а не противостоят друг другу. Обе технологии закрывают разные угрозы. Это как огнетушитель и камера охранного наблюдения.

мой сын — «электронный нотариус»

Проблема «мой сын — электронный нотариус» равносильный проблеме «мой сын — бумажный нотариус». Тем не менее нотариальной деятельности сотни лет.
Для увеличения срока необходимо гораздо более дорогое СКЗИ (HSM)

Что-то я не верю в "гораздо более дорогие". Каждый из нас как минимум по две штуки таких таскает — чип банковской карты и чип SIM-ки. Которые почти бесплатно дают. Есть подозрение, что для ЭЦП достаточно либо в тот, либо в тот чип добавить соответствующее приложение. А текущая ситуация с ценой на USB токены — она по какой-то другой причине.

Перефразирую так, у вас нет уверености что HSM за 1 млн. руб. сможет вас защитить лучше чем USB токен за 2 тыс. руб.

Я с вами на 93% согласен :) Однако оставшиеся 7% говорят о том, что оценивать защищенность СКЗИ просто по бытовой логике нельзя. Способов кражи криптоключей тьма, я об этом писал в модели угроз СКЗИ.

Более дорогие устройства защищают от большего числа атак. Но отношение цены к безопасности вызывает очень большие вопросы.
Перефразирую так, у вас нет уверености что HSM за 1 млн. руб. сможет вас защитить лучше чем USB токен за 2 тыс. руб.

Не, не так. Я не верю, что HSM внутри банковской карты вообще существенно отличается от того, что внутри токена какого-нибудь Крипто-Про стоит. Есть очень большое подозрение, что там USB переходник на интерфейс смарт-карты и такой же чип, что в банковской карте, используются.


Более дорогие устройства защищают от большего числа атак. Но отношение цены к безопасности вызывает очень большие вопросы.
Разумеется. Скажем, DnsSEC Root KSK хранится (на видео Root KSK Ceremonies видно) в некой железке AEP Keyper Plus. FIPS 140-2 Level 4. Как я понимаю, стирает хранимые ключи даже если его просто тряхнуть сильнее чем следует. 17500 евро. Плюс сейфы для них, плюс защищенная комната, плюс, собственно, охраняемое здание, где все это находится.

Я так ожидаю, что у обсуждаемых тут УЦ хотя бы эквивалентная железка и сейфы есть.

Я не верю, что HSM внутри банковской карты вообще существенно отличается от того, что внутри токена какого-нибудь Крипто-Про стоит.

Сертификат HSM на класс КВ+ говорит о том, что данная железка умеет защищать от ПЭМИН
Противовеса нет, задача наоборот улучшить условия ведения бизнеса.
Тогда логично забрать непроизводительный сектор у бизнеса, чтобы разгрузить его для производительной деятельности. Если конечно цель — наращивать производство, а не кормить приблатненных.
Для увеличения срока необходимо гораздо более дорогое СКЗИ (HSM).
Если использовать эту КЭП только для выпуска новых, то злоумышленник просто не сможет подобрать нужное количество отпечатков.
Подобные службы в России называются «специализированными операторами связи».
Диадок себя СЭДом называет. Возможно я действительно не прав. Но суть не меняется — их несколько и регистрация в одном не гарантирует, что злоумышленник не зарегистрируется в другом для своих грязных дел.
Обе технологии закрывают разные угрозы.
Вот только имеют однотипную уязвимость — человека.
равносильный проблеме
Не совсем. Ломануть пароль от базы — задача сложная, но не нереальная. А вот влезть в архив нотариуса и покапаться — другое дело.
С другой стороны история знает примеры того, как влезали в архивы нотариусов с далеко идущими последствиями.
"Перебежчики осведомили Октавиана о содержании завещания Антония, оно было немедленно изъято из храма Весты и опубликовано..."
Раз тут пошла такая пьянка, то под iOS есть мессенджер Командор с поддержкой КЭП.
Проблемы «временнЫх атак» на электронные подписи уже давно не новые и даже имеют техническое решение под названием "Trusted Timestamping".
Отличная статья и анализ. Но…
Проблема 2 — ограничения использования ЭП — в нем краткий анализ «вероятных нарушителей» почти из модели угроз :) Но ограничения, в настоящее время это OIDы в сертификатов (посмотрите требования Росреестра и Рособрназора), ФЭТП, слава богу, от этого ушли. Использование OID в сертификатах (именно для определения прав доступа) — это костыли (все это можно делать через авторизацию ЕСИА и назначение прав в ней на каждую ИС и каждого сотрудника, тем более это обязаловка по ГИС).
По проблеме 1 — есть и альтернативная позиция — УЦ, который дорожит репутаций, «зарабатывает» бонусы на надежности, в итоге м.б. пропустит «мелких» клиентов, но выиграет в итоге )
Про стандартизацию уже с 1-ФЗ говорят и на рускрипто много раз поднимался вопрос… проблемы совместимости, криптопро, випнет, континент tls, особенно в режиме шифрования, остались.
А впереди, вероятное будущее — 10-15 УЦ с 1 млрд. капитала и 1-2 ГосУЦ, и те же проблемы…
С получением прав доступа через ЕСИА проблем нет, но как их зафиксировать в подписанном документе?

