Комментарии 90
Надеюсь, что в конечном итоге государство окончательно перейдёт к единому УЦ. Закон интересный, однако ФНС, как мне кажется, будет сильно сопротивляться.
Также надеюсь, что служба штампов времени будет единая и бесплатная. Но похоже именно на «электронном нотариусе» и будут теперь делать основные деньги.
По поводу ФНС. Идея выдачи сертификатов юрлицам прямо при получении документов лежит на поверхности и обсуждается уже много лет. Однако существует перечень «доводов против». Ведение УЦ явно выходит за рамки компетенции этой службы. Так что УЦ будет вести кто-то другой. А вот что достанется ФНС так это упрощённые функции RA (Registration Authority). Причём выполнять эти функции ФНС будет, по сути, бесплатно, просто в нагрузку к существующим процессам. Конечно, выдачу сертификатов заложат в соответствующие сборы, вот только, как мне кажется, ФНС будет перепадать основной геморрой от общения с клиентами и очень мало денежек. Так что ещё раз — ФНС, как мне кажется, будет сильно сопротивляться.
Вам же в статье написано, что это служба называется «доверенное третье лицо»? Для чего вы пытаетесь переиначить на свой лад? Закон об электронном нотариате — это совсем другое, и он в данный момент прошел уже два чтения в ГД.
> Идея выдачи сертификатов юрлицам прямо при получении документов
У вас поверхность неполная. Кроме того, что выдавать можно или нужно при получении документов, возникает неизбежный вопрос о ежегодном перевыпуске сертификата, который не привязан ни к какой сдаче документов.
> Ведение УЦ явно выходит за рамки компетенции этой службы.
В законопроекте явно написано, что ведение УЦ будет входить в рамки компетенции ФНС. Или вы считаете, что вам лучше знать? )))
> Так что ещё раз — ФНС, как мне кажется, будет сильно сопротивляться.
Как и за всеми законами, у этого есть некая кулуарная часть. Так вот, согласно этой кулуарной части, хотите верьте, хотите не верьте, но ФНС уже несколько лет тянуло к этому руки.
Вам же в статье написано, что это служба называется «доверенное третье лицо»?Мне безразлично что назвали вы в статье, я разъяснил употреблённый мною термин. А вот что действительно означает термин «доверенная третья сторона» (цитата непосредственно из законопроекта):
доверенная третья сторона – юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документамиНа самом деле это определение не имеет отношения к службе штампов времени. Речь здесь идёт о проверке подписи в определённый момент времени. То есть кто-то (или что-то вроде стороннего сервиса) проверит подпись целиком и скажет, была ли она корректная в какой-то конкретный момент времени. Служба штампов времени же просто подписывает хэш сообщения, без какой-то проверки подписи.
У вас поверхность неполнаяОткуда вам известно полная она у меня или нет? Я вот считаю что она, поверхность эта, у меня достаточно упитанная, так сказать :)
Или вы считаете, что вам лучше знать?А приведите-ка цитату из законопроекта, где хоть что-то говориться о ФНС. Может я что-то пропустил.
… но при этом искренне считая себя энтузиастом в этой области, который разбирается в вопросе лучше, чем 95% (а то и 99%) населения...Так случилось, что я вхожу в этот 1% населения, который разбирается в этом вопросе лучше вас.
Давайте выясним, действительно ли это так.
> А вот что действительно означает термин «доверенная третья сторона» (цитата непосредственно из законопроекта)
Так, законопроект вы не прочитали. Открыли и поиском нашли первое упоминание доверенной третьей стороны и на этом закончили читать. Если бы вы прочитали хотя бы ещё два абзаца, то увидели бы следующее:
19) метка доверенного времени – достоверная информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, удостоверяющим центром или оператором информационной системы и полученная в момент подписания электронного документа электронной подписью в установленном уполномоченным федеральным органом порядке с использованием программных и (или) аппаратных средств, прошедших процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.»;
Хотя тут сказано, что создавать её может не только довернная третья сторона, но и УЦ и оператор ИС, де факто в РФ уже сложилась ситуация, когда этим занимают не УЦ и не ИС, а именно третьи лица. Они же делают OCSP, о котором по сути написал вы.
Кроме того, можно проскролить до п.16 ст. 1 этого законопроекта и почитать предлагаемую этим пунктом ст. 18.1 в закон об ЭП.
> А приведите-ка цитату из законопроекта, где хоть что-то говориться о ФНС. Может я что-то пропустил.
