Комментарии 155
Этого следовало ожидать.
Напрашивается вопрос: а бороться с этим как?
Надежные?
Ну не знаю.
Потребовалось недавно подписи получать и физика и ИП
У одно из двух УЦ вполне нормально токен выдать прямо с уже сгенеренной подписью (и тут я вспоминаю правила безопасности по работе с НЕ сертифицированными подписями — например то что ключ надо генерить — самостоятельно и он вообще никому не должен попадать, никак). У второго (Контур) — генерация ключа на моей машине (правда закрытым софтом и только под Windows). Правда вот сертификат для Эльбы (сдача отчетности) генерируется примерно как с банками ниже.
С банками для ИП вообще интересно. Все хотят еще и сдачу отчетности через них И общение с налоговой, для чего надо получить, правильно, сертификат. Получение выглядит как 'подпишите вот тут распечатку с хэшем сертификата. Файл выдать хотя бы? А у нас Сертифицированная Облачная Подпись'(подтверждение операции — по СМС)(у одного из банков еще и саму услугу этой Облачной подписи оказывает не сам банк).
Нет, я понимаю зачем эта Облачная подпись придумана (потому КриптоПро и аналоги — это тот еще гемморой, на 100% нормально работающий только только под Windows а пользователи почему то не оценивают это) но… мне например — не очевидно (хотя документы — читаны) — та же подпись Эльбы облачная или там подпись для сдачи отчетности банка — она может быть для чего то ЕЩЕ использована быть? А если таки кто-то сопрет? Какие там у этих облачных подписей меры безопасности и кто за это отвечает?
Ну не знаю.
Потребовалось недавно подписи получать и физика и ИП
У одно из двух УЦ вполне нормально токен выдать прямо с уже сгенеренной подписью (и тут я вспоминаю правила безопасности по работе с НЕ сертифицированными подписями — например то что ключ надо генерить — самостоятельно и он вообще никому не должен попадать, никак). У второго (Контур) — генерация ключа на моей машине (правда закрытым софтом и только под Windows). Правда вот сертификат для Эльбы (сдача отчетности) генерируется примерно как с банками ниже.
С банками для ИП вообще интересно. Все хотят еще и сдачу отчетности через них И общение с налоговой, для чего надо получить, правильно, сертификат. Получение выглядит как 'подпишите вот тут распечатку с хэшем сертификата. Файл выдать хотя бы? А у нас Сертифицированная Облачная Подпись'(подтверждение операции — по СМС)(у одного из банков еще и саму услугу этой Облачной подписи оказывает не сам банк).
Нет, я понимаю зачем эта Облачная подпись придумана (потому КриптоПро и аналоги — это тот еще гемморой, на 100% нормально работающий только только под Windows а пользователи почему то не оценивают это) но… мне например — не очевидно (хотя документы — читаны) — та же подпись Эльбы облачная или там подпись для сдачи отчетности банка — она может быть для чего то ЕЩЕ использована быть? А если таки кто-то сопрет? Какие там у этих облачных подписей меры безопасности и кто за это отвечает?
С Эльбой всё очень весело. Надеюсь, скоро допишу статью на эту тему. Если кратко — а) они генерируют сертификат квалифицированной электронной подписи _заочно_, на основании скана паспорта и СНИЛСа (что, кмк, уже повод для обращения в прокуратуру для проверки на предмет соблюдения ФЗ об ЭП).
б) приватный ключ остаётся на их стороне. Мало того, что они сгенерирован ими, так ещё и у пользователя _вообще нет к нему доступа_
в) за четыре месяца общения с их поддержкой они не смогли привести НИ ОДНОГО аргумента против того, что их сертификат _достаточен_ для подписания договоров и совершения прочих действий, для которых он, по логике, не предназначен (исключительно работы с отчётностью в рамках Эльбы). В св-вах сертификата (проверял, запрашивая данные из их УЦ) прописаны значения, достаточные для использования этого сертификата в кач-ве «электронной подписи, эквивалентной собственноручной». Особенно весело это для ИП, для которых такой серт эквивалентен собственноручной подписи ФЛ, для продажи квартиры, например, или получения микрозайма.
б) приватный ключ остаётся на их стороне. Мало того, что они сгенерирован ими, так ещё и у пользователя _вообще нет к нему доступа_
в) за четыре месяца общения с их поддержкой они не смогли привести НИ ОДНОГО аргумента против того, что их сертификат _достаточен_ для подписания договоров и совершения прочих действий, для которых он, по логике, не предназначен (исключительно работы с отчётностью в рамках Эльбы). В св-вах сертификата (проверял, запрашивая данные из их УЦ) прописаны значения, достаточные для использования этого сертификата в кач-ве «электронной подписи, эквивалентной собственноручной». Особенно весело это для ИП, для которых такой серт эквивалентен собственноручной подписи ФЛ, для продажи квартиры, например, или получения микрозайма.
на 100% нормально работающий только только под Windows
квалифицированная электронная подпись под macOS прекрасно работает, enjoy plz!
habr.com/ru/post/450516
Спасибо но…
— статья даже этого месяца. это к вопрос про «100% нормально работает»
— при попытке пройти по шагам не заработало (на тестировании подписи начались проблемы) хотя думаю получится разобраться дальше, кажется понятно в чем дело. Спасибо за ссылку.
— я заранее извиняюсь но на мой взгляд сам факт что эта статья — нужна — означает что это не «100% нормально работающее»
— почему вообще об этом надо на Хабре искать информацию а не на сайте одного из УЦ что выдавали подписи? (у Контура насколько удалось понять вообще очень четко сказано — только винда, все).
— статья даже этого месяца. это к вопрос про «100% нормально работает»
— при попытке пройти по шагам не заработало (на тестировании подписи начались проблемы) хотя думаю получится разобраться дальше, кажется понятно в чем дело. Спасибо за ссылку.
— я заранее извиняюсь но на мой взгляд сам факт что эта статья — нужна — означает что это не «100% нормально работающее»
— почему вообще об этом надо на Хабре искать информацию а не на сайте одного из УЦ что выдавали подписи? (у Контура насколько удалось понять вообще очень четко сказано — только винда, все).
Это должно быть по умолчанию то есть нужно в МФЦ ходить, чтобы разрешить это действие, а не запретить. Но у нас всё продумано как всегда.
Ходил сегодня в московский мфц. Говорят, что электронная подпись эквивалентна личному присутствию и предалагают обращаться в росреестр, чтобы запретить использовать эцп. На горячей линии росреестра говорят что запретить использование эцп нельзя. Шах и мат.
Так как ваш вопрос не содержит указания на лицо, которому надо бороться, то ответ мой прозвучит не менее вакуумо-сферично. Борьба должна заключаться в модификации законодательства, таким образом, чтобы получение ключа по доверенности было возможно только по нотариальной доверенности во всех случаях (в т.ч. для юрлиц).
Если вы хотите почувствовать себя сопричастным к этой борьбе, то напишите обращение в Минкомсвязи о необходимости подобной законотворческой инициативы. Я написал уже года полтора назад об этом.
Если вы хотите почувствовать себя сопричастным к этой борьбе, то напишите обращение в Минкомсвязи о необходимости подобной законотворческой инициативы. Я написал уже года полтора назад об этом.
Нотариальная доверенность так же подделывается, к примеру, случаи выдачи дубликатов СИМ карты, с последующим уводом средств с привязанных счетов.
А у вас там доверенность разве в едином реестре не регистрируется?
Я не верю в то, что кто-то нашел черного нотариуса, чтобы тот выдал настоящую доверенность без присутствия лица, которое доверяет, только ради того, чтобы стырить деньги с симки. Тут риски в сотни раз выше потенциального профита.
Зато я верю в то, что кто-то нафотошопил доверку, а работник ОПСОСа не проверил её через открытый реестр доверенностей.