Фактически нужно построить еще один сервис доверенной третьей стороны, который обеспечивает получение прав доступа. Вариант не плохой, но потребует большого объема доработок в законе и его соответственно сложнее будет реализовать.
ДТС как бы уже в законопроекте есть (как в варианте МКС, так и РОСЭУ), ДТС с большой долей вероятности все-таки в России будет, но построение инфраструктуры ДТС будет таким же сложным, как и с 1-ФЗ, многое не проработано (нужны будут подзаконные акты). Также была же тема по атрибутым сертификатам (С. Муругов вплотную занимался, законодатели похоже не поняли тему).

Проблема с мошенничеством (получением в УЦ ключа ЭП другим лицом) сейчас просто можно решить:
1. Сделать сервис подачи документов в УЦ через портал госуслуг (тут и подтвержение с e-mail (обратная связь), и идентификация ЮЛ/ФЛ). Потребуется, чтобы заявители и УЦ были зарегистрированы в госуслугах (УЦ там и так есть). Личное присутствие заявителя все равно потребуется при получении квалифицированного сертификата. Популярность госуслуг ещё несколько вырастет, при этом в СМИ нужно проводить пропаганду против ЭП (как сейчас), а наоборот популяризировать ИТ-технологии и ЭП);
2. Сделать сервис для УЦ (и др. участников, например банков, нотариусов) в СМЭВ 3, который не только дает возможность проверить действительнось паспортных данных, но и выдает фотоизображение (с учетом, конечно, требований ИБ) заявителя;
3. Получение физлицом по доверенности за другое ФЛ — только по нотариальной доверенности (некоторые УЦ это в своем Порядке прописывают, по ЮЛ — сложнее, «мешает» ГК). Таких физлиц очень мало, в основном приходят лично.
В принципе, этого достаточно и не надо «1 млрд» в требованиях по аккредитации для УЦ (как сейчас в законопроекте — это просто разрушит все PKI в России, альтернативы существующей построенной инфраструктуре пока нет).

Про фиксацию заявок, поступивших через госуслуги — по той же технологии, как и с получением паспорта (приходят получать все равно лично), так же как и получением путевок в лагеря, записью с д/с… и т.д. Технология уже отработана. Тут для УЦ важно, что идентификация первичная произведена и заявки поступили через госуслуги (ЕСИА)
В целом согласен с вашим мнением. Хочу сделать лишь несколько ремарок

1. Защищенность гос. услуг сильно переоценина… Хотели как-то сделать «Госуслуги» (ЕСИА) резервным каналом для восстановления пролей в Интернет КБ для физ. лиц. Провели несколько натурных экспериментов в части регистрации уч. записей в этом сервисе… пришли к выводу что ну его «в баню». Качество идентификации личности, защищенность от левых авторизаций просто никакая. Грубо — уровень салона сотовой связи. Регистрацию ЭП через ЕСИА пока делать нельзя — слишком дырявая система.
2. Регистрация по нотариальной доверенности в целом допустима. По крайней мере будет значительно безопасней чем сейчас. Но в общем случае практика выдачи удостоверений личности по доверенностям порочна.
3. Требование увеличения уставного капитала УЦ до 1 млрд. к защищенности обладателей подписи не имеет абсолютно ни какого отношения. В текущей схеме и так есть требования к капиталу, однако оно как средство защиты не работает. Кражи квартир с помощью ЭП есть, штрафов к УЦ нет.
1. Защищенность входа можно усилить, включив двухэтапную авторизацию в настройках ЛК (подтвержение входа через код смс). Если произойдет взлом учетки, то это будет практически сразу заметно владельцу (ещё и логи можно посмотреть), в отличие от получения квал. сертификата мошенником).
Регистрацию ЭП — как вы себе это представляете? Может имели ввиду регистрацию квалифицированного сертификата все-таки? Регистрация сертификатов в ЕСИА и так осуществляется, это обязаны делать все аккредитованные УЦ при выдаче сертификата. Если под «Регистрацией ЭП» вы подразумеваете направление через госуслуги заявок в УЦ на получение сертификата, то это не одно и то же, что непосредственно получение сертификата (получают лично, как и паспорт, хотя заявку можно направить через госуслуги), об этом писал выше.
2. «практика выдачи удостоверений личности по доверенностям порочна» — может практика выдачи квалифицированных сертификатов? :) По 63-ФЗ требования к доверенностям не определены, про документы есть «надлежащим образом заверенные копии». С другой стороны вряд-ли министр, депутат или глава лично придет получать сертификат, по ГК доверенность может оформить ЮЛ на своего уполномоченного сотрудника.
3. Требования ввели для сокращения кол-ва УЦ. На практике даже страхование ответственности УЦ, насколько мне известно, не применялось. На сайте росэу была аналитическая статья…
Проблема защищенности «Госуслуг» не столько в авторизации, сколько в идентификации личности при активации учетной записи. Другими словами «Госуслуги» уязвимы к атак создания «левых» учеток на сторонних людей.

вряд-ли министр, депутат или глава лично придет получать сертификат

Как и везде VIP ломают всю систему безопасности :)
Им ехать не обязательно. Выездные услуги никто не отменял. Принципиальный момент именно в запрете выдачи по доверенности.
Идентификация личности при активации учетной записи проводится по паспорту и снилсу, кроме того есть следующий этап — подтверждение уч. записи. Есть проблема возможности подделки паспорта мошенником, но эта проблему можно и к остальным услугам отнести (везде, где требуется предъявление документов).