Пожалуйста: страница 27 — п. 1 ч.1 ст. 17.2:
применяется квалифицированная электронная подпись юридического лица, квалифицированный сертификат которой выдается удостоверяющим центром федерального органа исполнительной власти, уполномоченного на осуществление государственной регистрации юридических лиц, в установленном уполномоченным федеральным органом порядке
Оставлю вам в качестве домашнего задания поиск НПА, который назначает ФНС ФИОВом, уполномоченным на осуществление государственной регистрации юридических лиц.
> Откуда вам известно полная она у меня или нет? Я вот считаю что она, поверхность эта, у меня достаточно упитанная, так сказать :)
Я же вам написал, почему она у вас неполная. Вы знаете вопрос только в теории, и вам не приходит в голову, что сертификат нужно ежегодно перевыпускать, в то время как обязанности перерегистрировать юрлицо ежегодно нет. Поэтому особенного толку от того, что ФНС будет выдавать сертификат ЭП именно при получении документов, нет. Это всё равно должно быть отдельным бизнес-процессом.
метка доверенного времени – достоверная информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей сторонойЭто не корректная формулировка, и надеюсь она в конечно счёте будет исправлена, так как такие как вы могут её как-раз неправильно трактовать. Здесь подразумевается, что метка времени просто проверяется доверенной третьей стороной. И ещё раз — термин «доверенная третья сторона» не имеет никакого отношения к службе штампов времени.
Они же делают OCSP, о котором по сути написал выТоварищ «энтузиаст», OCSP — это сервис проверки «не отозванности» сертификата в данный момент. Он не проверяет никакой подписи.
Вы знаете вопрос только в теорииВы бы хоть посмотрели, кто я такой, прежде чем это всё писать. Я программист с 16-ти летним стажем в информационной безопасности. Я ведь не «энтузиаст», я этим зарабатываю.
Это не корректная формулировка, и надеюсь она в конечно счёте будет исправлена, так как такие как вы могут её как-раз неправильно трактовать. Здесь подразумевается, что метка времени просто проверяется доверенной третьей стороной.Похоже таки именно Вы имеете неверное представление о штампе времени. Советую прочитать о том, что это такое хотя бы на вики.
Мне, честно говоря, абсолютно фиолетово кто вы. Я тоже программист с 17-ти летним стажем. А «энтузиаст» я лишь в области юридическизначимого использования электронной подписи на территории РФ. Поэтому прекратите тут давить вашим несуществующим авторитетом и вернитесь в поле аргументированной дискуссии. Два раза «ку» вам тут никто не будет делать при любом раскладе.
Вашу компетенцию, как программиста, я тут не обсуждаю. Мы тут говорим исключительно о вопросах использования ГОСТовой криптографии в реальной жизни. Все эти механизмы как электронная подпись, служба штампов времени, OCSP и т.д. были придуманы давно и не в Госдуме, и то как они работают обсуждать весьма себе скучно. А вот как это всё, придуманное когда-то кем-то, врывается в нашу жизнь и затрагивает тех, кто от этого всегда был далек и даже не понимает как это хотя бы приблизительно работает под капотом, и является предметом обсуждения в данной статье. И вот здесь-то вы в каждом комментарии «блещете» тем, что далеки от этого. То вы в конце 2019 года открыли для себя «облачную подпись» через чтение законопроекта, то у вас ФНС будет сопротивляться своей мечте.
OCSP — это сервис проверки «не отозванности» сертификата в данный момент.
В курсе.
> Он не проверяет никакой подписи.
Как раз вот это обстоятельство, что третье доверенная сторона провереяет не сертификат на данный момент, а подпись, склоняет меня к тому, что тут законодатель ошибается, имея ввиду как раз OCSP.
Рассудите сами — зачем вообще иначе эта доверенная третья сторона? Проверить валидность подписи в любой момент может любой участник электронного документооборота, используя СКЗИ, сертифицированные ФСБ. Предлагаю вам всё-таки почитать предлагаемую ст. 18.1. Возможно, вам отроется её смысл так же как вижу его я.
> Здесь подразумевается, что метка времени просто проверяется доверенной третьей стороной.
Вот ещё раз. Задайте себе тогда вопрос: а нафига эта третья сторона вообще нужна и попробуйте на него себе и нам ответить. Принимая во внимание, что просто так никто не будет писать в законе такое количество символов в отношении бессмысленной сущности.
Я допускаю, что я могу ошибаться в том, как я это истрактовал, но пока что ваша контраргументация ни к чёрту.
Я тоже программист с 17-ти летним стажемНе-не, я сказал что я «с 16-ти летним стажем в области информационной безопасности». Общий у меня 22 года.
