Комментарии 38
Провокационный заголовок, и длинный, путанный, трудный для понимания текст.
Так в чём же суть? Используемые сейчас ЭЦП "незаконны"? А что вы вкладываете в это понятие - "законность"?
Если требуют подписывать синей шариковой ручкой, а я подпишу синей "гелевой", или тёмно-синей шариковой, почти чёрной (но только "почти") - подпись будет незаконна?
Я к тому, что "законность" ( или "незаконность") - это юридическое понятие, а вы углубились в дебри технических реализаций. В технических ваших дебрях я ничего не могу сказать - не моя компетенция, да и стиль изложения не способствует пониманию, но и каких-то юридических аргументов в тексте я то же не обнаружил.
Вот рубли - законное платёжное средство, а какой-нибудь "ххх-коин", созданный строго по всем возможным RFC - нет? Почему?
А если вы напечатаете свой "рубль" (на бумаге), имеющий абсолютно все законные признаки законного рубля - то "законность" своих действий вы очень скоро будете доказывать соседу по камере, а не главе Центробанка. Почему?
Если требуют подписывать синей шариковой ручкой, а я подпишу синей "гелевой", или тёмно-синей шариковой, почти чёрной (но только "почти") — подпись будет незаконна?
Когда-то очень давно в далекой-далекой галактике лично сталкивался с таким — отказались принимать подпись синей гелевой ручкой, обосновывая тем, что у них требование сверху принимать подпись только синей шариковой, и все остальное недействительно. Почему, и самое главное — зачем — мне узнать не удалось.
Гелевые ручки (и прочая экзотика), где-то в самом начале сводились достаточно легко, плюс были проблемы при копировании (экзотическая-экзотика).
В те же дремучие годы, была весёлая привычка печатать на матричнике.
И шариковая ручка, и принтер продавливали лист бумаги, этим самым повышая безопасность (с).
И еще не все чернила стареют и выцветают одинаково. А исчезновение подписи в архивном документе не хорошо. Я встречал даже требование использовать ручки определенного производителя – примерно Schneider.
отказались принимать подпись синей гелевой ручкой
"Девушка, а вы эксперт по различению ручек на глаз? Можно ваш сертификат посмотреть?"
Слышал версию что если надпись нанесена гелевой ручкой, то при экспертизе невозможно определить давность нанесения надписи.
Соглашусь и добавлю, что если автор исследует законность ЭЦП, то ожидаемо увидеть в статье анализ юридической практики. Например, документы, подписанные какими ЭЦП принимаются судами, а какими нет и позиция судов.
А если вы напечатаете свой "рубль" (на бумаге), имеющий абсолютно все законные признаки законного рубля
...то вы чёрта с два докажете, что его напечатал коллега, а не Гознак.
В технических ваших дебрях я ничего не могу сказать - не моя компетенция,
Если совсем просто: 63-ФЗ через №472 определил обязательный формат ЭП, т.е. все подписи вне этого формата - не законные (не по закону № 63-ФЗ).
Этому формату (№472) не соответствует ни одна из существующих подписей. Чтобы это проверить нужно погружаться в "технические дебри" (показано как погрузиться и это не так сложно, как просто страшно или лениво, т.к. проверка простая), чтобы в это поверить нужно подождать мнений иных специалистов.
Когда им задаешь вопрос: а какой требуется формат ЭП?, а нужно ли соблюдать пресловутый формат №472?, то следует ответ: «мы то откуда знаем, спрашивайте это в КриптоПро».
Так задайте этот вопрос официально, письменно, чтобы и ответ был тоже официальный. Бьюсь об заклад, он будет отличаться от "спрашивайте в КриптоПро".
Типовой вопрос. Добавил в FAQ.
Типовой ответ: нас послали - мы пошли. Если для Вас это имеет принципиальное значение, то Вы требуете дать официальное разъяснение, а не вот это вот "мы считаем, но это частное мнение". Отказываются - обжалуете выеш, пишите в прокуратуру, подаете в суд. Это если вопрос для Вас принципиален и потенциально грозит проблемами, а если нет, то да, как-то так:
- А валенки у вас есть?
- Сколько?
- Да не надо, это я так спросоил...
Отказываются - обжалуете выеш, пишите в прокуратуру, подаете в суд.
Это был юмор? Тогда не хватает третьего: "письма всевышнему" на ул. Ильинка подъезд 11.
"Это Россия, детка!" (мем).
Это если вопрос для Вас принципиален и потенциально грозит проблемами,
Полагаю, что Вопрос должен быть принципиален каждому, кто проставляет на документах или проверяет электронную подпись.