Выездные услуги связаны с «временным» хранением в УЦ сертификата и ключа ЭП (если владелец на своей стороне сам не сформировал ключ). По сравнению с личной передачей из рук в руки непосредственно сразу после изготовления ключа ЭП под расписку в журналах учета, этот метод менее безопасный и более затратный для УЦ (нотариалка — более затратна для заявителей, тем более для ОГВ и подведов, там в бюджете на это м.б. денег по этим статьям расходов не запланировано).
Представляете, сотрудники казначейства (или ФНС — планируется же ГосУЦ по законопроекту) будут ездить по организациям с журналами учета и выдавать сертификаты и (или) ключи ЭП :)
Идентификация личности при активации учетной записи проводится по паспорту и снилсу,

Когда я уже давно там регистрировался, пароль от учетки прислали почтой. Паспорт при получении этого заказного письма, если я правильно помню, рассматривали не так чтобы очень хорошо.


А сейчас заказное письмо вообще можно По SMS получить, без всякого паспорта. Где-то в цепочке паспорт, конечно, есть. Где-то и когда-то. Да и завязка на телефонный номер — тоже известная проблема.

Выездные услуги — это запасной вариант, для тех кто не может приехать сам. Основной канал выдачи личная явка.

Для тех кому, подобная безопасность не требуется есть альтернативы — усиленная неквалифицированная электронная подпись. Там можно как угодно, по каким угодно доверенностям.

Представляете, сотрудники казначейства (или ФНС — планируется же ГосУЦ по законопроекту) будут ездить по организациям с журналами учета и выдавать сертификаты и (или) ключи ЭП :)

Это еще один камень в огород тех, кто хочет передать функции УЦ в гос. структуры. Выездные услуги для коммерческих УЦ вполне обыденная практика.

А почему в документ? Рядом файлик положить нельзя? Ну вот как сейчас есть доверенности и прочие назначения прав "такой-то имеет право сделать то-то". С подписью — аналогично: "Такая-то подпись имеет право удостоверять то-то..." Файлик при необходимости вытаскивается из этой самой ЕСИА.

А почему в документ? Рядом файлик положить нельзя?

Можно. Этот вариант имеет право на жизнь. По сравнению с ограничениями хранящимися в сертификате он более гибкий, но и более дорогой в реализации.

Это не файлик )) Для ЮЛ права доступа сотрудников для различных ИС, зарегистрированных в ЕСИА, назначаются под правами руководителя ЮЛ. Технология уже работает (так, например, с ЕИС (закупки))

Мы, кажется, о разном. Права доступа в "Технология уже работает" — это что?


Я имею в виду те права, что вида "подпись 0xABCD… имеет право заверять документ о продаже имущества". Каким бы способом ее не поставили. Хоть в оффлайне на компьютере без сетевых интерфейсов. А если не имеет — то документ юридической силы не имеет и есть повод заняться разборками и объяснениями, какую именно подпись где использовать надо.

О том, как работает технология, в т.ч. интеграция ИС в СМЭВ, регистрация ИС, пользователей, назначение прав доступа, можно почитать на техпортале smev.gosuslugi.ru, smev3.gosuslugi.ru. Про права доступа, если кратко, со стороны пользователя выглядит так: Пользователь при входе в ИС (например, те же закупки), выбирает вход через госуслуги, авторизируется, его перебрасывает обратно в ИС, при этом, если пользователь является сотрудником ЮЛ и ему были назначены права для работы в ИС (например, специалист с правом подписи контракта), то информация об этих правах тоже передается в ИС (в ИС при проектировании и внедрении это д.б. учтено). Это вполне заменяет наличие OID в сертификате ЭП.

«Я имею в виду те права, что вида „подпись 0xABCD… имеет право...“ — Подпись не может иметь прав :) Права может иметь лицо, подписывающее документ. Но про права подписи — это уже юр сторона вопроса, по технологии — атрибутный сертификат, законодательством пока не предусмотрен. По 63-ФЗ в „обычных“ квалифицированных сертификатах не предусмотрено включение информации о конкретных правах владельца сертификата (можно включить в сертификат информацию о правомочиях заявителя действовать от имени третьих лиц, но на практике таких сертификатов не встречал). Более того, по 63-ФЗ (ст. 6) квал. сертификат „по умолчанию“ может использоваться в любых правоотношениях, поэтому проверка полномочий должна регулироваться другими способами (доверенностями, соглашениями сторон, регламентами работы в ИС и т.д.) и не привязываться к квал. сертификату.

Подписывание документа в оффлайне конечно возможно, но в этом случае не будет доступа к списку отозванных сертификатов по всей цепочке сертификатов от ГУЦ до сертификата пользователя (если вручную заранее СОСы актуальные не установили), а также подпись не будет содержать штампа времени, полученного от службы штампов времени. Это в свою очередь, может создать проблему проверки ЭП в документе для остальных участников взаимодействия. Про юридическую силу — в 63-ФЗ есть условия признания документов, подписанных квал. ЭП.
«Я имею в виду те права, что вида „подпись 0xABCD… имеет право...“ —
Подпись не может иметь прав :) Права может иметь лицо, подписывающее документ.

Э, нет. Права, связанные с конкретной подписью должны быть. Скажем, я не хочу, чтобы та подпись/приватный ключ, которые используется просто в электронной переписке и который для удобства лучше бы хранить прямо в почтовой программе(под паролем, разумеется), работала бы на тех же самых финансовых документах. Для этого я хочу другой — который в токене хранится и в сейфе лежит.


Обе подписи как бы мои и я сам, разумеется, имею право подписывать свои финансовые документы. Но это не повод, чтобы признавать и то и то одинаково юридически-значимыми.

Не путайте пожалуйста подпись (ЭП), ключ ЭП, сертификат ключа проверки ЭП, это разные «сущности». ЭП документа неразрывно связана с самим документом, ЭП получить в УЦ нельзя, хранить ЭП отделенную, которую сами сформировали при подписанни документа, вы конечно можете отдельно от документа, но никакого смыла не имеет.
Сертификат, соответствующий ключу ЭП, вы может получить в УЦ (можете несколько). Ключ ЭП можете сформировать сами при формировании запроса на сертификат или получить его в УЦ вместе с сертификатом. Хранение и использование — в соответствии с инструкцией ФАПСИ 152. Если сертификаты квалифицированные, то и подпись на документе (по 63-ФЗ)будет квалифицированная. Чтобы она была не юр. значимой можете использовать неквалифицированный сертификат и использовать для свой внутренней (личной) переписки).
Чтобы она была не юр. значимой можете использовать неквалифицированный сертификат и использовать для свой внутренней (личной) переписки).

Да что за зацикленность на работу внутри организации? Я, скажем, как частное лицо, хочу, чтобы моя рабочая и не очень переписка со всеми или некоторыми окружающими (с жеком, банком, фейсбуком, налоговой инспекцией, родственниками, собеседниками на форуме) были более-менее подписанными. Я что, до них всех неквалифицированный сертификат доводить должен что ли? Или мне предлагается каждый раз токен с квалифицированным сертификатом доставать?

Вообще не вижу проблемы. Как частное лицо вы можете использовать:
1) простую ЭП (для обычной переписки, например с родственниками);
2) неквалифицированную ЭП — по соглашению с другой стороной;
3) квалифицированную ЭП (для физ.лица) — в случае, если её необходимость предусмотрена законодательно (налоговая отчетность, закупки и т.д.).
По п. 2 можете получить в неаккредитованном УЦ, по п.3 — в АУЦ, можете несколько сертификатов и выбрать какую использовать.
По п. 2 можете получить в неаккредитованном УЦ

Погуглив так и не понял, как его такой найти, чтобы произвольное стороннее лицо ему тем не менее поверило, что я это я.

Неаккредитованный УЦ можете найти по списку УЦ Минкомсвязи, у которых прекращена или приостановлена аккредитация.
digital.gov.ru/ru/activity/govservices/certification_authority
Ещё некоторые АУЦы имеют также отдельные ПАК УЦ, которые используют для выдачи неквалов.
Чтобы другая сторона приняла ЭП, подписанное неквалом, вы можете договориться с ней заранее об использовании неквала (договором, соглашением) — это по 63-ФЗ

Потрясающий результат получился.


Чтобы поставить ЭЦП, подтверждающую мое авторство (и только это — без риска получить юридически значимые документы от моего имени, если ключ утечет незаметно для меня), нужно найти УЦ который то ли наказали, то ли он перестал работать. И одновременно уговорить другую сторону, что использовать такой УЦ — допустимо и правильно.


А какого -нибудь способа сделать так, чтобы каждый желающий мог проверить, что вот эту статью/файл написал я, но так, чтобы подпись тем же ключом на каком-нибудь договоре ничего не значила — никак нельзя?

если ключ утечет незаметно для меня

Это компрометация, в этом случае только отзывать сертификат и получать новый.
УЦ вы можете выбрать любой, на свое усмотрение, другая сторона тоже может выбрать любой УЦ. Используемые сертификаты и (или) УЦ вы можете прописать в соглашении.
УЦ который то ли наказали, то ли он перестал работать.

В свое время приостанавливали аккредитацию и у Тензора и у Контура. Это не значит что все вдруг перестали использовать сертификаты, выданные этими УЦ. Если вы выбрали УЦ, хотите использовать неквалифицированную подпись, то это ваши риски.
А какого -нибудь способа сделать так, чтобы каждый желающий мог проверить, что вот эту статью/файл написал я

Использовать простую ЭП, например. Но вообще авторские права на статью вроде по-другому защищаются :)
Если вы хотите использовать ЭП на основе отечественной криптографии, то проверить ЭП опубликованного вами файла каждый не сможет (желающим придется ставить соответствующий криптопровайдер и средство проверки ЭП).
В принципе, можете использовать RSA сертификаты от какого-нибудь известного центра сертификации (ст.7 63-ФЗ)
Не путайте пожалуйста подпись (ЭП), ключ ЭП, сертификат ключа проверки ЭП, это разные «сущности».

Тут наверное моя вина. В статье это все это упоминается как одна сущность — электронная подпись. Сделано это для снижения сложности материала. Но как известно добра без худо не бывает. В результате чего появляется подобная «юридическая расплывчатость».
У меня другая проблема с ЭЦП и электронным документооборотом.