Зато я верю в то, что кто-то нафотошопил доверку, а работник ОПСОСа не проверил её через открытый реестр доверенностей.
> http
> https reestr-dover.ru — CN=www.reestr-zalogov.ru
Это прекрасно
> https reestr-dover.ru — CN=www.reestr-zalogov.ru
Это прекрасно
чтобы стырить деньги с симки
Мне даже как-то неловко указывать на то, что тырить деньги собираются не с симки, а с банковского счета через онлайн- или мобильный банк, доступ к которому подтверждается через 2FA путем отсылки подтверждаюего кода на телефонный номер.
Какая разница? И в том, и в другом случае симка по сути является ключем к средствам на счете (лицевому или банковскому).
Кстати, 2FA путем СМС — это какая-то гадость. У ВТБ24 был прикольный генератор одноразовых кодов, который использовал крипту чипа банковской карты. Вот это хороший 2FA по идее. Если только реализация не подкачала.
Кстати, 2FA путем СМС — это какая-то гадость. У ВТБ24 был прикольный генератор одноразовых кодов, который использовал крипту чипа банковской карты. Вот это хороший 2FA по идее. Если только реализация не подкачала.
Какая разница?
Количественная, в какой-то момент переходящая в принципиальную. Или считанные сотни рублей на лицевом счету (хотя в Мегафоне и МТС там могут быть и десятки-сотни тысяч) или содержимое банковского счета, на котором могут быть любые суммы. У вас на этом базируется утверждение «тут риски в сотни раз выше потенциального профита», которое из-за разницы теряет смысл.
Кстати, 2FA путем СМС — это какая-то гадость
Гадость и мерзость, но банки не любят OTP, увы.
С одной стороны я с вами согласен, что это не тождественно, и я, возможно, невнимательно написал камент (уже не помню, что мне думалось 2 месяца назад). С другой стороны где-то читал, что средний размер счета физлиц в банках примерно 160000 рублей (включая вклады). Таким образом, средний профит банды злоумышленников (в которую входит нотариус) — 160К. Даже если ему отойдет половина — 80К… да хоть бы и все 100%, то я по прежнему считаю, что для нотариуса тут риски в сотни раз выше потенциального профита.
> а бороться с этим как?
ну я планировал разместить где-нибудь у нотариуса заведомый отказ от любой электронной подписи,
но боюсь, что это не сработает.
ну я планировал разместить где-нибудь у нотариуса заведомый отказ от любой электронной подписи,
но боюсь, что это не сработает.
Писать в прокуратуру. На предмет проверки соответствия работы таких УЦ закону об ЭП. У меня Контур-Эльба на очереди.
С данном случае в работе УЦ на самом деле практически нет нарушений. При получении сертификата по доверенности на должностное лицо юридического лица у УЦ нет обязанности (и права) требовать оригиналы паспорта. СНИЛС вообще не является документом — это цветная ламинированная бумажка без признаков документа — нет ни печати, ни подписи, ни степеней защиты. А доверенность обязана быть удостоверена согласно ч. 4 ст. 185.1 ГК РФ, и она была именно так и удостоверена. Проверять, что это подделка у УЦ опять таки нету ни возможности, ни права.
Проблем тут несколько
1) Паспортные данные, СНИЛС используется как аутентификационная информация, но по сути это публичные данные. Нужно искоренять практику, когда для аутентификации личности используется данная информация.
2) У текущей схемы государственного PKI — набора аккредитованных УЦ (63-ФЗ) есть фатальная проблема конфликт интересов УЦ между безопасностью и продажами. УЦ зарабатывают на количестве проданных ЭП (электронных подписей). Для упрощения продаж ослабляются процедуры проверки документов и идентификации личности. Клиенты не хотят заморачиваться и любую «безопасность» воспринимают как бюрократию, в результате чего пойдут в тот УЦ, где «бюрократии» нет. Это не проблема одного УЦ, это системная проблема, решить которую можно только на уровне законодательства. Нужно менять всю схему. Текущая вариант, когда государство периодически проводит проверки качества работы УЦ по факту не решает проблему.
С точки зрения публикации, то тут журналисты совершили уголовку — подделали подпись собственника (заявителя) ЭП, подделали сканы паспорта. Такое может быть даже если документы будут внимательно проверять. По сути работник УЦ ОБЯЗАН был звонить не журналисту «заминать» вопрос, а в полицию и возбуждать 159, 327 УК РФ.
Не стоит забывать, что подделывая бумажную подпись можно бед натворить много больше, нежели с помощью ЭП.
1) Паспортные данные, СНИЛС используется как аутентификационная информация, но по сути это публичные данные. Нужно искоренять практику, когда для аутентификации личности используется данная информация.
2) У текущей схемы государственного PKI — набора аккредитованных УЦ (63-ФЗ) есть фатальная проблема конфликт интересов УЦ между безопасностью и продажами. УЦ зарабатывают на количестве проданных ЭП (электронных подписей). Для упрощения продаж ослабляются процедуры проверки документов и идентификации личности. Клиенты не хотят заморачиваться и любую «безопасность» воспринимают как бюрократию, в результате чего пойдут в тот УЦ, где «бюрократии» нет. Это не проблема одного УЦ, это системная проблема, решить которую можно только на уровне законодательства. Нужно менять всю схему. Текущая вариант, когда государство периодически проводит проверки качества работы УЦ по факту не решает проблему.
С точки зрения публикации, то тут журналисты совершили уголовку — подделали подпись собственника (заявителя) ЭП, подделали сканы паспорта. Такое может быть даже если документы будут внимательно проверять. По сути работник УЦ ОБЯЗАН был звонить не журналисту «заминать» вопрос, а в полицию и возбуждать 159, 327 УК РФ.
Не стоит забывать, что подделывая бумажную подпись можно бед натворить много больше, нежели с помощью ЭП.
Нужно искоренять практику, когда для аутентификации личности используется данная информация.
А как её искренишь? Никакой секретной информации (при этом подходящей для проверки) у человека нет. Пароль? Так это ещё хуже ЭЦП.
Менять бизнес-процессы и принятые бизнес-практики, но это очень сложно, почти нереально.
Если говорить о практике, то варианты есть — кодовое слово, биометрическая идентификация, идентификация через доверенный сторонний сервис и т.д. Ну и в конце концов, можно применять различные методы идентификации для операций различного уровня риска.
Проблема в том, что это будет «усилий» от клиента, но тут уже ничего не поделаешь. Хочешь жить — борись за жизнь.
Если говорить о практике, то варианты есть — кодовое слово, биометрическая идентификация, идентификация через доверенный сторонний сервис и т.д. Ну и в конце концов, можно применять различные методы идентификации для операций различного уровня риска.
Проблема в том, что это будет «усилий» от клиента, но тут уже ничего не поделаешь. Хочешь жить — борись за жизнь.
Менять бизнес-процессы и принятые бизнес-практики, но это очень сложно, почти нереально.
Бизнес-процессы? При оформлении недвижимости? Напишите конкретно, без воды.
биометрическая идентификация
Один раз утечет в сеть и всё. Больше никогда ничем владеть уже нельзя. Подпись хоть оспорить можно, отпечаток не оспоришь.
> подделали сканы паспорта
> работник УЦ ОБЯЗАН был звонить не журналисту «заминать» вопрос, а в полицию и возбуждать 159, 327 УК РФ.
Может быть, на вас возбудить за то, что вы подделываете логику? )
Во-первых, нельзя подделать то, что документом не является. Скан документа != документ до тех пор, пока он хотя бы кем-то не заверен.
Во-вторых, совершенно верно написал журналист, что работник УЦ не может делать НИКАКИХ выводов на основании звонка непонятно кого. Потому что в противном случае он своими руками организует Denial of service.
> работник УЦ ОБЯЗАН был звонить не журналисту «заминать» вопрос, а в полицию и возбуждать 159, 327 УК РФ.
