Облачная ЭЦП для россиян: планируется масштабный эксперимент

    В ноябре 2019 года правительство собирается запустить масштабный двухлетний эксперимент по выдаче и использованию облачной электронной цифровой подписи (ЭЦП), сообщает РБК. Минкомсвязи уже подготовило проект постановления правительства. По словам представителя Минкомсвязи Евгения Новикова, проект постановления правительства находится в стадии обсуждения с заинтересованными ведомствами.

    Усиленная квалифицированная ЭЦП позволит гражданам и организациям дистанционно оформлять простые сделки. Например, подписывать договоры об услугах связи, заключать сделки на электронных торговых площадках, оформлять договоры купли-продажи недвижимости. Такой вид подписи даёт самые широкие полномочия и является аналогом собственноручной подписи.

    Для справки. В России используется три вида цифровой подписи:

    1. Простая электронная подпись, которая подтверждает факт формирования электронной подписи определённым лицом посредством использования кодов, паролей или иных средств.
    2. Усиленная неквалифицированная электронная подпись, которая:
      • получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
      • позволяет определить лицо, подписавшее электронный документ;
      • позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
      • создаётся с использованием средств электронной подписи.
    3. Усиленная квалифицированная электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
      • ключ проверки электронной подписи указан в квалифицированном сертификате;
      • для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с 63-ФЗ.

    Самые широкие полномочия даёт последняя, так как является аналогом собственноручной подписи и все подписанные ею электронные документы признаются юридически значимыми. В ходе правительственного эксперимента будет использоваться именно она.

    В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует Федеральный закон Российской Федерации от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».

    Сейчас для получения усиленной квалифицированной ЭЦП необходимо лично обратиться в один из более чем 400 аккредитованных Минкомсвязью удостоверяющих центров, а для использования — установить на компьютер программу для работы с электронной подписью и подключить токен — специальную флешку, на которой хранится секретный ключ.

    Если проекту постановления правительства дадут зелёный свет, то получить усиленную квалифицированную ЭЦП можно будет дистанционно, без личного обращения. А для её использования не понадобятся специальный софт и токен. В этой ситуации многие удостоверяющие центры могут лишиться средств к существованию.

    Согласно проекту, облачную ЭЦП будут выдавать, например, после авторизации в Единой системе идентификации и аутентификации на портале госуслуг или в Единой биометрической системе, которую в июле 2018 года запустили ЦБ и «Ростелеком».

    Как сообщается, в рамках эксперимента гражданам и юрлицам позволят оформлять следующий ряд документов:

    • бумаги для регистрации недвижимости и ее купли-продажи с помощью ипотеки;
    • договоры об оказании услуг связи;
    • документы для регистрации в качестве юрлица или индивидуального предпринимателя;
    • документы для получения банковских гарантий и осуществления сделок с аккредитивами;
    • сделки на электронных торговых площадках.

    В эксперименте примут участие Минфин, Минэкономразвития, ФСБ, Росреестр, Центробанк, ФНС, ФСТЭК и несколько других ведомств, возможно, привлекут ещё банки, операторов связи, электронные торговые площадки и другие юрлица.

    Манипуляции с ЭЦП


    Новая инициатива правительства вышла на фоне многочисленных случаев мошенничества, когда коммерческие центры сертификации выдавали усиленные квалифицированные ЭЦП через интернет после поверхностной проверки документов. Этим пользовались мошенники, которые продавали чужие квартиры, оформляли ООО на посторонних лиц, отправляли фальшивую отчётность в налоговую инспекцию и т. д.



    За те годы, что в России действует законодательство по электронной цифровой подписи, зарегистрировано несколько способов мошенничества:

    1. Незаконные действия через центры сертификации РФ, в том числе оформление документов без участия гражданина. Выявлены случаи массовой фальсификации ЭЦП путём повторного использования удостоверяющим центром электронной подписи клиента.
    2. Дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра. В этом случае оформление электронной подписи производится на основании документов заявителя, представленных центру сертификации через интернет. По мнению специалистов правовой системы «Гарант», в этом случае «IT-функции в деятельности УЦ преобладают над его юридической сущностью», а электронная подпись может быть использована недобросовестными третьими лицами.