Запускаем у себя систему электронного документооборота, согласовываем внутри договора, казалось бы логично и подписывать их ЭЦП и отправлять контрагентам, а там пусть подписывают свою сторону как хотят, закон не запрещает.
Но юристы ссылаются на судебную практику, где уже были случаи признания недействительными договоров, подписанных с одной стороны ЭЦП а с другой простой подписью.

В общем подписываем на бумаге (((

На мой взгляд чтобы решить проблему №1 с идентификацией гражданина, нужно сначала решить проблему паспортов, а именно то, что сейчас скан паспорта требуется на каждом шагу, и этого самого скана паспорта достаточно для оформления ЭП, при наличии злого умысла со стороны сотрудника УЦ. Видеорегистраторы и второй человек (сговор) лишь поможет в случае оспаривания в суде уже свершившейся незаконной выдачи ЭП.


Т. е. нужно апгрейдить сначала бумажный паспорт. Решить это можно достаточно просто, взяв за основу существующие банковские карты, сделав их электронными паспортами, только вместо денег, будут проводиться операции с персональными данными. Естественно при этом не допуская существующих послаблений, которые иногда бывают с текущими банковскими картами, например, оплата в интернете без 3ds. В принципе этот «электронный паспорт» может совмещать и функции ЭП при желании.


Способов защиты такой карты-паспорта можно придумать много — пин-коды, оповещения и подтверждение операций, установка запретов на определённые виды операций, двух-трёх факторная авторизация и т. п. Естественно у операторов при проведении операции должен быть доступ к фотографии из общей базы, для сравнения с «оригиналом».

На мой взгляд чтобы решить проблему №1 с идентификацией гражданина, нужно сначала решить проблему паспортов,

С языка сняли!!! Хотел об этом отдельную тему написать, но статья и так очень большая получилась. В целом вы абсолютно правы. Все что связано с ЭП это просто первые этапы глобальной трансформации общества связанного с идентификацией и удостоверениями личностями. Текущий расклад это «мерседес» на деревянных колесах от телеги.

imbasoft насколько я понимаю, вы понимаете в юридических тонкостях. А есть ли шанс устроить всем хабром флешмоб и пойти получать ЭЦП в "лояльных" к идентификации конторах, регистрируя процесс на видео, а потом за все нарушения на них накатать заявлений? Чтоб начали бояться нарушать процедуры?

Подобное уже делали журналисты. Проблема идентификации клиентов УЦ уже известна довольно давно, но каких-либо внятных предложений (без «космоса» в виде «давайте закроем все УЦ») я не видел. Наверное было бы лучше сформулировать хабропредложение по модернизации законодательства, на базе этой статьи или каких-либо других идей, и уже его пропихивать в жизнь.
по модернизации законодательства

Проект закона о внесении изменений в Федеральный закон «Об электронной подписи» от 06.04.2011 N 63-ФЗ (последняя редакция) от РОСЭУ, альтернатива этому законопроекту, но в них везде прописан 1 млрд. руб. в требованиях к минимальному размеру собственных средств УЦ.

Подобное уже делали журналисты.

По этому вопросу не все так просто, вот точка зрения со стороны УЦ:
"… собиралась провести эксперимент и получить сертификат электронной подписи по поддельным документам"
Спасибо за ссылки на законопроекты.

Что касается проверки того, что некоторые УЦ «криво» выдают подписи, то с этим я сталкивался лично. Однажды я получил порядка 10 квалифицированных сертификатов ключей проверки электронной подписи не разу не предъявив оригинал паспорта, ни свой ни владельцев (получение по доверенности).
Тут явное нарушение УЦ п.1. ч. 1 ст.18 63-ФЗ, либо в этом УЦ вы раньше получали сертификат и ваши документы и образцы подписи уже есть в архиве документов УЦ. Вообще регулятор может провести «контрольную закупку», если будет обращение.
В доказательство слов, о том, что уставной капитал в 1 млрд. не решит проблему безопасности можно привести следующее судебное решение:

rusrim.blogspot.com/2019/06/1_1.html
rusrim.blogspot.com/2019/06/2_2.html

Выдача подписи на левых людей была, а УЦ не виноват и издержек не понес. Будь у него хоть 10 т.р., хоть 1 млрд. в текущих реалиях это значение не имеет.
1 млрд. не решит проблему безопасности

Абсолютно верно, тут вопрос другой — кому выгоден законопроект и кому выгодно «ликвидировать» существующие АУЦ (вероятно тому, кто хочет войти в рынок ЭП и у кого сейчас мало клиентов). Публикации в СМИ тоже кому-то выгодны… Кстати, дошла ли до суда с исками к УЦ хотя бы одна из тем, хотя бы по квартирам, где УЦ оказался бы виноват?
Инфраструктура УЦ (PKI), которую строили годами, может рухнуть, если кол-во УЦ сократится до 10-15 (кто они?), но на это похоже никто не обращает внимание.
На одной из конференций по ИБ высказывалось мнение, что в случае принятие данной поправки маленькие УЦ просто тупо будут поглощены большими.

