Комментарии 20
Не совсем понятно, в чём принципиальная разница с обычными ЭЦП. Образ подписи заменяется на QR, и всё, что ли?
Ничего не понятно, и очень интересно ?
Спасибо за статью! Прикольно что в данном случае можно использовать два разных канала Интернет для мобильного устройства и компьютера и весь трафик злоумышленнику будет перехватить сложнее.
На мой взгляд главным плюсом является то, что пользователь имеет возможность перепроверить что именно он подписывает в самом приложении eGov mobile. То есть даже если злоумышленник смог подменить данные в процессе их передачи, пользователь имеет возможность выявить это изучив что именно предлагает подписать приложение.
Это все весело, но работает только если ключи никогда не покидают пользовательского устройства, и условный гос орган от твоего имени что-то подписать физически не может.
В данной схеме ключи выдаются в гос органе (ЦОНе) и генерятся там же. Для подписи нужно ставить гос приложение а не примитивный скрипт или свободное ПО.
Так что система защищена очень слабо именно из-за способа выдачи ключей - глобально. + Гос орган сам имеет доступ к ключам, есть место для подлога. + Гос приложение на устройстве пользователя
О том, как процедура получения сертификатов (ключей ЭЦП) реализована в eGov mobile я не знаю, но в "классическом" варианте - с использованием NCALayer, ключевая пара (закрытый и открытый ключи) формируются на ПК пользователя (или защищенном носителе) и закрытый ключ не покидают его. Более того есть защищенные носители (токены и карты), они вообще не предоставляют возможности экспортировать закрытые ключи.
А в ЦОН Вы приносите заявление, на основании которого Вам выпускают сертификат. В сертификате закрытого ключа нет, только открытый, с его помощью ничего не подпишешь.
Погодите - я сначала прихожу в Цон и потом иду в софт - не наоборот. Можете подробно описать как работает?
В ЦОН Вы, скорее всего, на ПК общего пользования подаете заявку на выпуск сертификатов. Может быть Вам помогает консультант. То же самое Вы можете сделать дома - откройте https://pki.gov.kz/, выберите "Получение ключей ЭЦП", потом нужный тип сертификата и следуйте инструкциям. В результате у Вас на ПК будут сохранены два файла с ключами (один для аутентификации, другой для подписи), если Вы будете использовать защищенный носитель, то ключевые пары будут сформированы у него в защищенной памяти. Так же Вам предложат распечатать заявление на выпуск сертификатов, распечатать его, подписать и отнести в ЦОН.
После того, как Вы отнесете заявление в ЦОН, Вам на почту отправят ссылку на скачивание сертификатов. То есть из НУЦ Вам присылают только сертификат, в нем нет закрытого ключа. А закрытые ключи были в самом начале сформированы на Вашем ПК, соответствующие открытые ключи были отправлены в УЦ в рамках подачи заявки на выпуск сертификатов.
Пару лет назад появилась новая функция - пройти биометрическую идентификацию дома и вообще не ходить в ЦОН, чтобы этим воспользоваться пройдите по ссылке Получите ключи ЭЦП не выходя из дома ᶰᵉʷ там же.
Если Вам интересны подробности работы с электронными документами и ЭЦП, то можете записаться на бесплатный вебинар: https://sigex.kz/blog/2022-04-04-free-digital-documents-webinars/
статья интересная, спасибо. Не знаю как в Казахстане, а вот в России термин ЭЦП уже давно не используется, года с 2011-го. Сейчас допустимы только производные от аббревиатуры ЭП (электронная подпись), такие как КЭП, УКЭП и др. Пруф
Законодательство РК значительно отличается от законодательства РФ в этой области. У нас есть только один тип цифровой подписи - ЭЦП и она законодательно приравнена к подписи от руки на бумажном носителе: Закон Республики Казахстан Об электронном документе и электронной цифровой подписи
Данный сервис выглядит очень перспективным и интересным, но при подаче заявки на SmartBridge возникает несколько вопросов: там выведены договор и требования, мол компания должна развернуть у себя так называемый ОЦИБ (https://adilet.zan.kz/rus/docs/V1800016886) и логировать кучу событий. И совсем не понятно как все это должно применяться для процессов компании. Как быть с этим?
Сама интеграция достаточно простая и сервис который нужно поднять и опубликовать достаточно простой.
По ходу интеграции выяснились несколько недокументированных требований:
URL не должно быть символов - и _
есть вариант сделать запуск приложения по ссылке (https://mgovsign.page.link/?isi=1476128386&ibi=kz.egov.mobile&apn=kz.mobile.mgov&link={ваш УРЛ}), примем URL должен содержать ключевое слово "mgovSign"
Кстати, на iOs есть проблемы с запуском по ссылке и просмотром PDF документов, но надеюсь это скоро решат
Да, процедура подключения неоднозначная, но на странице сервиса есть административные и технические контакты.
Спасибо за то, что рассказали о не задокументированных возможностях!
По поводу багов в приложениях, такое бывает. Кстати в предпоследнем релизе eGov mobile для Android CMS подписи без вложенных данных формировались не на сами данные, а на их base64 представление. То есть не соответствовали подписываемым документам. Так что очень важно всегда выполнять проверки подписей! Мы сообщили о проблеме, в последнем релизе это починили.
Вы молодцы! Я рад, что компании работающие с ЭЦП в Казахстане занимаются просвещением!
По своему опыту могу сказать, что как работает ЭЦП понимают единицы и не понимают как организовать юридически значимый документооборот.. Даже вендоры софта делают дыры, в софте связанные с ЭЦП, например, закачивают закрытый ключ пользователя на сервер. Если все подписание перевести на государственный софт, то в целом софт в КЗ, связанный с документооборотом будет гораздо надежнее и легитимнее.
Обзор механизма подписания документов ЭЦП с применением QR кодов через приложение eGov mobile (aka QR-подписание)