прекратите тут давить вашим несуществующим авторитетомОн очень даже существующий. А чего-то «давить» сами начали: никто ничего не знает, только в теории, я лучше 99% населения. П**здец профи.
и вернитесь в поле аргументированной дискуссииСобственно вся эта «дискуссия» вышла из-за того, что вы как-то связали понятия «доверенная третья сторона» и «служба штампов времени». Я вам показал прямо определение, прямо из законопроекта, на что вы придумали какую-то ерунду и пытаетесь что-то доказывать. Даже в дополнении к пункту 18.1, на который вы что-то часто напираете, ничего нет про выполнение доверенной третьей стороной функции служба штампов времени. Там только про проверку подписи. Почитайте.
То вы в конца 2019 года открыли для себя «облачную подпись» через чтение законопроектаПрекратите делать какие-то предположения по поводу что мне известно, а что нет. Я сам писал такие сервисы несколько лет назад, и они даже работали :)
Как раз вот это обстоятельство, что третье доверенная сторона провереяет не сертификат на данный момент, а подпись, склоняет меня к тому, что тут законодатель ошибается, имея ввиду как раз OCSPЧего? Вы считаете, что надо сертификат на данный момент проверять и всё? Скажу вам, что процесс проверки подписи, особенно «advanced» (CAdES) включает в себя очень доскональную проверку сертификата, однако это достаточно маленький этап всей проверки. OCSP вообще тут упоминать «ни к селу, ни к городу», это просто сервис, его ответ просто встраивается в подпись, если нужно.
Рассудите сами — зачем вообще иначе эта доверенная третья сторона?Почитайте дополнения к пункту 18.1 в законопроекте, там написано. Вводят сущность, которой поручаются функции доверенной проверки подписей и выдачи квитанций о данной проверке. Ничего более.
Не подтверждается пока.
> А чего-то «давить» сами начали: никто ничего не знает, только в теории, я лучше 99% населения. П**здец профи.
Я на вас не давил. Я написал, что беру на себя ответственность и рискую дать свою обозрительную трактовку, не запрещая никому обсуждать мою правоту. Вы же по сути предлагаете мне свернуть любую аргументированную дискуссию с вами только на том основании, что вы что-то там писали. И даже если вы написали КриптоАРМ, то это не означает, что вы лично когда-либо использовали его как субъект юридическизначимых отношений в электронной форме. И уж тем более я не говорил, что я лучше чем 99% населения.
> Я сам писал такие сервисы несколько лет назад, и они даже работали :)
Вы вполне могли и писать их. Однако из всего получается, что на тот момент у вас не возникало никакого вопроса о том, как это может работать без хранения приватного ключа пользователя, и что об этом будет думать сам пользователь )) А сейчас вы как бы нырнули в эту тему с другой стороны и переоткрыли её для себя, и повесили тут же к ней ярлык «кговавой гебни», которая хочет контролировать всё на свете )
> Чего? Вы считаете, что надо сертификат на данный момент проверять и всё?
Где я это написал? Я считаю, что если у меня есть документ, подписанный всеми сторонами, метка времени, подписанная третьей стороной, а также информация о том, что на момент времени, указанный в метке, сертификаты сторон действовали и не были отозванными, то всего этого мне достаточно, чтобы с увернностью ужасно близкой к 100% говорить о том, что документ подписан (и не был изменен после этого) всеми сторонами в указанное время, действительными сертификатами. Это и есть главная гарантия неотрекаемости.
> Вводят сущность, которой поручаются функции доверенной проверки подписей и выдачи квитанций о данной проверке.
Ещё раз. Для чего эта сущность применима на практике? Если вы посмотрите предлагаемую ст. 18.1, то эта квитанция тоже должна быть подписана электронной подписью. Получается, что нужно опять привлекать доверенное третье лицо для проверки квитанции, чтобы получить квитанцию о проверке квитанции ) Это же рекурсия и бред.
Моё мнение, что самым важным является пункт а, части 1, ст. 18.1.
Доверенная третья сторона оказывает услуги:
а) по подтверждению действительности электронных подписей, задействованных при подписании электронного документа, в том числе установление фактов того, что соответствующие сертификаты были действительны на определенный момент времени
Если этот момент времени описать в терминах метки доверенного времени, то и получится то, о чем я пишу выше.
Вы же по сути предлагаете мне свернуть любую аргументированную дискуссиюКак это видится с моей стороны. Я пишу цитаты из законопроекта. Вы мне пишите другие цитаты, но с каким-то дополнительным трактованием, понятным лишь для вас. Вы каждый раз пытаетесь как-то меня «уколоть» типа я чего-то не знаю да не умею. Я вам каждый раз отвечаю, что и то, и это я знаю, и даже делал сам. Вы продолжайте дискуссию, я только «за». Прерывать не надо :)
Как раз вот это обстоятельство, что третье доверенная сторона провереяет не сертификат на данный момент, а подпись, склоняет меня к тому, что тут законодатель ошибается, имея ввиду как раз OCSP
Доверенная третья сторона оказывает услуги:
а) по подтверждению действительности электронных подписей, задействованных при подписании электронного документа, в том числе установление фактов того, что соответствующие сертификаты были действительны на определенный момент времени
Если этот момент времени описать в терминах метки доверенного времени, то и получится то, о чем я пишу выше.
У меня уже голова кругом от ваших ответов. Вы что имели в виду, когда писали про OCSP? Вас в последней цитате смущает факт, что кроме проверки подписей доверенная сторона ещё и действительность сертификата проверяет или что? Как это «момент времени описать в терминах метки доверенного времени»?
Повторяю — проверка третьей стороной подписей (а не сертификатов) — занятие бессмысленное в любой момент времени. Любой СКЗИ сертифицированный ФСБ (а другими пользоваться нельзя) в состоянии это проверить. Это глупое занятие даже для суда — суд самостоятельно может верифицировать подписи. А если ему прислать квитанцию о проверке довренной третьей стороны, то суду придется проверять электронную подпись доверенной третьей стороны под квитанцией.
BasicOCSPResponse ::= SEQUENCE {
tbsResponseData ResponseData,
signatureAlgorithm AlgorithmIdentifier,
signature BIT STRING,
certs [0] EXPLICIT SEQUENCE OF Certificate OPTIONAL }
ResponseData ::= SEQUENCE {
version [0] EXPLICIT Version DEFAULT v1,
responderID ResponderID,
producedAt GeneralizedTime,
responses SEQUENCE OF SingleResponse,
responseExtensions [1] EXPLICIT Extensions OPTIONAL }
Насчёт проверки «средствами сертифицированными ФСБ». Скорее всего здесь идёт речь о создании некой отдельной структуры, которая будет дополнительно собирать деньги с пользователей. Также это может быть ещё одним шагом к тотальному контролю за использованием криптографии: представим, что ключи хранятся только в УЦ, подписи делает только сервис УЦ, подписи проверяет только «доверенная третья сторона». Так что подразумевается только один дополнительный шаг — запрет использования локальных программ создания/проверки подписи. И, кстати, «средства сертифицированные ФСБ» не обязательно должны обладать расширенными средствами проверки подписей. Сертификация предполагает лишь проверку корректности встраивания криптографических средств, не более того.
Еще одна госмонополия? Спасибо, не надо
Может кто-то в двух словах сказать чем не зашли вещи вроде pgp? Фатальный недостаток?
Хотят двигать ГОСТы. В чём фатальный недостаток с глобальным Интернетом?
Впрочем никто не мешает вам взять любой другой набор таких алгоритмов, называемых ciphersuite и реализовать точно такую же схему как в PGP.
Что касается алгоритмов: одно государство может подозревать другое государство, которое спроектировало тот или иной криптографический алгоритм, в том, что алгоритм содержит закладки, которые известны его автору. Поэтому некоторые государства имеют свои национальные ciphersuite'ы.
Это касается не только РФ с вечной нашей паранойей, что весь мир против нас.
Я совсем не понимаю, как из этой ветки комментариев вы сумели сделать вывод, что этого нельзя сделать? Более того, это сейчас уже можно сделать, и года 4 как уже я так и делаю.
> Но большего и не нужно.
Наивность этого утвеждения зашкаливает по всем возможным способам измерения наивности. Во-первых, в законе об электронной подписи нет ни слова об алгоритмах, и о том, как они применяются (или как вы бы хотели их применить в виде PGP). Во-вторых, в законе сказано, что все эти вещи утверждает своими приказами ФСБ России. В-третьих, ФСБ не запрещает вам использовать алгоритмы ГОСТ по схеме PGP. В-четвертых, форматы PGP не используют промышленно нигде. Все используют набор стандартов PCKS. Сюда же и привинтили алгоритмы ГОСТ. В-пятых, вы заблуждаетесь в том, что кроме подписи и шифрации электронной почты более ничего не нужно. Как минимум нужен TLS, который бы позволил создавать защищенные соединения, шифрованные ciphersuite'ом ГОСТ. Без TLS не возможно создать ни один нормальный сервис. Устраивать по электронной почте обмен больших объемов машиннообрабатываемых данных никто не будет — это глупость, достойная студенческой поделки года эдак 1995-го.