С судами все плохо. Посмотрите судебные решения в блоге Натальи Храмцовой.
маленькие УЦ просто тупо будут поглощены большими

К этому и идет — захват рынка и это кому-то выгодно «из больших».
Вместе с тем, существуют много УЦ от госорганов и подведов (обслуживающие федеральные и региональные ОГВ, муниципалов, это и ПФР и ФОМСы, нот. палаты, мед. орг-ии, и т.д.), их дальнейшая судьба под вопросом, т.к. законопроектом предусматривается «части 7.1-8 признать утратившими силу» — т.е. требование в 1 млрд. на такие УЦ тоже будет распространятся (сейчас, на основании ч.8 ст. 16 — требования к стоимости чистых активов и к фин. обеспечению, не распространяются).

С судами все плохо. Посмотрите судебные решения в блоге Натальи Храмцовой.

Смотрел, УЦ не виноватый )
«ответчик ОАО «ИнфоТеКС Интернет Траст» не допустил нарушений закона об электронной подписи»
Почитал ссылки, там история с доверенностью — мошенничество.

Большая часть судебных дел по материальному ущербу — связана с доверенностями.
ЭЦП ни добавляет, ни уменьшает риски доверенностей.

И регистрация доверенностей в единой базе — не решает проблему.
Так то оно так, но в прямых взаимоотношениях (без посредника), если одна из сторон пропустила «левую» доверенность, то она виновата сама, и в следующий раз контроль за доверенностями будет усилен.

В случае же с УЦ ситуация другая. Государство, через закон об ЭП заставляет доверять действиям УЦ и пострадавший никаким образом не может себя защитить.

В принципе, выпуск квалифицированных сертификатов по доверенности можно и разрешить, но законодательно перенести риск ответственности за выпуск сертификата по левым документам на УЦ, наделив последнего правом установки требованиям к доверенности.

Ситуация при которой УЦ делает невинные глазки и говорит, что мол злодеи дали левые документы, а мы хорошие и пушистые выпустили по ним сертификат, ни в какие ворота не лезет!
если одна из сторон пропустила «левую» доверенность, то она виновата сама

Т.е. ответственность за проведение почерковедческой экспертизы возложить на УЦ? :)

Если подписи нотариусов подделывают (Пенсионный фонд России выявил одно из самых крупных мошенничеств на пенсионном рынке и тут
Т.е. специалисты, например (в ПФР, МФЦ и т.д) не могут «распознать» подделку, а специалист в УЦ (с ЗП от 15 до 20 тыр.) обязан?

Требования к доверенности установлены ГК РФ (ст. 185), законопроектом, кстати предусматривается замена в части 3 статьи 14 63-ФЗ «или доверенности» заменить словами «или нотариальной доверенности».
Т.е. ответственность за проведение почерковедческой экспертизы возложить на УЦ? :)

Именно так.
УЦ обязан отвечать за свои поступки. Выпуск «левой» ЭП должен чувственным образом бить по карману УЦ. Тут можно даже дополнительных требований к УЦ не вводить и оставить все на саморегулирование. Единственное, наделить УЦ правами в отказе выпуска ЭП.

Т.е. специалисты, например (в ПФР, МФЦ и т.д) не могут «распознать» подделку, а специалист в УЦ (с ЗП от 15 до 20 тыр.) обязан?

Я об этом уже писал. Требования идентификации должны быть усилены везде.

специалист в УЦ (с ЗП от 15 до 20 тыр.)

Если УЦ будет нести ответственность за выпуск «левой» подписи, то они согласно риск-ориентированному подходу будут принимать меры по обработке рисков. Среди которых скорее всего будут инвестиции в персонал, оборудование для проверки документов и другие средства обеспечения безопасности. В текущих реалиях им этого делать не нужно и соответственно мы имеет то, что имеем.

Перенос риска на УЦ за выпуск «левых» подписей не является чем-то ужасным. Банки при выдачи кредитов несут схожие риски и нечего, существуют уже тысячи лет.
наделить УЦ правами в отказе выпуска ЭП

Это право, точнее обязанность есть — УЦ отказывает, в случае, если сведения, полученные из СМЭВ, не соответствуют сведениям, представленным заявителем (ч. 2.3 ст. 18 63-ФЗ). Перечень документов исчерпывающий.
они согласно риск-ориентированному подходу будут принимать меры по обработке рисков

Один из УЦ уже попытался так обезопаситься и вот что из этого вышло
оборудование для проверки документов

Не позволит определить подделку подписи руководителя (а она может быть практически идентична оригиналу подписи), а получающий по доверенности м.б. действительно тем, на кого выписана доверенность (с реальным паспортом). В итоге (взгляд со стороны УЦ), принимаемые от заявителя документы наддлежаще оформлены, заверены и нет несоответствий со сведениями, полученными из ЕСИА…
Если УЦ будучи подвержен риску денежных компенсаций за выдачу «левых» подписей понимает, что выдача по доверенности слишком опасна, nj jн всегда может отказаться от этой деятельности или выработать дополнительные меры защиты.

Например, писать письма с запросом подтверждения регистрации КЭП (по крайней мере один федеральный гос. УЦ это уже делает), осуществлять выездную проверку, да и многое чего тут можно придумать.

Повторюсь, проблема идентификации личности стара как мир, но она в тоже время решаема, главное желание ее решать.