    Если ЭЦП получена, то продать чужую квартиру не составляет особого труда: «При электронной регистрации в Росреестр сдаются документы в отсканированном виде, причём скан не содержит фотографии синей подписи, которая ставится рукой. Сканированный файл выглядит как вордовский файл, просто в PDF. То есть подписи там не видно. При этом в Росреестр отправляется ещё электронная цифровая подпись», — объясняла Мариана Чилиндришвили, руководитель юридического департамента компании «Метриум», в комментарии к истории, когда мошенники переоформили квартиру в Москве без ведома владельца.

    По российскому законодательству, «использование электронной подписи другими лицами без ведома номинального владельца не освобождает его от ответственности за неблагоприятные последствия, наступившие в результате такого использования» (постановление Пятого арбитражного апелляционного суда от 14 марта 2016 г. № 05АП-1119/16; постановление Пятнадцатого арбитражного апелляционного суда от 1 марта 2016 г. № 15АП-1132/16; постановление Ленинского районного суда г. Владивостока Приморского края от 8 декабря 2014 г. по делу № 5-1087/2014).

    Как показал эксперимент, получить электронный ключ на другого человека в России действительно несложно. По нынешнему законодательству удостоверяющие центры РФ сами устанавливают регламент своей работы, поэтому имеют полное право проверять личность человека через интернет.

    Хабраюзер PaulZi в статье «Мошенники и ЭЦП — всё очень плохо» рассказывал о собственном опыте, где он с супругой без их ведома стали директорами нескольких ООО. Автор рекомендует воспользоваться так называемой «38-й формой», то есть формой 38001. Её нужно заполнить и лично отвезти в регистрирующий орган (в Москве это 46 налоговая). Она запрещает регистрацию юридических лиц без личного присутствия (возможно, только в Москве).

    Чтобы уберечься от сделок с недвижимостью, Росреестр рекомендует гражданам принести заявление о невозможности проведения сделок с их недвижимостью без личного участия. После получения такого заявления в ЕГРН вносится специальная запись. Эта запись — основание для возврата без рассмотрения заявления с просьбой зарегистрировать недвижимость на другого человека, даже если у него на руках имеется нотариально заверенная доверенность.

    Такое заявление можно подать в электронном виде в личном кабинете Росреестра. Обратиться с заявлением также можно лично в офисы МФЦ на всей территории России. И если квартира в одном регионе, а гражданин находится в другом, то сейчас это не проблема, так как ведомство работает экстерриториально. Услуга предоставляется Росреестром бесплатно. Срок внесения записи в ЕГРН — не более пяти дней.

    Новая облачная ЭЦП


    «Преимущество облачной цифровой подписи заключается в том, что пользователю не надо устанавливать на свой компьютер никакого специального ПО и не надо беспокоиться о том, как электронную подпись, хранящуюся на флэшке, воткнуть, например, в iPhone. Она просто хранится на защищенном сервере в облаке, и именно туда отправляются на подписание нужные пользователю документы», — объяснил консультант по информационной безопасности Cisco Systems Алексей Лукацкий.

    Автоматизированную систему для выдачи и использования облачной электронной подписи должны создать «Ростелеком» и подведомственный Минкомсвязи НИИ «Восход». Кроме того, «Ростелеком» должен проработать «модель угроз информационной безопасности», которая будет учитываться при создании системы.

    По словам информированного источника, по итогам эксперимента «Ростелеком» может быть назначен оператором единой системы по выдаче и использованию облачных электронных цифровых подписей в России: «Такой вариант развития событий обсуждался, и он вполне вероятен. Ростелеком уже является оператором Единой биометрической системы, Единой информационной системы в сфере закупок. Здесь, вероятно, тоже будет создана единая система», — сказал он.

    По оценке игроков рынка, в России используется более 5 млн квалифицированных ЭЦП. Объём рынка составляет 15−20 млрд руб. в год.

    Если эксперимент окажется удачным, то облачная ЭЦП может заменить привычные USB-токены. Но специалисты отмечают естественное ослабление безопасности в таком случае: «Представьте, готовы ли вы отдать третьим лицам гипотетическую возможность переписать все ваше имущество, закрыть или переписать ваш бизнес и любые другие активы? В настоящий момент обычная электронная подпись ещё не стала массовой, не говоря об облачной. Поэтому для частных лиц проблема не является сильно актуальной. Однако она куда более близка организациям, где сделки совершаются ежедневно и электронная подпись является критически важным элементом бизнеса», — говорит руководитель Центра мониторинга и реагирования на инциденты информационной безопасности Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Вы одобряете дистанционную выдачу усиленной квалифицированной ЭЦП?