Может быть, на вас возбудить за то, что вы подделываете логику? )
Во-первых, нельзя подделать то, что документом не является. Скан документа != документ до тех пор, пока он хотя бы кем-то не заверен.
Во-вторых, совершенно верно написал журналист, что работник УЦ не может делать НИКАКИХ выводов на основании звонка непонятно кого. Потому что в противном случае он своими руками организует Denial of service.
Работник УЦ ОБЯЗАН руководствоваться регламентом УЦ. Когда клиент выбирает в каком УЦ получить ЭП, он должен ознакомиться с регламентом, оценить удовлетворяет ли он его требованиям безопасности и т.д.
Если в регламенте УЦ написано, что блокировка производится по простому звонку, то оператор ОБЯЗАН выполнить ее. Клиент должен был оценить риски подобных действий до подписания документов.
На практике, все удостоверяющие центры гос. и коммерческие обычно, с которыми я работал, проводят подобные действия по кодовому слову.
Скорее все журналисты столкнулись с преступной халатностью работников УЦ.
И на последок про DoS. Если вы нашли на улице банковскую карту, то вы можете позвонить в банк эмитент сказать им об этом и ее заблокируют просто по вашему звонку…
Если в регламенте УЦ написано, что блокировка производится по простому звонку, то оператор ОБЯЗАН выполнить ее. Клиент должен был оценить риски подобных действий до подписания документов.
На практике, все удостоверяющие центры гос. и коммерческие обычно, с которыми я работал, проводят подобные действия по кодовому слову.
Скорее все журналисты столкнулись с преступной халатностью работников УЦ.
И на последок про DoS. Если вы нашли на улице банковскую карту, то вы можете позвонить в банк эмитент сказать им об этом и ее заблокируют просто по вашему звонку…
У меня есть сертификаты в четырех УЦ. Ни в одном никогда не возникало какой-либо речи о кодовом слове. Так что про такую практику я слышу впервые. Я допускаю, что УЦ может так поступить если хотя бы я представляют владельцем скомпрометированного сертификата. Но тут намеренно они представляются а бы кем.
Когда клиент выбирает в каком УЦ получить ЭП
Клиентом вы в данном случае называете мошенника? Настоящий клиент вообще не получал подпись. А мошенник конечно ознакомился с правилами безопасности и выбрал подходящий центр.
С точки зрения публикации, то тут журналисты совершили уголовку — подделали подпись собственника
А если они действовали по обоюдному согласию с исследовательской целью и зафиксировали это в виде какой-то расписки? Считается ли это преступлением?
В приведенных статьях УК РФ нет понятий «исследовательских целей». Преступление это или нет должна решать полиция.
Журналистам обычно много что прощается по «журналистскму расследованию», если они не получили выгоды, конечно. Подозреваю, что в данном случае тоже.
В том числе в GDPR и смежных документах у журналистов специальные условия.
В том числе в GDPR и смежных документах у журналистов специальные условия.
Но все все еще считают, что ответственность программистов и прочих IT обработчиков персональных данных не нужна.
Я еще могу сказать, что и с госуслугами такая же дыра — я оформлял пособие по уходу за инвалидом, при этом в ПФ мне просто сказали: «Раз у инвалида нет госуслуг и мобильного, дайте чей-нибудь номер телефона, на него придет пароль, пусть его вам сообщат». Это говорят работники ПФ, потому что оформить без регистрации в госуслугах пособие невозможно.
Я еще могу сказать, что и с госуслугами такая же дыра — я оформлял пособие по уходу за инвалидом, при этом в ПФ мне просто сказали: «Раз у инвалида нет госуслуг и мобильного, дайте чей-нибудь номер телефона, на него придет пароль, пусть его вам сообщат». Это говорят работники ПФ, потому что оформить без регистрации в госуслугах пособие невозможно.
Ответственность программистов за то, что продавец выдал ЭЦП по поддельным документам? Это вы классно придумали.
Он просто думает, что манагеры в УЦ — это IT ) Быль в том, что они в 95% случаев даже не знают, что такое электронная подпись. Что продают — толком не понимают. Обучены делать какую-то последовательность действий и тупо ей следуют.
IT, разрабатывавшие все это, должны были предусмотреть ВСЕ возможные варианты мошенничества, в том числе и получение ЭП по фальшивым документам, и предусмотреть какой-то способ сообщения юзеру, что на его имя получается некий «ключ от всех дверей». Или какой-то тайм-аут для верификации операции с помощью девочки на телефоне. Но зачем? Можно прикрыть зад EULA и не париться — проблемы юзеров шерифа не волнуют.
Внизу в комментах пишут, что возможно получение неограниченного числа копий ЭП — в этом, разумеется, тоже виноваты исключительно девочки-манагеры, а не разработчики идеологии системы ЭП.
Внизу в комментах пишут, что возможно получение неограниченного числа копий ЭП — в этом, разумеется, тоже виноваты исключительно девочки-манагеры, а не разработчики идеологии системы ЭП.
> IT, разрабатывавшие все это, должны были предусмотреть ВСЕ возможные варианты мошенничества, в том числе и получение ЭП по фальшивым документам
IT? Фальшивые документы? Написать программу, которая говорит «ПРЕДЪЯВЛЕН ФАЛЬШИВЫЙ ДОКУМЕНТ!»? На нейросетях, наверное?
> и предусмотреть какой-то способ сообщения юзеру, что на его имя получается некий «ключ от всех дверей»
Вот допустим я сейчас хочу сообщить Вам (не на хабре, а официально), что на ваше имя получается ключ от всех дверей. Как мне с вами связаться? Это даже государство не всегда может, а вы предлагаете отвечать за это IT.
> Можно прикрыть зад EULA
EULA, конечно же, пишут тоже программисты, а не юристы.
> Внизу в комментах пишут, что возможно получение неограниченного числа копий ЭП — в этом, разумеется, тоже виноваты
В этом вообще никто не виноват. Это не бага. Это фича.
IT? Фальшивые документы? Написать программу, которая говорит «ПРЕДЪЯВЛЕН ФАЛЬШИВЫЙ ДОКУМЕНТ!»? На нейросетях, наверное?
> и предусмотреть какой-то способ сообщения юзеру, что на его имя получается некий «ключ от всех дверей»
Вот допустим я сейчас хочу сообщить Вам (не на хабре, а официально), что на ваше имя получается ключ от всех дверей. Как мне с вами связаться? Это даже государство не всегда может, а вы предлагаете отвечать за это IT.
> Можно прикрыть зад EULA
EULA, конечно же, пишут тоже программисты, а не юристы.
> Внизу в комментах пишут, что возможно получение неограниченного числа копий ЭП — в этом, разумеется, тоже виноваты
В этом вообще никто не виноват. Это не бага. Это фича.
Ну вообще-то у нас давно даже в соцсетях регистрируют по номеру мобильника — но, видимо, для всех прочих это за пределами сложности. Обычная почта с уведомлением заказным письмом, как это было, например, на «Молотке» — тоже.
Военкомат, между тем, работает на бумажном документообороте, и они реально присылают заказные письма — мол, вами поданы следующие документы (список) для рассмотрения (цель) при сдаче документов, и второе письмо «ваше обращение (цель) рассмотрено, решение такое-то вынесено, забрать документы (если представлены были оригиналы) там-то и там-то». Помимо писем сообщают и по телефону тоже, но письма идут с печатью и подписью и являются документом, который можно «пришить к делу». Если такое письмо было б отправлено, а юзер его не получил — тогда разговор становится уже немного другим, если же все документодвижения делаются втихаря за спиной юзера — система сделана через место пониже спины.
Неограниченное число копий — это не фича, это баг, причем критический — это как иметь сотни копий паспорта, каждая из которых может оказаться где угодно.
Военкомат, между тем, работает на бумажном документообороте, и они реально присылают заказные письма — мол, вами поданы следующие документы (список) для рассмотрения (цель) при сдаче документов, и второе письмо «ваше обращение (цель) рассмотрено, решение такое-то вынесено, забрать документы (если представлены были оригиналы) там-то и там-то». Помимо писем сообщают и по телефону тоже, но письма идут с печатью и подписью и являются документом, который можно «пришить к делу». Если такое письмо было б отправлено, а юзер его не получил — тогда разговор становится уже немного другим, если же все документодвижения делаются втихаря за спиной юзера — система сделана через место пониже спины.
Неограниченное число копий — это не фича, это баг, причем критический — это как иметь сотни копий паспорта, каждая из которых может оказаться где угодно.
Ещё раз. Ситуация. Приходит в УЦ (оставим сейчас работу по проверке документов в сторону) хрен с бугра и предъявляет полный набор документов на вас, необходимый для получения сертификата ЭП. При этом ваши контактные данные там полностью не настоящие. Не настоящий адрес прописки, не ваш телефон (то есть он мошенника), не ваш email. Как УЦ должен по этим данным связаться с настоящим вами?
Военкомат априори знает ваш настоящий адрес, ему не нужен для этого хрен с бугра, который перед началом документооборота туда явится вместо вас и введет их в заблуждение.
Военкомат априори знает ваш настоящий адрес, ему не нужен для этого хрен с бугра, который перед началом документооборота туда явится вместо вас и введет их в заблуждение.
Например сделать запрос в паспортный стол, и свериться с данными, находящимися там (номер паспорта, адрес проживания и тп)
А в паспортном столе прямо ждут, когда им работы подкинут, чтобы кто-то мог заработать денег, а они (в паспортном столе) нарушить закон о полиции.
В любом случае виновны те, кто разработал и сделал эту насквозь дырявую и убогую систему. Если не хотят лишней работы — не надо вводить новых сущностей. А то очень удобно — подкладывать другим свинью, а потом ни за что не отвечать. Да, можно по подложным документам оформить генеральную доверенность, но при бумажном документообороте шансов, что где-то спалят, много больше, либо надо много своих людей. А тут — ни сном ни духом не знаешь, чего там намудрят без твоего ведома. Если у вас нет возможности сделать систему безопасной, тем более с такими явными дырами — не надо ее делать совсем.
На коммент ниже: да, я буду называть того, кто разработал убогую идеологию системы (со множественными ключами и отсутствием обратной связи) программистом, потому что это именно он.
На коммент ниже: да, я буду называть того, кто разработал убогую идеологию системы (со множественными ключами и отсутствием обратной связи) программистом, потому что это именно он.
Я смотрю вам уже напихали за шиворот минусов, а вы всё не уйметесь. А я вам всё-таки поясню, последний раз.
Законодательной основой, которая стоит за ВСЕЙ это кухней, является Федеральный закон №63-ФЗ «Об электронной подписи». Именно в нём прописывается то, как должен работать УЦ, и другие затрагиваемые вами нюансы. Я даже спорить не буду с тем, что в нём куча косяков — это так. Правда вы даже не представляете себе какие там косяки. Они уж точно посерьезнее того, что обсуждается в данной статье.
В результате того, что такой закон родился на свет, появились коммерческие фирмы, которые получили акредитацию в Минкомсвязи как УЦ, которые используют разработанные совершенно другими фирмами средства криптографической защиты информации (СКЗИ), для осуществления своей деятельности по извлечению прибыли.
Программисты в этой истории разработывают СКЗИ, которое выполняет элементарные криптографические операции, и может быть использовано кем угодно и как угодно. В том числе как угодно криво.
Таким образом, ваше утверждение равносильно тому, что убийства совершаются Калашниковым, Макаровым, Стечкиным и т.д., а не теми, кто применяет их оружие.
Законодательной основой, которая стоит за ВСЕЙ это кухней, является Федеральный закон №63-ФЗ «Об электронной подписи». Именно в нём прописывается то, как должен работать УЦ, и другие затрагиваемые вами нюансы. Я даже спорить не буду с тем, что в нём куча косяков — это так. Правда вы даже не представляете себе какие там косяки. Они уж точно посерьезнее того, что обсуждается в данной статье.
В результате того, что такой закон родился на свет, появились коммерческие фирмы, которые получили акредитацию в Минкомсвязи как УЦ, которые используют разработанные совершенно другими фирмами средства криптографической защиты информации (СКЗИ), для осуществления своей деятельности по извлечению прибыли.
Программисты в этой истории разработывают СКЗИ, которое выполняет элементарные криптографические операции, и может быть использовано кем угодно и как угодно. В том числе как угодно криво.
Таким образом, ваше утверждение равносильно тому, что убийства совершаются Калашниковым, Макаровым, Стечкиным и т.д., а не теми, кто применяет их оружие.
Разница в том, что автомат Калашникова — это изначально оружие, а ЭП — это тостер, в который разработчики зачем-то встроили ядерную боеголовку. Ну, или если взять пример с АК — это автомат, который в разгар перестрелки внезапно начинает пускать мыльные пузыри. Но разумеется, конструкторы в этом не виноваты — атомная бомба в тостер попала совершенно случайно, потому что в любой тостер можно затолкать атомную бомбу, или потому что им так захотелось или еще по какой-то иной, столь же дурацкой причине.
оформить без гос. услуг можно.
Я оформил маме учётку в госуслугах, чтобы сменить ей поликлинику. Никаких номеров телефонов вообще не потребовалось, только e-mail и данные из документов.
Работники ПФР нагоняют статистику использования сайтом госуслуг,
у них план по электронным заявлениям, также как и у всех госучреждений.
Принять заявление они могут в любом виде при большом желании посетителя.
у них план по электронным заявлениям, также как и у всех госучреждений.
Принять заявление они могут в любом виде при большом желании посетителя.
Как же любят граждане называть программистами любого, кто хоть чуть связан с IT. Водителя инженером-конструктором не называете?
Ты с конпутером работаешь? Значит погромист. Я сказал погромист, а не секретанша! И нечего умного человека путатьт, иди утюг чини.
сделать запрос в паспортный стол
На самом деле не туда.
Сегодня уже проходил совет от юристов на эту тему.
Оказывается есть такая государственная услуга как «Запрет на сделки с недвижимостью».
Идем в МФЦ и подписываем бумажку о запрете на любые действия с вашей недвижимостью.
После установки запрета — все действия с вашей недвижимостью только при вашем ЛИЧНОМ присутствии. Всякие электронные ключи теряют силу.
Обезопасит от:
оформление залога или аренды вашего объекта третьими лицами;
прекращение прав на владение объектом;
оформление продажи, дарения или мены объекта.
Оказывается есть такая государственная услуга как «Запрет на сделки с недвижимостью».
Идем в МФЦ и подписываем бумажку о запрете на любые действия с вашей недвижимостью.
После установки запрета — все действия с вашей недвижимостью только при вашем ЛИЧНОМ присутствии. Всякие электронные ключи теряют силу.
Обезопасит от:
оформление залога или аренды вашего объекта третьими лицами;
прекращение прав на владение объектом;
оформление продажи, дарения или мены объекта.
Это запрет на сделки по доверенности. При наличии ЭП он, кстати, легко снимается через сайт росреестра
Интересно, а если я пойду в нормальный удостоверяющий центр и зарегистрирую себе ЭП, то это как-то защитит от повторной регистрации моей ЭП злоумышленниками?
Нет. У вас может быть неограниченное количество одновременно действующих сертификатов.
Ну тогда это просто дырень. А если у меня банально украдут токен? ИМХО должен быть государственый реестр действующих сертификатов. Чтобы можно было отозвать в случеа чего.
Если украдут токен, то связываетесь с тем УЦ, в котором вы получали сертификат и заявляете, что ключи ЭП скомпрометирован. УЦ вносит ваш сертификат в реестр отозванных сертификатов.