При всем этом обязательным условием будет обеспечение равноправия всех УЦ.
Если УЦ будет нести ответственность за выпуск «левой» подписи, то они согласно риск-ориентированному подходу будут принимать меры по обработке рисков.
Если это не будет уголовной ответственностью со сроками вплоть до пожизненных для владельца (а не для персонала или директора) — толку не будет. Цитату Т.Д.Даннинга приводить не буду, ее тут почему-то не любят.
В нашей стране принято открывать ООО с уставным капиталом в виде «ноутбук pentium». Ну выдаст он левую подпись, ну попадет на возмещение ущерба, что-то покроет страховая… а дальше подаст на банкротство, продаст ноут с торгов, а через пару лет откроет новое ООО, возможно на жену или тещу.

А причина в том, что Вы стараетесь по этой теории минимизировать риски, а бизнес (по определению) старается максимизировать прибыль. И часто эти условия не пересекаются (вспомните 90-е и распилы на металлолом целых заводов).
УЦ обязан отвечать за свои поступки.
Тут есть тонкий момент. Сейчас они говорят что Вася Пупкин из глухой сахалинской деревни лично пришел в УЦ Калиниграда и предъявил паспорт и завтра будут тоже самое говорить. Не прокатить только в том случае, если в этот день Вася сидел в КПЗ за пьяный дебошь (будет акт о задержании из отдела). Потому что найти свидетелей, которые гарантируют, что Вася не брал в этот день отгул на работе (без оформления) спустя полгода — не реально.
Ведь у нас призумпция невиновности действует и в отношении УЦ тоже.
Банки при выдачи кредитов несут схожие риски
Не совсем. Да и мошенничеств в банках огромное количество.

Разница в том, что банк рискует реальным активом, который ему добровольно доверил инвестор (вкладчик, владелец или государство). А УЦ может рисковать активом, который ему ни кто не доверял. Соответственно банк заинтересован (пока это прибыльно) сохранять имидж, чтобы ему доверяли еще больше активов. Но у УЦ такой заинтересованности нет. Ведь Ваши активы в этот УЦ может принести кто-то посторонний (самостоятельно или в сговоре с УЦ).

При этом УЦ, в отличии от банка, нет ни какой разницы, какой размер актива ему доверяют. А т.к. нет разницы в прибыли, то и расходы на проверку моего паспорта или поддельного паспорта с моей фотографией, но выписанного на фамилию Дерипаска будут одинаковыми.

Вообще очень странно, что дел по подделке КЭП до сих пор так мало.
Касательно ответственности УЦ — уже сейчас есть требования по капиталу, пусть не ярд, но то же вполне неплохо. Есть также лицензирование, аккредитация. Запустить УЦ для продажи квалифицированных ЭП сейчас мягко скажем не дешево, да и у государства есть все инструменты контроля.

Тут есть тонкий момент. Сейчас они говорят что Вася Пупкин из глухой сахалинской деревни лично пришел в УЦ Калиниграда и предъявил паспорт и завтра будут тоже самое говорить.

Поэтому в предложениях по исправлению проблемы № 1 есть фраза по фискальный видеорегистратор.

Разница в том, что банк рискует реальным активом, который ему добровольно доверил инвестор (вкладчик, владелец или государство). А УЦ может рисковать активом, который ему ни кто не доверял.

В точку. Сейчас УЦ не рискует ничем. Если же установить ответственность за выпуск «левых» подписей, то рисковать он будет. Активами будут уставной капитал, репутация руководителей, инвестиции в тех. средства.

Перенос ответственности на УЦ будет не страшнее переноса ответственности на банки за кражи денег с карт. В частности, по действующим нормам (п. 12 ст. 9 161-ФЗ), в случае кражи денег с карты банк обязан компенсировать ущерб клиенту.

Вообще очень странно, что дел по подделке КЭП до сих пор так мало.

По моим наблюдениям у преступников тоже есть своя «мода». То что вы сейчас видим, скорее всего является первой волной нового тренда.
но то же вполне неплохо.
Ну тут вопрос выгоды. Размер капитализации УЦ ведь не зависит от стоимости имущества клиентов?
А значит квартира Дерипаски все также может стать моей, если у меня с владельцем УЦ возникнет преступный сговор.
у государства есть все инструменты контроля.
Тут принцип «неуловимого Джо». Пока ни кто не спалился с кривой подписью — ни кто УЦ контролировать не будет. А когда будет — будет уже поздно.
фраза по фискальный видеорегистратор.
1. Документ удостоверяющий личность может быть как настоящий (или даже настоящий, просто незаконно выданый).
2. Не отменяет возможность шоу с использованием грима.
Активами будут уставной капитал, репутация руководителей, инвестиции в тех. средства.
Сейчас банки рискуют доверенными активами, репутацией, инвистициями… Но как только заходит речь о банкротстве — вывозят из банка все что к полу не прибито (см. дело Захарченко).
К чему я это? К тому, что как только бизнес станет слишком убыточным — начнут распродажу КЭП налево и направо. А когда к ним придут с притензиями — покажут справку о банкротстве.
скорее всего является первой волной нового тренда.
Ой, сплюньте…
Наши с Вами рассуждения не приведут к законодательной инициативе, а если это действительно станет популярным — мы скатимся в 90-е.

И да, я все говорю про вину владельца, но технически всю систему может подставить обычный клерк самого нижнего уровня (который непосредственно работает с клиентом).
Вероятность вовлеченности УЦ в конфликт интересов («ваш пример с квартирой Дерипаски») сопоставима с аналогичной вероятностью, но в отношении нотариусов. Полностью исключить ее нельзя, но свисти к допустимому минимуму можно.

