Комментарии 340
Эту тему не раскрыл, только коснулся вскользь. Есть у вас кейсы с расширенным описанием проблемы или ссылки на них? Добавлю в статью.
Супер!
Около 600.
Включая банки, непонятные шараги, ВУЗы, провайдеры, страховые компании и прочие-прочие-прочие.
И нет никакой гарантии, что завтра не откроют новый. И не закроют парочку существующих.
445 с действующей аккредитацией, тоже добавил для наглядности.
А что ВУЗ-ы не должны учить? И кто запрещает имень корпоративный УЦ? Какое они имеют отношение к аккредитованным УЦ, только чьи сертификаты могут использоваться в сделках.
И нет никакой гарантии, что завтра не откроют новый. И не закроют парочку существующих.
Аккредитованные УЦ у нас закрываются по закону, а корпоративные — хрзяин барин. Не надо все валить в одну кучу.
Имеется в виду, что выдают УКЭП различные организации, в том числе те, для кого УЦ не основная деятельность. Учитывая отсутствие ограничений использования УКЭП определёнными сферами применения, выглядит уязвимостью. Тут вопрос не про НЭП и не про корпоративный PKI.
Имеется в виду, что выдают УКЭП различные организации, в том числе те, для кого УЦ не основная деятельность.
А что такое основная и не основная деятельность. Если УЦ аккредитован Минкомсвязью, а значит он имеет и все необходимые лицензии, значит он абсолютно легитимин и занимается своим делом. Или у нас кто-то другой решает? А если он не аккредитован, то зачем вы в него идете. А потом, ой меня абманули. А подпись (УКЭП) не выдают, а могут ставить любые граждане и организации, имеющие на руках сертификаты, полученные в аккредитованных УЦ!!!
отсутствие возможности узнать, в каких УЦ выдавали Вам подпись
Абсолютно неверный посыл. УЦ не выдает никакой подписи. Он выдает сертификаты, в которых записан ваш публичный ключ. Все это аналогично паспортному столу, который выдает паспорт и заверяет вашу фотографию и вашу рукописную подпись. А вот что делается абсолютно неверно, так это генерация закрытого ключа в УЦ. Это, конечно, нонсенс. И автор статьи про это неоднократно писал. Гражданин должен сам генерировать запрос на сертификат и именно с ним идти в УЦ.
А подписывает документы гражданин сам, для это не надо ходить на УЦ.
В любом сертификата прописано, по аналогии с паспортом, каким УЦ выдан сертификат (поле Издатель/Issuer). Там также прописан, где получит сертификат УЦ, кто выдал сертификат УЦ, где проверить действителен ли сертификат. Это все есть, надо научиться этим пользоваться.
Сертификат отзывается по заявлению его владельца, так же как пладелец паспорта идет в паспортный стол заявлять об утрате паспорта. И для этого не не нужно рассылать заявления во все УЦ. Для этого есть списки отозванных сертификатов и/или сервера OCSP.
А проблем сегодся с электронной подписью море. Самое главное на мой взгляд это пропоганда что такое ЭП, какая именно она должна быть (CAdes-XLT1), как ее проверить и средства формирования подписи.
museum.lissi-crypto.ru/site_news/2013/02/10
www.cnews.ru/news/top/bss_i_osnovatel_lissi_obvinyayut_drug
1. Как генерация закрытого ключа вне УЦ решит проблему из цитаты в начале вашего поста? Что мешает злоумышленнику сгенерив ключи вне УЦ, выпустить по сговору / подложным документам сертификат в одном из сотен аккредитованных УЦ? Вы как-то узнаете об этом факте (нет)?
Метод, предложенный автором статьи такую проблему решает на корню — ключи вместе с сертификатом записаны на ID-карту государством, и возможности выпустить дубликат по сути нет.
Возможны и полумеры, которые в этой области сделают хотя бы чуточку лучше — почему мне не приходит нотификация от госуслуг, когда мне выпускают сертификат? Данные эти УЦ передают в СМЭВ/ЕСИА, т.е. фактически у оператора госуслуг они есть. Да даже банально я это посмотреть нигде не могу в централизованном виде (реестр сертификатов на e-trust.gosuslugi.ru не работает и никогда не работал).
2. Как атрибуты в сертификате и OCSP поможет мне узнать о в принципе существовании сертификата на мое имя?
3. Самая главная проблема ЭП не это, а изобретение велосипедов с дальнейшим героическим преодолеванием последствий. Повсеместные сомнительные ни с чем не совместимые «криптоплагины», «криптопровайдеры» и «свои пути».
- Как атрибуты в сертификате и OCSP поможет мне узнать о в принципе существовании сертификата на мое имя?
Если вы не получали сертификата, то никак пока он где-то не всплывет. Точно также как вы и не будете знать, если кто-то получит поддельный паспорт на ваше имя. Это проблема всегда была и будет, проблема подделки документов, не важно электронные это докумуенты или другие.
Как генерация закрытого ключа вне УЦ решит проблему из цитаты в начале вашего поста? Что мешает злоумышленнику сгенерив ключи вне УЦ, выпустить по сговору / подложным документам сертификат в одном из сотен аккредитованных УЦ? Вы как-то узнаете об этом факте (нет)?
Ничто не мешает! См. предыдущий абзац. Но если он всплывет, то вы также как и с паспортом сможете доказать, что это не ваша электронная подпись: вы не были на УЦ, не расписывались за получение сертифыиката и т.д.
- Самая главная проблема ЭП не это, а изобретение велосипедов с дальнейшим героическим преодолеванием последствий. Повсеместные сомнительные ни с чем не совместимые «криптоплагины», «криптопровайдеры» и «свои пути».
А вот тут я с вами полностью согласен!
В случае перевыпуска "электронного паспорта" (УКЭП в одном экземпляре из будущего) по подложным документам, старый инвалидируется и это относительно быстро становится заметно. И никаких теневых ключей.
А как это по подложным документам? В сговоре с УЦ?
Например, или по доверенности. Но в идеале, КЭП должна быть government issued, и пользование чужой преследовалась по закону как использование подложных документов (чужого паспорта).
Что значит по доверенности? Доверенность настоящая или нет? Если настоящая, сам виноват не давай кому попало.
Но в идеале, КЭП должна быть government issued, и пользование чужой преследовалась по закону как использование подложных документов (чужого паспорта).
А разве сегодня не так?
Доверенность может быть настоящая, но выданная по тем же подложным документам.
Конечную подпись выдают коммерческие структуры. Я не видел практику наказания за использование чужого УКЭП. Максимум — мошеннические действия, и то в случае ущерба.
Мы идем по замкнутому кругу, доверенность такой же документ и надо проверять ее подлинность. УКЭП — усилинная квалифицированная электронная подпись. Правильно? Ее (подпись) может поставить только владелец закрытого ключа, на открытый ключ от которого выдан сертификат, только на конкретный документ.
Если это не поставили УКЭП, то либо
- вы передали свои закрытый ключ кому-то
- вы потеряли его и не известили УЦ
- кто-то сделал дубликат его
- ЛИБО это поддельный ключ
В первых трех случаях вините себя любимого, а в последнем надо выводить жуликов (так мягко) на чистую воду — вор должен сидеть в тюрьме!
Ваша позиция понятна. Но вы не забывайте, что она сформирована на базе вашего опыта. Всё-таки вы взрослый человек, посвятивший значительную часть своей жизни разработке криптографического ПО. Вы разбираетесь и понимаете.
УКЭП входит в жизнь обычных людей. Можно сравнить с индустрией банковских карт, где процент пользователей вообще не понимающих как это работает под капотом зашкаливает. Люди, не знающие принципы работы неизбежно будут допускать ляпы с безопасным использованием, поэтому их ответственность ограничена. И индустрия банковских карт постоянно совершенствует технологии, лавируя на тонком балансе безопасности и удобства. Технически, там и неизвлекаемые ключи, и полноценный PKI с жёсткой валидацией всего и вся, и ПИН-код, по спецификации не покидающий пределы клавиатуры, и 3ds, и программный антифрод. И даже при такой обмазке допускаются случаи неправомерного использования.