Я совсем не понимаю, как из этой ветки комментариев вы сумели сделать вывод, что этого нельзя сделать? Более того, это сейчас уже можно сделать, и года 4 как уже я так и делаю.
Не знал, что можно. А можно поподробнее? Был бы очень признателен! Я когда разбирался, правда это давно было, так можно было получить простую подпись подпись, с которой толком делать нечего — с госучереждениями взаимодействие не получится, юридическая сила по закону слабая. А для получения квалифицированной подписи нужен УЦ, заявление, свидетельства, токены и прочая бюрократия. И всё это повторять раз в год. Учитывая что это стоит приличных денег — получается как налог) Непонятно — зачем так всё усложнять, навязывать проприетарную криптопро, хранить закрытый ключ в токене.
Я не атакую вас, просто пытаюсь открыть вам глаза и показать, что проблема более широка, чем это видеться обыкновенному наблюдателю.
> Не знал, что можно. А можно поподробнее?
А что тут подробнее? Использование ключевого носителя — дело не обязательное. Можете хранить в файле, но делать это крайне не рекоммендуется. Купите хороший токен. Сделать это надо один раз (ну или пока новые стандарты не появятся).
Лицензия на Крипто-Про — ну да, нужна. Они же несут расходы на разработку и на совсем недешевую процедуру сертификации. Но если вы приобретаете сертификат как физик, то, например, Тензор за 500 рублей вам выпустит сертификат вместе со встроенной в него лицензией на Крипто-Про. Опять же в Тензоре вы можете сделать это по всем канонам безопасности — сгенерировать ключевую пару у себя на рабочем месте, отправить запрос на сертификат в УЦ, а потом поехать в УЦ, чтобы пройти процедуру идентификации и получить сертификат.
Более подробно я тут писал. Не вижу смысла повторять. Останутся вопросы — пишите.
В статьях за год как раз описывался баг существующих процедур. Приходит левый чел в уц, с фальшивым бланком паспорта. На бланке реальный номер жертвы, фоткв мошенника. Уц не имеет желания, возможностии, полномочий проверить поддельный паспорт. Да и зачем — ответственности никакой. Так этот и не пофиксили.
Или просто преступный сговор, когда договорятся с человеком в региональном отделении ФНСэто конечно может быть в любом месте. А вот если ФНС будет являться УД для всех юриков, получает у ней будет полный контроль и доминация. Каким-нибудь внутренним письмом минфина получат возможность отзывать ЭП в случае подозрения на что угодно. Сдал не такой отчет — все. Не только счет заблокируют, а вообще выключают фирму одним движением — ни договор подписать, ни в клиент-банк зайти, ни в офис не попасть :)
Банку может показаться, что вы имеете отношение к лицам, нарушающим антиотмывочное законодательство и вам просто даже без объяснения причин заблокируют счёт. А особенно упоротые попросят за вывод остака 15%.
Однако не стоит забывать, что ЭП — это большей частью (пока ещё) не замета, а дополнение ручной подписи документа на бумажном носителе.
В статье был описан случай получения сертификата ЭП путем предоставления скана или ксерокопии паспорта, в которой была отредактирована фоторафия. Это не баг, а грубейшее нарушение работы УЦ — они должны были проверить оригинал паспорта и убедиться в том, что предъявитель паспорта совпадает с владельцем паспорта.
Ответственность УЦ в том числе материальная устанавливается законом. Данный законопроект многократно увеличивает лимит финансовой ответственности УЦ и, если мне не изменяет память, добавляет уголовную ответственность для сотрудников УЦ за подобные нарушения.
Вы ничего не напутали? Т.е. не «физлицу-представителю юрлица», а именно «юрлицу», как у вас написано?
Т.е. аналог «печати организации», а не «подписи+печати», как сейчас?
И да, и нет. Скорее да, но вы не учитываете тот факт, что с некоторых пор некоторым организациям дозволяется вообще не иметь печати. В этом смысле электронная подпись такой организации будет аналогом печати, которой у неё и не было )
> Вы ничего не напутали? Т.е. не «физлицу-представителю юрлица», а именно «юрлицу», как у вас написано?
Состав информации в таком сертификате определит не закон, а ФСБ дополнительным приказом. Будет ли в нём содержаться данные физлица-представителя юрлица, я знать немогу. Но семантика сертификата такой подписи будет именно такая, что она относится только к юрлицу.
Кстати, и сейчас не запрещено такой сертификат получить, но при условии что сертификат ЭП выдается для автоматизированной обработки данных и подписи их без участия физического лица.
Уполномоченные УЦ по поручению владельца квалифицированного сертификата осуществляют: хранение ключа электронной подписи, ключ проверки которой содержится в квалифицированном сертификате с обеспечением его защиты от компрометации и (или) несанкционированного использования, в том числе, создание при помощи указанного ключа подписи по поручению владельца квалифицированного сертификата электронной подписи с использованием средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным в соответствии с пунктом 2.1 части 5 статьи 8 настоящего Федерального законаТо есть обращу внимание: закрытый ключ хранится у УЦ, подпись делает УЦ. Ну, конечно, «по поручению».
В моей статье с инструкцией по регистрации недвижимости с использованием ЭП, про такую схему указано в самом начале — Сбербанк вместе со своим Дом-Кликом предлагает эту услугу физикам.
Дефакто, этот механизм с маркетинговым названием «облачная подпись» имеется на рынке уже много лет. Ранее он не был прописан в законе и его реализация утрясалась каждым УЦ самостоятельно с соответствующими органами (Минцифра и ФСБ). Теперь это всего лишь превращение де факто в де юре.
Основными потребителями такой услуги являются лица безусловно далекие от основ информационной безопасности — людей, которые думаю, что электронная подпись, это рисунок на документе, изображающий штамп «Подписано усиленной электронной подписью». И в их случае я бы ещё поспорил, что было бы безопаснее — выдать им приватный ключ на ключевом носителе, дефолтный ПИН-код от которого они не догадаются поменять, или же хранить его в таком месте как облачное хранилище, выдавая доступ к ключу по одноразовым кодам в СМСках.
Что касается вопроса неизбежности «поручения» — кто ищет, тот всегда найдет. Одно время приходилось днём с огнем искать УЦ, который работал бы по схеме с запросом на сертификат. Сейчас с этим легче. Ну и заодно расскажу вам, что существуют носители ключевой информации с неизвлекаемым приватными ключами, в которых криптография встроена внутри. Было бы забавно наблюдать, как вы сможете «поручить» УЦ хранить такой ключ. К слову, использование таких (неизвлекаемых) ключей сейчас становится обязательным и уже обязательно при работе с некоторыми ведомствами.
Резюмирую. Никаких страхов на этот счёт испытывать не стоит.
2. Аккредитованный удостоверяющий центр должен хранить информацию, указанную в части 1 настоящей статьи, в течение срока его деятельности, если более короткий срок не предусмотрен нормативными правовыми актами Российской Федерации. Хранение информации должно осуществляться в форме, позволяющей проверить ее целостность и достоверностьТут не про «что может делать УЦ», а про что он делать обязан и как хранить. Так вот этот пункт дополняют подпунктом, где говорится, что УЦ должен хранить закрытые ключи пользователей.
Было бы забавно наблюдать, как вы сможете «поручить» УЦ хранить такой ключУЦ отзывает существующий сертификат и выдаёт новый, с хранением закрытого ключа в УЦ. Вот и весь процесс. И, кстати, внутри УЦ тоже используется HSM, который тоже типа «с неизвлекаемыми ключами».
Статья 15 63-ФЗ (а не пункт) — мы говорим о ней. В ней есть часть 1, которая состоит из трёх пунктов, которые перечисляют, что обязан хранить УЦ. Там нет ни слова у ключах. Далее идёт часть 2, которую вы назвали «пунктом 2» и процитировали выше. Ну ок. УЦ обязан хранить информацию по трём пунктам части 1, грубо говоря, пожизненно.
А вот часть 2.2 (которую вы называете статьей), которой предлагается дополнить ст. 15, никак не относится ни к части 1, ни к части 2. Часть 2.2 говорит о том, что УЦ по поручению владельца (и только в этом случае — прим. моё) осуществляет хранение ключа электронной подписи.
И, кстати, говоря, на действие ч. 2.2 не распространяется требование ч. 2, то есть УЦ не обязан хранить ключ пожизненно. Это значит, что если открым ключем юзера кто-то зашифровал ему документ, то если УЦ удалит приватнуй ключ юзера, то он не сможет его больше дешифровать и посмотреть. Что в общем печально для пользователя.
" Таким образом, бизнес коммерческих УЦ пострадает не сильно, т.к. всё равно к ним пойдут за сертификатом физики."
Сильно. Ведь в законе говориться о том что цена на такие сертификаты для физиков будет определяться Правительством РФ. Не уверен что цена так и останется на уровне 1000 — 1200. Скорее всего упадёт до 300-400.
Правда учитывая что по закону аккредитацию пройдут не более 20 УЦ то вероятно на их век денег хватит. Будем посмотреть.
1) цена на такие сертификаты определяется правительством
2) аккредитацию пройдут не более 20 УЦ
Если это действительно так, то это важное изменение, и я добавлю его в спискок и исключу от туда мнение, что бизнес УЦ не пострадает.
"По-моему, при наличии действующей подписи, возможность выпускать новый сертификат через запрос на сертификат (без личной явки) — это обязательное условие работы УЦ. Помимо удобства это гораздо правильнее. Хотелось бы обязательности возможности такой процедуры (только с личной явкой) при первоначальном выпуске сертификата"
Да закон вводит три варианта удалённой идентификации
- по квал. серту
- по биометрии!
- с использованием Электронного паспорта NEW!)))
касательно электронного паспорта — скорее всего это равносильно п. 1.
Сегодня кстати второе чтение.
Я не нашел текст обновленный ко второму чтению, но есть слух что "две подписи" убрали из законопроекта. Если то так то это вероятно добьёт надежды небольших УЦ укрупниться, объединиться и остаться на рынке.
Да… кто-то проталкивает закон максимально быстро...
Законопроект приняли во втором чтении.
Из нового:
- Для лиц действующих от имени организации без доверенности достаточно будет подписать сертификатом на Юр лицо. Остальным подпись ставить придётся сертификатом физ лица.
- ФНС может наделить правом приёма документов точно, и возможно правом выпуска сертификатов (совсем не точно) коммерческие УЦ. ПРавил отбора таких УЦ пока нет.
- Ооочень странно заявление о том что для Юр лиц подпись будет бесплатная от человека презентовавшего закон.
3. Ооочень странно заявление о том что для Юр лиц подпись будет бесплатная от человека презентовавшего закон.
Как принято говорить — если вы ни за что не платите, значит вы и есть товар.
Для лиц действующих от имени организации без доверенности достаточно будет подписать сертификатом на Юр лицо. Остальным подпись ставить придётся сертификатом физ лица.
Ничего не понял. Точнее понял, что для гендира ничего не изменится. А что изменится для представителя? Он подписывает своей подписью и подписью юрлица? А как устанавливается связь, что он имеет какое-то отношение к юрлицу?
Натянутый пример выдуманный в голове: гендир подписывает электронный документ по которому предъявитель получает товар. Документ каким-то образом попадает в руки к третьему лицу, лицо ставит свою подпись в дополнение к подписи гендира и получает товар. Как-то бредово.
Ооочень странно заявление о том что для Юр лиц подпись будет бесплатная от человека презентовавшего закон.
Слушайте, ну вообще издание сертификатов — это деньги из воздуха практически. Особенно при дистанционном выпуске при наличии действующей подписи — процесс абсолютно автоматизируемый на стороне издателя. В масштабах государства — себестоимость не о чем. Зато платность этой подписи для многих мелких и средних предпринимателей является барьером (более принципиальным, чем финансовым) для её использования.
Если это будет бесплатно, то это как бы заодно пропаганда цифровизации экономики. Это правильно я считаю, учитывая выбранный курс и «болезнь» президента )
А что изменится для представителя? Он подписывает своей подписью и подписью юрлица?Если я понял правильно, представитель подписывает документ своей подписью физлица и прикладывает в электронном виде доверенность подписанную электронной подписью юрлица, уполномочившего его действовать от своего имени.
1)Тогда бизнес по продаже сертификатов у коммерческих УЦ под существенной угрозой. Обойтись бесплатным сертификатом налоговой будет легко и этим будет пользоваться большинство тех, кто сейчас пользуется ЭП. Впрочем особо не жалко эти сотни сомнительных УЦ. А серьезные конторы имеет УЦ в качестве побочного бизнеса (типа операторов отчетности).
2) Это довольно хреновая затея, если у доверенности не будет какого-то универсального машиночитаемого формата. Придется садить человека, который будет проверять это глазами.
Останутся те у кого куча сервисов, отчетность, кассы-ОФД, эл. счета-фактуры.
Остальным даже укрупняться\объединяться смысла нет ибо рынка ЭП почти не будет.
Что касается большинства УЦ — я уверен, что стране не нужно 500 УЦ. Это по 6 УЦ на каждый регион не считая филиалов крупных УЦ. Их тяжело контролировать. Они будут чудить как в случаях в приведенных поставх. Зачем это нам? Зачем это государству?
Вообще сам по себе бизнес — только УЦ в отрыве от иной деятельности, это довольно странная вещь.
Отзыв доверенности юрлица — это довольно странный процессТем не менее, он предусмотрен законодательно, иначе как по-другому отозвать полномочия раньше срока окончания действия доверенности. Возникает вопрос, как учитывать этот момент при автоматизированной проверке подписи такого лица под документом. Единый реестр электронных доверенностей? Но это не было учтено в поправках, более того, эти доверенности появились внезапно перед вторым чтением.
Впрочем даже если эту задачу решить технически, есть другая, не менее важная задача — это полномочия, которые даются доверенностью. Как их формализовать — не знаю.
Ооочень странно заявление о том что для Юр лиц подпись будет бесплатная от человека презентовавшего закон.
Тут никаких сюрпризов, я думаю, пока не предвидется. ФНС — это не ООО «рога и копыта», прайса у них своего нет. Все пошлины, которые они принимают от граждан и организаций, прописаны в Налоговом Кодексе. Так что любое желание ФНС взымать за это плату должно сопровождаться изменениями в НК РФ, а как мы видим данный законопроект вносит изменения только в два ФЗ, среди которых нету НК РФ.
Однако это не исключает, что в ближайшие полгода (до даты вступления положений закона в силу), такие изменения будут произведены. Посмотрим.
Вангую:
Потому что для принимающих законы это крайне важно. Ведь как раз у них же куча недвижимости и предприятий.
Есть предположение что банкам а точнее СБеру который хочет в лезть и в сбор биометрии и в пилот по выдаче Эл. паспортов, которые кстати могут содержать в себе ключик эл. подписи физ лица… Потому может такая битва за устранение конкурентов в виде УЦ.
Собирают. Три раза сдавался.
В результате по данным Сбера биометрия на меня есть. Под данным ЕПГУ — нет.
Куда подевалась — разобраться никто не может:)
Я так понял, что это из-за того, что если банк использует биометрию ЕСИА, то ЕСИА же должна принимать решение по запросу банка о том авторизует она или не авторизует того или иного клиента. Достоверность этого говна не 100%. Вот Греф и спрашивает — а то будет отвечать за эти 2% ошибок? Если биометрия Сбера, то отвечает Сбер.
Нафиг мне чисто Сберовская? Я ее и делал, чтобы через ЕСИА все видеть и контролировать.
> Я ее и делал, чтобы через ЕСИА все видеть и контролировать.
Блин, люди, зачем вы пользуетесь вообще Сбером? Это банк-геморрой. Практически любой другой банк спасёт отца русской демократии )
Слушайте, ну вообще издание сертификатов — это деньги из воздуха практически. Особенно при дистанционном выпуске при наличии действующей подписи — процесс абсолютно автоматизируемый на стороне издателя. В масштабах государства — себестоимость не о чем. Зато платность этой подписи для многих мелких и средних предпринимателей является барьером (более принципиальным, чем финансовым) для её использования.
Ну во первых мне как работнику УЦ обидно это слышать. На самом деле тут дел много.
В масштабах страны конечно стоимость будет ниже.
Но этот ведь процесс не только технический но и организационно правовой. Потому затраты будут большие.
А по цене конечно для бизнеса хотелось бы дешевле или бесплатно, тут я соглашусь. Вот например ЕГАИС. ключи сейчас на рутокенах-етокенах на каждую кассу и в каждой свой сертификат. Куда это годится? Но доходы с этих всех продаж худо-бедно двигали отрасль вперед.
Надо еще сказать что потеряют денежки много кто еще.
Конторы которые аккредитовывали рабочие места, учебные заведения по переподготовки специалистов в сфере инф безопасности.
Партнёры УЦ. Вот с ними реально не ясно что. Кассовики раньше брали сертификаты у УЦ сейчас как они будут с ФНС сотрудничать не ясно.
Много всяких вопросов.
Ну во первых мне как работнику УЦ обидно это слышать. На самом деле тут дел много.
Мне не хотелось бы кого-то явным образом обижать, но то, что вы или ваши коллеги устроили из продажи сертификатов — не лезет ни в какие рамки. Это касается истории по продаже, например, сертификатов к торговым площадкам. Что там? OID лишний поставить — это не из воздуха деньги? Я уже не говорю про прямой законодательный запрет требовать какого-то особенного сертификата для доступа в публичную информационную систему. Не знаю каким образом вам удаётся в этом вопросе проходить сквозь жерла законного возмездия, но рано или поздно этому придет конец.
Хрен с ним с торговыми площадками, которые мне не нужны. Но многие УЦ умудряются продавать один и тот же сертификат за разные деньги. Например, сертификат для регистрации онлайн-касс — 1000 рублей, а для отправки отчетности в госорганы — 3600 рублей. Надо ли говорить, что они ничем не отличаются? Короче содомия полная.
Законопроект об изменениях в электронной подписи