Так смысл всего этого в том чтобы была единая государственная база данных (как раз тот случай когда государство и централизация нужны). Может этот конкретный УЦ к тому времени сам сдуется и исчезнет:)
Я как-то не улавливаю, откуда вы почерпнули такой странный смысл ) Сказать, что это не так, это ничего не сказать. Это вообще совсем не так. Смысл электронной подписи в следующем:
1) Подлинность (в смысле принадлежности автору подписи)
2) Неизменность после подписания
3) Неотрекаемость
и всё это, чтобы юридически значимо и без использования бумаги.
В настоящий момент есть проблемы с п.3) потому что есть проблема с установлением времени, когда была совершена подпись. Это фиксится законодательно путем службы времени или блокчейном. И с п.1) по описанным в статье причинам. Впрочем я не вижу ничего страшного в этом. Когда институт нотариусов устаканивался, там тоже было множество злоупотреблений.
Кстати, возможно, что блокчейн хороший вариант и как единый реестр выданных сертификатов. Опять же, главное, чтобы это было законодательно прописано.
1) Подлинность (в смысле принадлежности автору подписи)
2) Неизменность после подписания
3) Неотрекаемость
и всё это, чтобы юридически значимо и без использования бумаги.
В настоящий момент есть проблемы с п.3) потому что есть проблема с установлением времени, когда была совершена подпись. Это фиксится законодательно путем службы времени или блокчейном. И с п.1) по описанным в статье причинам. Впрочем я не вижу ничего страшного в этом. Когда институт нотариусов устаканивался, там тоже было множество злоупотреблений.
Кстати, возможно, что блокчейн хороший вариант и как единый реестр выданных сертификатов. Опять же, главное, чтобы это было законодательно прописано.
Ну неизменность и неотрекаемость делаются криптографически (тот же блокчейн, хотя там и обычной асимметричной криптографии достаточно). А вот как быть с принадлежностью автору? Как связать конкретную подпись с человеком? ИМХО, вот как раз здесь и нужно государство как служба. Ну а в идеале хорошо бы все эти функции туда заложить, чтобы уж была единая служба.
Возьмите, как пример, нотариусов. С одной стороны это частно практикующие люди, с другой стороны они выполняют государственную функцию (за что берут в том числе государственную пошлину). Мне, например, не очевидно, что УЦ должны идти другим путём. Правда, если бы государство избавилось бы от нотариусов, я был бы только рад, уж больно они мерзкие (и пусть мне ещё минусов наставят за это).
Ну, допустим, что сам институт доверенности нужен для того, чтобы обеспечить сделку, не имея возможности физического присутствия. Уже одно это становится ненужным при переходе в цифру… Для чего ещё вам нужен нотариус (если исключить навязанные государством моменты)?
а, вы уже живете в цифре…
Нельзя так передергивать, как это делаете вы, в приличной дискуссии. Разговор о нотариусах был начат в этом каменте, и по его смыслу очевидно, что речь идет о развитии институтов УЦ в будущем и о предложении в будущем же от нотариусов уйти. Поэтому не так важно, где я уже живу, сколько то, где мы будем с вами жить.
За нотариусами тоже нужен контроль, и известны случаи участия нотариусов в преступных схемах. Просто на момент их появления еще не было технической возможности. Сейчас — есть, и сильная криптография, и блокчейн, и само проникновение Интернета достаточно.
Что касается блокчейна, то вопрос тоже спорный. Это модная сейчас тенденция, но она требует большой инфраструктуры. С другой стороны надежная чистая ЭП по сути требует только трёх участников — подписант, УЦ и служба времени.
Например, централизованный реестр подписей можно вести как раз в блокчейне. Подписи создаются/отзываются не каждый день, а в идеале — один раз в жизни, так что в масштабах государства нагрузка будет небольшая. Зато у самого государства не будет возможности изменить что-либо задним числом.
Например, централизованный реестр подписей можно вести как раз в блокчейне.
Вы повторяете мою мысль из последнего абзаца в этом каменте
Подписи создаются/отзываются не каждый день, а в идеале — один раз в жизни
Сертификаты подписей имеют срок годности 12 месяцев. Хотят сделать 24 месяцев для хороших ключевых носителей, но пока это только мысли. С чего вы взяли про один раз в жизни?
А если у меня банально украдут токен?
Для этого у токена существует PIN-код, но большинство оставляет его дефолтным
По мнению разработчиков, электронная подпись по уникальности равноценна обычной подписи, она так же уникальна и значима. Физически она записывается на устройство, которое по внешнему виду напоминает флешку.
Первое, "на устройство, которое по внешнему виду напоминает флешку", записывается не электронна подпись, а сертификат и закрытый ключ, которым владелец будет подписывать документы. У каждого документа будет своя уникальная подпись. Сегодня беда в том, что закрытый ключ хранится где попало. Надо все же переходить на криптографические токены PKCS#11. И самое главное, на мой взгляд запретить УЦ генерировать/выдавать устройства с закрытым ключом (где гарантия, что у них не остался дубликат). В УЦ заявители должны приходить с электронным запросом на сертификат и необходимыми документами.
Вы такие здравые вещи говорите, будто статью не читали. Не важно что там за устройство с вашими ключами, если его любому зашедшему с улицы выдают.
Так-то, конечно, ключ должен генерироваться на токене и приватная часть там навечно и оставаться, но чтобы вкусить плоды такого хайтека сначала надо, чтобы государство с пальмы слезло.
Так-то, конечно, ключ должен генерироваться на токене и приватная часть там навечно и оставаться, но чтобы вкусить плоды такого хайтека сначала надо, чтобы государство с пальмы слезло.
Но я с вами, коллега, одновременно согласен и одновременно нет. У нас цифровизацию экономики начали с ТСЖ. Задолго до того, как ею заболел Путин, все ТСЖ фактически обязали иметь электронную подпись (2014 год, на секундочку). А кто у нас председатели ТСЖ? В основном пенсионеры, отставные военные и прочее. Вы думаете они знают, кто такие Алиса и Боб? Не сильно лучше, кстати, дела обстоят с руководителями других организаций. Поэтому если сделать так, как предлагаете вы, это породит более страшную вещь — для генерации запроса на сертификат будут нанимать вообще мутных чуваков со стороны, которые будут тырить эти ключи и продавать их на черном рынке. Это ещё хуже контролируемый процесс, чем эта вакханалия в УЦ.
Увы, но это задача без решения в настоящее время. Никакого стимула вникать в этупорнокриптографию у людей далеких от айти сейчас нет. По сути их превратили в обезьян с гранатой, только гранату их заставили взять, а не случайно оставили без присмотра.
Увы, но это задача без решения в настоящее время. Никакого стимула вникать в эту
В некоторых банках юр. лицами именно так и получается электронная подпись (банковская). через запрос на сертификат.
В результате подпись получает не директор, а за него это делает сисадмин.
У госорганизации существует 6 компьютерных систем,
где все документы должен подписывать руководитель электронной подписью.
То есть руководитель должен целый день бегать по этажам и подтверждать документы на компьютерах пользователей.
А теперь догадайтесь, как на самом деле это организовано.
где все документы должен подписывать руководитель электронной подписью.
То есть руководитель должен целый день бегать по этажам и подтверждать документы на компьютерах пользователей.
А теперь догадайтесь, как на самом деле это организовано.
Очень давно чешутся руки пощупать, что такое СМЭВ физически. Но нет возможности. Я правда сильно подозреваю, что руководитель может это все подписать не вставая с места, т.к. там облако. Но ему лениво в это вникать.
На самом деле это должно быть реализовано правильным внедрением системы электронного документооборота. В таком случае и по этажам не придется бегать, и закрытый ключ кому либо доверять.