    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 78

      +6

      Нет уж, спасибо.


      Самое прелестное, что теперь, при наличии эцп, необходимо всюду распихать бумажки, что, при наличии эцп, все действия совершать только в личном присутствии держателя эцп.


      Это великолепно! Что за дивный новый мир!

        +2
        уже оформил бумагу «о невозможности регистрации перехода права без личного присутствия» на квартиру в МФЦ. Сотрудница говорит, что в день до 5 человек приходят с тем что отработали квартиру в тихую (даже если сами владельцы эцп не открывали)
          +1
          В комментариях к одной из статей на эту тему здесь была прямая цитата кого-то из Росреестра, что такая бумага в подобных случаях вообще не поможет. Она запрещает проводить сделки по доверенности от вашего лица, а в случае с ЭЦП это всё считается как исходящее непосредственно от вас.
            0

            А могли бы Вы привести эту цитату, если возможно?
            Я обеспокоился этим вопросом и внимательно изучив это утверждение с сайта Россреестра — вижу только упоминание термина "личное участие".
            Личное участие это однозначно лично присутствие в офисе или лишь подтверждение личности (через ЭЦП)?
            Чёткого ответа на этот вопрос я нигде не нашёл, а как будет трактовать этот термин суд я не знаю. Я спрашивал в Росреестре про этот термин — они уверяли меня, что это означает присутствие в офисе. Но меня что-то терзают сомнения.

              0
              Коллега Whuthering прав, однако Вам теперь можно не беспокоится по другой причине — с 13 августа с.г. вступили в силу поправки в российское законодательство, согласно которым в отношении недвижимости сделки по ЭЦП по умолчанию совершать нельзя. Чтобы стало можно, необходимо подать заявление — лично и на бумаге.
          +5
          Государство фактически сделало себя и распорядителем всего имущества граждан, и судьей при спорах.
          Фактически гражданин стал более виртуальным, и не имеет значения его присутствие или согласие во время самого процесса.

          Но именно это было противовесом и сдерживанием от мошенников,
          именно бумажный носитель сдерживал легкий отжим всего.
          +2
          Давно же термин с ЭЦП поменяли на ЭП?
            +8
            А начерта она нужна тогда, ЭЦП которую контролируешь не ты?
              +11
              Она просто хранится на защищенном сервере в облаке, и именно туда отправляются на подписание нужные пользователю документы
              — какая же это тогда МОЯ подпись? если я её никак не контролирую
                –6

                Такая же ВАША, как и ВАШИ счета в банке, которые контролирует банк, хочет даст, а захочет и не даст ))

                +10

                Тем временем, только спустя почти год с помощью двух судов я доказал что я не верблюд, и что ЭП выпустил не я. Сейчас будет ещё суд на компенсации.
                Даже не знаю как воспринимать эту новость, с одной стороны если изымут функции выпуска ЭП от >400 УЦ, то возможно это даже хорошо, т. к. сотрудников которые это могут сделать будет меньше, а значит меньше желающих помошенничать. С другой стороны тут уже надо надеяться на нерушимость системы безопасности этого облака, учитывая как пишут софт на распилах, это очень сомнительно.

                  +5

                  Проблема не в наличии 400 УЦ, а в отсутствии ответственности сотрудника и самого УЦ за последствия нарушений при выпуске подписи. Перенос в "облако" тут ничего не поменяет, кроме того, что теперь государству будет проще совершать "сделки" от имени оппозиционно настроенных граждан.

                    0
                    все сделки и так на уровне государства, можно подумать бумажки гарантируют что-то, их как-раз таки подделать проще всего, но нафига это нужно если есть другие законные способы отобрать всё и они отлично применяются, проблема скорее с некоторыми группами граждан которые могут действовать как бы от государства, но бороться с ними уровнем бумажек тоже сомнительная идея, зато при использовании ЭЦП упрощается жизнь дохера количества человек и оптимизируется вся эта бюрократия
                    +1
                    Налоговая уже использует такой механизм. В итоге всё подтверждение — разово появиться на приеме, дальше логин/пароль от личного кабинета и кнопочка «подписать».
                    Как минимум угону логин с паролем уже подвержены.
                      0

                      Сейчас вроде даже появляться на приём не надо, можно войти через госуслуги.
                      Только в ЛК налоговой облачная ЭП защищена другим паролем. Но то что двуфакторной авторизации не хватает, это да.