Теперь мы говорим об УКЭП — комплексе, заменяющем подпись гражданина. Как по мне, это как-то посерьёзнее банковского счёта, где ответственность ограничена платёжным лимитом. Здесь можно и квартиру «продать», и кабальный контракт заключить. Да и поучаствовать в уголовно наказуемой деятельности (регистрация обнальных компаний). Это очень крутой уровень ответственности и подходы к безопасности инструментов должны быть очень строгими. Те же эстонцы переполошились, когда у их eID вскрылась потенциальная бага с безопасностью, а у нас ключ можно просто скопировать и всем пофиг, работает — не трогай. И не мешай бизнесу CSP и УЦ.
Легко сказать: «сам дурак».
Технически, там и неизвлекаемые ключи, и полноценный PKI с жёсткой валидацией всего и вся
Мы же здесь с вами единомышленники. Я и говорю, что как минимум у граждан толжен быть персональный криптографический ключик (ваши же слова, токены с поддержкой российской криптографии), который подписывает внутри себя, где у него хранится и НЕИЗВЛЕКАЕМЫЙ ваш закрытый ключик. А если наши ключи будут хранится во всяких CSP, в хранилищах Windows или на ключиках/токенах, используемых как обычная флэшка, то какая безопасность.
Здесь действует принцип И не мешай бизнесу CSP и УЦ. А это страшно.
А разве сегодня не так?
Нет, как уже было сказано выше, сегодня в подавляющем большинстве коммерческих организаций Маня из бухгалтерии, которая занимается «банк-клиентами», подписывает «платёжки» двумя «флешками» — с «подписью» главбуха и генерального. Совершенно открыто и без тени сомнения в правильности своих действий.
Ну-ну. Зачем двумя, если на одной можно обе подписи держать? ))
Вы не правильно поняли.
сегодня в подавляющем большинстве коммерческих организаций Маня из бухгалтерии, которая занимается «банк-клиентами», подписывает «платёжки» двумя «флешками» — с «подписью» главбуха и генерального. Совершенно открыто и без тени сомнения в правильности своих действий.
А с этим я согласен. Но так решил директор или учредитель. Маня здесь не виновата. И к ней притензий быть не может. А вот если клюнет жареный петух, то должны отвечать те, кто Мане приказал. В итоге они накажут сами себя.
И банки в этом не виноваты — они не обязаны и не имеют возможности проверять подлинность доверенностей.
А УЦ обязаны и могут? Если ответ хотя бы на один вопрос «нет» — УЦ становятся слабым звеном: открываем свой УЦ / договариваемся с чужим, получаем ключ за того парня и на пути в Аргентину ( умные люди всегда бегут в Аргентину ещё с середины 40х) с помощью ключей получаем профит.
Но если никто ни в чем не виноват и никто не за что не отвечает, то о чем мы здесь рассуждаем? Это становится похожим на Чикаго 30-х годов или мы возвращаемся в наши 90-е. Вам не страшно?
Мне страшно, в любой момент у тебя могут отнять все! И чем меньше у тебя власти, денег, тем больше у тебя отнимут.
Один путь остается в Аргентину (только в Аргентину ли?).
А почему не в России? Всеже готовитесь к худшему. Это разумно.
Да и попробуйте честно запустить, к примеру, обменник электронных валют — вы не сможете законно отчитаться:
налоговой и финмониторингу невозможно объяснить, что значит «пришли WMZ, ушла либра, вот прибыль» — со стороны это обналичка или отмывание, потому что нет в российском законодательстве понятия практически обо всей цифровой валюте.
Ну а работать незаконно — это уклонение от налогов, обналичка, отмывание, финансирование и прочие неприятные штуки и тем более, если придут добрые ребята и попросят поделиться по-честному ( вывеска — вам, остальное — нам) вы не сможете сделать ничего, ибо см. выше.
вывеска — вам, остальное — нам
И здесь вы правы. Но хотелось бы жить в стране, где строят заводы, школы, больницы и т.д. Где уважвемые люди учителя, врачи, армия (не путать с силовыми структурами), дети. Где люди, а тем более государство, не майнит криптовалюты, а выращивает хлеб, лечит людей, уважает старость и т.п.
А, ну тогда понять и простить.
Потому что у самих УЦ по стране недостаточно своих центров идентификации, а открывать новые — тратить немалые средства, причём в небольших городах шансы на их окупаемость минимальны
вот и корень проблемы — оно и не должно окупаться, это вообще не должно быть бизнесом
выдача паспортов как окупается? а водительских удостоверений?
Кроме того, УЦ должен при выдаче сертификата соблюдать элементарные меры предосторожности. Как минимум — под видеозапись проверять документы и собирать биометрическую информацию получателя сертификата. Так, чтобы в случае чего можно было идентифицировать жулика и привлечь его к ответственности. Если УЦ этого не делает, его сотрудников можно сажать за халатность.
А так, по личному опыту работы у одного такого партнёра, мы проверяли документы не хуже специалистов УЦ. И не стеснялись отсеивать, даже если кто-то пытался выбить себе преференции, нарываясь при этом на конфликт: нам тоже, мягко говоря, не хотелось терять статус партнёра.
В случае с УЦ ситуация другая: УЦ, выдавая сертификат без должной проверки, сейчас ничем не рискует, а последствия выдачи такого сертификата могут быть какими угодно, и не только для человека, на имя которого выдан сертификат, но и для третьих лиц.
По сути, требования к процедурам идентификации клиентов в УЦ должны быть не менее жёсткими, чем те, которые прописаны во внутренних документах приличных банков на случай выдачи крупных сумм. И ответственность УЦ в случае выдачи сертификата не тому лицу тоже должна быть сравнимой с теми неприятностями, которые получит банк, выдав много денег не тому человеку.
1) обязательного публичного журнала всех выданных сертификатов.
2) возможности сказать «я разрешаю выдавать сертификаты только этим УЦ». Все сертификаты выданные другими УЦ отклоняются браузером автоматически.
DNS CAA, кстати, многие CA не поддерживают )
Но направление верное.
Вообще, DNS CAA вроде обязательно для всех CA с сентября 2017 года. Но это чисто браузерный стандарт.
То, что CSP представляет собой ПО — криптопровайдер, своего рода «драйвер» для применяемого криптографического протокола, понятно, в данном случае — ГОСТ, но вот то, что их… тоже НЕСКОЛЬКО и они между собой НЕ СОВМЕСТИМЫ — отдельная боль.
КриптоПРО — «без пяти минут стандарт», эти ребята хотя бы делают пригодный к использованию продукт и в целом знают своё дело. Но он платный. И стоит денег.
А если учреждение хочет бесплатный или хотя бы подешевле?
Тогда чаще всего впаривают ViPNET-CSP или LISSI.
И вот это БОЛЬ. Эти два продукта ужасны.
ViPNET бесплатный, но кривой и ужасно неудобный в работе. Бесплатный для использования продукт требует мудрёной активации через интернет и запрос по почте, а его интерфейс настройки и управления ключами крайне недружелюбный после продуктов «Контура».
LISSI стоит денег. Небольших, что-то типа 700р, но.
От LISSI отваливается полностью нормальная работа SSL на x64 системах. Он ещё более глюкав и ужасен.
И если у Вас сгенерирована ЭЦП под одним CSP, а Вы перешли на другой CSP, то всё, надо делать новую.
Держать на машине два российских CSP тоже нельзя. Не живут.
Что делать, если на одной машине нужен ViPNET (к примеру, для бесплатной встроенной в жёлтую программу «1С-Отчётности» на базе «Калуги Астрал»), КриптоПРО (к примеру, для торгов или ФНС) и LISSI для идиотского продукта для сдачи отчётности «Фельдъегерь» ?
Виртуалки или две ОС, а лучше два компа.
Продукты для сдачи отчётности тоже зачастую «хороши».
Web-сервис? Контур на первом месте, Такском на втором. У второго больше багов и неудобств при настройке.
ВСЁ! Остальные продукты как правило ставятся на комп бухгалтера, таща за собой груз ПО. Что же нам нужно для сдачи отчётности кроме CSP и драйверов ключа?
Как насчёт MS SQL SERVER 2003? Полновесного? На локальной машине? В 2019 году? А ещё и Firebird до кучи одновременно. Спасибо, Калуга-Астрал! Про OLEDB, MSXML и прочее молчу.
Из оффлайн-пакетов со своей БД хорош разве что СБиС, и те тестируют web-интерфейс!
Кривые поделия "кода безопасности" также используются для работы "Электронного бюджета" и СУФД казначейства. О прекрасной работе отечественных крипто провайдеров в общем и систем в частности есть целый сайт sedkazna.ru Желающие могут зайти и офиг… удивиться, какие пируэты вынуждены выполнять пользователи отечественных криптографических продуктов, просто бродя по разделам с указанием государственных информационных систем (тот же электронный бюджет)
ActiveX живее всех живых и даже пережил Flash и Java? ))
посмотрим, как оно.
СБИС оффлайн на нём отлично работает, портируется на другую машину и не засирает ОС.
Спасибо что не FoxPro и Clarion поверх ГОСТов, DOSbox'ов и ключей в LPT-порт + дискета.
Вспомнился Бифитовский банк-клиент с дискетками и паролем 123
Продукт «Банк+Клиент (локальный)» от компании СФТ. По сути, почтовый клиент с крипто-костылями.
Опять MS SQL SERVER, 2003, локальный.
Костылики: Сигнал-КОМ InterPRO + Крипто-КОМ для криптографии. Отдельный утиль для запроса сертификата и управления ЭЦП.
Интерфейс… мммм… может лучше в Сбербанк, товарищ директор? =)
и
Мануал:
www.bcsft.ru/docs/tpl/doc.asp?id=16&&tid=28
Я молчу, что ни дистрибутива на сайте банка, ни инструкций, ни возможности ЭТУ самому установить и настроить / перенести на новый комп без помощи поддержки банка просто нет.
Её чуть ли не компилируют под клиента. Под банк так точно.
Web-клиент появился примерно в 2017 году. Переводить на него существующее юр.лицо не хотели до истерики (представители банка).
С физ.лицами там та же история, мигрировать с HomeBank на нормальный удалось месяцев через шесть.
О, InterPRO, как я об этом чуде расчудесом забыл! У меня был такой для физика в Гута-Банке, пока его ВТБ не покромсал.
WHAT??!
Он. Ещё. Действует!
www.gutabank.ru
www.gutabank.ru/korporativnym_klientam/klient-bank
А внизу сайта подлый флеш-баннерок притаился…
Гута Банк есть, но это немного не тот банк уже. Гута-Банк был одним из единиц банков с интернет-банком для физиков (Телебанк). И весьма неплохим, кстати! Поэтому он был популярен среди продвинутой публики. И умел делать card2card переводы (тогда это было вообще уникальной услугой), можно было с кредиток деньги вытаскивать без комиссии.
О, у них, оказывается, в разных регионах разные банк клиенты. Расчудесно! В Уфе до недавнего времени был локальный BS Client. Пожалуй, один из худших банк клиентов, что я видел. Чудовищная студенческая поделка с совершено невнятной совместной работой. Да, скл сервер присутствует)) сейчас поменяли, вроде, на iBank, но тоже какой то допиленый (то есть кривой)
(а иногда и вовсе в интересах определённого круга лиц, по ощущениям)
«без пяти минут стандарт»
Имхо такие «стандартизаторы», которые лоббируют продвижение продукта, которого не должно по сути существовать, должны гореть в аду. И отдельную прибавку температуры в котле за долгое игнорирование linux в их «стандартах».
А каково пользователям Mac? Приходится держать виртуальную винду, сжирующую всю оперативку. Сейчас на Маке Всё это хозяйство не работает совсем, хотя есть какие-то разрозненные библиотеки.
. А, например, тот же Росреестр, после ряда скандалов с переоформлением прав собственности на недвижимость с помощью УКЭП, был вынужден продавить законопроект (ещё не принятый, кстати), запрещающий совершать сделки с недвижимостью с использованием УКЭП, если заранее не разрешить такие операции для данного физического лица. То есть, сначала делаем откровенное архитектурное решето, а потом не меняем его, а просто ставим заплатки.
На хабре же обсуждали, что оно не будет работать. Так как для разрешения переписывания имущества через ЭЦП, вам нужно лишь лично подать документ, разрешающий это. А заявление отправленное с ЭЦП считается лично отправленным. То есть просто одно небольшое дополнительное действие в схеме добавится.
Драйвера стабильные, есть утилита диагностики, встроенные инструменты работы с содержимым токена.
Вопрос в том, что запись ключа ЭЦП на токен в России производится так, что ничто не препятствует его копированию.
Т.е. введя пароль администратора токена можно считать ключ сертификата из токена и сохранить его в файл на флешку или просто в реестр Windows.
Так что по принципу действия — это смарт-карта.
По удобству практического применения — это более удобно, чем флешка.
По безопасности применения — не безопаснее флешки. Ну или флешки с ПИН-кодом )
Рутокен — это токен. Но УКЭП в подавляющем большинстве случаев пишется на Рутокен Лайт — формально токен, в душе "флешка с паролем". Да, ок, протокол взаимодействия как у токена, ФС своя, но по факту, введя верно пин-код можно считать все ключи, закрытые и открытые (называются "криптоконтейнер КриптоПРО").
Та же передача ключа условному бухгалтеру — невежество, надо передавать полномочия, а бухгалтеру делать свой ключ на его имя
В случае с Индивидуальным предпринимателем СКБ-Контур разрешает иметь одну подпись на организацию (только на самого ИП). Без передачи увы никак.
Хочется надеяться, что данные случаи всего лишь описывают факт невнимательности, а не умышленных действий.
К сожалению нет. В суде предоставили заявление якобы от меня. Подчерк и подпись и близко не моя, почему не стоят подписи сотрудников — большой вопрос. То есть это уже не по липовой доверенности, а либо подделка паспорта (что вряд ли), либо всё-таки интерес сотрудника. Кстати, сейчас нет уголовной ответственности за незаконное получение чужой ЭП.
Самое интересное, смотрите на каких порталах планируют использовать ЭП. Т. е. мошенники скорее всего участвуют в торгах госзакупок, кидают государство на несколько десятков миллионов, а ответственным естественно становится директор.
Какой УЦ?
Но, возможно (наверняка), я не все нюансы знаю в этой сфере и такая возможность есть
Сотрудник УЦ утверждает что вы лично посетили центр регистрации УЦ, и там подписали заявление на выпуск сертификата?
Я писал статью про свою ситуацию. Из последних новостей, вот в суде получил такой документ. Из которого следует, что тут точно не нотариус, и единственный вариант, при котором УЦ не виноват — только если им принесли поддельный паспорт с чужой фотографией. Иначе я не вижу других вариантов, как сотрудник УЦ мог принять такое заявление без моего участия — это либо халатность, либо злой умысел.
КриптоАРМ на базе токенов PKCS#11, а также контейнера PKCS#12. Создание запросов на сертификат и электронной подписи CadES-X Long Type 1. Доступно для платформ Linux, Windows, OS X. Попробуйте.
Меня больше всего возмущает необходимость ежегодно продлевать подпись. Во где победа бюрократии над здравым смыслом.
А давайте и паспорта на год выдавать? И права заодно. И чтоб каждый год подтверждать надо было, что ты это ты.
Вероятно, малый срок действия для того, чтобы реже нужно было отзывать скомпромитированные подписи. Если вообще есть механизм их отзыва.
Ну и отзыв скомпрометированных подписей возникает по мере их компрометации, а не через какой-то определенный период.
Опять же, не подписи отзываются, а сертификаты, с помощью которых ставятся подписи.
Первое, терминологией тоже надо правильно пользоваться, чтобы не вводить людей в заблуждение!
Пользователь как бегал по УЦ с охапкой флешек, так и бегает.
Да, бегает, но толькл зачем. И он должен понимать, что подпись ставит он САМ и УЦ здесь участвует опосредованно через списки отозванных сертификатов (CRL), OCSP, TSP.
И не надо с флешками, а надо использовать нормальные токены PKCS#11
Вроде как до 3 лет для неизвлекаемого ключа на честных токенах. Типа тех, что для ЕГАИС. Для физиков такого счастья не нашёл.
Вообще-то должны коррелироваться сроки действия для нескольких сертификатов, без чего нормальное тспользование ЭП проблематично. Это сертификаты и ключи:
- гражданина
- удостоверяющего центра, где был получен гражданином сертификат
- удостоверяющего центра, в котором был аккредирован предыдущий УЦ
- сертификат и ключ, которым подписываютсф CRL
- сертификат и ключ сервера OCSP
- сертификат и ключ сервера штампоа времени.
Если вы посмотрите их сроки действия, то много интересного откроете для себя.
А без всего этого нельзя создать подпись типа CAdes-XLT1.
Только не помню, каждый год или чуть реже.
Собирается комиссия, смотрит — не, рука не отросла, можно продляnm инвалидность, но не забывайте снова приидти.
Извините, подпись ставится вами и вы ее нигде не получаете.
Вы каждый год должны получать новый сертификат и генерировать новый ключ. Это делается для того, чтобы было труднее подобрать ваш закрытый ключ. Неудобно, да, но стойкость ключа такая сегодня.
О чём, собственно, последний абзац моей статьи. Пощупал в своё время эстонскую подпись, когда она стоила 50 евро за три года и понял, что мы сделали то, что написано в последнем теге к статье.
nomadgate.com/estonian-e-residency-guide
Про УЭК?
Пощупал в своё время эстонскую подпись… мы сделали то, что написано в последнем теге к статье.
www.id.ee/index.php?id=38537
rus.delfi.ee/daily/estonia/problema-uyazvimosti-id-kart-prinesla-uzhe-tri-sudebnyh-dela?id=84270405
rus.delfi.ee/daily/business/uyazvimost-id-kart-problema-vyshla-na-mezhdunarodnyj-uroven?id=79958246
rus.err.ee/616800/ujazvimost-id-karty-voprosy-i-otvety-policii
Очень интересно. Помню, обновлял сертификаты на своей e-residency карте, но не придал значения проблеме. Из статей понятно, что задело не только Эстонию, но и иные страны, использующие платформу, но всё же не понятно технически, что произошло. Судя по тому, что закрыли реестр публичных ключей, предполагаю, что возникла ошибка в энтропии и ключ стал более легко вычисляемым методом перебора. Но это моё предположение.
Вроде бы упоминают что это ROCA, кривые (быстрые) генераторы простых чисел для RSA в Infineon RSALib
https://www.ria.ee/sites/default/files/content-editors/kuberturve/roca-vulnerability-and-eid-lessons-learned.pdf
https://en.wikipedia.org/wiki/ROCA_vulnerability CVE-2017-15361
https://en.wikipedia.org/wiki/Infineon_Technologies#Security_flaw Affected systems include 750,000 Estonian national ID cards, 300,000 Slovak national ID cards
software library, RSALib, provided by Infineon Technologies, and incorporated in many smart cards and Trusted Platform Module (TPM) implementations.… Keys of lengths 512, 1024, and 2048 bits generated using the Infineon library are vulnerable to a practical ROCA attack… The vulnerable RSALib selection process quickly creates primes of the desired type by only testing for primality numbers of the form: ...
https://github.com/crocs-muni/roca
https://crocs.fi.muni.cz/_media/public/papers/nemec_roca_ccs17_preprint.pdf
The Return of Coppersmith’s Attack: Practical Factorization of Widely Used RSA Moduli∗
https://blog.cr.yp.to/20171105-infineon.html
https://habr.com/ru/company/pt/blog/340230/
https://habr.com/ru/company/pt/blog/342444/
При подготовке статьи с удивлением обнаружил ещё нескольких представителей клуба искателей своего пути.
К слову, справедливости ради, если копнёте глубже, обнаружите, что в РБ закон об электронном документе принят на пару дней раньше, чем в США. Не удивительно, что Беларусь пошла своим путём в этом вопросе, она вроде как была самая первая. Хотя да, стандарт на алгоритм ЭЦП уже позже нарисовался.
Стандарт, вероятно, несколько раз поменяться успел. В России вон, уже третий алгоритм (хотя я бы назвал второй с половиной).
К сожалению не нашел сравнение СТБ и DSA, но если сравнивать с RSA, то самый низкий уровень надежности (1-й из десяти) СТБ 34.101.45-2013 по криптостойкости соответствует приблизительно 2462 битному RSA.
Так-то DSA создан (и запатентован) в недрах института США, почему его стоит принимать на веру и использование просто так у нас, чем он лучше местных?
Если речь о совместимости ЭЦП, так вроде год назад собирались принять закон о взаимном признании ЭЦП в ЕАЭС, так что опять же вопрос не в алгоритмах по идее, а в законотворчестве.
Чем не устраивает ED25519?
УКЭП — именно данный тип подписи используется в юридически-значимом электронном документообороте в России
Такого ограничения нет.
В самом деле, стороны вправе договориться и использовать любой вариант электронной подписи между собой. Хоть простую, хоть усиленную типа Docusign.
Хотя в свете того винегрета что уже наделан логично ждать виртуальную машину (АРМ оператора для работы с КЭП) с предустановленным хламом который нужен что эта вся красота работала со старыми браузерами без которых этот новый софт не пашет и галочками отключающими все механизмы защиты пользователя от интернета.
Не, вместо этого развивают «облачную» подпись. Что не может не пугать.
На днях звонила мне девочка из одного УЦ, предлагала «облачную» ЭЦП, как мега новое слово в технологиях, расписывала, как будет удобно подписывать документы с телефона. Спросил ее, что делать, если я, например, потерял этот телефон: замялась и обещала перезвонить, но так и не перезвонила.
Лирическое отступление:
Это вы еще не видели весь тот трэш, который творился когда не было ГУЦ, а была кроссертификация, сейчас стало полегче…
По поводу единого реестра ЭП:
Он есть! Им заведует Минкомсвязь, он даже есть у них в разделе на сайте (был как минимум), но он пустой (на сайте) и получить из него информацию простому пользователю похоже что нельзя, но УЦ обязаны направлять туда информацию, и направляют!, о всех выданных сертификатах. Но, просто выдать это все в открытый доступ тоже нельзя, т.к. это огромная кладезь валидных персональных данных. По идее Минкомсвязь по получению информации должна направлять по указанному в сертификате email и на госуслуги (они же ими и занимаются) информацию о выданных ЭП. и серверы timestamp они бы могли поднять. Но тут вступает в игру суды… А метка времени очень нужна в основном уже в суде. В обычных ситуациях она просто еще один технический параметр, на который никто не смотрит :D Так вот, судьи никак, от слова совсем ничего не понимают в ЭП, судебное дело с ЭП, мне кажется это отдельный круг ада и самому бы хотелось послушать от реального юриста информацию если он в таком суде участвовал.
Ряд уполномоченных УЦ вообще подозревают в халатном отношении к верификации персональных данных субъекта при выдаче ему УКЭП.… Хочется надеяться, что данные случаи всего лишь описывают факт невнимательности, а не умышленных действий. И да, если кто-то успешно попробует получить УКЭП по подставным документам на моё имя, я даже не узнаю об этом!
Тут еще есть следующие грабли — наше дорогое УФМС, а до этого полиция не имеет фотографий лиц, которым выдан паспорт. Т.е. оператор УЦ обязан проверить паспорт на отзыв. Он сбивает ФИО+номер и получает ответ — паспорт валиден. Но проверить не подделано ли фото он не в состоянии и механизма нет. При этом, хоть Минкомсвязь и имеет полномочия, я не слышал, что бы было публичное расследование инцидентов с УЦ Тензор (кажется), когда как раз и была получена подложная ЭП
Следующие грабли:
Я категорически против резко убивать все коммерческие УЦ, т.к. не верю, что в ближайшие 20 лет наша страна сможет родить вменяемы госааппарат, который сможет полноценно заменить существующую инфраструктуру. Будет опять отмыв бабла, взятки и все как обычно короче… Возможно стоит для новых граждан создать такой УЦ и постепенно заменять существующую инфраструктуру, но… вы не представляете столько людей считают это «клеймом дьявола» на полном серьезе, и это отнюдь не только наглухо ПГМнутые… Положительной считаю идею выдачи ЭП руководителям организаций в казначействе, а уполномоченных (тех же бухгалтеров) они бы могли назначать сами. И подпись бухгалтер мог бы получить в любом УЦ, а руководитель привязал бы этот сертификат в кабинете на госуслугах, как человека с правом подписи, но этого функционала там тоже нет… И взаимодействия между госорганами нет — т.е. на привязанное на госуслугах той же ФНС будет глубоко пофиг…
И еще одни грабли… Казначейство как и ФНС упорно требует в поле ИНН писать ИНН физ лица, а все остальные системы там требуют ИНН юрлица и без этого не работают и в результата е с казначейской/ФНС подписью вы даже на госуслуги нормально зайти не можете. Бинго блин, а 8 центр ФСБ не может ввести 2 идентификатора в приказ, который регулирует состав сертификата, хотя стандарт сертификата такое допускает.
OIDы — а особенно торговые площадки — это узаконенный отъем бабла и фактически очень тонкий обход (читай нарушение) ФЗ, хотя справедливости ради, за вход на площадку от УЦ требуют достаточно солидный взнос (обычно выше 1 млн руб) так что надо отбивать…
Проблема с носителями в том, что флешка (Rutoken LIte и т.д.) имеет себестоимость ~600р а с крипточипом внутри 2,5К + OIDы и мы вылетели за 5+К руб, и это каждый год, помимо налогов и т.д.… ИПшники безумно рады ;)
Проблема с носителями в том, что флешка (Rutoken LIte и т.д.) имеет себестоимость ~600р а с крипточипом внутри 2,5К
Рутокен S 64КБ 1 150
Рутокен ЭЦП 2.0 1 483
прайс
Кажется мне что не в деньгах тут дело
К тому же стоит помнить, что и КриптоПро не бесплатен… А тут либо токен с криптоядром, либо программный криптопровайдер, который надо покупать и устанавливать для каждого ПК, где планируется вычисление ЭП
Беда в том, что они (особенно первая) используются как обычные флэшки.
С судами всё просто: в суд предоставляется справка или экспертное заключение из УЦ, о том, что сертификат ок и подпись на документе валидна.
Решается выпуском национального ID, без активированной ЭП. Гознак готов, Сбер тоже пристроить наработки по УЭК, технологии отработаны на загран-паспортах. Энтузиасты уже на ID выпускают ЭП, и даже пускай в коммерческих УЦ, но только на госпластике в единственном экземпляре на лицо, с неизвлекаемым ключём и не на 15 месяцев, а на 36 минимум.
Хоть закорючка (если проводить аналогию с подписью ручкой) то одна, но юридически это все разные подписи, точнее разные сертификаты с разной информацией, и выдачей при рождении тут так просто не отделаться. А еще у нас есть ИП… которые вроде физики, а с другого бока глянешь — уже юрик…
Подпись — атрибут физического лица. Что бы он ни подписывал в каком-либо статусе. Государство при создании организации по факту аккредитует некое объединение с неким титульным лицом. Оно знает это лицо и оно есть в БД. Если это лицо доверяет иному лицу действовать от его имени, он сообщает об этом желании государству (с занесением в БД). Далее, когда надо подписать документ от имени организации, делается ЭП уполномоченным лицом, подпись отправляется на api авторити, и то, при совпадении в БД накладывает свою техническую подпись сверху, мол, подписант имеет право действовать от имени названной организации. Вот и всё.
Назвался груздем — полезай в кузов. Налоговая — то самое авторити, присматривающее за организациями. У них хватит денег и ресурсов, в принципе, они одна из крупнейших государственных IT-организаций, и у них целый ГНИИВЦ есть карманный.
Такого рода реестр с апи можно вообще сделать распределённым и чуть ли не на blockchain.
Что касается СНИЛС: пора привыкать, что это уникальный публичный атрибут. Подпись документа — гражданское действие, субъект действия должен быть идентифицирован. Ну и пересмотреть список полей в сертификате тоже не проблема.
Вообще не нужно. Я не видел ни одного юрлица, которое умеет подписывать обычной, классической рукописной подписью. Всегда подписывают что-то классические живые люди. С конкретными ФИО. И ЭП должна быть одна, привязанная к человеку, который при становлении условным директором может зайти в условные госуслуги, привязать к себе организацию и (после верификации своей роли в организации онлайн через ФНС) применять ЭП для подписи документов от имени этой организации.
И на второй день он эту ЭЦП передаст Любе бухгалтеру. Передавать документы в налоговую это её работа. А через неделю, после регистрации на площадке госзакупок любой конторы, он передаст копию этой подписи Вале. Отправлять туда документы и выяснять их судьбу её работа.
Директор фирмой управлять должен, а не лично подписывать все и везде.
Без механизма делегации права подписи за юрлицо любому человеку директорская ЭЦП будет ходить по рукам. Работать надо же.
Директорская подпись должна быть в его «паспорте». У нас народ к паспорту относится бережнее. Тогда и делегированию научатся быстро.
Сейчас делегирование невозможно примерно полностью. И даже законопроектов в эту сторону нет.
А ведь все просто. Любой кто хочет заполняет формочку на Госуслугах. Мол хочу получить право отправлять любые документы в налоговую от имени этой конторы. Директор на тех же Госуслугах своей подписью заверяет. И все. Отзыв аналогично. Разработки и внедрения на полгода. Только в законах и желании проблема.
Вы не поверите… Именно так и работают там где ЭЦП нет.
Руководитель имеет полное право передать часть своих полномочий доверенному лицу. Если руководитель не хочет заниматься текучкой по административной работе, он нанимает операционного/исполнительного директора, который имеет право подписи и широкие полномочия подписи документов. Именно так делается в нормальных организациях, а не "рисуется" подпись бухгалтером, что может квалифицироваться как подлог, самоуправство и даже мошенничество при неудачном стечении обстоятельств.
Собственно поэтому у x509-сертификатов такая структура — чтобы максимально децентрализовать подписание и валидацию. А важное следствие из этого, ваша подпись физлица и ваше же подпись сотрудника ТОО «Рога и Копыта» это разные подписи, с разными последствиями.
Ну, api может быть распределённым, вести записи может уполномоченный УЦ, как это сделано с теми же онлайн-кассами и ОФД. А реестр заверений тот же blockchain.
С проверкой права подписи другая история. Пока не получил явного ответа от центра — подписание под риском. Поток информации сверху-вниз.
Дополню. В конце концов, если не выходить за пределы PKI, то если налоговая считает физлицо уполномоченным представителем организации, то просто может кросс-подписать мой личный гражданский сертификат своим ключём или выдать доп сертификат к той же ключевой паре с набором полей, указывающих на полномочия в организации. Я, когда подписываю документ своим ключём, прилагаю к подписи оба сертификата, гражданский (аналог собственноручной подписи) и корпоративный (аналог печати).
OIDы — а особенно торговые площадки — это узаконенный отъем бабла и фактически очень тонкий обход (читай нарушение) ФЗ, хотя справедливости ради, за вход на площадку от УЦ требуют достаточно солидный взнос (обычно выше 1 млн руб) так что надо отбивать…
Справедливости ради надо заметить, что есть позитивная динамика в этой области. С закупками по 44-ФЗ всё так и обстоит, но в 223-ФЗ уже прописано для площадок требование принимать любые УКЭП.
Маловато, скажем так, позитива, но это наверное уже вопрос не к вам)
Про РЖД замечу что ситуация лучше чем год назад — сменились площадки, начали принимать любую КЭП. В целом история с OID'ами тянется, но уже не так остро.
Минтруд тот же — тоже закрыл свой уц и принимаю КЭП.
Жить можно. Но вот правовое регулирование сильно хромает.
Не упомянул электронные больничные и как хранятся подписи врачей (в облаке), а также поправки в трудовой кодекс с отсутствием инструментов у поставщиков крипто-решений.
Беда в практике — обычно это выглядит так что есть 1 (один) токен на учреждение, выпущенный например на начмеда, и им подписываются все ЭЛН. В том же «кабинете выдачи больничных листов», той же бабушкой. Потому что купить всем врачам по ЭЦП — ну что вы, это же дорого!
Вот тут указаны УЦ, чьи сертификаты подходят для ЭТП РЖД: https://eshoprzd.ru/getds
Кроме того где то у них есть платформа или магазин для услуг по обучению, и там мне кажется тоже подписывали обычной КЭП (не НИИАС)
Аппаратный токен и есть 2ФА. Владение самим токеном + знание PIN кода
Как показывает практика этим пином не пользуются, человеческий фактор, значит надо внедрить еще один уровень авторизации.
Если квартиру не запирать, то ни один замок не поможет.
Как думаете, заплатит потребитель лишние тысячи за биометрию?
Поплачут поплачут и заплатят,Все деньги юрлиц так или иначе идут от физлиц.
Идея засунуть эцп в симкарту, и подтвержать через нее на мой взгляд куда интереснее
Наберите в поиске «копировал симкарты» и вам откроется дивный мир, где студенты (и не только) создают копии симок и с их помощью зарабатывают себе на красивую жизнь.
И потом — симки они для телефонных звонков. Использование их для простой подписи (не УКЭП) в банковских приложениях, на мой взгляд, суррогат от которого стоит избавиться. Или вы хотите контролировать каждый из сотовых салонов, чтобы там не изготовили дубликат симки (что, судя по публикациям, регулярно происходит).
Ну, копирование SIM-карт чисто бага проприетарного протокола. Да и нет её уже давно, такие симки уже давно не жильцы, это было до 3G вроде даже. Внутри SIM-карты та же смарт-карта с неограниченными возможностями по сторонним приложениям, хватило бы самого чипа. Так что имеет место быть. Но это не замена классической ЭП, а дополнение (опять же, эстонский вариант).
1. 99% людей не понимают что у них вообще в руках, включая сотрудников УЦ, поэтому зачастую они генерируют закрытый ключ за закрытыми дверями, что автоматом делает его скомпрометированным. На просьбу выпустить сертификат к моему ключу чаще всего полное непонимание.
2. 99% людей не понимают что у них вообще в руках, особенно пользователи, для них это просто прикольная флешка, прозрачная, с лампочкой! То что у флешки есть два пароля и оба они по умолчанию никого вообще не волнует! Соответственно токен с паролем по умолчанию это профанация. А их такими выдают! Правильный вариант как банковскую карту, в конверте с индивидуальным пином. Забыл? Так может тебе надо не ЭЦП в руки а лопату!?
3. Ключи с токенов зачастую ЭКСПОРТИРУЕМЫ. Это треш и угар, можно создать 100 копий. Учитывая что пароль почти всегда по умолчанию…
4. Повальная жажда наживы УЦ, вместо специалистов по ИБ содержится огромная орда девочек на телефоне которые пачками звонят и продают услуги УЦ. Отсюда стремные сроки действия, какой год? Что меняется за год, особенно с физлицом? Паспорт что то не на год выдают! Сроки три-пять лет были бы интереснее, но кратно снизят прибыль УЦ
Год — это по факту рекурринговая подписка на услугу. Это выгодно, подписки сейчас в тренде. В Контуре, стоит отметить, сначала проходишь процедуру валидации в офисе, а потом дома уже выпускаешь подпись самостоятельно. Но только тоже через КриптоПро и без вариантов сгенерировать ключ на Рутокен ЭЦП (туда просто ложится криптопрошный контейнер, как на лайт). В этом плане банки выглядят куда лучше и используют только крипто-токены, так как там бабки и понимающая служба ИБ.
Да, я погуглил про криптопро, это дичь какая то лютая, я уже лет пять пользуюсь активно (работа с ЭТП), но блин, зная как работает нормальная смарткарта, мне даже в голову не могло закрасться что ключи ЗАЧЕМ ТО могут извлекаться из токена в ОЗУ, это настолько противоречит здравому смыслу что такое имхо можно сделать только специально, ну или разрабы криптопро это индусы которых импортозаместили таджиками.
Насчет сомнительной полезности возможности хранить ключ в реестре или на файловой системе тк якобы токены дорогие это тоже лютый бред, это их токены дорогие, а смарт карты, те же мифэйры стоят пару баксов.
Ну, NXP за два бакса, конечно, никакие не крипто-токены особо, но тот же Рутокен ЭЦП2.0 стоит 25 баксов, умеет хранить до 15 ключевых пар и имеет вполне себе хороший крипто-процессор и добротное исполнение. Хватит надолго и под ГОСТ, и под RSA. В отличии от того же eToken имеет бесплатные утилиты администрирования и не дохнет как некоторые Жакарты.
www.rutoken.ru/products/catalogue/id_46.html#description
вот эту они из чего делают?
Это честная смарт-карта. Только у нас более распространены usb-решения: https://www.rutoken.ru/products/all/rutoken-ecp/
Это тоже самое, что по вашей ссылке, только с интерфейсом USB.
А импортные решения в формате смарткард с таким же функционалом есть?
iKey был вот у них такой продукт.
Смарт-карта — это SoC. Чипы более-менее одинаковые у всех вендоров. Вопрос в прошивках этих процов и нативной поддержке криптографических алгоритмов.
А вот сейчас в самом последнем обновлении винды делают авторизацию по смарт карте, там какие карты?
3. Ключи с токенов зачастую ЭКСПОРТИРУЕМЫ. Это треш и угар, можно создать 100 копий. Учитывая что пароль почти всегда по умолчанию…
Это если использовать программный криптопровайдер. Потому что ключи приходится передавать в ПК.
Если вычислять ЭП на токене, то ключи неэкспортируемые.
2. Пароли по умолчанию это вынужденная мера для клиентов, т.к. они зачастую теряют(забывают) пароли «непоумолчанию». И если оба пароля потеряны, то придется покупать новый сертификат! Да и никто не мешает клиенту менять пароли, другое дело что этим никто не заморачивается!
3. Владелец сертификата имеет право делать копии своих ключей, хоть 100 раз, если это напрямую не запрещено информационными системами, где это сертификат используется! Как говорится если не запрещено, значит разрешено!
4. Смотря по какому классу защиты сертифицирован сам УЦ. Обычно сам УЦ свои же корневые сертификаты обязан менять каждый год, если его «софтверный» ПАК не подкреплен «харверным» обеспечением(например криптопро hsm).
Ну, HSM, надеюсь, есть у всех УЦ?
2. Давайте вам, и еще десяти тысячам человек выдадим банковскую карту с одинаковым пином, 1234, а то вдруг позабудете? Согласны? Ах да, мы ее еще сделаем легко копируемой первым встречным. А то вдруг потеряете.
3. Правила элементарной инфобезопасности запрещает бесконтрольно делать копии закрытого ключа, поинтересуйтесь правилами принятыми в банках. Попробуйте получить у них десять копий одного токена.
4. Ух ты! А зачем он обязан это делать? это такая схема распределения гешефта? Или чтобы все еще запутаннее было? Единый реестр? Нет! Служба таймштамп? Нет! Менять корневые сертификаты каждый год? Да!
Можно сколь угодно долго рассуждать и предлагать разные решения по улучшению ситуации.
Но прямо сейчас мир криптографии крайне недружелюбен к обычным людям.
Из-за этого рождается куча всякого непотребного, с перегибом как в одну сторону, так и в другую.
https недружественен? Вопрос только в желании сделать хорошо.
Вопрос про то, как обычные люди пользуются той или иной услугой.
Например, пользоваться Whatsapp может очень широкий круг лиц.
А вот пользоваться ЭЦП + токен + ПО может очень узкий круг лиц.
Цифровой мир, новый и дивный, уже вроде как наступает. А как пользоваться простым гражданам ЭЦП — внятного ответа пока еще нет.
У Эстонии получилось неплохо. Для первопроходцев.
Я бы посмотрел на их опыт.
Хочешь проголосовать на выборах? Пихай карточку в считыватель.
Хочешь послать какое-то заявление? Набирай в ворде, подписывай ЭЦП, никуда ходить не надо.
Хочешь машину купить? И продавец и покупатель делают это при помощи ЭЦП на сайте авторегистра, никуда ходить не надо.
И так далее.
А вот подписать вордовский документ — немного сложнее. Самый простой тест — ваша мама сможет без посторонней помощи сможет установить и настроить домашний десктоп/ноут и подписать вордовский файл?
Аналогично с подписью сделки на сайте. Ваша мама сможет самостоятельно установить и настроить на домашнем компе/ноуте нужное ПО и самостоятельно в браузере подписать?
Например, Whatsapp легко проходит этот тест.
Софт к эстонкой карте очень просто ставится и плагины нормально работают в браузерах, в отличии от того же cades-plugin от Крипто-Про.
В наших реалиях это могло бы выглядеть так:
Для захода на Госуслуги с полными правами, например чтобы машину продать, пихаешь в usb токен. Любой современный браузер все понимает авторизует тебя. Просто по клику на кнопку логин. 2FA пароль с получением и сбросом в Моих документах. Дальше просто накликиваешь заявление и передаешь право владеть машиной другому человеку. Этот другой человек также вставив свой токен принимает это право владения.
Мама справится.
Не будет удобно, не будут пользоваться массово
Интересно, там тоже свой велосипед изобрели или все-таки взяли стандарт?
ЗЫ. В госуслуги и сейчас можно прекрасно попасть по ЭЦП руководителя. И сразу вериф аккаунт.
Есть четкая сегрегация токенов в каталогах производителей. Только какой бы в токене не был криптопроц расчудесый, это не помешает крипто-про записать свой контейнер на этот токен как на «флешку» с возможностью чтения приватного ключа. У меня на правильном Рутокен ЭЦП2.0 записаны ключи от банка (честные) и ключи УКЭП в говноконтейнерах CSP.
«Не стоит недооценивать предсказуемость тупизны».
Я думаю, что если спецслужбам что-то нужно, то УКЭП тут не нужен будет. Возможностей и без этого хватает. Просто так пошло, так как уже наговнокодили софтверных решений, уже надо было запустить «вчера», софтверные решения оказались де-факто интегрированными в АПК, переделывать уж точно не сейчас, вроде работает и ладно. Ну и сложившиеся фин. потоки поделены (УЦ, КриптоПРО, рутокен, ЭТП).
Вот мы ввели у себя электронный документооборот, но не можем его использовать на 100%, потому что далеко не у все контрагенты могут подписать договор в электронном виде, и вроде как нельзя договор подписать с одной стороны электронно а с другой стороны обычной подписью. Причем прямого запрета в законе нет, но есть судебная практика, где такие документы признавались не действительными.
В итоге полноценно использовать ЭЦП (даже при правильном подходе) невозможно.
ЭДО — отдельное костылестроение. Начиная от законодательного требования использования аккредитованного оператора ЭДО для обмена формализованными документами, историями с настройкой роуминга, ящиками для организаций, форматами документов и заканчивая бухгалтерами, которые печатают первичку из ЭДО на принтере и подшивают в архив. Facepalm.
Я про согласование тех же договоров внутри компании, согласования исходящих и прочего — потом мы подписываем все это на бумаге потому что подписать договор ЭЦП только со своей стороны мы не можем.
И насколько мне известно, случаях подписания договоров с помощью ЭЦП аккредитованного оператора не требуется.
Есть ещё другая сторона электронного документооборота. Никто до сих пор так и не понимает, что с этим делать. Порой в судах настоящая боль. Есть требования, к примеру, к оригиналу документа. И очень сложно доказывать судьям, что вот эта вот бумажка, распечатанная на принтере, самый максимум, который они получат в качестве оригинала. Потому что оригинал один, в электронном виде, и хранится на компьютере.
Та же платёжка из банка распечатанная. Где стоит чёрно-белый штамп банка о проведённой операции. Несмотря на все разъяснения высших судебных инстанций, требуют заверять этот лист своей печатью, ставить штамп «копия верна» и приносить из банка портянку с движением средств по счёту, заверенную живой синей печатью банка. При этом отдельная проблема со спорами какую печать нужно ставить — кругленькую или квадратненькую.
К сожалению, очень у нас всё неравномерно в стране с электронным документооборотом.
Забавно, что печать сейчас чисто имиджевый атрибут и их изготовление никак не контролируется, кроме «гербовых». Даже законодательством они необязательны для большинства организаций. При текущем уровне полиграфии печать не является способом защиты, даже при выпуске нормальной на лазерном гравере по «нацстандарту».
www.cryptopro.ru/forum2/default.aspx?q=cryptopro/forum2/default.aspx&g=posts&t=1347
Это правда? И я верно понимаю, что получение лицензии ФСБ очень, очень сложно для небольшой конторы?
Ну, не то, чтобы очень сложно. Видел в приёмной ФСБв Москве несколько людей, приходивших за лицензиями. ФСБ лицензирует в нескольких областях, в том числе связанных с криптографией. Думаю, задача посильная и по большей части просто бумажный геморрой.
Постановление Правительства РФ от 16.04.2012 N 313
ну и
Федеральный закон от 04.05.2011 N 99-ФЗ (ред. от 17.06.2019) «О лицензировании отдельных видов деятельности»
А также регламент оказания услуг на сайте ФСБ… там все достаточно просто… но не совсем
руководитель с вышкой или переподготовкой и стажем от 3 лет
и инженерно-технический работник (минимум 1 человек), с вышкой или переподготовкой и стажем от 3 лет.
Для УЦ — Руководитель с вышкой или переподготовкой и стажем 5 лет + 2 инженегра со стажем от 3 лет… И там еще помещение аттестованное, АРМ аттестованные, Средства СКЗИ сертифицированные, а если разработкой хотите заниматься, то и 3) наличие у соискателя лицензии и лицензиата необходимой для осуществления лицензируемого вида деятельности системы производственного контроля…
Цитата из консультанта:
Документ фактически утратил силу в связи с изданием Постановления Правительства РФ от 01.11.2012 N 1119, признавшего Постановление Правительства РФ от 17.11.2007 N 781 утратившим силу и утвердившего новые Требования к защите персональных данных при их обработке в информационных системах персональных данных. Документ утратил актуальность (Информация ФСБ России от 21.06.2016). а там такого предопределения уже нет…
Супер! А работает ли такая подпись на Госуслугах и в налоговой? У меня у самого подпись на Рутокен ЭЦП, но в контейнере КриптоПро и я не нашёл УЦ, который сделает иначе.
Ох, ребята в Питере… Попробую Контур дожать по аналогичному вопросу.
В Москве вот этих получилось дожать https://ca.gisca.ru/
Они теперь обученные и умеют делать правильные ЭЦП с неэкпортируемыми ключами.
Собираем список ))
1 — прописано в их внутренних инструкциях, т.е. они должны знать как это делать
2 — об этом точно должен знать Администратор УЦ, но вы до не го не факт, что доберетесь, т.к. в представительствах сидят просто техники, а Админ — там, где непосредственно развернут УЦ, и обычно он один.
А по факту техники либо об этом не знают, либо забыли. Возможно это не доводится специально т.к. меньше геморроя безопасникам.
ЗЫ читаю и понимаю, а у нас то не так все и плохо было в УЦ… и пинкод меняли, и в конвертах все отдавали типа банковских (чтоб затруднить прочтение пинкода).
В КриптоПро CSP 5.0 появилась одновременная работа как с пассивными, так и с активными токенами.
А вы посмотрите скрин из панели управления Рутокен из вкладки с сертификатами. Там сразу видно, что ключ не честный, а в контейнере Крипто-Про.
Обычно в него передают хешы (исключение — маленькие файлы)
Подпись — легко, так как подписывается просто хэш файла. Шифрование сложнее, но это и не прямой кейс такого рода продукта.
На стороне ФНС может стоят HSM, который молотит с куда большей производительностью.
Ну если реально есть необходимость пропихнуть большой зашифрованный файл, то уже будет проще предусмотреть механизм шифрования такого файла симметричным шифром отправителем с передачей PSK-ключа уже в шифро-контейнере. Всё решаемо на уровне стандартизации ЭДО.
Дмитрий Медведев предложил прекратить выдачу бумажных паспортов на два года раньше запланированного срока
Вот теперь будет весело.
Давно пора. Думаю, процесс тормозили тёрки перетягивальщиков одеяла по потенциальному проекту. Проект действительно национального масштаба и бюджета. Но ДМ, как бы, много говорит, но выглядит это не очень авторитетно.
Придётся кардридером делать дамп и печатать его на A4.
А в свете бесконтактного интерфейса вообще чую будет вообще лютый песец. Ибо например в метро такие паспорта можно не только почитать и взять кредит, но и просто попалить.
Все нормально. Нас же лечат врачи с купленными в метро дипломами!
Да никакой жести быть не должно. Если сделают по спецификации ICAO 9303, а судя по обратной стороне карты это вполне себе MRTD, то более-менее не секретные данные (типа тех, что сейчас пишутся в паспорте на страницах) будут скорее всего закрыты BAC от случайного считывания (чтобы получить доступ к основным данным, нужно авторизоваться ключём, содержащимся в полях оптически-считываемой зоны). Если не будет откровенного бага в прошивке карт, то всё будет примерно как с загран-паспортами. В этом случае биометрические данные закрыты EAC, а УКЭП и прочее вообще своими пин-кодами.
© РИА Новости / Екатерина Штукина / Перейти в фотобанк
И что такое прописка? Для чего она нужна? И почему она должна быть неизменный атрибутом паспорта?
Прочитав комментарии понял, что нужно срочно менять пароль на Рутокен лайт, а в следующем году покупать токен без возможности экспорта ключа (Рутокен 2.0?).
Прошу знающих людей ответить на вопросы:
1) КриптоАРМ не подписывает документ, если в разъёме нет токена. Значит ли это, что ключ только на токене и я могу не беспокоиться за то, что где-то останется мой ключ и может быть кем-то использован, кто не знает пароля и не имеет физического доступа к токену?
2) Какое ПО мне позволит ставить человекочитаемую подпись на pdf с включенным в подпись штампом времени, полученного от TSP-сервера, а не системного времени компьютера?
3) Можно ли будет через двадцать или пятьдесят лет подтвердить дату и факт подписи подписанного мной файла pdf?
Прочитав комментарии понял, что нужно срочно менять пароль на Рутокен лайт, а в следующем году покупать токен без возможности экспорта ключа (Рутокен 2.0?).
Это не поможет в случае использования ПО Крипто-Про CSP, так как оно будет использовать ваш Рутокен 2.0 как Рутокен Лайт
1) Не означает
2) Если делать "отделяемую" подписть, то проще всего https://crypto.kontur.ru/
3) Только до даты истечения сертификата TSP
Лицензия на Крипто-Про CSP годовая и вшита в мой образец рутокен лайт. Если использовать рутокен 2.0 со встроенным криптопровайдером, ключ перестанет быть экспортируемым?
1) Спасибо, поищу как удалять сертификаты (=ключи?) с компьютера.
2) Отделяемая подпись не годится. Нужен человекочитаемый штамп в самом pdf.
3) Подпись А.С.Пушкина гусиным пером до сих пор валидна. Должен же быть непротухающий механизм и цифровой подписи?
2. Выше прогу написал, но никаких нормальных механизмов валидации штампа этого нет. Ну и сделать его можно в фотошопе за 5 мин. То есть это опять слова на про, только не профессионализм, а промискуитет, профанация, криптопро.
3. Так там где нормальные люди управлением государством занимаются там и есть непротухающий механизм, я вот в хранилище вижу сертификаты и до 36 и до 42 года...)
Лицензия вшита в ваш сертификат как один из текстовых атрибутов, а не в токен. Это не влияет на "экспортируемость", или если говорить точнее "извлекаемость".
1) Не надо ничего удалять с ПК, ключ хранится на токене в контейнере Крипто-Про. Он извлекается в ОЗУ для проведения операций и на диск не сохраняется. Но в момент работы криптоконтейнера всякие трояны могут прочитать ОЗУ и обойти обфускацию Крипто-Про CSP.
2) Этот шильдик вообще ни о чем не говорит. Вот совсем-совсем. Если уж прям хочется, у Крипто-Про есть расширение к Adobe Acrobat или Reader.
3) Как ответили до этого, бывают очень длительные TSP. Фактор протухания подписи ещё и зависит от стойкости крипто-алгоритма. Есть подозрение, что всё не стойкое к пост-квантовой криптографии превратится в тыкву в один не очень далёкий момент. Жизнь тлен...
habr.com/ru/news/t/453922
2. Человекочитаемую подпись делает прога крипто про пдф. А вот службы тайштампа в у нас сюрприз, в большинстве случаев нету, нетути!
3. Нормальные коневые сертификаты выдаются на 10+ лет, ну а российские на год, но вы можете отмотать системное время компа и проверить. Лайфхак!
Каментов безумно много. Pas вы какой токен-флешку с неизвлекаемыми ключами можете рекомендовать? Или это отдельная статья ?
Ну и еще в дополнение к статье. Есть норма в законе, что с.ф. при получении должна быть подписана. Поэтому в системах документооборота реализовано автоматическое подписание с.ф. Но если подпись не «облачная» и защищена Пин-кодом, то выливается это в очень веселую процедуру. При входе пользователю выдается окно ввода Пин-кода столько раз, сколько пришло с.ф. с момента прошлого входа пользователя с ЭЦП (у нас это обычно около 20 документов). Поэтому тот же Контур, например, предлагает нажать галочку «запомнить ПИН-код» (я решил проблему использование менеджера паролей и внесением ПИН-кода туда: достаточно один раз ввести пароль на разблокировку хранилища паролей и 20 раз нажать горячие клавиши).
Хорошо уже прошли хотя бы те времена, когда для нормальной работы программ просили отключить антивирус и файрвол и это было нормально.
Похождения электронной подписи в России