1. Документ удостоверяющий личность может быть как настоящий (или даже настоящий, просто незаконно выданый).

Такая проблема есть. Полностью защитить УЦ от мошенников нельзя. Тут может применяться принцип регрессии ответственности. УЦ отвечает за «левак» перед владельцем подписи, а сам в свою очередь взыскивает убытки с мошенников, которые его обманули.

УЦ обязательно должен нести ответственность за «левые» подписи, так как он по сути единственный инструмент защиты юридически значимого электронного документооборота. Кроме него просто некому обеспечить правомерность выдачи подписи.

УЦ отвечает за «левак» перед владельцем подписи
Презумпция виновности? Я бы не стал в такое инвестировать.
он по сути единственный инструмент защиты
Так может лишить его уникальности. Добавление личной подписи (как раз той о которой я говорил, на 20 лет, с одной функцией) устранит этот дефект системы. При этом незначительно увеличит расходы на систему в целом.
Кроме него просто некому обеспечить правомерность
А стоит ли продолжать ставить подпорки под систему? Может лучше спроектировать ее с самого начала? Благо всяких интернет-диссидентов, ратующих за безопасность в сети очень много — есть у кого спросить.

Невиновная гражданская отвественность. Как у владельца автомобиля, который нанёс ущерб когда за рулём были третьи лица.

Про законодательную инициативу — Бизнес заявил о риске «паралича» из-за правил цифровой подписи

УЦ отвечает за «левак» перед владельцем подписи

Владельцем сертификата, с которым был заключен договор услуг УЦ? Тогда о каком «леваке» может идти речь? Тут ответственность УЦ за достоверность данных, включенных в сертификат, за сохранение конфиденциальности ключа ЭП до момента передачи его владельцу, за своевременное внесение информации в реестр сертификатов — это все есть в 63-ФЗ (в т.ч. наличие финансового обеспечения ответственности за убытки), есть соответствующие статьи в КОАП.

Если имеется ввиду, что сертификат выдан другому лицу, которое предоставило в УЦ поддельные документы, то тут 2 варианта:
1) сотрудник УЦ обнаружил признаки мошенничества (подделка подписи, например), отказал в выдаче сертификата и обратился в соответствующие органы.
2) подделка не обнаружена и сертификат выдан — тогда пострадавшее лицо (с которым у УЦ договорных отношений не было) обращается в суд и там решаются вопросы. А мошенника ещё найти надо (через правоохранительные органы), представить доказательство мошенничества и т.д.

Ответственность УЦ несет и при существующем законодательстве, но при наличии доказательств нарушений со стороны УЦ.
Под владельцем сертификата я имел ввиду лицо, на которое выпущен сертификат (SubjectName).

По закону ответственность УЦ предусмотрена — это
ст. 13.22 КоАП РФ, но по факту система не работает, «левые» подписи выдаются и УЦ оказываются не виноватыми — это бред.
У банков, кстати, с доверенностями такая же история.
Вот приходит чувак в банк с левой доверенностью. С правом совершения определенных действий. Совершает эти действия.
Далее приходит Владелец счета и просит сообщить, а где деньги с его счета.
Банк предоставляет все необходимые документы, о том кто, когда и на основании чего получил деньги со счета.

Чью позицию займет суд? Если банк предоставит все необходимые сведения, что банк выполнил все формальности, то суд скорее встанет на сторону банка. И Владельцу счета придется самостоятельно взыскивать ущерб с мошенника.

Аналогичная петрушка обналичиванием чеков.

Отдельные банки отказывают в выполнении определенных операций по доверенностям. Чем собственно говоря, нарушают законодательство, т.к. даже по валидной доверенности не дают совершить операцию.
Априори, только один способ 100% выяснить, левая доверенность или нет, это личное посещение нотариуса, выдавшего доверенность (но и тут есть нюансы). Во всех прочих случаях — это вероятность меньше 100.
И с этим приходится жить и УЦ, и всем прочим.

Делать — делали, а где история про показательную казнь на кремлевской площади участников всей пищевой цепочки от менеджеров, проводивших идентификацию, до учредителей и технического персонала этой конторы? Где скандал в СМИ? Где массовые суды?))

Вижу несправедливым и подозреваю незаконным необходимость для работы с ЭЦП обязательной покупки лицензии на СКЗИ определенного производителя (КриптоПро CSP). К примеру 2700р без ограничения срока за версию, которая неизвестно будет ли обновляться, или 1200р за годовую лицензию.
И жду когда СКЗИ и другое работоспособное необходимое программное обеспечение будет сразу встроено сразу в токен. Как вы правильно написали, на практике установка и настройка ПО для ЭЦП — это кошмар.
Подобные решения — все на токене — уже давно существуют. Но далее сразу два препятствия:
1. Если работать с ними через CryptoAPI, то нужно устанавливать криптопровайдер со всеми кошмарами, если же работать через встроенный проприетарный интерфейс, то его должна поддерживать информационная система.
2. Данные решения должны поддерживаться средствами УЦ или хотя бы регламент УЦ должен позволять генерировать ключи на таких сторонних СКЗИ, получать от них запрос на сертификат и обрабатывать его.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации