Как стать автором
Обновить

Комментарии 55

Меня до сих пор волнует один вопрос. Какого плеера в природе есть 63-ФЗ и до сих пор площадки плодят свои ключи? Есть КЭП, в котором есть все данные. Зачем мне ЕЩЕ один ключ?
НЛО прилетело и опубликовало эту надпись здесь
Строгость наших законов нивелируется необязательностью их исполнения?
НЛО прилетело и опубликовало эту надпись здесь
Как раз два дня изучаю рынок ЭЦП столицы — это золотое дно на ровном месте.
С июля 2018 года в госзакупках (44-ФЗ) и корпоративных закупках (223-ФЗ) появилась обязанность применять КЭП. На нашей пощадке нет каких-либо дополнительных требований к сертификату. На других площадках с аналогичными закупками также ограничений быть не должно. Однако если рассматривать корпоративные информационные системы, то для них порядок использования электронной подписи может устанавливаться оператором этой системы (если речь не о КЭП). Касательно закона — вопрос, конечно, лучше задать законодателю :-) Подготовлен ряд поправок, которые ставят окончательную точку в этом вопросе.

Могу Вас удивить наверно, но такой ГОССАЙТ как fedresurs.ru ТРЕБУЕТ дополнительной подписи. Про РЖД не буду писать, это уже притча во языцах…
Ключ на Linux то будет работать?
он и на винде иногда тупит, думаю плохая идея с Linux его без надобности дружить, но всецело дружится

Тут вот другой прикол, в госы стали поставлять Linux системы в обязаловку, а бух системы (Парус) на Linux не работают, не говоря о многом другом ПО, как жить людям сами понимаете. Бардак короче.
Ключи работают со множеством ОС, в том числе и с Linux. Посмотреть полный перечень поддерживаемых ОС можно, например, тут: cryptopro.ru/products/csp/compare
кроме ключей еще браузеры, часто только ie и только с расширением и танцы с бубном, потом криптопро за деньги+последнюю версию всех заставили всех купить (все кто имел ранее 3,6-3,9 и т.д), ибо только 4я теперь сертифицирована ФСБ, при том с 1 числа заставят серты всех менять, т.к. тот же такском по новому шифрованию (месяц назад) еще не умеет работать, ну или мне так сказали
банк клиенты некоторые только exe программы имеют
тонкостей тьма
Увы, из описания непонятно, как хранятся приватные ключи. Они хранятся на флешке, неизвлекаемы, и только флешка может подписывать запросы с хоста, или же они хранятся как обычные файлы, которые легко украсть?

Также, вы пишете, что можно сделать копию флешки, значит ли это, что в УЦ хранится копия приватного ключа, и коррумпированный или запуганный сотрудник УЦ может выдать его посторонним лицам?
Ключи хранятся на специальных защищенных носителях. По умолчанию они не извлекаемы, хранятся в виде специального контейнера определенной структуры и украсть их (без дополнительного знания пин-кода от носителя) технически невозможно (можно провести аналогию с банковскими картами и пином от нее).

УЦ запрещено хранить закрытые ключи клиентов, ключи ЭП генерируются в присутствии клиента на защищенный носитель и передаются лично в руки владельцу под роспись. В случае с резервным копированием — по просьбе клиента, его ключ ЭП делают с пометкой — «разрешить экспорт»- после этого в присутствии клиента делается копия ключей на резервный носитель и передается в руки клиенту вместе с оригиналом.
Неизвлекаемый ключ который можно извлечь поставив галочку в настройках. Вы про двоемыслие слышали?
НЛО прилетело и опубликовало эту надпись здесь
Справедливости ради, если эта пометка ставится только при загрузке сертификата на носитель и её нельзя обойти, и пользователь осознает последствия, то тут ничего плохого нет. Хотя я исходники прошивки носителя не видел, и есть ли там уязвимости, не знаю. По идее такие вещи должны быть на открытом софте, мне кажется.
НЛО прилетело и опубликовало эту надпись здесь
никаких гарантий, более того вам могут 1 ключ на 3-4 флешки записать без проблем, при том так же без проблем потом себе накатать одной кнопкой. Флешку можно получить только по записи, для этого или сам рук.фирмы должен прийти или по доверенности человек

А манипуляции это еще не все, ключ мы регистрировали у одних, а потом отдельно регистрировали на площадках
Потом покупали КриптоПро (кстати если он с ключем из интернета или младшей версии, то работать не будет)
Защита флешки это пароль, который составляют в 99% случаев по умолчанию 0123456789
Копируется флешка легко, зная пароль выше
по сути никаких профитов, кроме доп заработка всяким эта флешка не несет, кучу проблем
Потом были методы снятия образов без пароля, кривые с бубном, но были, нужно поискать в интернете

Кстати строго запрещается иметь этот ключ один на несколько тех же банков
К примеру в бухгалтерии 10 банков, 1 руководитель = 10 таких флешек, а если подписанта 2 (скажем второй глав бух)? тогда 20 + таксомы+ продажные площадки
флешек 50 у одного человека может быть!
соответственно первое что делают сносят к чертям все серты с этой флешки на обычную! Потом эти серты меняются каждый год! Это просто выносит мозг бухгалтерии и спецам
НЛО прилетело и опубликовало эту надпись здесь
При получении комплекта для работы с ЭП, каждый клиент получает подробную инструкцию по обеспечению безопасности хранения и использования своего сертификата.
В этой инструкции четко указано — что можно, а что нельзя (Вы же не раздаете всем подряд свою банковскую карту и бумажку с пином от нее).
Просто зачастую пользователи пренебрегают элементарными правилами безопасности, и в итоге результат — компрометация и вот такие статьи, в стиле «как у меня увели юрлицо».
ЭП равносильна вашей подписи от руки, последствия несоблюдения правил безопасности могут быть колоссальными и примеров таких достаточно много (например, гендиректор дал свой токен с ключами Васе-юристу для подписания отчета, а тот обиделся, и вывел все деньги со счета юрлица через ДБО компании).
НЛО прилетело и опубликовало эту надпись здесь
Не знаю как эти, но адекватные УЦ без проблем подписывают CSR.
Да и с токенами с по настоящему неизвлекаемыми ключами работают почти без проблем. Почти без проблем это примерно минут 30 перезвона внутри УЦ с привлечением каких-то спецов которые понимают что надо делать.

А вот почему они всеми силами проталкивают решения с ключами в виде файлика на флешке я не понимаю. Неужели это денег больше приносит?
НЛО прилетело и опубликовало эту надпись здесь
Эм, зачем сложности, не проще ли в базы и логи внести данные? или я чего не понимаю?)
По-моему вся схема создавалась на коленке в стиле а вот хотим, а тут еще денег каждый год порубим, это вообще вечный двигатель

Я подчеркиваю дело тут не в площадке, а в работе серта в принципе

к площадке лишь вопрос как админа, зачем так много точек входа, иногда дают серт работы с вами, а в какую из 10 баз войти не говорят, и неопытный часа 3 потеряешь пока сообразишь что форма входа хоть выглядит как одна, а по факту площадки разные
Не понимаете. Если делать все правильно то УЦ ничего плохого сделать и скомпрометировать в принципе не сможет. Он проверяет ваши документы, подписывает ваш сертификат и все.

Из CSR воровать в принципе нечего. Это публичная информация.
Неэкспортируемый ключ с токена нельзя экспортировать. Вообще никак. Нет никакой секретной галочки. Вот мол я хороший парень мне можно.

А они делают все так что у них может остаться ваш приватный ключ. И они будут подписывать от вашего имени все что захотят. Да и вообще любой желающий может скачать этот ключ с токена и делать все захочет.
Я вам скажу более того:
90% директоров фирм технически не способны пользоваться сертами и перекидывают бухам и финансистам без доп соглашений, а получать ключ с паролем идет КУРЬЕР!
90% бухов и финансистов не способны настроить токен и скидывают это на админа, при любо чихе-админ аууу
Админ в 99,99% не несет отвественности за флешку и в 50+% случаев ему наплевать где она и что с ней делают\сделают
в 70% это отдельный ноут с установленным Team Vewer free и частенько без антивируса
Незабываем это все на Windows 10 паленой чаще всего, а то еще и офисы там всякие с эмуляиторами
50+% если хранят ключ на токене, то не вынимают его
90+% сохраняют пароль от токена, вместо того, чтобы каждый раз вводить

Это просто прикидываю вам уровень рисков
Статистика чисто моя, Московская, то что вокруг, по регионам страшнее наверняка
НЛО прилетело и опубликовало эту надпись здесь
Это не безопасная система вся.
В дополнение взлома этих hasp

xakep.ru/2011/11/30/57901
www.academia.edu/17314193/HASP_HL_CRACK

Первые две строчки в гугле
Написать вирус — вопрос для команды небольшой конторы, с учетом подробностей, даже не занимающейся безопасностью.
НЛО прилетело и опубликовало эту надпись здесь
Все равно, если ключ неизвлекаемый, то его можно унести только вместе с флешкой, это сразу обнаружится, и найти виновника не так трудно. А если он извлекаемый, то бух или кто-то еще может по-тихому скопировать, уволиться, выждать полгода и только потом начать использовать.
В регионах закрытый ключ генерируется на простой флэшке на компьютере клиента, заявка приносится в УЦ, там же позже выдают сертификат на флэшку клиента (обычно ту же где закрытый ключ, чтобы не заморачиваться). Закрытый ключ — папка с 6 файлами, свободно копируется куда угодно если надо. Обычно средствами криптопро копируется в реестр компьютера клиента, чтобы не вставлять флэшку каждый раз при использовании ЭЦП.
Недавно кое-где сделали генерацию закрытого ключа и запроса на сертификат через специальный сайт, в УЦ приходишь только 1 раз за самим сертификатом.
Я выражаю свое мнение, но могу не знать многих подробностей. Сразу прошу прощения, если что-то не так, просто так вижу ситуацию вокруг как системный администратор, и хорошо чтобы разъяснили, если я не прав и где
Про снятие копии флешки информация не точная, но про манипуляции читал
2 копии флешки точно делали при выдачи флешки (якобы одну для бекапа), регистрируются ли где действия и на сколько надежно мне неизвестно
И это общая картина, а не с конкретной площадкой или с конкретной флешкой