Нет, это не был юмор, я-то как раз помню, что никто не даст нам избавленья: ни бог, ни царь и ни герой (далее - по тексту) и не жду, что одно открытое письмо в "Спортлото" даст какой-то эффект.
Поэтому я и хотел Вначале узнать мнение хабр-сообщества на эту проблему. Возможно я что-то не нашел и согласование ФСБ "вот оно" или я не так прочитал OID, а нужно было иначе, т.е. вдруг мне тут покажут, что с №472 "полный порядок". Зачем тогда лишний раз беспокоить "наших занятых ЭПчиновников"?
Кстати, на каких форумах можно задать вопрос по №472?
Согласование ФСБ или кого угодно - внутренний документ, он не публикуется (и не должен) и наверняка имеет гриф ДСП, хотя СП там - только в больной фантазии чиновников, привыкших ховать все, на чем явно не написано аршинными буквами: для обязательной публикации, иначе - расстрел! Проверить, получил ли НПА согласование... интересный вопрос. Можно прямо задать вопрос обеим сторонам: согласующему и подававшему на согласование. Можно пнуть прокуратуру с просьбой проверить, т.к. в открытом доступе информации нет, а Вы, как законопослушный гражданин, беспокоитесь и не хотите невзначай нарушить. Правда выцарапывать потом из прокуратуры результаты проверки - может получиться отдельный квест. Ну а по поводу Минцифры и ЭП вообще, можете на досуге почитать мою статью - лично я не удивлюсь, если 472-й приказ ни с кем не согласован, принят в нарушение всего, что только можно, и вообще является плодом работы агентов вражеских разведок, но никому и ничего за это не будет.
можете на досуге почитать мою статью
Вывод из наших статей одинаковый:
Регуляторам "так можно и никому за это ничего не будет": https://habr.com/ru/post/708970/#comment_25071178
Ответ на вопрос 1 требует уточнения. А что такое "допустимая", в вашем понимании, подпись? Например. простая ЭП, согласно ФЗ, может быть в любом виде, который вы согласуете в рамках системы ЭДО.
Ответ на вопрос 2 вы сами дали по тексту. Цепочка документов ведет к Приказу Минцифры России от 14.09.2020 N 472
Ответ на вопрос 3. Согласование между ведомствами работает не так. Гриф согласования должен быть на проекте приказа (это отдельный документ с собственным номером исходящего). На итоговом варианте, зарегистрированном в Минюсте, грифа согласования не бывает. Обязанности просто так публиковать эту переписку у министерств нет. Однако факт регистрации приказа в Минюсте подразумевает наличие такого согласования! Если ещё остались сомнения - направьте запрос в Минцифры, а лучше в Минюст, они вам обязательно ответят, каким письмом из ФСБ было согласовано.
Далее у вас некоторая каша начинается, уж извините. И нумерация вопросов пропадает.
Про применимость стандартов и рекомендаций все ответы можно легко нагуглить.
Рекомендации по стандартизации и проекты мет. рекомендаций, на которые вы ругаетесь - все о разном вообще-то, и неудивительно, что их разные люди делали. Перечень того из них, что действует - смотрите на сайте ТК 26.
RFC в России законной силы не имеют и при необходимости отраслевыми комитетами по стандартизации используются как информативные источники.
В общем ситуация странная, но не настолько плохая, как вы описали.
P.S. Я не юрист, а математик, к ведомствам отношения не имею, но имею опыт взаимодействия с ними.
P.P.S. Прикольно, что в приказе Минцифры ошибки в части ASN, это ужасающий косяк.
Пояснения по Вопросу 1 добавил в FAQ2 (как типовой вопрос).
Вопрос 2 (ключевой вопрос): Определен ли в 63-ФЗ формат электронной подписи?
Утвердительный ответ на этот вопрос требует публикации согласования этого приказа (№472) от ФСБ. Если отлагательное условие не выполнено, то утвержденного Формата - нет, а МинЦифры грубо нарушило требование 63-ФЗ, выдав свой №472 за утвержденный.
Вопрос 3. Существует ли опубликованное или секретное согласование со стороны ФСБ формата, разработанного МинЦифрой (№472)?
"Как бы" Доказательства:
Однако факт регистрации приказа в Минюсте подразумевает наличие такого согласования!
Это неявное доказательство. Я тоже уверен, что согласование есть, но раз в 63-ФЗ указали явно на наличие такого согласования как важное отлагательное условие, то выполнение этого условия должно быть подтверждено Явно. Ответ кого-либо (МинЮста, МинЦифры, ФСБ) в адрес одной компании (автора запроса) – это «не в счет», т.е. должно быть публично подтверждено выполнение или невыполнение столь критически важного отлагательного условия.