                    +3

                    Страшно представить, какие последствия могут быть, если/когда данные из этого облака утекут в народ, так сказать.

                      –3
                      Нууу облачное ЭЦП подразумевает использование HSM, по сути токен, только для большего количества ключей. Ну и по существующим технологиям ключи ни при каких условиях HSM не покидают, так как ключи они генерируются и процессе подписания тоже происходит внутри, а наружу выходит только значение подписи.
                      Использование такого рода ЭЦП это мировая практика. Южная Корея давно применяет данный механизм, и как было где то на Хабре написано в Латвии так.

                      Зачем поднимать панику?
                        +5
                        Затем, что ЭЦП должна выполняться локально токеном с предъявлением оному пин-кода
                        +1
                        Тут дело не только в утечке.
                        Они ж собрались всем ЭП через «Госулуги» раздать.
                        Учётку в госуслугах можно подтвердить в почтовом отделении, там запаренная тётенька даже паспорт мой толком не смотрела. Не говоря уже о том, что ответственности у них в любом случае никакой.
                        Получай на кого хочешь ЭП, и вперёд.
                          0
                          Мне по учетке подтвержденной на почте в ЛК ФНС было не попасть — пишут нужно подтвержденный через МФЦ акаунт. Пришел с паспортом в МФЦ — там тетка говорит: у вас уже подтвержденная я не понимаю что делать, ну говорю запустите подтверждение еще раз, уговорил — запустила, к ее удивлению все прошло успешно без ошибок. После этого смог заходит в ФНС-ный ЛК.

                          Так что на гос. услугах есть подтвержденные на почте и в МФЦ и они, как оказалось, разные по уровню доверия.
                            0
                            У меня другой опыт — с учёткой от Госуслуг захожу в ЛК ФНС, плачу налоги, оформляю вычеты. Личность подтверждал на почте. Правда, это было несколько лет назад. Сейчас посмотрел на сайте, где можно подтвердить — того почтового отделения уже нет в списке. Так что, возможно, что-то поменялось с тех пор.

                            Тем не менее, там ещё есть вариант «выслать код подтверждения заказным письмом на почту», который по сути сводится к проверке паспорта сотрудником почты.
                              0
                              Видимо имеет значение когда была подтверждение через почту, я свое на почте получал уже много лет назад.

                              Ну или они там одним почтам больше доверяют, другим — меньше.

                              Но факт остается фактом имея подтвержденную на почте учетку в ЛК ФНС меня не пускали пока я не пере-подтвердил ее с паспортом через МФЦ.
                        +7

                        Всё что можно сделать максимально плохо — так и будет сделано
                        Должно быть действительно место проклятое

                          +1

                          Так боролись же — объявляли врагами народа и расхитителями социалистической собственности с конфискацией имущества и отправкой в лагеря. Но хорошую идею скомпрометировали, когда стали просто неугодных так же.

                            +1
                            Вы считаете, что объявить врагом народа достаточно? Тогда я объявляю вас врагом народа.

                            Для того и придуман независимый суд, разделение властей, свободные СМИ и весь комплекс сдержек и противовесов, чтобы стало невозможно объявлять врагом народа неугодных.

                          +3
                          В смысле облачная? Закрытый ключ будет на «облаке» росгосуслуг хранится? Не надо нам такого счастья. Куда написать отказ от подобного «балага» чтобы никто по сливу данных не смог оформить и квартиру мою перепродать.
                            0

                            А вы уверены что её уже не продали?
                            Судя по комментам выше это прям массовое событие было.

                            +2

                            Люди, далекие от IT, с этим будут согласны, потому что это удобно — не нужно никаких ключей, токенов и вот этого всего.


                            Удобно до первого слива облака.

                              +3
                              Удобно до первого слива облака.

                              Или перевыпуска sim-карты и продажи квартиры какого-нибудь счастливчика
                                –2
                                Не все так просто, все ЭП шифруются аппаратным СКЗИ так называемый HSM, даже если забрать весь сервер облака без железяки HSM с ключами от этого облака это просто набор данных.
                                  0
                                  А можно слить бэкап с HSM и ключи от него. Было бы желание
                                    +1
                                    не думаю. что это так просто.
                                    Тут другое непонятно. Аутентификация-то как будет проходить?
                                      0
                                      не думаю. что это так просто.

                                      Все зависит исключительно от организационных мер.
                                      Для этого нужно 3 ключа из 5.
                                      Если все эти ключи могут попасть в руки одного человека (ну зачем всем троим ходить делать бэкап, пускай админ один там что-то сделает), то все просто.
                                      Приходилось проделывать подобную процедуру.

                                      Тут другое непонятно. Аутентификация-то как будет проходить?

                                      Скорей всего что-то вроде этого
                                      www.cryptopro.ru/products/mydss
                                        0
                                        Если все эти ключи могут попасть в руки одного человека (ну зачем всем троим ходить делать бэкап, пускай админ один там что-то сделает), то все просто.
                                        Приходилось проделывать подобную процедуру.

                                        А руки у вас длиной в несколько метров? Просто пин-пады для кворумной аутентификации должны находиться на расстоянии, превышающем размах рук, как в бункере РВСН. Иначе это залет.
                                          0
                                          Не фантазируйте, сертифицированные HSM имеют стандартный размер, чтобы можно было вставить в обычный серверный шкаф.
                                          Предполагают последовательный ввод 3-х ключей. Просто подходят носители ключей по очереди, прикладывают смарт-карту и вводят пин.

                                          image
                                            0
                                            Предполагают последовательный ввод 3-х ключей.

                                            Несекурненько
                                +2
                                Ключи в «облаке» хранить? О-о-о не-е-ет.
                                  +4
                                  Нафиг, нафиг…
                                  Только физический токен, полученный только при моём личном присутствии, с внесением в единый реестр и автоматическим уведомлением о выдаче оного на те же госуслуги.
                                  И, быть может, еще и с защитным периодом дней в несколько, чтобы заработало не сразу по получении (на случай получения подписи по подложным документам злоумышленниками).
                                  В качестве дополнительной защитной меры (но не факт, что поможет) — активация ЭП в едином реестре, как валидной, только после установки соответствующей галки на госуслугах.

                                  UPD. По идее, если ЭП фактически равноценна в сделках бумажному паспорту, то и выдавать её должны с предосторожностями соответствующими.
                                    0
                                    Такие ЭЦП должны выдаваться и переоформляться только в паспортных столах. Это ведь цифровая копия паспорта, да там тоже люди и тоже может быть утечка информации, но все-же это МВД, а не контора рога и копыта.
                                    0
                                    Ни слова про HSM, походу реально всё будет через одно место
                                      +2
                                      Будет там HSM, очевидно, просто нет особого смысла его компрометировать. Гораздо проще угнать учетные данные от портала (скорее всего, там учетка Госуслуг будет). Если есть подтверждение по SMS — перевыпустить SIM.
                                      Сейчас симки перевыпускают ради сотни тысяч рублей на счету или чтобы угнать не сильно дорогие домены, а уж ради квартир и подавно будут это делать.
                                      +2
                                      Только наше правительство может додуматься до такого — хранить все эцп в одном доступном месте, несмотря на сливы персональной информации
                                        0
                                        Если для этого эксперимента поставят условие со следующей формулировкой:

                                        «Договор может быть немедленно расторгнут в течение дней с момента подписания путем письменного обращения одного из субъектов договора с условием возврата имущества/средств в том состоянии, в котором он его получил, с учетом нормального износа или в состоянии, обусловленном договором, или возместить субъекту при расторжении договора материальные расходы, связанные с инфляцией/ненормальным износом».

                                        Тут довольно широкий простор для манипуляций может быть и кому-то нужно будет с этим разбираться. Но есть государство, которое будет осуществлять мониторинг и контроль. насколько качественно оно будет реализовано — уже следующий вопрос.
                                          +2
                                          Следующим шагом будет принудительная выдача этой «подписи» всем зарегистрированным на Госуслугах, а затем и законы подгонят «О необходимости применения...» и «Невозможности совершения действий без использования...»
                                          ЭЦП должна генерироваться и храниться в железке, которую я лично контролирую. Все остальное от лукавого.
                                            0
                                            … пойду ка я поищу как удалить аканут на гос.услугах…
                                              0
                                              а поможет?)
                                            +7

                                            Эта идея фактически равносильна пачке чистых листов бумаги с вашей подписью.
                                            Ключи, которые генерируются и хранятся не локально — заранее скомпрометированы.

                                              0
                                              Теперь еще к данным из БКИ будет прилагаться электронный паспорт. Удобно. Все в одном месте.
                                                +2
                                                В общем, это феерично, особенно на фоне утечек персональных данных билайна и сбербанка.

                                                Даже сейчас я никогда не даю выдавать мне готовый токен с подписью. А то выходит в УЦ некий Вася и вручает «флэшку» с подписью (тут выше кто-то отписался про это).

                                                Всегда генерирую закрытую часть сам. И всем рекомендую. Потому что потом этот Вася может со всеми ключами уволиться и дальше делать, что хочет. И нарушений при выдаче никаких нет — человеку выдали подпись в его присутствии.

                                                Ни слова, естественно, не сказано про то, как будет произведена защита от перехвата ПИН-кодов (паролей) к подписи.

                                                Что, мало случаев мошенничества с этим? Пин-коды от карточек перехватывают разными способами (вирусы, соц. инженерия).

                                                Как обычно, деньги пилить на эксперименты уже начали, не решив при этом глобальных, прежде всего, организационных проблем.

                                                  +1
                                                  Если в случае с токеном, ты хоть понимаешь что ЭП у тебя и подпись никак не скомпрометирована, то в случае с облаком ты просто по факту узнаешь, что за тебя кто-то что-то сделал!
                                                  Почему все сразу вспоминают об «удобстве» воткнуть что-то в iphone, но забывают об безопасности, да и насколько часто вообще кто-то будет втыкать токен в iphone при совершении операции по которым хотят разрешить использование ЭП? (Хотя и для iphone найдутся различны токены!)
                                                  И тут еще основной вопрос, что с аутентификацией? Ничего надежнее пока того же токена или u2f не придумали, логин/пароли для таких вещей не актуальны и не безопасны от слова «совсем», или их надо будет делать очень сложным и длинным, а в наше время это уже 20+ символов или это прямой путь попрощаться со своей ЭП:) при чем опять же узнать об этом только потом! Вот будет такой сюрприз:)

                                                  А если все-таки доступ по токену или u2f то зачем тогда хранить ЭП в облаке, если надежнее как раз на токене…

                                                  P.S. Решение не безопасное, не продуманное и бестолковое!
                                                    0
                                                    Ну, чисто теоретически 20+ символов необязательно, все зависит от реализации. Можно на вычисление ключа по паролю такие вычисления навесить, что и 6 символов хватит.
                                                    Но в принципе вы правы. Безусловно.
                                                    Тем более, что
                                                    1. Никто не знает, как это там реализована. Практика (например, э-голосование в Москве) показывает, что скорее всего реализовано будет неграмотно и с дырами. Для серьезных систем нужен как минимум общественный аудит.
                                                    2. ЭП фактически всем навязывается, в том числе людям, которые не готовы следить за ее безопасностью, держать в тайне пароль и т.д. Нет бы еще выдавали ее только желающим с тщательной проверкой личности.
                                                    0
                                                    «… не надо устанавливать на свой компьютер никакого специального ПО и не надо беспокоиться о том, как электронную подпись, хранящуюся на флэшке, воткнуть, например, в iPhone. Она просто хранится на защищенном сервере в облаке, и именно туда отправляются на подписание нужные пользователю документы...»
                                                    И не надо вообще ни о чем беспокоится. За вас всё подпишут и отправят. Все нужное. Все важное. Вам даже делать ничего не нужно. Вам даже знать ничего не нужно. Всё чисто и безопасно. Мы гарантируем.
                                                    Зы: а теперь представьте что эта облачная база целиком кем то сольется и продастся сотнями и тысячами копий в сеть. А рано или поздно это случится. А современное отношение к безопасности и нарушениям безопасности в нашей стране показывает, что это случится очень даже рано.
                                                      0
                                                      Чтобы уберечься от сделок с недвижимостью, Росреестр рекомендует гражданам принести заявление о невозможности проведения сделок с их недвижимостью без личного участия. После получения такого заявления в ЕГРН вносится специальная запись.

                                                      А была же недавно статья habr.com/en/news/t/470539 где сказано, что это уже пофиксили:

                                                      После разбирательств с участием чиновников президент РФ Владимир Путин подписал 2 августа закон, согласно которому операции для сделок с недвижимостью должны сопровождаться использованием усиленной квалифицированной электронной подписи. Новый законопроект добавил поправки в закон «О государственной регистрации недвижимости».
                                                      С 13 августа закон вступил в силу, после чего удаленные операции с недвижимостью были отключены по дефолту — для их использования нужно подать заявление, причем в письменном виде. Подавать документ должен владелец недвижимости.
                                                      Процедура не такая и простая — собственник квартиры или дома должен подать в регистрационный орган заявление на бумаге, выражая согласие на применение электронной подписи при проведении сделок с его недвижимостью, что подразумевает переход права собственности к другому лицу.

                                                      Другое дело, что кроме сделок с недвижимостью, существует еще много других сделок, которые можно сделать через ЭЦП. Например, зарегистрировать ООО и отмывать через него деньги…
                                                        +1
                                                        Не ну его нафиг.

                                                        Когда мой секретный ключ лежит в государевом облаке и им можно подписать любую бумагу от моего имение — я что-то с этим не согласен…

                                                        Доступ через ЕСИиА — ну круто, а мимо ЕСИиА сколько человек имеют туда доступ?

                                                        Что должно быть в облаке — государев реестр электронных подписей граждан и организаций — так что бы одно лицо — один ключ. И уведомление при регистрации ключа когда его раньше не было. Но в реестре только публичная часть ключа. Приватная должна быть только у меня.
                                                          0

                                                          При правильной реализации ключ лежит в зашифрованном виде, а пароль от него — только у вас. Расшифровка ключа и подписывание им документов должны осуществляться на аппаратном и программном обеспечении, которое контролирует владелец ключа.
                                                          В таком виде, в принципе, всё довольно надёжно. Но: 1) неудобно; 2) стойкость равна минимуму из стойкости пароля и стойкости ключа; 3) есть сомнения, что реализуют именно так, а не образом, подобным вставке картинки подписи в документ.

                                                            0
                                                            ну как надежно — получается, что на уровне надежности пароля.
                                                            Только зачем тогда вся эта супернадежная надстройка над паролем?
                                                              +1
                                                              Неудобно доказывать что ты не дарил квартиру и не являлся владельцем компании с кучей долгов по налогам.

                                                              А то что по нормальному не реализуют — это я почему-то не сомневаюсь.
                                                            0
                                                            ЭЦП должна оформляться ТОЛЬКО при личном присутствии.

                                                            Это как-бы процесс перевода подписи на бумаге в подпись внутри цифровой памяти.

                                                            И первичным источником подписи может служить только собственная подпись настоящего живого человека, сделанная сразу же перед преобразованием.

                                                            Всё остальное неправильно, ибо там полно дыр и всё это легко подделать.
                                                              0

                                                              Ваша позиция слегка наивна. Требование личного присутствия не равно реальному личному присутствованию. Нужны дополнительные подтверждения — отпечатки пальцев, видеозапись процесса и т.п., чтобы при необходимости можно было рассмотреть спорный случай.

                                                              0
                                                              Слушайте, а кто в русском разбирается, облачная ЭП — это не оксюморон?
                                                              Как аутентификация-то будет происходить? по паролю? Ну тогда секретность — это секретность пароля. И при чем тут ЭП? Это скорее система централизованной проверки подлинности паролей.
                                                              Интересно, одновременное появление виртуального голосования и неконтролируемых ЭП — это что? синхронный распил или что-то большее.
                                                                0
                                                                И при чем тут ЭП?

                                                                при том, что паролем разблокируется закрытый ключ внутри HSM-а, которым подписывается входной документ (тем же HSM-ом).
                                                                  0
                                                                  Вы знаете какая пропускная способность у промышленных дорогущих HSM?

                                                                  Это слезы.

                                                                  HSM в облачных решениях используется в каскадной схеме, и в нем ничего пользовательского не подписывается.
                                                                    0
                                                                    Это какие-то неправильные HSM (:
                                                                      0
                                                                      Нет, они правильные, просто схема использования HSM в облаке не совсем такая как многие считают.

                                                                      Там строится каскад где HSM — основание перевернутой пирамиды формирования секретов. И клиенты облачных крипто-сервисов работают с верхним (широким) уровнем. Там где можно поднять кучу инстансов и обслуживать «толстые» потоки данных. Т.е. ни один клиентский документ непосредственно в HSM не подписывается.
                                                                0
                                                                Думаю схема работы будет выглядеть приблизительно так (решение от КриптоПро)image
                                                                Подробности
                                                                  0
                                                                  Тут присутствует «устройство пользователя с КриптоПро CSP 5.0», а в статье сказано «пользователю не надо устанавливать на свой компьютер никакого специального ПО».

                                                                  Хотя, конечно, вопрос в трактовке слова «специальный».
                                                                    0
                                                                    Если считать, что «устройство пользователя с КриптоПро CSP 5.0» установлено на сервере, то все норм. В случае с облачной ЭП обычно так и есть. Пользователю здесь только приложение на телефоне для подтверждения операций с закрытым ключом.
                                                                      0
                                                                      Как это — «устройство установлено на сервере»? Это как «Лондон — столица Парижа».
                                                                      Ну и судя по картинке, под устройством пользователя понимается ПК, ноутбук или мобильный девайс.
                                                                      И это самое КриптоПро CSP 5.0 надо скачивать (там ссылка есть) и устанавливать.
                                                                        0
                                                                        Как это — «устройство установлено на сервере»?

                                                                        Сервис на сервере обращается к КриптоПро CSP 5.0 и выполняет криптооперации.

                                                                        КриптоПро CSP 5.0 может использовать КриптоПро DSS в качестве криптопровайдера доступного системе. Это удобно, когда нужно использовать какое-то существующее ПО, которое может работать c CryptoAPI.

                                                                        В статье, скорей всего, предполагается немного другой вариант. Когда документы формируются на сервере и на сервере с использованием КриптоПро CSP 5.0 (или каким-то другим сертифицированным криптопровайдером) подписываются. А пользователь просто выполняет подтверждение, в схеме это приложение на телефоне myDSS, которое выполняет визуализацию подписываемого документа. И которое взаимодействует с сервером, используя криптографию по ГОСТ.
                                                                  +1
                                                                  А почему нельзя просто сделать стандартно — я генерирую приватный ключ и посылаю в госуслуги запрос на генерацию сертификата (CSR), а они мне присылают готовый сертификат? Ну отработанная же сто лет схема?!? Ну какого черта?!?
                                                                    +2
                                                                    Вы что! Нельзя доверять пользователю всякие там ключи! Он же не квалифицированный специалист!
                                                                    (где-то тут табличка «сарказм» отвалилась)
                                                                      0

                                                                      Для этого нужно, чтобы пользователь отличал приватный ключ от публичного и цифровую подпись от скана в формате jpeg, т.е. должны быть какие-то минимальные знания математики (почему это всё работает и как не испортить всё) и компьютерной грамотности (какую кнопку жать, чтобы отправить подпись, а не приватный ключ).
                                                                      Наверно, пора бы уже объяснять эти вещи в начальной школе, 21й век всё-таки.

                                                                        0
                                                                        Тут даже знания математики, по большому счету, не нужны (для того, чтобы поставить смартфон на зарядку не обязательно знать закон Ома).

                                                                        Как я писал выше, многие сотрудники УЦ даже не понимают, как это все работает — они как обезьянки нажимают на нужные кнопки, как им сказали, и все. Поэтому на заявление, что закрытый ключ буду генерить сам — круглые глаза и поиск Васи, который в этом хоть что-то понимает.
                                                                        0
                                                                        Ну сейчас так и происходит (я выше писал — не всегда соблюдается просто). Вопрос в том — где хранить закрытый ключ.
                                                                        0

                                                                        Очень интересно, почему же тогда СКБ "Контур" с этого года отказалась от практики выдачи облачных ЭП? (рожа "упоротого" негритенка)

                                                                          0
                                                                          Немного в тему добавлю, что в России недавно упростили порядок проведения сделок с недвижимостью - в соответствии с новыми правилами, договор купли-продажи, дарения, наследования или ипотеки долей можно будет заключать без нотариального подтверждения
                                                                            0
                                                                            Оппаньки!
                                                                              0
                                                                              Купли-продажи и вообще отчуждения долей по одной сделке — уже работает, с 1 августа.

                                                                              Вступление в наследство до сих пор в любом случае через нотариуса — хоть недвижимости, хоть вкладов и других зарегистрированных ценностей.

                                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                            Самое читаемое