Да, вспомнил, там на стороне УЦ вроде первой дается временная подпись (не помню везде ли) для генерации постоянной, совсем запамятовал, так что первая часть может быть не совсем правдой.
На практике резервная копия создается на случай форс-мажора с первым (основным) носителем. Храниться резервная копия должна так же бережно и чутко, как и основной носитель.
Если Вы передали кому-то токен с ключами, на которых стоит пометка «экспорт разрешен» — имейте в виду, что с них вполне себе могут сделать копию.
Самостоятельная генерация запроса и ключа ЭП тоже возможна (это одна из разрешенных схем работы в России). В нашем случае схема работы с клиентами централизована, ключи и сертификаты генерируются в присутствии клиента, после прохождения ряда процедур по установлению личности и по подтверждению правомерности получить сертификат.
Также такая схема позволяет избежать множества ошибок во время самостоятельной генерации клиентами запросов и ключей ЭП.
Основная гарантия, что наш УЦ не подписывает ничего лишнего — бланк сертификата на бумажном носителе, с которым обязан ознакомиться каждый клиент. Он должен убедиться, что состав сертификата корректен, и затем поставить свою подпись.
А на площадке внедрен дополнительный плагин от компании КриптоПро, который позволяет работать практически с любым браузером без дополнительных тонких настроек.
НЛО прилетело и опубликовало эту надпись здесь
Вы можете ничего лишнего и не подписывать — но чем вы гарантируете клиенту, что у вас не остался его секретный ключ?
Я могу навскиду вариантов 5 придумать специальных и неосознанных методов «оставления» секретного ключа в вашем СЦ.
К сожалению, подделка документов и получение по ним сертификатов в УЦ иногда встречается. Ведь УЦ — это все-таки не лаборатория, в которой можно сличить подписи, провести графический анализ. СМЭВ не позволяет однозначно сказать украденные это документы или нет…
Также нет единой базы доверенной, о которой говорят уже больше года.
Риск есть везде. И в конечном счете за все отвечает УЦ и его страховая компания.
НЛО прилетело и опубликовало эту надпись здесь
Как вы докажете вину УЦ?
УЦ может усилить проверку, например, сделать подтверждающий звонок в фирму.
Вообще общепринятое название ПО для работы с сертификатом — это «Криптопровайдер» (Cryptography Service Provider, CSP). Он представляет собой независимый модуль, который при помощи функций CryptoAPI осуществляет криптографические операции в Microsoft.

Т.е., за пределами Microsoft ПО для работы с сертификатом не существует?

Здрасьте, приехали. За пределами Microsoft вообще ничего не существует. Мы живём в большом пузыре, который на трёх слонах которые на черепахе и солнце вращается вокруг нас. Кто говорит иначе — еретики и самозванцы

Генерация приватных ключей черти кем и доступ к ним этого же черти кого это (при том без доступа к ним владельца ключей) просто гениальное решение.

Б — Безопасность!

У нас тут один банк заявил, что мы больше не верим ЭЦП которые сами выдаём, поэтому в обязательном порядке купите у нас ещё одну приблуду, которая повысит безопасность проводимых операций. Так что безопасность можно повышать до тех пор пока у клиента не кончатся деньги.

НЛО прилетело и опубликовало эту надпись здесь
Не они одни — такие. Поинтересуйтесь как нибудь процедурой регистрации ИП или ООО у Точки (встреча один раз с менеджером Точки и подписание документы и сертификата ЭЦП) или Тиньков-Бизнес (две встречи). Они и сгенерируют все и в налоговую подадут и счета откроют и в дальнейшему будут отчетность сдавать в налоговую за вас если вы у них купите эту услугу (или бесплатно, у Тинькова в некоторых случаях).

Вам эту подпись выдать на хоть на флешке? О чем вы? Она у нас защищена.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Конечно можно. Она может пригодиться для использования сайта Госуслуг, работы с порталом Росеестра, работы с ЕГАИС, судами и многими другими информационными системами.
КЭП — это квалифицированная электронная подпись.
Про различие подписей я писала выше.
обычная коммерческая статья

А можете рассказать, чем именно, кроме желания, отличаются разные тарифы на ключи?

Господа, всем привет!

Спасибо за ваши вопросы и комментарии.

Прошу прощения за длительные ответы, конец года — был очень напряженный день в разъездах по разным местам и встречам. Только добралась до компьютера и сразу всем отписалась.
Вы можете ответить, или прокомментировать данные (первый, второй) вопросы?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий