company_banner

Похождения электронной подписи в России

    Государства вмешиваются в некогда гиковскую информационную область всё больше и устанавливают там правила. Один из институтов государственного регулирования в информационном пространстве — механизм «квалифицированной электронной подписи», условно неподделываемого доверенного идентификатора субъекта, которым он может заверять различного рода сделки в электронном виде от своего имени в инфопространстве. На самом деле, идея ЭП не нова и развивается давно, но в России в какой-то момент что-то пошло немного не так. Эта статья — субъективное пространное рассуждение на тему института электронной подписи в России без излишнего погружения в технологическую матчасть. Ну и немного хейта, как же без этого.


    CC-BY-SA, Vadim Rybalko

       Achtung! Это лонгрид и он может отнять у вас кусочек жизни!


    Disclaimer

    Постарался никого не задеть, даже когда хотелось. Но всё равно, если кто-то готов оскорбиться: прошу поберечь свою психику и пойти читать пост с обзором очередного облачного хостинга или про докер, например. Полегчает. Если вы готовы подискутировать или есть чего добавить — пишите смело в комментарии или лично. 


    Сначала немного абстрактной юридической матчасти


    Что такое сделка? В России, как и в большинстве развитых и не очень стран, есть целый стек законов и подзаконных актов, эдакое «дерево» нормативно-правовых актов (НПА), регулирующих повседневную жизнь граждан и объединений. Отбросив детализацию: у нас есть основной закон страны — Конституция Российской Федерации; через уровень от неё — масса федеральных законов, к которым в том числе относятся кодексы (в контексте нашего рассуждения — Гражданский Кодекс Российской Федерации, ГК РФ) и различные законы и постановления, затрагивающие электронную подпись (из них основной — Федеральный Закон «Об Электронной подписи» от 06.04.2011 № 63-ФЗ). 

    Понятие «сделка» регулируется ГК РФ: в общем случае, это действия лиц, по установлению отношений между собой, влекущих возникновение гражданских прав и обязанностей. Сделок бывает невероятное количество видов, в целом их объединяет тот факт, что сторона сделки заверяет её со своей стороны своей собственноручной подписью (но не всегда), в знак того, что участие стороны в этой сделке соответсвует её свободному волеизъявлению.

    Теперь, что касается электронной подписи. На заре становления ЭП в России её называли «электронная цифровая подпись» (ЭЦП), видимо, в качестве кальки с англоязычного digital signature. Потом слово digital переварилось и растворилось, осталась «электронная подпись». Вообще, по действующему законодательству электронной подписью можно назвать что угодно, хоть скан собственноручной подписи, поэтому были введены детализирующие понятия. Закон определил три понятия ЭП:

    • Простая электронная подпись — любые коды, пароли, сканы, SMS-верификация. Имеет ограниченное юридическое признание, в том числе только в случае, когда стороны договора заранее договорились использовать такой тип подписи и определили параметры использования.
    • Усиленная неквалифицированная электронная подпись — подпись, совершённая с использованием любых криптографических средств защиты информации, при участии ключа ЭП. При признании такой подписи важно, чтобы по такой подписи можно было установить подписавшую сторону и обеспечить криптографическую стойкость подписанного документа (для обнаружения факта внесения изменений в документ после момента его подписания).
    • Усиленная квалифицированная электронная подпись (УКЭП) — соответствует характеристикам усиленной неквалифицированной электронной подписи, но с условием, что ключ ЭП подписывающей стороны удостоверен государственным органом власти по цепочке доверия (уполномоченным удостоверяющим центром).

    Далее речь пойдёт исключительно про усиленную квалифицированную электронную подпись, УКЭП — именно данный тип подписи используется в юридически-значимом электронном документообороте в России.

    Обобщённый принцип работы ЭП


    Если на пальцах попробовать объяснить, что такое электронная подпись и как она, чёрт возьми, работает, то получится примерно такое тезисное описание.

    Есть группа асимметричных криптоалгоритмов «с открытым ключом». У владельца формируется взаимосвязанная пара из двух ключей: закрытый и открытый ключ. Закрытый, или приватный ключ строго хранится у владельца и является тайной. 

    Открытый, или публичный ключ неотъемлемый от приватного и может свободно передаваться кому угодно. С помощью открытого ключа можно зашифровать некую информацию так, что расшифровать её сможет только владелец закрытого ключа и никто ещё (даже тот, кто зашифровал данные). 

    С помощью закрытого ключа можно сформировать подпись исходной информации, при передаче такого файла совместно с подписью, получатель, заранее имеющий публичный ключ владельца, может вычислить, что файл не был видоизменён в процессе и подписан именно тем лицом, которое владеет закрытым ключом.


    CC-BY-SA, Иллюстрация процессов подписывания и проверки подписи при применении асимметричного шифрования, Wikipedia.

    Очевидно, что точка доверия — владелец ли передал ранее свой публичный ключ или кто ещё? Для того, чтобы каждому не устанавливать с каждым заранее пиринговых доверительных отношений, придумана PKI (Public Key Infrastructure, Инфраструктура публичных ключей).

    Чтобы публичный ключ отправителя, владельца ключа ЭП, был доверенным по умолчанию получателем без установки отношений, его может подписать общий доверенный обеими сторонами участник. Он называется «удостоверяющим центром», УЦ. Технически, УЦ добавляет к публичному ключу владельца набор дополнительных свойств (как правило: срок действия, текстовое описание владельца, набор служебных идентификаторов), после чего этот бутерброд уже подписывает своим закрытым ключом. Итоговый файл называется сертификатом ЭП. Владея заранее публичным ключом УЦ, файлом и ЭП отправителя, получатель подписи может вычислить, подвергался ли файл изменениям после подписания.

    Публичный ключ УЦ может быть также удостоверен публичным ключом иного УЦ (иногда и нескольких, это называется кросс-подпись). Таким образом, получатель может не иметь открытого ключа непосредственно УЦ отправителя, а может иметь открытый ключ вышестоящего УЦ, который в свою очередь подписал открытый ключ УЦ отправителя. Цепочка проверки удлинится, но всё равно построить цепочку доверия будет возможно.

    Дополнительно при формировании ЭП для документа в этот бутерброд добавляется важный ингредиент — штамп времени, timestamp. Это метка реального времени из доверенного источника, подписанная также ЭП сервера точного времени. Она уникальна и создаётся для конкретного документа. Это позволяет убедиться, что подпись сформирована в конкретный момент времени и не даёт перегенерировать подпись «задним числом».

    Так работает PKI (читай: электронная подпись) во всём мире в различных реализациях: HTTPS для сайтов, корпоративная аутентификация в VPN и Wi-Fi, регистрация SIM-карт в сети, чиповые и бесконтактные банковские карты, DNSSec и RPKI, валидация загранпаспортов, ЭП в России и аналоги за рубежом и т.д.

    Стоит отметить, что закрытый ключ ЭП является ключевым элементом системы, потому что его компрометация позволит несанкционированно создавать ЭП без ведома владельца. На страже ключа стоят индустриально признанные алгоритмы, за историю прикладной криптографии их разработано достаточно много. Самым распространённым алгоритмом ключей является RSA, история применения которого насчитывает уже 40 лет. Он имеет достаточно дубовый математический аппарат, и до сих пор надёжен за счёт простоты и элегантности решения, прямо как топор (при правильном применении). Более молодые и перспективные алгоритмы основаны на математике эллиптических кривых, из них ECDSA (и целая вереница «кривых» под капотом), перспективный ED25519, оба наших ГОСТа (как старый, 2001 года, так и новый, от 2012). Всё это защищает закрытый ключ от его «восстановления» на основе открытого. Защиту от прямого копирования закрытого ключа обеспечивают современные механизмы смарт-карт: закрытый ключ генерируется внутри криптографической микросхемы и никогда не покидает её пределы, в том числе и во время операций с ним; а специальные механизмы саморазрушения делают практически невозможным механический взлом микросхемы.

    Как у них?


    В ряде цивилизованных стран ключ ЭП выдаётся гражданам вместе с пластиковым идентификатором личности. Так как ID выдаётся государственным органом власти, ключ ЭП в составе ID также выдаётся государством и равняется сроку действия самого удостоверения. В большинстве случаев тем, кто желает пользоваться электронной подписью, достаточно докупить копеечный считыватель смарт-карт и поставить на компьютер комплекс ПО для взаимодействия с ключом и работы с ЭП. Такие удостоверения используют индустриально стандартизированные параметры, так как за их выпуском «приглядывает» международный орган по стандартизации ИКАО. ИКАО (ICAO) на самом деле не для того создана, чтобы заниматься стандартизацией удостоверений личности, так как это вообще-то Международная организация гражданской авиации, стандартизирующая всякое в авиации. Но так повелось, что миграционный контроль граждан — немалая часть обязанностей авиаперевозчиков и наземных авиаслужб, поэтому ИКАО взялись и за стандартизацию проездных документов, среди которых паспорта всех видов и идентификационные карты, выпустив серию стандартов 9303 в 12-ти частях. А так как большинство государств стало внедрять ЭП как дополнительное приложение на смарт-карте персонального удостоверения личности, это обеспечило хоть какую-то совместимость электронной составляющей таких ID от страны к стране, в том числе по части алгоритмов ЭП.


    Основные атрибуты идентификационной карты соответствующей стандарту ICAO. Образец документа крупного производителя пластиковых карт Oberthur

    С другой стороны, основные операционные системы содержат в себе встроенные программные реализации всемирно признанных криптоалгоритмов, что делает возможным обмен подписанными документами и проверку ЭП среди контрагентов из разных стран.

    А как у нас? 


    В России есть несколько стандартов, описывающих национальные алгоритмы ЭП, признаваемые нашим законодательством. Два из них (ГОСТ Р 34.10-94 и ГОСТ Р 34.10-2001) в настоящее время не действуют (от 2001 года имеет ограниченное действие в legacy-режиме), рабочим является ГОСТ Р 34.10-2012. Все УКЭП должны использовать алгоритм ГОСТ Р 34.10-2012 или ГОСТ Р 34.10-2001, чтобы считаться юридически признаваемыми. В целом, наши алгоритмы считаются вполне неплохими, построенными как раз на основе эллиптических кривых (не считая совсем устаревшего от 94 года). Однако в силу ряда причин они не стали общепризнанными международными стандартами. Самое интересное, что ГОСТ Р 34.10-2001 сумел просочиться в стандарт DNSSec, но успеха и какой-либо осязаемой доли достичь не смог. Зато осилили написать RFC в рамках IETF — за это плюс в карму.

    В какой-то момент наши законодатели стали прибивать УКЭП гвоздями в разные сегменты гражданских отношений в России. Начали, естественно, с одной из самых обираемых групп субъектов — юридических лиц. В целом, идея здравая: перевести документооборот в электронный вид, убрать очереди из разных контролирующих контор, опять же, подорвать бизнес целлюлозных заводов и сохранить природу за счёт снижения объёма бумаги. Но, так как законы принимаются в том числе без должной проработки и экспертизы (а иногда и вовсе в интересах определённого круга лиц, по ощущениям), так что всё в какой-то момент пошло не так. Государство обязало предпринимателей получать и продлевать ЭП каждый год (срок действия обычного ключа 12-15 месяцев), при этом самоустранилось от самого процесса выдачи такого важного атрибута, как ключ ЭП, отдав это на откуп коммерческим организациям — уполномоченным удостоверяющим центрам, на текущий момент их 445 с действующей аккредитацией не считая филиалов и представительств. При этом, кроме того, что выдача ключа УКЭП сама по себе не бесплатна, было выбрано очень странное программно-аппаратное решение. Было принято решение заменить нормальные защищённые криптографические носители для закрытого ключа на более дешёвые, позволяющие производить копирование ключа (на самом деле не такие уж и дешёвые). Так как такие носители не умеют сами работать с ключом, а по сути являются флешками с паролем, подтянулись софтверные коммерсанты, торгующие программными прослойками для операционных систем, которые проводят манипуляции с закрытым ключом ЭП, копируя его в оперативную память компьютера (SIC!), и при этом стабильно стоят денег.

    Пикантности добавило тотальное невежество добровольно-прину́жденных пользователей ЭП и чудовищность программных решений для работы с ней. Например, чтобы настроить рабочий компьютер среднестатистического пользователя ЭП для работы с бухгалтерскими порталами всех мастей и электронными торговыми площадками, надо выполнить порядка 20 операций: скачиваний/устанавки кучи разномастного ПО сомнительного качества, сертификатов УЦ, произведения специфических настроек, чтобы всё это взаимодействовало и хоть как-то работало. Не стоит даже упоминать, что этот ворох говнокода более-менее уверенно работает только в среде Windows (и не всегда последних версий), крайне ограниченно и с жуткими костылями работает в некоторых «гослинуксах» и абсолютно не работает на MacOS. Например, сайт налоговой всего менее года назад отучился работать только с Internet Explorer! И это ФНС — ведомство, которое считается относительно продвинутым в IT и оператором немалого государственного big data решения. 


    CC-BY-SA, Vadim Rybalko, Примерный список действий, которые выполняет скрипт-автоустановщик ПО для использования УКЭП. У УЦ СКБ Контур хоть есть такой сервис, некоторые УЦ просто дают инструкцию в DOC-файле.

    Среднестатистический usecase с УКЭП в компании: кто-то (курьер или эникейщик) получает по доверенности от руководителя организации в УЦ ключ, передаёт его условной тёте Мане бухгалтеру, которая «подписывает» им документы от имени руководителя. Надо понимать, что суть УКЭП — аналог собственноручной подписи, а не подписи дяди условного Васи. То есть, применение в данном виде уже претерпело существенные мутации. Надо не забывать, хоть ключ выдан и организации для работы с электронной отчётностью, он содержит в качестве квалифицирующих значений и данные физического лица — руководителя, на чьё имя данный ключ создан. Это допускает вектор атаки против данного физического лица, единственным сдерживающим фактором которого является неразвитость электронных услуг с ЭП для физических лиц. И даже физический контроль над токеном с ключом является фикцией, так как любое лицо (тот же бухгалтер) может относительно незаметно для владельца просто скопировать ключ себе «в реестр», потому что «так удобнее». И это не говоря о пин-кодах по-умолчанию вида 12345678. Мрак и декаданс.

    Отдельно стоит написать про электронную подпись для торговых площадок. Чтобы совершать сделки с бюджетными и околобюджетными структурами: что-то продавать или оказывать услуги, необходимо пройти через механизм тендера. Тендер осуществляются на электронных торговых площадках (ЭТП): специальных сайтах, где размещаются заказы, что-то типа аукциона. Площадок достаточно много, как правило их держателями являются крупные окологосударственные организации. Чтобы быть аккредитованным участником ЭТП, нужно иметь электронную подпись, но только УКЭП, какой бы она ни была официальной и признаваемой государством не подойдёт. Нет, разговор не о доверии к УКЭП, просто владельцы торговых площадок на этом зарабатывают. Технически электронная подпись для площадок та же УКЭП, но в состав сертификата дополнительно входят дополнительные идентификаторы, OID, которые дают право использовать данный ключ УКЭП на конкретной площадке. Сделано это с той целью, чтобы получить за выпуск такой электронной подписи ощутимо больше денег, чем за выпуск обычной УКЭП. Доходит до нелепого сценария: чтобы продать что-то РЖД, нужно пройти через тендер, для которого надо получить ключ электронной подписи у конкретного УЦ, не любого. РЖД может закупать не только вагоны и чугунные мосты, но и достаточно недорогой товар или заказывать услуги в малых объёмах. Технически, можно осуществить недорогую сделку и без тендера, но представители РЖД боятся так делать, могут по шапке настучать. Поэтому они предлагают потенциальному поставщику зарегистрироваться на своей же карманной торговой площадке и откликнуться на специально подготовленный под поставщика заказ. Естественно, что такая схема в принципе попахивает нарушением принципов тендера, но для работников корпорации главное соблюсти бюрократический регламент. Естественно, торговая площадка РЖД работает только для тех, кто имеет ключ электронной подписи, только в отличие от более крупных ЭТП, сотрудничает всего с четырьмя аккредитованными УЦ, из которых нет ни одного с разветвлённой сетью офисов по России, а один является просто оператором (владельцем) самой площадки. Но если представителям РЖД очень надо получить уникальную услугу и поставщику проще им отказать в этом цирке с их ЭТП, то иногда они могут плюнуть на свой тендерный регламент и заказать сделку напрямую (основано на реальной истории). Получается, что вроде и нормальная УКЭП с одной стороны, но не подходит для ряда действий, для которых надо получать по сути такую же УКЭП у другого УЦ с иным набором дополнительных атрибутов. В итоге ворох токенов, за которыми сложно следить и которые надо продлевать ежегодно, проходя квест с подтверждением полномочий.

    Ряд уполномоченных УЦ вообще подозревают в халатном отношении к верификации персональных данных субъекта при выдаче ему УКЭП. Это должно было случиться, учитывая количество УЦ, которые развернули свою деятельность по всей территории страны. Хочется надеяться, что данные случаи всего лишь описывают факт невнимательности, а не умышленных действий. И да, если кто-то успешно попробует получить УКЭП по подставным документам на моё имя, я даже не узнаю об этом! Причём я владею своей персональной УКЭП, то есть появится ключ-двойник. Отсутствует возможность узнать по сводному реестру, что на некое лицо выпущена УКЭП, у каждого УЦ свой реестр и процедуры доступа к нему. Фактически нет доступного механизма отзыва УКЭП по заявлению без рассылки писем с нотариальным заявлением по адресам всех существующих УЦ. Более того, такие случаи не редкость, например PaulZi оказался в ситуации, когда на него оформили несколько подставных организаций путём получения УКЭП по подложным документам.

    В своё время реальный пример раскрытия данных был на сервисе Госуслуги, куда можно было попасть по УКЭП, выданной руководителю организации, в его персональный личный кабинет на портале. Страшных действий натворить там было сложно, но всё равно для кого-то это будет неприятно. А, например, тот же Росреестр, после ряда скандалов с переоформлением прав собственности на недвижимость с помощью УКЭП, был вынужден продавить законопроект (ещё не принятый, кстати), запрещающий совершать сделки с недвижимостью с использованием УКЭП, если заранее не разрешить такие операции для данного физического лица. То есть, сначала делаем откровенное архитектурное решето, а потом не меняем его, а просто ставим заплатки.

    При разработке следующего проекта с применением УКЭП, ЕГАИС, разработчики пошли чуть более в сторону светлой стороны: допустили для работы в системе только те УКЭП, которые находятся в неизвлекаемом виде на честных криптографических токенах. Это проблеск здравого смысла, жаль, только на рынке классических УКЭП продолжает царить криптографический нигилизм. Да, это возможно было всегда, но финансовые интересы производителей программных прослоек тоже надо обслуживать. Да и ежегодный выпуск ключа каждому юрлицу удостоверяющим центром тоже неплохое финансовое подспорье.

    К слову, неизвлекаемые аппаратные ключи давно и успешно использует ряд банков в своих решениях дистанционного банковского обслуживания для организаций. Отдельным бенефитом таких решений является относительная абстрагированность криптографических вычислений с конкретным крипто-алгоритмом от поддержки данного алгоритма операционной системой. Можно сказать, что ОС уже не обязана уметь работать с конкретным алгоритмом, а просто выдаёт задания: создай подпись для этого, или зашифруй это, а микропрограмма на аппаратном ключе уже выполняет указанные действия. И сразу не нужно никакое платное сумеречное ПО и всё отлично работает в любых браузерах, и даже на Маке.

    Ну и нельзя не упомянуть весьма странный проект по запихиванию алгоритмов ГОСТ в мобильную телефонию, а именно в SIM-карты. Здравому анализу данная хотелка некоего круга лиц из числа russian silovik и подконтрольных «лицензированных» вендоров крипто-оборудования не поддаётся. Хорошо, если дело только в госзаказах и приземлении очередной суммы денежных средств в нужном направлении, но это даёт очередной повод конспирологического обсуждения несчастного и так не очень рукопожатного «суверенного» криптоалгоритма.

    Одни ли мы такие Д’Артаньяны?


    При подготовке статьи с удивлением обнаружил ещё нескольких представителей клуба искателей своего пути. По странному стечению обстоятельств, они тут, под боком: белорусы выдумали свой алгоритм СТБ 34.101.45-2013 (крайне схожий с ГОСТ), а украинцы — ДСТУ 4145-2002. Особенности алгоритмов расписаны в прекрасном посте NeverWalkAloner. Обе страны даже не удосужились описать свои стандарты в IETF RFC, в отличие от ГОСТ. Там скорее всего свои мыши с кактусами в практическом применении, о которых нам не ведомо, но нам и своего хватает.

    Перспективы


    Есть мнение о закате «классической» криптографии по мере развития квантовых вычислений. В определённый момент станет возможным обойти базовый принцип защиты закрытого ключа — невозможность его восстановления из открытого за вменяемый промежуток времени. Эта проблематика относится к области криптографии — постквантовой криптографии. В целом, подходы к PKI это особо не меняет, этот вопрос больше относится к выбору конкретных криптографических алгоритмов.

    Ещё одной механикой подтверждения личности является биометрическая аутентификация. Как любая биометрия, такие данные не могут выступать вектором генерации закрытого ключа, так как априори биометрические параметры доступны для считывания без контроля владельца, так как всегда на виду у всех (отпечатки пальцев, рисунок радужной оболочки глаза, голосовой профиль). Технологии считывания биометрических данных у их владельца постоянно находятся под прессом технических способов воспроизведения этих данных без участия владельца на основе ранее сделанной записи. Это вполне действующая технология, которая имеет определённые ограничения. То есть, это не замена электронной подписи и модели PKI, а отдельный механизм со своей нишей использования.

    Отдельно стоит кратко рассказать про «облачную электронную подпись». Как и все термины, имеющие в своём составе слово «облачный», данная технология не является чем-то волшебным: это всего навсего хранение ключевой пары владельца (включая закрытый ключ) на некоем сервере в сети Интернет. Криптографические операции аналогично производятся на удалённом компьютере, по сути, владелец ЭП не контролирует свой закрытый ключ никак. В России появились сервисы облачной подписи, один из первых стала предоставлять ФНС для личного кабинета физических лиц, а сейчас такие сервисы предоставляются некоторыми поставщиками «облачной бухгалтерии». По факту это появилось исключительно из-за проблем совместимости нашей УКЭП с компьютерами и иными электронными устройствами конечных пользователей. Какие бы ни давали заверения поставщики таких услуг, реальная защищённость таких решений от неправомерных действий поставщика, его сотрудников или третьих лиц остаётся только на совести такого поставщика. Большинство технически подкованных людей отмечают эту технологию как профанацию криптографии, в том числе направленную на то, чтобы под любым благовидным предлогом отнять закрытый ключ подписи у владельца этого ключа и положить в доступное для нужных служб хранилище.

    Ну и какая статья может обойтись без упоминания Blockchain? На самом деле, технология самозаверяемого реестра уже используются в реализациях PKI, тот же transparency log активно используется рядом удостоверяющих центров. И не стоит забывать, что сам Blockchain — приложение к криптографии, в том числе на асимметричных алгоритмах. И, в целом, идеи переработки удостоверения личности в плоскость blockchain выглядят заманчиво, хотя и пугающими из-за излишней прозрачности реестра. Даже под идею подтянулись со своим виденьем некоторые дизайнеры.

    Есть ли свет в конце тоннеля?


    На самом деле есть. Безусловно, применение ЭП должно развиваться — это благо. По моему мнению, институт уполномоченных УЦ должен уйти. Это лишнее звено, к тому же и слабо контролируемое. Единственным ответственным за выдачу УКЭП должен стать орган власти, как и в большинстве стран. Самым рациональным выглядит сценарий некоторых стран: выдача УКЭП в составе электронной удостоверяющей личность карты, что сразу ограничит ряд векторов атак, так как УКЭП будет одна на человека и в виде, исключающем сознательную передачу ключа иному лицу на постоянной основе. Та же передача ключа условному бухгалтеру — невежество, надо передавать полномочия, а бухгалтеру делать свой ключ на его имя (а с УКЭП на ID-карте достаточно просто передать полномочия, ключ к этому моменту у бухгалтеру уже будет свой). Но пока, возможно, никто этим не заморачивается. Естественно, с данной карты ключ должен быть не извлекаемым. Излишние программные прослойки тоже должны оказаться на свалке истории. Разработать внятные открытые стандарты контейнеров для передачи ЭП, желательно opensource. Посмотреть в сторону эстонского решения, как наиболее прогрессивного и элегантного.

    Здесь отдельная боль по поводу нормального пластикового удостоверения личности взамен морально устаревшему российскому внутреннему паспорту. При неспособности взять и сделать как все (а всё придумано до нас), мы выдумываем свой особый путь с берёзовым соком и кокошниками, проектируем каких-то монстров в интересах коммерческого банка (SIC!) — это камень в огород УЭК. История приключения Сбербанка с УЭК тянет ещё на один обзор, так как в ней много боли. Сегодня снова заговорили об ID-картах, но теперь уже Ростелеком тянет одеяло на свою сторону и предлагает очередного франкенштейна, вместо того, чтобы взять спецификацию ICAO, обмазать её любимым ГОСТом (смарт-карты и не такое переживали) и пустить в опытную эксплуатацию.

    Вот тогда заживём (если доживём)!

    Немного о себе: системный и сетевой администратор, крипто-энтузиаст, коллекционирую банковские карты (порядка двух тысяч штук) и удостоверения личности различных стран, топлю за здравый смысл.
    Хабр
    190,14
    Создаем и развиваем сервисы для гиков
    Поделиться публикацией

    Комментарии 340

      +10
      Главная проблема — множество аккредитованных УЦ и отсутствие возможности узнать, в каких УЦ выдавали Вам подпись (а также доступного механизма её отзыва по заявлению без рассылки писем с нотариальным заявлением по адресам всех существующих УЦ) — практически не раскрыта.
        +2

        Эту тему не раскрыл, только коснулся вскользь. Есть у вас кейсы с расширенным описанием проблемы или ссылки на них? Добавлю в статью.

          +3
            0

            Супер!

              +6
              И просто «Для масштаба». Как Вы думаете, сколько в России УЦ?
              Около 600.
              Включая банки, непонятные шараги, ВУЗы, провайдеры, страховые компании и прочие-прочие-прочие.
              И нет никакой гарантии, что завтра не откроют новый. И не закроют парочку существующих.
                +4

                445 с действующей аккредитацией, тоже добавил для наглядности.

                  –1

                  А что ВУЗ-ы не должны учить? И кто запрещает имень корпоративный УЦ? Какое они имеют отношение к аккредитованным УЦ, только чьи сертификаты могут использоваться в сделках.


                  И нет никакой гарантии, что завтра не откроют новый. И не закроют парочку существующих.

                  Аккредитованные УЦ у нас закрываются по закону, а корпоративные — хрзяин барин. Не надо все валить в одну кучу.

                    +2

                    Имеется в виду, что выдают УКЭП различные организации, в том числе те, для кого УЦ не основная деятельность. Учитывая отсутствие ограничений использования УКЭП определёнными сферами применения, выглядит уязвимостью. Тут вопрос не про НЭП и не про корпоративный PKI.

                      –3
                      Имеется в виду, что выдают УКЭП различные организации, в том числе те, для кого УЦ не основная деятельность.

                      А что такое основная и не основная деятельность. Если УЦ аккредитован Минкомсвязью, а значит он имеет и все необходимые лицензии, значит он абсолютно легитимин и занимается своим делом. Или у нас кто-то другой решает? А если он не аккредитован, то зачем вы в него идете. А потом, ой меня абманули. А подпись (УКЭП) не выдают, а могут ставить любые граждане и организации, имеющие на руках сертификаты, полученные в аккредитованных УЦ!!!

            –2
            отсутствие возможности узнать, в каких УЦ выдавали Вам подпись

            Абсолютно неверный посыл. УЦ не выдает никакой подписи. Он выдает сертификаты, в которых записан ваш публичный ключ. Все это аналогично паспортному столу, который выдает паспорт и заверяет вашу фотографию и вашу рукописную подпись. А вот что делается абсолютно неверно, так это генерация закрытого ключа в УЦ. Это, конечно, нонсенс. И автор статьи про это неоднократно писал. Гражданин должен сам генерировать запрос на сертификат и именно с ним идти в УЦ.
            А подписывает документы гражданин сам, для это не надо ходить на УЦ.
            В любом сертификата прописано, по аналогии с паспортом, каким УЦ выдан сертификат (поле Издатель/Issuer). Там также прописан, где получит сертификат УЦ, кто выдал сертификат УЦ, где проверить действителен ли сертификат. Это все есть, надо научиться этим пользоваться.
            Сертификат отзывается по заявлению его владельца, так же как пладелец паспорта идет в паспортный стол заявлять об утрате паспорта. И для этого не не нужно рассылать заявления во все УЦ. Для этого есть списки отозванных сертификатов и/или сервера OCSP.
            А проблем сегодся с электронной подписью море. Самое главное на мой взгляд это пропоганда что такое ЭП, какая именно она должна быть (CAdes-XLT1), как ее проверить и средства формирования подписи.

              +3
              Приветствуем представителя основателя ЛИССИ на Хабре!
              museum.lissi-crypto.ru/site_news/2013/02/10
              www.cnews.ru/news/top/bss_i_osnovatel_lissi_obvinyayut_drug
                +5
                Ок, по пунктам:
                1. Как генерация закрытого ключа вне УЦ решит проблему из цитаты в начале вашего поста? Что мешает злоумышленнику сгенерив ключи вне УЦ, выпустить по сговору / подложным документам сертификат в одном из сотен аккредитованных УЦ? Вы как-то узнаете об этом факте (нет)?
                Метод, предложенный автором статьи такую проблему решает на корню — ключи вместе с сертификатом записаны на ID-карту государством, и возможности выпустить дубликат по сути нет.
                Возможны и полумеры, которые в этой области сделают хотя бы чуточку лучше — почему мне не приходит нотификация от госуслуг, когда мне выпускают сертификат? Данные эти УЦ передают в СМЭВ/ЕСИА, т.е. фактически у оператора госуслуг они есть. Да даже банально я это посмотреть нигде не могу в централизованном виде (реестр сертификатов на e-trust.gosuslugi.ru не работает и никогда не работал).
                2. Как атрибуты в сертификате и OCSP поможет мне узнать о в принципе существовании сертификата на мое имя?
                3. Самая главная проблема ЭП не это, а изобретение велосипедов с дальнейшим героическим преодолеванием последствий. Повсеместные сомнительные ни с чем не совместимые «криптоплагины», «криптопровайдеры» и «свои пути».
                  +2
                  1. Как атрибуты в сертификате и OCSP поможет мне узнать о в принципе существовании сертификата на мое имя?

                  Если вы не получали сертификата, то никак пока он где-то не всплывет. Точно также как вы и не будете знать, если кто-то получит поддельный паспорт на ваше имя. Это проблема всегда была и будет, проблема подделки документов, не важно электронные это докумуенты или другие.


                  Как генерация закрытого ключа вне УЦ решит проблему из цитаты в начале вашего поста? Что мешает злоумышленнику сгенерив ключи вне УЦ, выпустить по сговору / подложным документам сертификат в одном из сотен аккредитованных УЦ? Вы как-то узнаете об этом факте (нет)?

                  Ничто не мешает! См. предыдущий абзац. Но если он всплывет, то вы также как и с паспортом сможете доказать, что это не ваша электронная подпись: вы не были на УЦ, не расписывались за получение сертифыиката и т.д.


                  1. Самая главная проблема ЭП не это, а изобретение велосипедов с дальнейшим героическим преодолеванием последствий. Повсеместные сомнительные ни с чем не совместимые «криптоплагины», «криптопровайдеры» и «свои пути».

                  А вот тут я с вами полностью согласен!

                    +4

                    В случае перевыпуска "электронного паспорта" (УКЭП в одном экземпляре из будущего) по подложным документам, старый инвалидируется и это относительно быстро становится заметно. И никаких теневых ключей.

                      –1

                      А как это по подложным документам? В сговоре с УЦ?

                        +9

                        Например, или по доверенности. Но в идеале, КЭП должна быть government issued, и пользование чужой преследовалась по закону как использование подложных документов (чужого паспорта).

                          –4

                          Что значит по доверенности? Доверенность настоящая или нет? Если настоящая, сам виноват не давай кому попало.


                          Но в идеале, КЭП должна быть government issued, и пользование чужой преследовалась по закону как использование подложных документов (чужого паспорта).

                          А разве сегодня не так?

                            +4

                            Доверенность может быть настоящая, но выданная по тем же подложным документам.


                            Конечную подпись выдают коммерческие структуры. Я не видел практику наказания за использование чужого УКЭП. Максимум — мошеннические действия, и то в случае ущерба.

                              –3

                              Мы идем по замкнутому кругу, доверенность такой же документ и надо проверять ее подлинность. УКЭП — усилинная квалифицированная электронная подпись. Правильно? Ее (подпись) может поставить только владелец закрытого ключа, на открытый ключ от которого выдан сертификат, только на конкретный документ.
                              Если это не поставили УКЭП, то либо


                              1. вы передали свои закрытый ключ кому-то
                              2. вы потеряли его и не известили УЦ
                              3. кто-то сделал дубликат его
                              4. ЛИБО это поддельный ключ
                                В первых трех случаях вините себя любимого, а в последнем надо выводить жуликов (так мягко) на чистую воду — вор должен сидеть в тюрьме!
                                +4

                                Ваша позиция понятна. Но вы не забывайте, что она сформирована на базе вашего опыта. Всё-таки вы взрослый человек, посвятивший значительную часть своей жизни разработке криптографического ПО. Вы разбираетесь и понимаете.


                                УКЭП входит в жизнь обычных людей. Можно сравнить с индустрией банковских карт, где процент пользователей вообще не понимающих как это работает под капотом зашкаливает. Люди, не знающие принципы работы неизбежно будут допускать ляпы с безопасным использованием, поэтому их ответственность ограничена. И индустрия банковских карт постоянно совершенствует технологии, лавируя на тонком балансе безопасности и удобства. Технически, там и неизвлекаемые ключи, и полноценный PKI с жёсткой валидацией всего и вся, и ПИН-код, по спецификации не покидающий пределы клавиатуры, и 3ds, и программный антифрод. И даже при такой обмазке допускаются случаи неправомерного использования.


                                Теперь мы говорим об УКЭП — комплексе, заменяющем подпись гражданина. Как по мне, это как-то посерьёзнее банковского счёта, где ответственность ограничена платёжным лимитом. Здесь можно и квартиру «продать», и кабальный контракт заключить. Да и поучаствовать в уголовно наказуемой деятельности (регистрация обнальных компаний). Это очень крутой уровень ответственности и подходы к безопасности инструментов должны быть очень строгими. Те же эстонцы переполошились, когда у их eID вскрылась потенциальная бага с безопасностью, а у нас ключ можно просто скопировать и всем пофиг, работает — не трогай. И не мешай бизнесу CSP и УЦ.