Перечень того из них, что действует - смотрите на сайте ТК 26.
Там указано много чего (к сожалению, вместо прямых ссылок на документы стоят ссылки «в корзину»), но непонятен сам статус рекомендаций: они обязательны? Что значит «Действуют». Для кого и в каких случаях? Кто их использует и как они связаны с постановлениями, приказами, например, той же МинЦифры (с тем же №472)?
Что сегодня (не когда-то давно) есть ТК26? «Частная лавочка» ИнфоТеКС как подразделение РОССТАНДАРТа?
Как «это вообще работает» сегодня? Нужен не формальный ответ из «Язык дан чтобы скрывать свои мысли» (см. FAQ1), а именно неформальный и точный (прямой) ответ. Чтобы понять всю эту крипто-механику\политику изнутри.
Вы неверно понимаете работу механизма согласования законодательных актов между ведомствами. Приказ согласован ДО его подписания, а не ПОСЛЕ. Точка. Это не вызывает вопросов ни у кого, кроме вас. При сомнениях - пишите в ведомства, вам ответят. Просто ваше возмущение (и полстатьи) основано на незнании.
Что сегодня (не когда-то давно) есть ТК26? «Частная лавочка» ИнфоТеКС как подразделение РОССТАНДАРТа?
https://tc26.ru/about/ Вы будете смеяться, но тут всё написано - что, кому и зачем.
Рекомендации по стандартизации и госстандарты выдаются за деньги. Это может опять же вам не нравиться, но таковы нормы закона.
непонятен сам статус рекомендаций: они обязательны?
Национальные стандарты имеют добровольное применение[7]:Ст. 4 за исключением применения стандартов для оборонной продукции и для защиты сведений, составляющих государственную тайну или иную информацию ограниченного доступа[7]:Ст. 6. Также обязательны для применения документы по стандартизации, включённые в определённый Правительством Российской Федерации перечень документов по стандартизации, обязательное применение которых обеспечивает безопасность дорожного движения при его организации на территории Российской Федерации[8]. Обязательность применения документов по стандартизации устанавливается только законом «О стандартизации в Российской Федерации»[7]:Ст. 2, при этом применение документов по стандартизации для целей технического регулирования устанавливается в соответствии с законом «О техническом регулировании»[7]:Ст. 5.
Чтобы понять всю эту крипто-механику\политику изнутри.
Купите книжку. Организационно-правовое обеспечение криптографической защиты конфиденциальной информации | Коваленко Юрий Иванович. -- Горячая Линия - Телеком. 2022
Сорри, не указал источник цитаты: это из вики со ссылками на закон.
Просто ваше возмущение (и полстатьи) основано на незнании.
Конечно на незнании, поэтому и спрашиваю. Все вопросы указаны в статье и Ваша отсылка "куда-то" для меня непонятна (снова от незнания).
Расскажите незнающему "на пальцах" (сожалею, но приходится повторяться), например, рассматриваемый Р 1323565.1.025-2019 для кого был придуман? https://docs.cntd.ru/document/563507879
Кто должен его использовать и на него ссылаться? Разработчик СКЗИ? Разработчик СЭД с кнопочкой «Подписать»? Конечный потребитель кнопочки «Подписать»? А может его придумали исключительно для МинЦифры? Не для самого же себя "любимого" его придумал РОССТАНДАРТ.
Как связаны формат №472 и Р 1323565.1.025-2019? Вообще эти оба точно про RFC 5652? Почему в них нет ссылок на него (поиск «5652» пишет «не найдено»)? Может они совсем про другой формат и даже не на один из этих:
https://habr.com/ru/company/aktiv-company/blog/191866/
По №472 можно сформировать «хоть какую-то» подпись (которая хотя бы не выдаст ошибки на соответствие «старым» форматам CMS) только дополнительно положив рядом RFC 5652 или Р 1323565.1.025-2019 и к тому же исправив ошибки в пункте 6 приказа №472.
т.е. Для формирования подписи (и проверки) по формату №472 какие нужно положить рядом с №472 книжки (методички Минцифры, стандарты, РОССТАНДАРТы , ГОСТы, IETF RFC, ETSI и т.п.) и где сказано какие (может брать 5652 - это грубая ошибка)?
Текст сложен - изобилует канцелярщиной, плохо структурирован и похож на поток сознания.
"изобилует канцелярщиной" - при обсуждении законодательства по ИБ без этого видимо никак. Вообще чтение и анализ законов - очень скучное занятие. Куда проще и веселее в соседней ветке обсуждать: «Почему я не могу нормально зарабатывать?» Верно?
"плохо структурирован" - пока на хабре к Markdown не добавят (заменят) движок ZettelKasten, то структурирование будет всегда "так себе". Кроме того, в этой статье "сошлись": законодательство, чтение байтов (ASN.1) и стандарты криптографии (CMS\PKCS#7), поэтому конечно "без подготовки" читается сложно.
Еще одна ошибка во всех подписях УКЭП выдаваемых ФНС - они подменяют местонахождение юр.лица его полным адресом в пределах места нахождения.
Согласно ФЗ-63 и Приказа ФСБ в УКЭП указывается "местонахождение" - как на обычной печати - это город.
ФНС само придумало всем в УКЭП дописывать адреса улица, дом, офис - в итоге при изменении адреса в пределах города (переезд в соседний офис) подпись автоматически недействительна.
А еще они любому юр.лицу могут выставить недостоверность адреса за 5 минут и тогда никакую УКЭП подпись в ФНС уже не получить.
Писал везде, Главе ФНС, МинЦифры, ФСБ - толку ноль - все просто не замечают эту проблему.
При этом структурно эти данные записываются в поля предназначенные Приказом ФСБ для записи адреса "Удостоверяющего центра".
Писал везде, Главе ФНС, МинЦифры, ФСБ - толку ноль - все просто не замечают эту проблему.
1 Можете скан выложить своих писем? Хотя бы замазанные, чтобы твердое основание было написать в … Спортлото:
… отвечайте нам, а то,
Если вы не отзовётесь —
Мы напишем в Спортлото!
2 Вопрос как знатоку ФНС: Правильно я понимаю, что использовать полученные НЭП на сайте ФНС в других документах, например, кадровых, нельзя? Почему?
3 Есть «свежие» предложения ФНС по изменениям в 63-ФЗ (не в свете Вашего вопроса), просто «для информации», раз ФНС вспомнили:
Да, нет проблем. Борьба общая.
ответ МинЦифры ниочем. Ответ ФНС вплоть от руководителя ФНС России простой - все вопросы по КЭП в Минцифры, мы сами не знаем что творим, и кто вообще все эти поля придумал.
Сама жалоба
ЖАЛОБА
на неправомерные действия Федеральной налоговой службы России
по отказу в выдаче КСКПЭП в случае наличия записей о недостоверности
Мне было неправомерно отказано в выдаче КСКПЭП на ООО «АКВАТУР» в ФНС России по причине наличия в ЕГРЮЛ записи о недостоверности адреса в пределах места нахождения ЮЛ.
Причина отказа мне была обоснована требованиями законодательства в последнем развернутом ответе МИФНС № 9 по Республике Крым.
Однако, законодательство не содержит озвученных причин для отказа в выдаче КСКПЭП юридическому или физическому лицу по следующим доводам:
1) В силу пп. 2 п. 2 ст. 17 Федерального Закона № 63-ФЗ квалифицированный сертификат должен содержать, «наименование, МЕСТО НАХОЖДЕНИЯ и основной государственный регистрационный номер владельца квалифицированного сертификата — для российского юридического лица». В указанном федеральном законе отсутствует требование включения в КЭП адреса в пределах места нахождения российского юридического лица.
В соответствии с ч.2 ст. 54 ГК РФ «Место нахождения юридического лица определяется местом его государственной регистрации на территории Российской Федерации путем указания наименования населенного пункта (муниципального образования).», не следует отождествлять отдельные понятия место нахождения и адрес в пределах места нахождения, который определен ч.3 ст. 54 ГК РФ «В едином государственном реестре юридических лиц должен быть указан адрес юридического лица в пределах места нахождения юридического лица.»
Повторюсь — в Федеральном законе от 06.04.2011 N 63-ФЗ «Об электронной подписи» отсутствует обязательное требование включения в КСКПЭП «адреса в пределах места нахождения», имеется императивное требование Федерального закона о включении «места нахождения». Никаких сносок о расширительном толковании или предоставлении права какому‑либо органу устанавливать или изменять состав полей КСКПЭП Федеральный закон не предусматривает.
2) МИФНС № 9 в своем последнем письме ссылается на пункт 17 Приказа ФСБ России от 27.12.2011 № 795 установлены стандартные атрибуты, используемые при описании формы квалифицированного сертификата. Мнение МИФНС № 9 что согласно пп. 6 и 7 необходимым для указания атрибутами являются наименование населенного пункта и название улицы, номер дома соответствующего лица является ошибочным, основанным на неверном понимании верховенства законов, подзаконных нормативных актов и внутренних приказов.
В указанном приказе описаны технические требования к полям, которые в случае применения (включения в КСКПЭП) подлежат соответствующей унификации (форматированию, длине, составу символов) в соответствии со установленными стандартами.
Пунктом 10 установлена абстрактная синтаксицеская нотация всего КСКПЭП и включенные в него структуры, последующими пунктами последовательно описаны все поля.
Пункт 17–18 относится к полю issuer (пункт 16 «издатель») и определяет порядок заполнения именно этого поля КСКПЭП, и не подлежит императивному применению при заполнении других полей.
К полю Субъект относится лишь пункт № 20 «Поле subject имеет тип Name и идентифицирует владельца квалифицированного сертификата.», каких либо других требований к пункту subject Приказ ФСБ № 795 не содержит!
Более того, в составе Приложениях к Приказу имеются грубые заблуждения в терминах, так как «Место нахождения юридического лица: <countryName>, <stateOrProvinceName>, <localityName>, <streetAddress>» на самом деле описывает адрес в пределах места нахождения, а не место нахождения как того требует Федеральный закон и Гражданский кодекс.
3) Изданный ФНС ключ другого юридического лица совершенно не соответствует синтаксису указанному в Приказе № 795, в частности:
issuer:
CN = Федеральная налоговая служба
O = Федеральная налоговая служба
OU = УЦ ЮЛ
STREET = ул. Неглинная, д. 23
L = г. Москва
S = 77 Москва
C = RU
ИНН = 007 707 329 152
ОГРН = 1 047 707 030 513
E = uc@nalog.ru
4) Приказом ФНС России от 30.12.2020 № ВД-7–24/982@ вообще не установлено требование включения адреса в пределах места нахождения (п.22), равно как и места нахождения в состав КСКПЭП, в приложенных заявлениях отсутствуют необходимые для этого поля (п.23), отсутствует источник откуда импортируются эти данные, по тексту ФНС лишь вправе провести идентификацию и проверку данных предоставленных заявителем (п.25–26).
Более того Приказ ФНС России вообще не содержит словосочетаний «адрес» или «место нахождения» или требований/источников их формирования.
Заявление, которое формируется посредством личного кабинета налогоплательщика вообще не содержит полей адрес или место нахождения, однако в КСКПЭП эти поля заполняются.
5) И раз уж ФНС самостоятельно на свое усмотрение вносит поля адреса в КСКПЭП (якобы по требованию ФСБ касающиеся «издателя»), то никто не смог мне пояснить, почему ФНС отбрасывает один из обязательных атрибутов Адреса — почтовый индекс, который содержится в ЕГРЮЛ. Таким образом в КСКПЭП вносится недостоверный и неполноценный адрес в пределах места нахождения без индекса.
Таким образом, я считаю, что ФНС нарушает права предпринимателей и юридических лиц в РФ, монополизировав рынок выдачи КСКПЭП и установив требования к их выдаче не предусмотренные Федеральным законодательством, и безосновательно отказывает в выдаче КСКПЭП, требуя совершения не предусмотренных действий от заявителей (устранения неких записей о недостоверности), чем сознательно препятствует их законной предпринимательской деятельности.
Подписи выданные ФНС использовать можно практически везде, кроме отдельных случаев, когда к примеру серые и мутные торговые площадки требуют какое-то особое поле OID что бы было заполнено (ограничение участников).
Ответ ФНС вплоть от руководителя ФНС России простой - все вопросы по КЭП в Минцифры, мы сами не знаем что творим, и кто вообще все эти поля придумал.
Как видим все они откидывают мячик на другого (в т.ч. "по вопросам, связанным с содержанием полей квалификационного сертификата, необходимо обращаться в ФСБ России …") и добавляют традиционный дисклеймер:
В связи с изложенным, настоящее письмо Минцифры России носит исключительно информационно-развлекательный характер.
ФСБ что-то ответило?
Подписи выданные ФНС использовать можно практически везде, кроме отдельных случаев, когда к примеру серые и мутные торговые площадки требуют какое-то особое поле OID что бы было заполнено (ограничение участников).
Не только торговые, но и тот же Росреестр. Вопрос больше не в технических ограничениях, а в правовых. Если подписывать подписью НЭП ФНС кадровые документы (трудовой кодекс статьи 22.1 – 22.3), то потом никто не скажет, что все они недействительны, потому что не соответствуют целям, в соответствии с которыми были выданы ключи?
Публикации
Массовая незаконная электронная подпись или мина замедленного действия: Формат МинЦифры №472