И получается интересная тема, как у нас в организации: На подписание документов мне надо в бухгалтерии держать 3(!) системы — одна для СУФД, вторая для эл.бюджета и третья для контура, потому что если их поставить на одну систему — регулярно друг-друга выбивают при обновлении.
Если я подойду к директору и предложу реально подписывать все документы как положено, а еще и проверять их — думаю его это как минимум не обрадует.
Правильная система документооборота должна быть прежде всего оправдана — не всем нужны многоступенчатые схемы подписи.
Ну так и всем компом директора «владеет» не директор, а сисадмин.
не случайно оставили без присмотра.
Конечно согласен с вами. Но одно должно быть сделано — реальный человек должен сам приходить на УЦ и получать сертификат. И документы приносить реальные. А то ведь это пародокс, что сканы (подчеркиваю СКАНЫ), заверенные электронной подписью заявителя считаются фактически оригиналами. А что и как получены эти сканы — это десятое дело
Вот сегодня вы потребовали лично прийти за симкартой и ЭЦП, а завтра вам ноги и токен с телефоном трамвай переехал. Действие по доверенности должно быть априори для всех юридических действий, иначе возможны пусть редкие, зато очень неприятные ситуации.
За ЭЦП-то ходить зачем? Вы ее нигде не получаете, вы ее сами будете ставить где хотите и когда хотите! И доверенность есть доверенность.
Ну не за самой ЭЦП, за программно-аппаратным комплексом, позволяющим подписывать свои документы ЭЦП.
И за ним (за программно-аппаратным комплексом, позволяющим подписывать свои документы ЭЦП) ходить не обязательно. Если вы имеете в виду СКЗИ, то его можно приобрести у производителя или дилера и на УЦ за ним ходить не надо. УЦ один из продавцов СКЗИ. А на УЦ нужно идти, как и в УФМС за паспортом, за сертификатом ключа проверки электронной одписи. Это его главная задача по запросу после проверки всех документов изготовить и выдать сертификат.
Пусть этим занимается исключительно МВД.
тут хабраюзеры не до конца могут понять, что здесь происходит, а вы хотите озадачить этим бедных пентов? ))
Не МВД, а МФЦ было б логичней.
Но категорически не коммерческие конторы — это должна быть строго государственная структура и контроль за выпуском электронных подписей должен быть не менее строгий, чем за выпусков паспортов граждан.
Но категорически не коммерческие конторы — это должна быть строго государственная структура и контроль за выпуском электронных подписей должен быть не менее строгий, чем за выпусков паспортов граждан.
И будет этот выпуск стоит 10000 рублей госпошлины и занимать месяц. И никаких способов через запросы на сертификат. И ключевой носитель выбирает МФЦ, какой ему больше нравится купили через госзакупку с распилом.
Пусть он лучше 10 000 стоит и месяц выпускается, всё-таки эта штука нужна не каждому и использоваться может многократно потом, чем вот всякие мутные конторы будут позволять мошенникам уводить чужие квартиры!
Вообще-то, как раз сейчас так и есть, только вместо МФЦ — мутные операторы и коммерческий тариф.
К слову, последние пару лет предпринималось несколько попыток похоронить бизнес коммерческих УЦ, передать выпуск квалифицированных сертификатов госам.
Предыдущая итерация, подразумевавшая выпуск ЭП ЮЛ в ФНС, ЭП госов и муниципалов — в ФК, а ЭП ФЛ — в МФЦ, встретила серьезное сопротивление на общественных слушаниях и до госдумы не дошла.
Модифицированная версия законопроекта буквально на днях прошла через совфед в госдуму на первое чтение.
Предыдущая итерация, подразумевавшая выпуск ЭП ЮЛ в ФНС, ЭП госов и муниципалов — в ФК, а ЭП ФЛ — в МФЦ, встретила серьезное сопротивление на общественных слушаниях и до госдумы не дошла.
Модифицированная версия законопроекта буквально на днях прошла через совфед в госдуму на первое чтение.
У МВД небритость — повод вглядеться повнимательней.
А несоответсвие в одну букву, повод затребовать вагон бумажек для разъяснения.
И любой шаг в сторону — не по инструкции.
А МногоФункциональныйЦентр та же мутная организация-прослойка, с никакой ответственностью.
А несоответсвие в одну букву, повод затребовать вагон бумажек для разъяснения.
И любой шаг в сторону — не по инструкции.
А МногоФункциональныйЦентр та же мутная организация-прослойка, с никакой ответственностью.
Автору статьи жирный минус. Скрестил статью о фейке про переоформленную с помощью ЭП квартиру и статью о реальном выпуске сертификата, но на юридическое лицо, и выдал нам заголовок о том, что сертификат (который он по незнанию называет электронным ключом) ключа проверки электронной подписи, можно получить на любого человека (т.е. на физическое лицо).
Для тех, кто не в курсе, но действительно хочет разобраться в том, что происходит — для получения в УЦ сертификата на физлицо по доверке, доверка должна быть строго нотариальная или приравненная к ней. Для получения на юрлицо доверка должна быть просто с печатью организации — этот факт и эксплуатировали журналисты Фонтанки (дочернего издания 47news). При этом сертификат выдается на человека-должностное лицо организации, и он не может быть использован для решения вопросов этого человека-физлица.
Причем для тех, кто вариться в этом, это уже давно не новость, а секрет Полишинеля.
Кроме того, журналисты фонтанки тоже слегка притянули сову на глобус, так как узнать СНИЛС человека не так-то просто. Можно, конечно, оформить сертификат на левый СНИЛС, нарисованный в фотошопе — у УЦ нету возможности его проверить. Но любой документ по такому сертификату не сложно оспорить по понятным причинам.
А вам, автор, надо журнализдом на life news работать, раз у вас такая тяга к искаверканным фактам в степени жареных заголовков.
Для тех, кто не в курсе, но действительно хочет разобраться в том, что происходит — для получения в УЦ сертификата на физлицо по доверке, доверка должна быть строго нотариальная или приравненная к ней. Для получения на юрлицо доверка должна быть просто с печатью организации — этот факт и эксплуатировали журналисты Фонтанки (дочернего издания 47news). При этом сертификат выдается на человека-должностное лицо организации, и он не может быть использован для решения вопросов этого человека-физлица.
Причем для тех, кто вариться в этом, это уже давно не новость, а секрет Полишинеля.
Кроме того, журналисты фонтанки тоже слегка притянули сову на глобус, так как узнать СНИЛС человека не так-то просто. Можно, конечно, оформить сертификат на левый СНИЛС, нарисованный в фотошопе — у УЦ нету возможности его проверить. Но любой документ по такому сертификату не сложно оспорить по понятным причинам.
А вам, автор, надо журнализдом на life news работать, раз у вас такая тяга к искаверканным фактам в степени жареных заголовков.
Добавлю, что если у человека есть паспортные данные директора и он уже сделал «мокрую» печать организации, то тут и без ЭП можно разных дел наделать. Тем более доверенности он уже научился выписывать ;)
А отчётность за юр. лицо и обычной почтой можно отправить, не имея вообще никаких данных, кроме тех, что есть в ЕГРЮЛ (изготовив опять «мокрую» печать). Зачем для этого делать ЭП непонятно. Разве только, чтобы стать настоящим сварщиком :)
А отчётность за юр. лицо и обычной почтой можно отправить, не имея вообще никаких данных, кроме тех, что есть в ЕГРЮЛ (изготовив опять «мокрую» печать). Зачем для этого делать ЭП непонятно. Разве только, чтобы стать настоящим сварщиком :)
СНИЛС узнать как раз проще чем паспортные данные, его НЕ берегут, он по сути бумажка, имеется в поликлиннике на карточке и еще куча где мест, на той же работе у бухов…
Если плясать от того, что у вас есть чей-то СНИЛС, то да. А вот обратная задача, когда вам нужно узнать СНИЛС конкретного человека, не решается в общем случае. Даже УЦ не могут его никак проверить, кроме очевидного контроля проверочных цифр в самом номере СНИЛСа. Поэтому УЦ обычно требуют предъявлять ламинированную бумажку СНИЛСа, считая, что это чего-нибудь гарантирует, а сейчас тихо матерятся из-за того, что выдачу ламината упразнили.
Нет, не так.
Последние несколько лет УЦ через СМЭВ подтверждают валидность СНИЛС в сервисе ПФР, паспорта — в сервисе МВД и ИНН — в сервисе ФНС.
Последние несколько лет УЦ через СМЭВ подтверждают валидность СНИЛС в сервисе ПФР, паспорта — в сервисе МВД и ИНН — в сервисе ФНС.
сервис МВД и ФНС публичный. Про ПФР мне не известно, чтобы они предоставляли такой сервис организациям, не входящим в структуру органов власти. И зачем бы им тогда кроме номера требовать предъявлять ламинат?
Они это делают не через публичный сервис, а через СМЭВ (иначе не считается за проверку и могут быть вопросы на очередной проверке регуляторами). Сервис ПФР там.
Зачем просят оригинал — не знаю. Навскидку — дополнительное доказательство в суде, что сделали все что можно, чтобы не выдать ЭП не тому. Строго говоря, приносить саму картонку СНИЛСа 63-ФЗ не требует:
Зачем просят оригинал — не знаю. Навскидку — дополнительное доказательство в суде, что сделали все что можно, чтобы не выдать ЭП не тому. Строго говоря, приносить саму картонку СНИЛСа 63-ФЗ не требует:
2. При обращении в аккредитованный удостоверяющий центр заявитель <...> представляет следующие документы либо их надлежащим образом заверенные копии и сведения:
1) основной документ, удостоверяющий личность;
2) номер страхового свидетельства государственного пенсионного страхования заявителя — физического лица;
...
Дайте ссылку на опровержение или ещё какое-нибудь обоснование того, что там фейк. Это важно.
Ссылки у меня нету. И вряд ли она будет, потому невозможно разыскать якобы какого-то Романа из Москвы, про которого больше вообще ничего не известно, нельзя.
Фейком это признано людьми, которые с темой выдачи ЭП хорошо знакомы (при этом они не имеют отношения к УЦ) по совокупности фактов:
1) В статье не указан УЦ, выдавший сертификат, которым была подписана
2) В статье не указано, каким образом, произошла выдача сертификата не владельцу: ошибка УЦ, подделанная нотариальная доверенность и т.д.
3) Мошенничество с продажей квартиры довольно легко раскрывается, т.к. в нём очевидна сторона-бенефициар
4) Всё это случилось аккуратно в тот момент, когда Ростех объявил о запуске своего УЦ.
5) Параллельно с этим во околовластных кругах с новой силой начались тёрки за то, что все УЦ нужно позакрывать, а и родить очередную монополию в лице угадайте кого? А тут такой повод!
А вот, кстати, не фейк: habr.com/ru/news/t/452292/#comment_20172916
Прочитайте весь тред с этим товарищем.
Прочитайте весь тред с этим товарищем.
Кликбейт статья :(
Секундочку, но ведь сделки по ЭП с недвижимостью физлиц запрещены уже лет 5 как.
С чего вы это взяли? habr.com/ru/post/438180
Интересно скоро ли будет история, что какая нибудь пенсионерка при помощи электронной подписи подарила квартиру, о чем стало известно после ее смерти. И дальше семья покойной не смогла доказать, что квартиру продала не она, потому что узнали об этом через пару лет.
Историю-то можно написать хотя завтра )
Для чего вы мне цитируете меня же из моего поста? ) Смешна не возможность. Смешно то, что человек, которому я отвечал, думает про это как про что-то в отдаленном будущем, в то время как странно, что этого не произошло уже.
не нашел кого вы цитируете, но совет дельный – сразу же отзывать одноразовые электронные подписи.
но в случае с domclick, нужно признать, риск минимальный. КЭП выпускается УЦ Корус Консалтинг (крупная и серьезная структура, дочка сбера) и хранится в облаке КриптоПро DSS, подтверждение операций с КЭП (подписание договора) происходит кодом в sms. лично пользовался.
но в случае с domclick, нужно признать, риск минимальный. КЭП выпускается УЦ Корус Консалтинг (крупная и серьезная структура, дочка сбера) и хранится в облаке КриптоПро DSS, подтверждение операций с КЭП (подписание договора) происходит кодом в sms. лично пользовался.
Риск не минимальный, а весьма-таки критический. Серьёзность, как Вы выразились, структуры не гарант того, что в этой структуре не может быть мошеннических действий. SMS тоже не гарант от компрометаций.
А вот тот факт, что у вас на руках нет ни открытого, ни закрытого ключа, но который остаётся валидным — весьма серьёзная critical уязвимость.
вы вольны в личных оценках, но публично заявлять о критическом уровне уязвимостей вы никак не вправе, кто-то может поверить, а другой попросить ответить за сказанное.
давайте так: если уровень риска критический – то получается (а) нельзя покупать/продавать квартиры при сделках с электронной регистрацией; (б) нельзя выпускать сертификаты ЭП в половине УЦ, т.к. они не берут наш запрос на сертификат и генерят закрытый ключ сами. но что мы имеем в реальности: квартиры покупаются/продаются, а сертификаты ЭП выпускаются.
в одном из комментов к другой статье я писал, что есть УЦ с уставным капиталом 10К, а есть 100М+ — habr.com/ru/news/t/452292/#comment_20181256 – оценка раз. использование сертифицированных криптопро hsm и криптопро dss при работе с ЭП – оценка два. присутствие гос.органа и крупной финансовой структуры в сделке – оценка три. итого, методом экспертных оценок мы можем сделать вывод, что риск при ипотечной сделке в сбере минимален, все безопасно и можно использовать. я прошел этот путь и знаю о чем говорю, а вы, извините, видимо не владеете практикой вопроса.
давайте так: если уровень риска критический – то получается (а) нельзя покупать/продавать квартиры при сделках с электронной регистрацией; (б) нельзя выпускать сертификаты ЭП в половине УЦ, т.к. они не берут наш запрос на сертификат и генерят закрытый ключ сами. но что мы имеем в реальности: квартиры покупаются/продаются, а сертификаты ЭП выпускаются.
в одном из комментов к другой статье я писал, что есть УЦ с уставным капиталом 10К, а есть 100М+ — habr.com/ru/news/t/452292/#comment_20181256 – оценка раз. использование сертифицированных криптопро hsm и криптопро dss при работе с ЭП – оценка два. присутствие гос.органа и крупной финансовой структуры в сделке – оценка три. итого, методом экспертных оценок мы можем сделать вывод, что риск при ипотечной сделке в сбере минимален, все безопасно и можно использовать. я прошел этот путь и знаю о чем говорю, а вы, извините, видимо не владеете практикой вопроса.
Давайте не цепляться к терминологии, но тот факт, что на наш запрос на сертификат они генерят закрытый ключ сами и неизвестно, что с ним потом делают — это весьма небезопасно.
То, что у вас лично положительный опыт не может являться убедительным аргументом, т.к. единичный случай не может говорить о ситуации в целом. Да, я не осуществлял ипотечную сделку таким образом, но это не значит, что риск минимален.
ок, я же не спорить с вами хочу, а услышать что конкретного вы можете предложить, ведь в нашей власти управлять рисками
Вам выше задали весьма актуальный вопрос, жду ответа.
На ваш же вопрос ответ банален — не ходить и не доверять таким УЦ. Как максимум, отозвать лицензии у таких УЦ, доработать законодательную базу, отслеживать недобросовестные УЦ и проч.
вот вы пишете «отозвать лицензии», «доработать законодательную базу» – а это вообще в ваших силах? вы можете отозвать лицензию или принять закон? думаю что нет, тогда зачем сотрясать воздух. может быть вместо этого сосредоточиться над тем что мы можем: написать жалобу в ген.прокуратуру, администрацию президента, подать законодательную инициативу, провести исследование, написать статью.