                                Легко сказать: «сам дурак».

                                  +1
                                  Технически, там и неизвлекаемые ключи, и полноценный PKI с жёсткой валидацией всего и вся

                                  Мы же здесь с вами единомышленники. Я и говорю, что как минимум у граждан толжен быть персональный криптографический ключик (ваши же слова, токены с поддержкой российской криптографии), который подписывает внутри себя, где у него хранится и НЕИЗВЛЕКАЕМЫЙ ваш закрытый ключик. А если наши ключи будут хранится во всяких CSP, в хранилищах Windows или на ключиках/токенах, используемых как обычная флэшка, то какая безопасность.
                                  Здесь действует принцип И не мешай бизнесу CSP и УЦ. А это страшно.

                              +4
                              А разве сегодня не так?


                              Нет, как уже было сказано выше, сегодня в подавляющем большинстве коммерческих организаций Маня из бухгалтерии, которая занимается «банк-клиентами», подписывает «платёжки» двумя «флешками» — с «подписью» главбуха и генерального. Совершенно открыто и без тени сомнения в правильности своих действий.
                                +2

                                Ну-ну. Зачем двумя, если на одной можно обе подписи держать? ))

                                  0

                                  Вы не правильно поняли.


                                  сегодня в подавляющем большинстве коммерческих организаций Маня из бухгалтерии, которая занимается «банк-клиентами», подписывает «платёжки» двумя «флешками» — с «подписью» главбуха и генерального. Совершенно открыто и без тени сомнения в правильности своих действий.

                                  А с этим я согласен. Но так решил директор или учредитель. Маня здесь не виновата. И к ней притензий быть не может. А вот если клюнет жареный петух, то должны отвечать те, кто Мане приказал. В итоге они накажут сами себя.

                                  +2
                                  Простите, недавно были громкие дела, когда по подложной доверенности банки выдвавали десятки миллионов чужих рублей.
                                  И банки в этом не виноваты — они не обязаны и не имеют возможности проверять подлинность доверенностей.
                                  А УЦ обязаны и могут? Если ответ хотя бы на один вопрос «нет» — УЦ становятся слабым звеном: открываем свой УЦ / договариваемся с чужим, получаем ключ за того парня и на пути в Аргентину ( умные люди всегда бегут в Аргентину ещё с середины 40х) с помощью ключей получаем профит.
                                    +1
                                    В целом вы правы, но экономически нецелесообразно. Очень большие первоначальные затраты — свыше 10 млн руб. Проще подкупить техника ;)
                                      0

                                      Но если никто ни в чем не виноват и никто не за что не отвечает, то о чем мы здесь рассуждаем? Это становится похожим на Чикаго 30-х годов или мы возвращаемся в наши 90-е. Вам не страшно?
                                      Мне страшно, в любой момент у тебя могут отнять все! И чем меньше у тебя власти, денег, тем больше у тебя отнимут.
                                      Один путь остается в Аргентину (только в Аргентину ли?).

                                        +1
                                        Я надеюсь на лучшее ( правки к закону и прекращение треша ) и готов к хучшему ( не держу в 1 банке денег больше страхового лимита, учу к английскому ещё и испанский, получаю международные сертификаты и регистрирую домены и потенциально полезные проекты вне России)
                                          –1

                                          А почему не в России? Всеже готовитесь к худшему. Это разумно.

                                            +2
                                            9,5 правил ведения безопасного IT-бизнеса в России.
                                            Да и попробуйте честно запустить, к примеру, обменник электронных валют — вы не сможете законно отчитаться:
                                            налоговой и финмониторингу невозможно объяснить, что значит «пришли WMZ, ушла либра, вот прибыль» — со стороны это обналичка или отмывание, потому что нет в российском законодательстве понятия практически обо всей цифровой валюте.
                                            Ну а работать незаконно — это уклонение от налогов, обналичка, отмывание, финансирование и прочие неприятные штуки и тем более, если придут добрые ребята и попросят поделиться по-честному ( вывеска — вам, остальное — нам) вы не сможете сделать ничего, ибо см. выше.
                                              0
                                              вывеска — вам, остальное — нам

                                              И здесь вы правы. Но хотелось бы жить в стране, где строят заводы, школы, больницы и т.д. Где уважвемые люди учителя, врачи, армия (не путать с силовыми структурами), дети. Где люди, а тем более государство, не майнит криптовалюты, а выращивает хлеб, лечит людей, уважает старость и т.п.

                                                +3

                                                Да вы, батенька, о какой-то Скандинавии говорите!

                                                  +1

                                                  Так это Скандинавией называется! Теперь буду знать. Спасибо.

                                +9
                                В прошлый раз еще обсуждали. ЭП я могу получать хоть 445. По одной в каждом УЦ. Так-как УЦ имеют аккредитацию, они обязаны выслать публичную часть ЭП в общий реестр. Более того общий реестр есть. Нужен один единственный шаг, добавить список выданных ЭП на госуслуги и уведомлять человека о выдаче ЭП. Далее в случае если человек получил уведомление о выдаче ему левой ЭП, он может через те же госуслуги запустить процедуру отзыва ЭП. Если при этом он указывает что ЭП создана без его ведома, УЦ получает нехилые штрафы и далее вплоть до лишения акредитации. Это решает вопрос теневых ключей и не добросовестных УЦ.
                                  0
                                  Но добавляет другую проблему — удостоверяющих центров (кроме тех, кто выдаёт подписи только «своим») не останется вообще, либо до ближайшей точки выдачи ЭП может потребоваться ехать с несколько сотен км. Многие из них работают через партнёрскую сеть.
                                    0
                                    Это еще почему?
                                      0
                                      Потому что у самих УЦ по стране недостаточно своих центров идентификации, а открывать новые — тратить немалые средства, причём в небольших городах шансы на их окупаемость минимальны. Партнёрам (например, банки) это интересно, потому что они в дополнение к оформлению ЭП могут предлагать клиентам какие-то свои услуги (это не основной доход партнёра). Но УЦ несут полную ответственность за действия партнёров в случае любых злоупотреблений с их стороны, и в сферах, где уже установлены серьёзные санкции, работать стараются самостоятельно; с партнёра можно всех убытков и не взыскать.
                                        +1

                                        А, ну тогда понять и простить.

                                          0
                                          Этого я не говорил. В любом случае ответственность быть должна. Но отвечать должны виновные лица — те, кто нарушил процедуру (если это было), и (или) те, кто представил подложные документы для оформления КЭП.
                                            0

                                            Для этого должен быть прозрачный и публичный арбитраж с полномочиями прекратить аккредитацию в крайнем случае. Хотя бы на уровне СРО или независимого совета при Министерстве Носков. А не так, что когда будет мошенничество, тогда и приходите.

                                              0
                                              На уровне СРО этого недостаточно; нужны законодательные основания подключать к разборкам тех, кто в этих СРО не состоит. И в любом случае очень не мешают превентивные действия, направленные на предотвращение мошенничеств.
                                          0
                                          Напомню смысл был в том чтобы проверка данных была. А так получается да понять и простить. Так что пусть уменьшается, станет больше добросовестных поставщиков.
                                            0
                                            А кто сказал, что её не было? Процедуры у всех одни и те же; вопрос в том, что кто-то может положить на них с болтиком, но это и в УЦ может нерадивый сотрудник, лишь бы план сделать.
                                            +2
                                            Потому что у самих УЦ по стране недостаточно своих центров идентификации, а открывать новые — тратить немалые средства, причём в небольших городах шансы на их окупаемость минимальны

                                            вот и корень проблемы — оно и не должно окупаться, это вообще не должно быть бизнесом
                                            выдача паспортов как окупается? а водительских удостоверений?
                                          0
                                          Несколько сотен км — по меркам России не расстояние. А вот партнёрскую сеть — нафиг-нафиг. Полномочия на выдачу сертификатов выдаются удостоверяющему центру, а не каким-то его мутным партнёрам.
                                          Кроме того, УЦ должен при выдаче сертификата соблюдать элементарные меры предосторожности. Как минимум — под видеозапись проверять документы и собирать биометрическую информацию получателя сертификата. Так, чтобы в случае чего можно было идентифицировать жулика и привлечь его к ответственности. Если УЦ этого не делает, его сотрудников можно сажать за халатность.
                                            0
                                            А что, тот же банк не умеет идентифицировать клиентов? У них процедуры не слабее УЦ-шных, а ответственность — вплоть до лишения лицензии и соответственно основного дохода.
                                            А так, по личному опыту работы у одного такого партнёра, мы проверяли документы не хуже специалистов УЦ. И не стеснялись отсеивать, даже если кто-то пытался выбить себе преференции, нарываясь при этом на конфликт: нам тоже, мягко говоря, не хотелось терять статус партнёра.
                                              +3
                                              Банк умеет идентифицировать клиентов, но если он ошибся, то крайним оказывается банк: чтобы не проиграть суд, он должен доказать, что выдал деньги со счёта правильному человеку. Кроме того, в случае с банком клиент рискует максимум теми деньгами, которые он сам лично принёс в банк (ну и ещё банк может попытаться повесить на человека чужой кредит… Только не получится ведь).
                                              В случае с УЦ ситуация другая: УЦ, выдавая сертификат без должной проверки, сейчас ничем не рискует, а последствия выдачи такого сертификата могут быть какими угодно, и не только для человека, на имя которого выдан сертификат, но и для третьих лиц.
                                              По сути, требования к процедурам идентификации клиентов в УЦ должны быть не менее жёсткими, чем те, которые прописаны во внутренних документах приличных банков на случай выдачи крупных сумм. И ответственность УЦ в случае выдачи сертификата не тому лицу тоже должна быть сравнимой с теми неприятностями, которые получит банк, выдав много денег не тому человеку.
                                                +1
                                                Это если в общем случае. А, когда речь идёт, скажем, об ЭП для торговых площадок, то там у УЦ всегда была серьёзная (на миллионные суммы) финансовая ответственность перед площадкой, и соответственно ЭП стоила дороже. Правда, коллеги рассказывали мне об этом ещё за несколько лет до того, как появился 63-ФЗ с КЭП; может, с тех пор что-то поменялось.
                                                  +2
                                                  Сейчас, насколько я слышал, государственным торговым площадкам запретили требовать наличия специфических OIDов в сертификате (потому что они со своими «карманными» УЦ уж слишком увлеклись). Любой сертификат, выданный любым УЦ, годится. Да и миллионная ответственность по нынешним временам — не густо: продал чужую квартиру — вот уже десяток миллионов.
                                      +1
                                      В случае с сертификатами для сайтов в последнюю пятилетку народ всё же дошёл до двух важных вещей:
                                      1) обязательного публичного журнала всех выданных сертификатов.
                                      2) возможности сказать «я разрешаю выдавать сертификаты только этим УЦ». Все сертификаты выданные другими УЦ отклоняются браузером автоматически.
                                        +1

                                        DNS CAA, кстати, многие CA не поддерживают )
                                        Но направление верное.

                                          0
                                          Интересно, имеется ли в действующих стандартах PKI и в их реализациях внутри соответствующего ПО (в основном операционные системы и СКЗИ) готовый механизм реализации п. 2.
                                            0

                                            Вообще, DNS CAA вроде обязательно для всех CA с сентября 2017 года. Но это чисто браузерный стандарт.

                                              0
                                              Я не про DNS, а в принципе про возможность проверки владельца сертификата по некоему единому реестру — разрешал ли он данному УЦ выдавать сертификат.
                                                +1

                                                Если про УКЭП, то сейчас нет такой возможности, реестр ЕСИА приватный.

                                              +2
                                              Как выяснилось, я народ обманул и исполнять этот стандарт должны УЦ (и не выдавать сертификаты для чужих клиентов), а не браузеры. Видимо предполагается, что всех нарушителей можно будет выкинуть из списка доверенных быстрее, чем за полтора года, как это было со StartSSL.
                                        +5
                                        Вы не поняли. Если кто-то по поддельным документам оформил в каком-то из четырёх с чем-то сотен УЦ сертификат на Ваше имя, Вы об этом ничего не узнаете, если только Вы не клиент этого УЦ. Централизованного механизма для поиска «всего списка» по всем УЦ у конкретного лица (владельца сертификата) нет.
                                          +2

                                          Да, не понял. А вести единый реестр выданных сертификатов, так же как есть единая база данных паспортов и много чего другого, это абсолютно правильно. Согласен с вами.

                                      +5
                                      Ну и про CSP пару слов…
                                      То, что CSP представляет собой ПО — криптопровайдер, своего рода «драйвер» для применяемого криптографического протокола, понятно, в данном случае — ГОСТ, но вот то, что их… тоже НЕСКОЛЬКО и они между собой НЕ СОВМЕСТИМЫ — отдельная боль.
                                      КриптоПРО — «без пяти минут стандарт», эти ребята хотя бы делают пригодный к использованию продукт и в целом знают своё дело. Но он платный. И стоит денег.
                                      А если учреждение хочет бесплатный или хотя бы подешевле?
                                      Тогда чаще всего впаривают ViPNET-CSP или LISSI.
                                      И вот это БОЛЬ. Эти два продукта ужасны.
                                      ViPNET бесплатный, но кривой и ужасно неудобный в работе. Бесплатный для использования продукт требует мудрёной активации через интернет и запрос по почте, а его интерфейс настройки и управления ключами крайне недружелюбный после продуктов «Контура».
                                      LISSI стоит денег. Небольших, что-то типа 700р, но.
                                      От LISSI отваливается полностью нормальная работа SSL на x64 системах. Он ещё более глюкав и ужасен.
                                      И если у Вас сгенерирована ЭЦП под одним CSP, а Вы перешли на другой CSP, то всё, надо делать новую.
                                      Держать на машине два российских CSP тоже нельзя. Не живут.
                                      Что делать, если на одной машине нужен ViPNET (к примеру, для бесплатной встроенной в жёлтую программу «1С-Отчётности» на базе «Калуги Астрал»), КриптоПРО (к примеру, для торгов или ФНС) и LISSI для идиотского продукта для сдачи отчётности «Фельдъегерь» ?
                                      Виртуалки или две ОС, а лучше два компа.

                                      Продукты для сдачи отчётности тоже зачастую «хороши».
                                      Web-сервис? Контур на первом месте, Такском на втором. У второго больше багов и неудобств при настройке.
                                      ВСЁ! Остальные продукты как правило ставятся на комп бухгалтера, таща за собой груз ПО. Что же нам нужно для сдачи отчётности кроме CSP и драйверов ключа?
                                      Как насчёт MS SQL SERVER 2003? Полновесного? На локальной машине? В 2019 году? А ещё и Firebird до кучи одновременно. Спасибо, Калуга-Астрал! Про OLEDB, MSXML и прочее молчу.
                                      Из оффлайн-пакетов со своей БД хорош разве что СБиС, и те тестируют web-интерфейс!

                                        +3
                                        Более того, сейчас для внесения отчетности на ФГИС ЦС они запустили новый криптопровайдер JINN клиент и систему континент. По сути отчетность сдавать обязательно, а использовать существующие крипто-решения нельзя.
                                          +2

                                          Кривые поделия "кода безопасности" также используются для работы "Электронного бюджета" и СУФД казначейства. О прекрасной работе отечественных крипто провайдеров в общем и систем в частности есть целый сайт sedkazna.ru Желающие могут зайти и офиг… удивиться, какие пируэты вынуждены выполнять пользователи отечественных криптографических продуктов, просто бродя по разделам с указанием государственных информационных систем (тот же электронный бюджет)

                                            0
                                            СУФД это еще куда не шло, а вот «Электронный бюджет» в части того же сводного реестра настроить, особенно после перехода на ГОСТ 2012 еще тот ребус, при этом подписание документов нормально работает только в IE.
                                              +1

                                              ActiveX живее всех живых и даже пережил Flash и Java? ))

                                                +2
                                                Нет, там для подписания используется чудо под названием Jinn Client c прослойкой в виде eXtended Container от Кода безопасности, в теории должен работать на всех браузерах, и в инструкции по настройке есть описание для Chrome и Firefox, но на деле почему-то работает только в IE, при чем важен порядок установки, фаза луны, настроение админа и прочее…
                                        0
                                        использую сервис 1С онлайн, для сдачи отчетности. начал использовать.
                                        посмотрим, как оно.
                                          0
                                          Онлайн — уже несколько не то, там не должно быть многих проблем классического десктоп-решения из 1С Предприятия 8.3 + БП + Астрал.
                                          +1
                                          Не надо про СБИС в оффлайне и про Первазив не надо… Обнять и плакать. Недофайл-сервер в 2019… Б'трив в 1995 уже смотрелся убогонько.
                                            +4
                                            Друже, бросьте, PervasiveSQL — просто ракета и понятный работящий душечка по сравнению с Астралом и Фельдъегерем!
                                            СБИС оффлайн на нём отлично работает, портируется на другую машину и не засирает ОС.

                                            Спасибо что не FoxPro и Clarion поверх ГОСТов, DOSbox'ов и ключей в LPT-порт + дискета.
                                            image
                                              0

                                              Вспомнился Бифитовский банк-клиент с дискетками и паролем 123

                                                +5
                                                Кхм. Кхм!!! Газпромбанк. 2019 год.
                                                Продукт «Банк+Клиент (локальный)» от компании СФТ. По сути, почтовый клиент с крипто-костылями.
                                                Опять MS SQL SERVER, 2003, локальный.
                                                Костылики: Сигнал-КОМ InterPRO + Крипто-КОМ для криптографии. Отдельный утиль для запроса сертификата и управления ЭЦП.
                                                Интерфейс… мммм… может лучше в Сбербанк, товарищ директор? =)
                                                image

                                                image
                                                и
                                                image

                                                Мануал:
                                                www.bcsft.ru/docs/tpl/doc.asp?id=16&&tid=28

                                                Я молчу, что ни дистрибутива на сайте банка, ни инструкций, ни возможности ЭТУ самому установить и настроить / перенести на новый комп без помощи поддержки банка просто нет.
                                                Её чуть ли не компилируют под клиента. Под банк так точно.

                                                Web-клиент появился примерно в 2017 году. Переводить на него существующее юр.лицо не хотели до истерики (представители банка).

                                                С физ.лицами там та же история, мигрировать с HomeBank на нормальный удалось месяцев через шесть.
                                                  +2

                                                  О, InterPRO, как я об этом чуде расчудесом забыл! У меня был такой для физика в Гута-Банке, пока его ВТБ не покромсал.

                                                    +1
                                                    Ставь лайк если ты тоже помнишь Гута-Банк и рекламу «Первого О.В.К.»
                                                    WHAT??!
                                                    Он. Ещё. Действует!
                                                    www.gutabank.ru
                                                    www.gutabank.ru/korporativnym_klientam/klient-bank
                                                    А внизу сайта подлый флеш-баннерок притаился…
                                                      0

                                                      Гута Банк есть, но это немного не тот банк уже. Гута-Банк был одним из единиц банков с интернет-банком для физиков (Телебанк). И весьма неплохим, кстати! Поэтому он был популярен среди продвинутой публики. И умел делать card2card переводы (тогда это было вообще уникальной услугой), можно было с кредиток деньги вытаскивать без комиссии.

                                                        +2
                                                        Ну и именно его вскоре ВТБ съел выступив с якобы своей «системой Телебанк». Даже название то же самое. Его МСС ещё рекламировал.
                                                        Чуть позже уже Сити. ПСБ и Альфа с настоящим «полноценным» ИБ.
                                                    +2

                                                    О, у них, оказывается, в разных регионах разные банк клиенты. Расчудесно! В Уфе до недавнего времени был локальный BS Client. Пожалуй, один из худших банк клиентов, что я видел. Чудовищная студенческая поделка с совершено невнятной совместной работой. Да, скл сервер присутствует)) сейчас поменяли, вроде, на iBank, но тоже какой то допиленый (то есть кривой)

                                                      0
                                                      Есть такой клиент BSS, многие российские банки на нем, так вот он как бы онлайн но костыльность точно такая же…
                                                    +1
                                                    Так это интеллектуальные прорывы 2007 г. В 2019 куча неведомой инфы, которая тараканится на все рабочие места, попутно конфликтуя с антивирусом, на мой выпуклый военно-морской выглядит несколько гламурно… Плюс на всём этом счастье пытаются организовать значимый документооборот. Маршрутизация которого производится по связке контрагент-тип документа после доработки напильником на стороне вендора. Но это оффтопик, поэтому замолкаю в рыданиях…
                                                      0
                                                      Есть у меня пачка сбисов, и это то что засирает ОС безбожно
                                                    +1
                                                    всепроникающее КриптоПРО во времена, когда я развлекался с go online go paperless, меня лично наводит на мысли
                                                    (а иногда и вовсе в интересах определённого круга лиц, по ощущениям)


                                                    «без пяти минут стандарт»

                                                    Имхо такие «стандартизаторы», которые лоббируют продвижение продукта, которого не должно по сути существовать, должны гореть в аду. И отдельную прибавку температуры в котле за долгое игнорирование linux в их «стандартах».
                                                      +1

                                                      А каково пользователям Mac? Приходится держать виртуальную винду, сжирующую всю оперативку. Сейчас на Маке Всё это хозяйство не работает совсем, хотя есть какие-то разрозненные библиотеки.

                                                        +1
                                                        Подразумевается, что пользователи мака должны смузи пить и в коворкингах лясы точить, а не на тендерах миллионами ворочать.
                                                        В каком-то роде удивительное проявление Apple Way — «Если мак это не может, вам это не нужно и точка. Так решено за вас.»
                                                          +2

                                                          Мак — это не только ценный мех, но ещё и POSIX-совместимая операционная система. ;)

                                                      +2
                                                      Это вы у СБИС еще SDK интеграции не видели. Там ActiveX. В 2019 году ага.
                                                        0
                                                        А в некоторых регионах и самоподписанный сертификат с просьбой добавить в доверенные корневые для утилиты мониторинга.
                                                        0
                                                        Коллега, как понимаю вашу боль
                                                          0
                                                          поправлю, КрипотоПРО CSP 3.9+ и VipNet CSP 4+ дружат нормально. Но контейнеры закрытого ключа у криптоПРО хитровывернутые, поэтому не читаются (полагаю специально — коммерческая выгода), хотя не исключаю и разную трактовку одного и того же стандарта у разных вендоров…
                                                            0
                                                            Астрал Отчёт вполне умеет и в КриптоПро CSP. У меня так и установлено.
                                                            +8
                                                            . А, например, тот же Росреестр, после ряда скандалов с переоформлением прав собственности на недвижимость с помощью УКЭП, был вынужден продавить законопроект (ещё не принятый, кстати), запрещающий совершать сделки с недвижимостью с использованием УКЭП, если заранее не разрешить такие операции для данного физического лица. То есть, сначала делаем откровенное архитектурное решето, а потом не меняем его, а просто ставим заплатки.


                                                            На хабре же обсуждали, что оно не будет работать. Так как для разрешения переписывания имущества через ЭЦП, вам нужно лишь лично подать документ, разрешающий это. А заявление отправленное с ЭЦП считается лично отправленным. То есть просто одно небольшое дополнительное действие в схеме добавится.
                                                              +3
                                                              продукция rutoken идет по категории «флешек» или смарткарт?
                                                                +2
                                                                Смарт-карты. И очень неплохие, как по комплектному софту, так и по качеству сборки.
                                                                Драйвера стабильные, есть утилита диагностики, встроенные инструменты работы с содержимым токена.

                                                                Вопрос в том, что запись ключа ЭЦП на токен в России производится так, что ничто не препятствует его копированию.
                                                                Т.е. введя пароль администратора токена можно считать ключ сертификата из токена и сохранить его в файл на флешку или просто в реестр Windows.

                                                                Так что по принципу действия — это смарт-карта.
                                                                По удобству практического применения — это более удобно, чем флешка.
                                                                По безопасности применения — не безопаснее флешки. Ну или флешки с ПИН-кодом )
                                                                  +1

                                                                  Рутокен — это токен. Но УКЭП в подавляющем большинстве случаев пишется на Рутокен Лайт — формально токен, в душе "флешка с паролем". Да, ок, протокол взаимодействия как у токена, ФС своя, но по факту, введя верно пин-код можно считать все ключи, закрытые и открытые (называются "криптоконтейнер КриптоПРО").

                                                                    0
                                                                    Да, ок, протокол взаимодействия как у токена

                                                                    Т.к. Лайт — формально токен, в душе "флешка с паролем", а поскольку это флэшка то никаких криптографических механизмов и протоколов Гост-овых он не поддерживает и это не токен в понимании PKCS#11 да и ТК-26

                                                                    0
                                                                    Вот статья с подробным ответом на ваш вопрос.
                                                                    +4
                                                                    Недавно на работе пришлось объяснять сотрудникам, что системный администратор не подписывает тендеры подписью директора! Для наших людей ЭП — это какая-то скушная ай-тишная штука, не имеющая отношения к реальности. На моё предложение сделать ключ для сотрудника, чтобы он сам подписывал от своего имени, получил ответ, что мол это гемор, и у нас по статуту право подписи только у директора. Закончилось тем, что начальство назначило «подписантом» одного из замов, который теперь подписывает тендеры ЭП директора. Этой же ЭП бухгалтера подписывают отчёты в «медке», а пароль знает вся бухгалтерия. Короче, дурдом-вэсэлка. Вот если бы я мог привести пример последствий подобной халатности в Украине. Кто-нибудь слышал о таких?
                                                                      +3
                                                                      Та же передача ключа условному бухгалтеру — невежество, надо передавать полномочия, а бухгалтеру делать свой ключ на его имя

                                                                      В случае с Индивидуальным предпринимателем СКБ-Контур разрешает иметь одну подпись на организацию (только на самого ИП). Без передачи увы никак.
                                                                        +1
                                                                        Более того скажу: некоторые формы отчётности не принимаются за подписью уполномоченного представителя — порой даже невзирая на законодательство. Очень долгое время, например, представительскую схему не поддерживал ФСС. А в ОПФР по Москве и Московской области вообще не принимали (и, насколько я знаю, сейчас тоже не принимают) такую отчётность, хотя федеральный закон разрешает это делать; несколько лет назад даже был скандал с тем, что из-за одного отправившего такой отчёт клиента отделение расторгло соглашение об ЭДО с одним из операторов, и ему стоило больших трудов заключить новое.
                                                                        +5
                                                                        Хочется надеяться, что данные случаи всего лишь описывают факт невнимательности, а не умышленных действий.

                                                                        К сожалению нет. В суде предоставили заявление якобы от меня. Подчерк и подпись и близко не моя, почему не стоят подписи сотрудников — большой вопрос. То есть это уже не по липовой доверенности, а либо подделка паспорта (что вряд ли), либо всё-таки интерес сотрудника. Кстати, сейчас нет уголовной ответственности за незаконное получение чужой ЭП.


                                                                        Самое интересное, смотрите на каких порталах планируют использовать ЭП. Т. е. мошенники скорее всего участвуют в торгах госзакупок, кидают государство на несколько десятков миллионов, а ответственным естественно становится директор.


                                                                        Подделанный документ

                                                                          0

                                                                          Какой УЦ?

                                                                          +2
                                                                          зато есть нехреновые такие санкции для УЦ, ну в теории, на практике я ни об одном расследовании не слышал
                                                                            +1
                                                                            Сразу скажу, что я плотно с закупками не сталкивался, но краем уха что то видел и читал. И, насколько я помню, абсолютное большинство контрактов через торговые площадки делается без предоплаты. То есть кинуть государство, кхм, сложновато.
                                                                            Но, возможно (наверняка), я не все нюансы знаю в этой сфере и такая возможность есть
                                                                              0

                                                                              Думаю, что всё намного прозаичнее: прокладки под вывод кэша. С тендерами схема больно мудрёная.

                                                                              0
                                                                              Можно больше деталей?
                                                                              Сотрудник УЦ утверждает что вы лично посетили центр регистрации УЦ, и там подписали заявление на выпуск сертификата?
                                                                                +3

                                                                                Я писал статью про свою ситуацию. Из последних новостей, вот в суде получил такой документ. Из которого следует, что тут точно не нотариус, и единственный вариант, при котором УЦ не виноват — только если им принесли поддельный паспорт с чужой фотографией. Иначе я не вижу других вариантов, как сотрудник УЦ мог принять такое заявление без моего участия — это либо халатность, либо злой умысел.

                                                                              –3

                                                                              КриптоАРМ на базе токенов PKCS#11, а также контейнера PKCS#12. Создание запросов на сертификат и электронной подписи CadES-X Long Type 1. Доступно для платформ Linux, Windows, OS X. Попробуйте.

                                                                                +2
                                                                                Не шарю в этой теме, но просто интересно, что в этом комментарии не так?
                                                                                  0

                                                                                  Наверное какая-то зависть или дорогу утилита перешла. Бесплатная же.

                                                                                +1

                                                                                Меня больше всего возмущает необходимость ежегодно продлевать подпись. Во где победа бюрократии над здравым смыслом.


                                                                                А давайте и паспорта на год выдавать? И права заодно. И чтоб каждый год подтверждать надо было, что ты это ты.

                                                                                  +1

                                                                                  Вероятно, малый срок действия для того, чтобы реже нужно было отзывать скомпромитированные подписи. Если вообще есть механизм их отзыва.

                                                                                    +2
                                                                                    Фактически, нет такого механизма. 445 УЦ.

                                                                                    Ну и отзыв скомпрометированных подписей возникает по мере их компрометации, а не через какой-то определенный период.
                                                                                      –1

                                                                                      Опять же, не подписи отзываются, а сертификаты, с помощью которых ставятся подписи.

                                                                                        +3
                                                                                        И что это меняет, кроме терминологии? Пользователь как бегал по УЦ с охапкой флешек, так и бегает.
                                                                                          –1

                                                                                          Первое, терминологией тоже надо правильно пользоваться, чтобы не вводить людей в заблуждение!


                                                                                          Пользователь как бегал по УЦ с охапкой флешек, так и бегает.

                                                                                          Да, бегает, но толькл зачем. И он должен понимать, что подпись ставит он САМ и УЦ здесь участвует опосредованно через списки отозванных сертификатов (CRL), OCSP, TSP.
                                                                                          И не надо с флешками, а надо использовать нормальные токены PKCS#11

                                                                                    +1
                                                                                    ноги растут, похоже, из ФСБ, в открытом доступе почему выше 15 месяцев нельзя на закрытый ключ — нет. Хотя не помню в сертификате атрибутов, устанавливающих срок действия закрытого ключа, а вот сертификат можно выдать и на 10 лет, но без закрытого ключа в этом нет большого смысла…
                                                                                      0

                                                                                      Вроде как до 3 лет для неизвлекаемого ключа на честных токенах. Типа тех, что для ЕГАИС. Для физиков такого счастья не нашёл.

                                                                                        0
                                                                                        Да, точно, у всех криптографических токенов срок жизни закрытых ключей до 3 лет. Как понимаю, больше всего таких токенов поставила компания «Актив». Ее ключи, Рутокен 2.0 сейчас работают в большинстве банков.
                                                                                          +1

                                                                                          Технически, у токенов нет срока жизни, есть только срок службы, это железка. Срок действия есть у сертификата, выданного УЦ. К неизвлекаемому ключу на токене он может быть более 15 месяцев.

                                                                                        0

                                                                                        Вообще-то должны коррелироваться сроки действия для нескольких сертификатов, без чего нормальное тспользование ЭП проблематично. Это сертификаты и ключи:


                                                                                        • гражданина
                                                                                        • удостоверяющего центра, где был получен гражданином сертификат
                                                                                        • удостоверяющего центра, в котором был аккредирован предыдущий УЦ
                                                                                        • сертификат и ключ, которым подписываютсф CRL
                                                                                        • сертификат и ключ сервера OCSP
                                                                                        • сертификат и ключ сервера штампоа времени.
                                                                                          Если вы посмотрите их сроки действия, то много интересного откроете для себя.
                                                                                          А без всего этого нельзя создать подпись типа CAdes-XLT1.
                                                                                          0
                                                                                          при наличии штампа времени в подписи привязки к срокам действия сертификата гражданина нет к сертификату УЦ — практически нет (написал ниже). CRL и OCSP-ответ подписывается сертификатом УЦ — по крайней мере в российском сертифицированном сфоте. В минимуме для формированич электронной подписи нужен только сертификат пользователя ;) все остальное нужно для валидации этого самого сертификата пользователя на момент создания подписи. Сроки действия сертификатов УЦ делают большими, т.к. это удобно ибо может получиться так, что подпись пользователя выдана в последний день действия сертификата УЦ, и фактически валидна еще год, а сертификат УЦ стух и цепочка больше не строится, что, вы безусловно правы, несет некие ммм… неудобства :D
                                                                                            0

                                                                                            Ключевое слово у вас


                                                                                            практически нет

                                                                                            А если правтически да! Кто это правтичеки определяет и оно прописано?

                                                                                        0
                                                                                        Удостоверения инвалидов без ноги/руки нужно же продлять?
                                                                                        Только не помню, каждый год или чуть реже.
                                                                                        Собирается комиссия, смотрит — не, рука не отросла, можно продляnm инвалидность, но не забывайте снова приидти.
                                                                                          –1

                                                                                          Извините, подпись ставится вами и вы ее нигде не получаете.


                                                                                          Вы каждый год должны получать новый сертификат и генерировать новый ключ. Это делается для того, чтобы было труднее подобрать ваш закрытый ключ. Неудобно, да, но стойкость ключа такая сегодня.

                                                                                          +3
                                                                                          В условиях, когда лучшего ждать не приходится, черт с ними, с этими УЦ. Сделали бы хотя-бы какой-нибудь публичный реестр сертификатов, чтобы получил один раз сертификат в УЦ, залогинился в реестр по сертификату и дальше можешь обновлять свои сертификаты без этого геморроя.
                                                                                          И сделали бы требования спец. OIDов незаконными, это же плата за воздух на ровном месте!
                                                                                          И наконец сделали бы получение для физ.лиц бесплатным, со сроком действия 10 лет, т.к. ряд госуслуг уже требует наличия ЭП. Это уже за гранью, когда для получения государственной! услуги нужно платить деньги левой коммерческой конторе. А право выпуска отдать МВД, чтобы с личным присутствием, фото на месте, как с выдачей водительских прав. Ну и генерацию и запись ключа сделать на специальном закрытом устройстве.
                                                                                          Похоже мне срочно нужна губозакаточная машинка.
                                                                                            +1

                                                                                            О чём, собственно, последний абзац моей статьи. Пощупал в своё время эстонскую подпись, когда она стоила 50 евро за три года и понял, что мы сделали то, что написано в последнем теге к статье.

                                                                                          +1
                                                                                          При подготовке статьи с удивлением обнаружил ещё нескольких представителей клуба искателей своего пути.

                                                                                          К слову, справедливости ради, если копнёте глубже, обнаружите, что в РБ закон об электронном документе принят на пару дней раньше, чем в США. Не удивительно, что Беларусь пошла своим путём в этом вопросе, она вроде как была самая первая. Хотя да, стандарт на алгоритм ЭЦП уже позже нарисовался.
                                                                                            0

                                                                                            Стандарт, вероятно, несколько раз поменяться успел. В России вон, уже третий алгоритм (хотя я бы назвал второй с половиной).

                                                                                              +1
                                                                                              Также добавлю что белорусский алгоритм основан на эллиптических кривых, что выгодно отличает его от того-же DSA, поскольку в данный момент является наиболее криптостойким.
                                                                                              К сожалению не нашел сравнение СТБ и DSA, но если сравнивать с RSA, то самый низкий уровень надежности (1-й из десяти) СТБ 34.101.45-2013 по криптостойкости соответствует приблизительно 2462 битному RSA.
                                                                                                +1

                                                                                                DSA в чистом виде уже не используют, только эллиптику ECDSA. На DSA был похож наш первый ГОСТ от 94 года, эллиптику ввели в стандарте 2001 года.

                                                                                              0
                                                                                              И второй момент по поводу «своего пути»: а что плохого в собственных алгоритмах ЭЦП?
                                                                                              Так-то DSA создан (и запатентован) в недрах института США, почему его стоит принимать на веру и использование просто так у нас, чем он лучше местных?
                                                                                              Если речь о совместимости ЭЦП, так вроде год назад собирались принять закон о взаимном признании ЭЦП в ЕАЭС, так что опять же вопрос не в алгоритмах по идее, а в законотворчестве.
                                                                                                0

                                                                                                Чем не устраивает ED25519?

                                                                                                  0
                                                                                                  Очевидно, что годом выпуска, он вышел примерно в те же времена, что и белорусский. Предстандарт белорусского алгоритма также 2011 года. Обратите внимание, ED25519 был только опубликован в 2011, а белорусский алгоритм уже был в пререлизе стандарта в это время.
                                                                                                    0

                                                                                                    Ну вот он есть, он открытый, он лишён рядя коллизий и уязвимостей, всем нравится. Go?

                                                                                                      +1
                                                                                                      Ещё раз, его не было, когда он был нужен. Без него разработали своё, в результате многое в инфраструктуре давно работает на своём. Сейчас Вы предлагаете всё переписать ради модного алгоритма, серьёзно? В РБ бюджет не резиновый. Ваша точка зрения в этом вопросе непонятна.
                                                                                                +1
                                                                                                УКЭП — именно данный тип подписи используется в юридически-значимом электронном документообороте в России

                                                                                                Такого ограничения нет.
                                                                                                В самом деле, стороны вправе договориться и использовать любой вариант электронной подписи между собой. Хоть простую, хоть усиленную типа Docusign.
                                                                                                  0
                                                                                                  С точки зрения закона если договорятся — всё это будет считаться «простой электронной подписью»
                                                                                                    +1

                                                                                                    Это отмечено в статье, про простую и неквалифицированную подпись. Такие виды подписи ограниченны по действиям, в том числе обязательной предварительной договорённостью.

                                                                                                      +3
                                                                                                      Предварительно договориться иной раз проще, чем заниматься получением квалифицированной.
                                                                                                      UPD: и дешевле)
                                                                                                    +2
                                                                                                    Во всей этой жуткой истории с софтом (платформо-независимым под браузеры под конкретные версии браузеров со специальными настройками) интересует что мешало сделать нормальный десктопный клиент и не канифолить мозг пользователям.
                                                                                                    Хотя в свете того винегрета что уже наделан логично ждать виртуальную машину (АРМ оператора для работы с КЭП) с предустановленным хламом который нужен что эта вся красота работала со старыми браузерами без которых этот новый софт не пашет и галочками отключающими все механизмы защиты пользователя от интернета.
                                                                                                      +3

                                                                                                      Не, вместо этого развивают «облачную» подпись. Что не может не пугать.

                                                                                                        +1
                                                                                                        На самом деле страшно. Те, кто превозносит такую форму ЭЦП ничего не понимают в вопросах безопасности. Реально, «облако» вообще не может считаться защищенной подписью.
                                                                                                        На днях звонила мне девочка из одного УЦ, предлагала «облачную» ЭЦП, как мега новое слово в технологиях, расписывала, как будет удобно подписывать документы с телефона. Спросил ее, что делать, если я, например, потерял этот телефон: замялась и обещала перезвонить, но так и не перезвонила.
                                                                                                      +2
                                                                                                      Вставлю свои 5 копеек:
                                                                                                      Лирическое отступление:
                                                                                                      Это вы еще не видели весь тот трэш, который творился когда не было ГУЦ, а была кроссертификация, сейчас стало полегче…
                                                                                                      По поводу единого реестра ЭП:
                                                                                                      Он есть! Им заведует Минкомсвязь, он даже есть у них в разделе на сайте (был как минимум), но он пустой (на сайте) и получить из него информацию простому пользователю похоже что нельзя, но УЦ обязаны направлять туда информацию, и направляют!, о всех выданных сертификатах. Но, просто выдать это все в открытый доступ тоже нельзя, т.к. это огромная кладезь валидных персональных данных. По идее Минкомсвязь по получению информации должна направлять по указанному в сертификате email и на госуслуги (они же ими и занимаются) информацию о выданных ЭП. и серверы timestamp они бы могли поднять. Но тут вступает в игру суды… А метка времени очень нужна в основном уже в суде. В обычных ситуациях она просто еще один технический параметр, на который никто не смотрит :D Так вот, судьи никак, от слова совсем ничего не понимают в ЭП, судебное дело с ЭП, мне кажется это отдельный круг ада и самому бы хотелось послушать от реального юриста информацию если он в таком суде участвовал.

                                                                                                      Ряд уполномоченных УЦ вообще подозревают в халатном отношении к верификации персональных данных субъекта при выдаче ему УКЭП.… Хочется надеяться, что данные случаи всего лишь описывают факт невнимательности, а не умышленных действий. И да, если кто-то успешно попробует получить УКЭП по подставным документам на моё имя, я даже не узнаю об этом!

                                                                                                      Тут еще есть следующие грабли — наше дорогое УФМС, а до этого полиция не имеет фотографий лиц, которым выдан паспорт. Т.е. оператор УЦ обязан проверить паспорт на отзыв. Он сбивает ФИО+номер и получает ответ — паспорт валиден. Но проверить не подделано ли фото он не в состоянии и механизма нет. При этом, хоть Минкомсвязь и имеет полномочия, я не слышал, что бы было публичное расследование инцидентов с УЦ Тензор (кажется), когда как раз и была получена подложная ЭП

                                                                                                      Следующие грабли:
                                                                                                      Я категорически против резко убивать все коммерческие УЦ, т.к. не верю, что в ближайшие 20 лет наша страна сможет родить вменяемы госааппарат, который сможет полноценно заменить существующую инфраструктуру. Будет опять отмыв бабла, взятки и все как обычно короче… Возможно стоит для новых граждан создать такой УЦ и постепенно заменять существующую инфраструктуру, но… вы не представляете столько людей считают это «клеймом дьявола» на полном серьезе, и это отнюдь не только наглухо ПГМнутые… Положительной считаю идею выдачи ЭП руководителям организаций в казначействе, а уполномоченных (тех же бухгалтеров) они бы могли назначать сами. И подпись бухгалтер мог бы получить в любом УЦ, а руководитель привязал бы этот сертификат в кабинете на госуслугах, как человека с правом подписи, но этого функционала там тоже нет… И взаимодействия между госорганами нет — т.е. на привязанное на госуслугах той же ФНС будет глубоко пофиг…
                                                                                                      И еще одни грабли… Казначейство как и ФНС упорно требует в поле ИНН писать ИНН физ лица, а все остальные системы там требуют ИНН юрлица и без этого не работают и в результата е с казначейской/ФНС подписью вы даже на госуслуги нормально зайти не можете. Бинго блин, а 8 центр ФСБ не может ввести 2 идентификатора в приказ, который регулирует состав сертификата, хотя стандарт сертификата такое допускает.

                                                                                                      OIDы — а особенно торговые площадки — это узаконенный отъем бабла и фактически очень тонкий обход (читай нарушение) ФЗ, хотя справедливости ради, за вход на площадку от УЦ требуют достаточно солидный взнос (обычно выше 1 млн руб) так что надо отбивать…

                                                                                                      Проблема с носителями в том, что флешка (Rutoken LIte и т.д.) имеет себестоимость ~600р а с крипточипом внутри 2,5К + OIDы и мы вылетели за 5+К руб, и это каждый год, помимо налогов и т.д.… ИПшники безумно рады ;)

                                                                                                        +1
                                                                                                        Проблема с носителями в том, что флешка (Rutoken LIte и т.д.) имеет себестоимость ~600р а с крипточипом внутри 2,5К

                                                                                                        Рутокен S 64КБ 1 150
                                                                                                        Рутокен ЭЦП 2.0 1 483
                                                                                                        прайс

                                                                                                        Кажется мне что не в деньгах тут дело
                                                                                                          +1
                                                                                                          Немного упали цены на «полноценные токены», хотя если брать с сертификатом, то 1740р, но в целом не принципиально. Рутокен S на закупках при партии свыше 3000 штук около 500р был, но это пару лет назад. Сейчас с НДС 20% около 600 вышел бы. Хотя мы же говорим про единичный товар, тогда моя информация о ценах не совсем корректна.
                                                                                                            +3
                                                                                                            Я вам дал ссылку на прайс от производителя. С учетом цен на услуги УЦ для конечного покупателя разница в ценах на носители вообще не критична.

                                                                                                            Помним что носители многоразовые и их через год выкидывать не обязательно. А вот в УЦ деньги нести через год в любом случае придется.
                                                                                                            +2
                                                                                                            учитывая что он не ломается, это копейки, однако мне знакомы индивиды каждый год покупающие новую «ФЛЕШКУ» при попустительстве делающих гешефт сотрудников уц.
                                                                                                              +3

                                                                                                              К тому же стоит помнить, что и КриптоПро не бесплатен… А тут либо токен с криптоядром, либо программный криптопровайдер, который надо покупать и устанавливать для каждого ПК, где планируется вычисление ЭП

                                                                                                                +5

                                                                                                                Меня ещё радует лицензирование Крипто-ПРО. У меня есть отдельно купленная бессрочная лицензия, но всё равно, я не могу купить УКЭП без встроенной лицензии на срок действия ключа, так как у УЦ она входит в пакет поставки. А у меня этих ключей 7 штук ежегодно обновляется.

                                                                                                                0

                                                                                                                Беда в том, что они (особенно первая) используются как обычные флэшки.

                                                                                                                +3

                                                                                                                С судами всё просто: в суд предоставляется справка или экспертное заключение из УЦ, о том, что сертификат ок и подпись на документе валидна.


                                                                                                                Решается выпуском национального ID, без активированной ЭП. Гознак готов, Сбер тоже пристроить наработки по УЭК, технологии отработаны на загран-паспортах. Энтузиасты уже на ID выпускают ЭП, и даже пускай в коммерческих УЦ, но только на госпластике в единственном экземпляре на лицо, с неизвлекаемым ключём и не на 15 месяцев, а на 36 минимум.

                                                                                                                  +1
                                                                                                                  Физлиц мы так обеспечим, согласен. Но как быть с юриками, там ведь все гораздо тоньше. Сегодня я Иванов Иван Иванович — обыватель и подписываю запрос в прокуратуру на мое ТСЖ, о том, что они ухи объелись. А завтра, я Иванов Иван Иванович, член партии Едiна Русь, член президиума городской думы г. Малые куличи подписываю распоряжение, или генеральный директор ОАО Прорывные технологии, подписываю контракт на поставку государству чапельников в объемах доселе немыслимых.
                                                                                                                  Хоть закорючка (если проводить аналогию с подписью ручкой) то одна, но юридически это все разные подписи, точнее разные сертификаты с разной информацией, и выдачей при рождении тут так просто не отделаться. А еще у нас есть ИП… которые вроде физики, а с другого бока глянешь — уже юрик…
                                                                                                                    +2

                                                                                                                    Подпись — атрибут физического лица. Что бы он ни подписывал в каком-либо статусе. Государство при создании организации по факту аккредитует некое объединение с неким титульным лицом. Оно знает это лицо и оно есть в БД. Если это лицо доверяет иному лицу действовать от его имени, он сообщает об этом желании государству (с занесением в БД). Далее, когда надо подписать документ от имени организации, делается ЭП уполномоченным лицом, подпись отправляется на api авторити, и то, при совпадении в БД накладывает свою техническую подпись сверху, мол, подписант имеет право действовать от имени названной организации. Вот и всё.

                                                                                                                      +1
                                                                                                                      Хм, в целом механизм понятен и интересен, но как я понимаю, все это должно быть водружено на ФНС т.к. разделение на физик/юрик нужно в первую очередь им, а потом уже банкам, другим юрикам и т.д. а потому, боюсь, это будет очень нескоро. В первом приближении, создается впечатление, что это решит кучу проблем с ЭП… Правда, есть и технические моменты: В настоящий момент подпись физлица содержит СНИЛС, по которому, в теории, можно много чего узнать, а вот в подписи юр лица СНИЛСа директора нет (и еще немного по мелочи, типа почты и т.д.), что не всегда желательно светить всем подряд. А изъять эту информацию из сертификата после его выдачи уже не выйдет. Хотя это уже детали.
                                                                                                                        +2

                                                                                                                        Назвался груздем — полезай в кузов. Налоговая — то самое авторити, присматривающее за организациями. У них хватит денег и ресурсов, в принципе, они одна из крупнейших государственных IT-организаций, и у них целый ГНИИВЦ есть карманный.


                                                                                                                        Такого рода реестр с апи можно вообще сделать распределённым и чуть ли не на blockchain.


                                                                                                                        Что касается СНИЛС: пора привыкать, что это уникальный публичный атрибут. Подпись документа — гражданское действие, субъект действия должен быть идентифицирован. Ну и пересмотреть список полей в сертификате тоже не проблема.

                                                                                                                          +4

                                                                                                                          Вообще не нужно. Я не видел ни одного юрлица, которое умеет подписывать обычной, классической рукописной подписью. Всегда подписывают что-то классические живые люди. С конкретными ФИО. И ЭП должна быть одна, привязанная к человеку, который при становлении условным директором может зайти в условные госуслуги, привязать к себе организацию и (после верификации своей роли в организации онлайн через ФНС) применять ЭП для подписи документов от имени этой организации.

                                                                                                                            +2

                                                                                                                            И на второй день он эту ЭЦП передаст Любе бухгалтеру. Передавать документы в налоговую это её работа. А через неделю, после регистрации на площадке госзакупок любой конторы, он передаст копию этой подписи Вале. Отправлять туда документы и выяснять их судьбу её работа.
                                                                                                                            Директор фирмой управлять должен, а не лично подписывать все и везде.


                                                                                                                            Без механизма делегации права подписи за юрлицо любому человеку директорская ЭЦП будет ходить по рукам. Работать надо же.

                                                                                                                              0

                                                                                                                              Директорская подпись должна быть в его «паспорте». У нас народ к паспорту относится бережнее. Тогда и делегированию научатся быстро.

                                                                                                                                +1

                                                                                                                                Сейчас делегирование невозможно примерно полностью. И даже законопроектов в эту сторону нет.


                                                                                                                                А ведь все просто. Любой кто хочет заполняет формочку на Госуслугах. Мол хочу получить право отправлять любые документы в налоговую от имени этой конторы. Директор на тех же Госуслугах своей подписью заверяет. И все. Отзыв аналогично. Разработки и внедрения на полгода. Только в законах и желании проблема.

                                                                                                                                  +1

                                                                                                                                  В Контур-Экстерне у нас подписывает документы бухгалтер своей подписью при сдаче отчётности. Там только с одним видом отчётности были сложности с требованием подписи именно директора. Поэтому у бухгалтера на токене в итоге несколько подписей ((

                                                                                                                                0
                                                                                                                                Это эквивалентно передаче печати и выдаче пустых подписанных листков.
                                                                                                                                  +1
                                                                                                                                  Передавать документы в налоговую это её работа.

                                                                                                                                  А подписывать исходящие документы — работа руководителя. Как в бумажном, так и в электронном виде. Аналогом передачи ЭП директора "бухгалтеру Любе" в "бумажном'" мире было бы: "научить бухгалтера Любу ставить на бумаге такую же закорючку, как у директора в паспорте".

                                                                                                                                    0

                                                                                                                                    Вы не поверите… Именно так и работают там где ЭЦП нет.

                                                                                                                                      +1

                                                                                                                                      Руководитель имеет полное право передать часть своих полномочий доверенному лицу. Если руководитель не хочет заниматься текучкой по административной работе, он нанимает операционного/исполнительного директора, который имеет право подписи и широкие полномочия подписи документов. Именно так делается в нормальных организациях, а не "рисуется" подпись бухгалтером, что может квалифицироваться как подлог, самоуправство и даже мошенничество при неудачном стечении обстоятельств.

                                                                                                                                0
                                                                                                                                Беда в том, что при таком подходе все операции подписания и валидации подписи привязаны к единой точке. Если сервис «api авторити» недоступен, нельзя ни подписать, ни проверить — в масштабах страны.

                                                                                                                                Собственно поэтому у x509-сертификатов такая структура — чтобы максимально децентрализовать подписание и валидацию. А важное следствие из этого, ваша подпись физлица и ваше же подпись сотрудника ТОО «Рога и Копыта» это разные подписи, с разными последствиями.
                                                                                                                                  0

                                                                                                                                  Ну, api может быть распределённым, вести записи может уполномоченный УЦ, как это сделано с теми же онлайн-кассами и ОФД. А реестр заверений тот же blockchain.

                                                                                                                                    0
                                                                                                                                    Онлайн-кассы, на самом деле не онлайн. Да, данные доставляются относительно быстро. Но прямой зависимости между доступностью центра и оплатой нет. И поток информации идет снизу-вверх.

                                                                                                                                    С проверкой права подписи другая история. Пока не получил явного ответа от центра — подписание под риском. Поток информации сверху-вниз.
                                                                                                                                      +1

                                                                                                                                      Я имел в виду, что не будет прям "центра", функции удостоверения могут осуществлять те же УЦ, уполномоченные это делать и "курирующие" организацию. Как ФНС делегировала функцию учёта фискальных документов ОФД.

                                                                                                                                  +1

                                                                                                                                  У юридического лица есть свой атрибут — печать. Цифровым аналогом может быть ЭП с реквизитами организации.

                                                                                                                                    0

                                                                                                                                    Дополню. В конце концов, если не выходить за пределы PKI, то если налоговая считает физлицо уполномоченным представителем организации, то просто может кросс-подписать мой личный гражданский сертификат своим ключём или выдать доп сертификат к той же ключевой паре с набором полей, указывающих на полномочия в организации. Я, когда подписываю документ своим ключём, прилагаю к подписи оба сертификата, гражданский (аналог собственноручной подписи) и корпоративный (аналог печати).

                                                                                                                                      0

                                                                                                                                      Вообще в идеале было бы так:


                                                                                                                                      1. Налоговая регистрируя юрлицо выпускает сертификат на ключ руководителя с полномочием "выпускать сертификаты для сотрудников".
                                                                                                                                      2. Юрлицо разворачивает свой CA и выдает сотрудникам сертификаты на их ключи с указанием должности и полномочий, подписывая ключом директора с приложением сертификата от налоговой из п.1. При увольнение/отзывае полномочий сертификат отзывается.

                                                                                                                                      Цепочка доверия тогда выглядит так: Root — Сертификат налоговой — Сертификат директора — Сертификат сотрудника.


                                                                                                                                      Но, как мне кажется, в текущей реальности п.2 выглядит слишком утопично.


                                                                                                                                      Выдача "параллельных" сертификатов вообще кажется мне очень правильной. Тогда к подписи можно прикладывать только те, которые необходимы в данном случае. А еще можно выпускать "анонимные" сертификаты, в которых будет только "должность". Скажем: "Сотрудник фирмы Рога и Копыта, уполномоченный принимать рога". Проверить потом все равно можно, но только тогда, когда нужно :)

                                                                                                                                        +2
                                                                                                                                        Юрлицо разворачивает свой CA и выдает сотрудникам

                                                                                                                                        Вы уж простите, но это не утопично — это явный бред! У юрлица может быть десять человек сотрудников, включая директора, бухгалтера и уборщицу — и они должны развернуть свой CA? Это будет дыра ещё бОльшая чем то что имеется сейчас.
                                                                                                                                          –1

                                                                                                                                          Юрлицо должно развернуть. И выпускать сертификаты для сотрудников. Альтернатива — отдать выпуск сертификатов на аутсорсинг и искренне верить в честность и надежность аутсорсера.

                                                                                                                                            +1
                                                                                                                                            Выпускать сертификаты могут и уже имеющиеся CA — зачем их плодить?
                                                                                                                                            Про альтернативу — директор самолично должен развернуть CA?
                                                                                                                                      0
                                                                                                                                      Кстати, у госов такой аналог уже есть — ЭП ОВ.
                                                                                                                                +1
                                                                                                                                OIDы — а особенно торговые площадки — это узаконенный отъем бабла и фактически очень тонкий обход (читай нарушение) ФЗ, хотя справедливости ради, за вход на площадку от УЦ требуют достаточно солидный взнос (обычно выше 1 млн руб) так что надо отбивать…

                                                                                                                                Справедливости ради надо заметить, что есть позитивная динамика в этой области. С закупками по 44-ФЗ всё так и обстоит, но в 223-ФЗ уже прописано для площадок требование принимать любые УКЭП.
                                                                                                                                +2
                                                                                                                                Отличная статья, упомянули практически всё что можно было упомянуть.
                                                                                                                                Маловато, скажем так, позитива, но это наверное уже вопрос не к вам)

                                                                                                                                Про РЖД замечу что ситуация лучше чем год назад — сменились площадки, начали принимать любую КЭП. В целом история с OID'ами тянется, но уже не так остро.
                                                                                                                                Минтруд тот же — тоже закрыл свой уц и принимаю КЭП.
                                                                                                                                Жить можно. Но вот правовое регулирование сильно хромает.
                                                                                                                                  0

                                                                                                                                  Не упомянул электронные больничные и как хранятся подписи врачей (в облаке), а также поправки в трудовой кодекс с отсутствием инструментов у поставщиков крипто-решений.

                                                                                                                                    0
                                                                                                                                    Лично принимал участие в разработке клиентской части к этому сервису ФСС в одной из медицинских информационных систем. Никакого требования хранить сертификаты в облаке нет. В нашем решении использовались обычные токены и криптопрошный CSP, все локально.
                                                                                                                                    Беда в практике — обычно это выглядит так что есть 1 (один) токен на учреждение, выпущенный например на начмеда, и им подписываются все ЭЛН. В том же «кабинете выдачи больничных листов», той же бабушкой. Потому что купить всем врачам по ЭЦП — ну что вы, это же дорого!
                                                                                                                                      0

                                                                                                                                      В Яндекс.Здоровье используется "облачная" подпись. Жена там работала. Во всяком случае год назад так было. В городских поликлиниках Москвы я видел у врачей клавы со смарт-карт считывателями и карточки с логотипом ЕМИАС.

                                                                                                                                    0