аналогично с управлением рисками. ну если процедура выдачи ЭП такова, что ключ какое-то время хранится на рабочей станции УЦ, то не нужно заявлять что это hi risk. это low risk, т.к. у вас есть возможности:
— выбрать УЦ, который крупный и выдает ЭП только при личном присутствии;
— присутствовать при генерации ЭП (я лично присутствовал),
— отзывать «одноразовые» подписи (как в случае с ипотекой от сбера),
— сменить паспорт и больше не предоставлять его копий кому попало (даже работодателю можно только показать и предоставить данные без копии),
— заблокировать возможность сделок с недвижкой и регистрации компаний — habr.com/ru/news/t/453802
— получить список всех своих подписей, вот сейчас как раз это выясняю — habr.com/ru/news/t/453208/#comment_20208522
— не сдавать биометрию, не выпускать облачных КЭП,
— не хранить ЭП в реестре или на флешках,
…
ну что разве мало способов управления рисками?
p.s. не вижу вопроса, потрудитесь приводить ссылки, или пишите в личку плз.
аналогично с управлением рисками. ну если процедура выдачи ЭП такова, что ключ какое-то время хранится на рабочей станции УЦ, то не нужно заявлять что это hi risk. это low risk, т.к. у вас есть возможности:
— выбрать УЦ, который крупный и выдает ЭП только при личном присутствии;
— присутствовать при генерации ЭП (я лично присутствовал),
— отзывать «одноразовые» подписи (как в случае с ипотекой от сбера),
— сменить паспорт и больше не предоставлять его копий кому попало (даже работодателю можно только показать и предоставить данные без копии),
— заблокировать возможность сделок с недвижкой и регистрации компаний — habr.com/ru/news/t/453802
— получить список всех своих подписей, вот сейчас как раз это выясняю — habr.com/ru/news/t/453208/#comment_20208522
— не сдавать биометрию, не выпускать облачных КЭП,
— не хранить ЭП в реестре или на флешках,
…
ну что разве мало способов управления рисками?
p.s. не вижу вопроса, потрудитесь приводить ссылки, или пишите в личку плз.
СКБ Контур уже озвучивал свою позицию. Как редактор блога компании, могу повторить официальный ответ Контура: «Сотрудники СМИ действительно обращались в представительство нашего удостоверяющего центра, чтобы получить сертификат квалифицированной электронной подписи. Но процедура выдачи сертификата не была завершена, т.к. заявитель представил заведомо поддельные документы. Мы отказали ООО «47 НОВОСТЕЙ» в получении сертификата, оплаченные по заявке деньги будут возвращены.
Несмотря на то что система безопасности по проверке заявок на сертификат в нашем УЦ сработала и сертификат по поддельным документам получить не удалось, мы понимаем, что при тех возможностях, которые сегодня дает квалифицированная электронная подпись, нужно усиливать требования к заявителям, в частности, законодательно закрепить, что доверенность на уполномоченное лицо может быть представлена только в нотариальной форме. Совместно с регулятором в этой отрасли, Министерством цифрового развития, массовых коммуникаций и связи, мы ведем работу по совершенствованию законодательства в этой сфере. Также мы планируем поднять вопрос об установлении ответственности заявителя за предоставление в удостоверяющий центр заведомо поддельных документов, вплоть до уголовной.»
Я тоже из Контура, и вот моя неофициальная интерпретация нашего «официального ответа»:
- Журналисты в своей статье достаточно вольно относятся к фактам. В частности, мы не выдали им ключ электронной подписи.
- Журналисты рассказали в статье, что фотошопили документы и подделывали подпись. Не надо так делать, от этого пахнет уголовкой.
- УЦ работают так, как требует закон, а закон не идеален. Мы в курсе, общаемся об этом с Минкомсвязью.
Кстати вот не думали сделать официальную поддержку macOS? С документацией, возможностью задавать вопросы вашей техподдержке по macOS.
Привет! Думали и даже кое-что тестируем. Как будет готово, сразу расскажем на сайте УЦ и будем консультировать через техподдержку, обязательно.
О, пиар-служба на сайте написала: https://kontur.ru/press/news/company/2019/5/6686
полагаю, многие проблемы были бы решены, если бы был единый реестр выданных сертификатов электронных подписей. тогда каждый мог бы зайти и посмотреть, где и когда на его имя были выпущены сертификаты. ну и в идеале для секьюрности авторизовываться через ЕСИА, реализовать уведомления о моих сертифкатах и т.п.
Вообще говоря такой реестр есть – e-trust.gosuslugi.ru/Certificates, – но он нихрена не работает. Я пытался найти свои сертификаты, используя все возможные данные сертификата и комбинации полей – безрезультатно.
p.s. написал запрос в саппорт на sd@sc.minsvyaz.ru, тикет SCR#1534800. ждем.
Вообще говоря такой реестр есть – e-trust.gosuslugi.ru/Certificates, – но он нихрена не работает. Я пытался найти свои сертификаты, используя все возможные данные сертификата и комбинации полей – безрезультатно.
p.s. написал запрос в саппорт на sd@sc.minsvyaz.ru, тикет SCR#1534800. ждем.
Представьте себе, тикет закрыли с формулировкой что "… оказание информационно-методической поддержки… осуществляется исключительно Уполномоченным лицам и Участникам информационного взаимодействия". По телефону сообщили, что контакты на сайте e-trust.gosuslugi.ru/Contact указаны неверно, это контакты «Ситуационного центра Электронного правительства», а по вопросам работы реестра и ЭП нужно обращаться напрямую в Министерство.
Вопрос уже заинтересовал меня. Подал обращение в Минкомсвязи. Ждем.
Вопрос уже заинтересовал меня. Подал обращение в Минкомсвязи. Ждем.
скриншоты
Ответ на запрос на sd@sc.minsvyaz.ru:
Обращение в Минкомсвязи:
Обращение в Минкомсвязи:
Напишите, пожалуйста, когда Вам ответят. Тоже заинтересовал вопрос.
Ответ из Минкомсвязи поступил спустя четко 30 дней.
Мне предоставили список выпущенных на мое имя сертификатов (название УЦ и сроки действия), без пояснения отозван сертификат или нет. В принципе, никакой чувствительной информации в ответе нет, учитывая, что обращался я просто через форму обратной связи, без какой-либо авторизации и верификации. Но говорит это о том, что четкого регламента в министерстве на этот случай нет. По остальным вопросам: почему по контактам нельзя достучаться и почему реестр не работает – бестактно умолчали.
Вывод: получить список подписей и УЦ можно только в ручном режиме за месяц, что сводит на нет всю ценность данной информации. Т.к. за месяц с помощью ЭП можно сделать Все.
Мне предоставили список выпущенных на мое имя сертификатов (название УЦ и сроки действия), без пояснения отозван сертификат или нет. В принципе, никакой чувствительной информации в ответе нет, учитывая, что обращался я просто через форму обратной связи, без какой-либо авторизации и верификации. Но говорит это о том, что четкого регламента в министерстве на этот случай нет. По остальным вопросам: почему по контактам нельзя достучаться и почему реестр не работает – бестактно умолчали.
Вывод: получить список подписей и УЦ можно только в ручном режиме за месяц, что сводит на нет всю ценность данной информации. Т.к. за месяц с помощью ЭП можно сделать Все.
ответ из Минкомсвязи
Глядя в свой хрустальный шар, пророчествую, что данный портал относительно скоро (с учетом времени, необходимого на сертификацию, опытную эксплуатацию и может быть что-то еще) будет заменен на новую версию, которая, возможно, будет более рабочая, чем текущая.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Эксперимент: электронный ключ, позволяющий переоформить квартиру, можно получить на любого человека