Налоговая выдаст ЭП бесплатно для ИП и юрлиц

    Наконец-то электронные цифровые подписи (ЭП) для юрлиц и ИП можно будет получить бесплатно. Странно было платить за услугу, которая выгодна в первую очередь самой налоговой службе. По идее, это она должна была доплачивать предпринимателям, которые переходят на безбумажный документооборот, потому что работать с электронными документами налоговой службе гораздо проще. На самом деле выходило наоборот: приходилось оплачивать эту услугу из своего кармана в аккредитованном удостоверяющем центре.

    Но теперь абсурд с оплатой ЭП останется в прошлом. С июля 2021 года Федеральная налоговая служба (ФНС) начнёт выпуск бесплатных ЭП для российских компаний, индивидуальных предпринимателей и нотариусов.

    «В связи с тем что аккредитованным в настоящее время удостоверяющим центрам необходимо до 1 июля 2021 г. пройти процедуру переаккредитации, а срок действия выпущенных ими квалифицированных сертификатов электронной подписи ограничен 1 января 2022 г., ФНС России планирует наравне с указанными удостоверяющими центрами обеспечивать выпуск квалифицированной электронной подписи для юридических лиц, индивидуальных предпринимателей и нотариусов с 1 июля 2021 г. в целях обеспечения «бесшовного» перехода от коммерческой услуги по выпуску электронной подписи к соответствующей безвозмездной государственной услуге, — пояснили в ФНС России. – Получить квалифицированную электронную подпись в удостоверяющем центре ФНС России смогут все юридические лица, индивидуальные предприниматели и нотариусы. Выпускаемая удостоверяющим центром ФНС России электронная подпись будет применима для получения всех государственных и коммерческих услуг, а также подписания любых электронных документов».

    На сегодняшний день в России нет единого стандарта на ЭП. Отдельные подписи нужны для взаимодействия с каждой службой или ведомством: ФНС, Росреестр и др. Для применения каждого вида ЭП требуется своё программное обеспечение.

    Бесплатная выдача подписей со стороны ФНС станет альтернативой платному получению сертификата подписи в обычном удостоверяющем центре. «Это означает дополнительный контроль за выпуском ЭП со стороны госорганов и даёт уверенность в надёжности цифровой подписи, — считает партнёр КПМГ в России и СНГ Иларион Леметюйнен. — Изменения в порядке выдачи ЭП направлены на активное развитие электронного документооборота в РФ».

    С ним согласен генеральный директор FBK CyberSecurity Александр Черненко: «Сейчас правом выдачи ЭП обладает огромное количество организаций, и не все из них чётко следуют правилам идентификации субъекта, получающего ЭП. Это открывает простор для различных мошеннических действий».

    Правда, есть небольшое подозрение, что ФНС сейчас зачищает рынок выдачи сертификатов ЭП, а потом сделает эту услугу платной.

    В последние годы в сообществе активно обсуждали фиктивные сделки, для которых мошенники используют электронные цифровые подписи, оформленные на других граждан. В России действуют сотни центров сертификации, многие из которых предлагают быструю процедуру оформления цифровой подписи за 30 минут без личного посещения офиса. Достаточно прислать сканы паспорта через интернет. Этим пользуются злоумышленники, имеющие доступ к персональным данным граждан. СМИ облетела новость о первом случае продажи квартиры мошенниками с помощью ЭП и подделки документов. Владелец квартиры в Москве по имени Роман обнаружил, что в очередной квитанции за коммунальные услуги у квартиры указан уже новый владелец. Гражданин обратился в Росреестр и выяснил, что осенью он подарил свою квартиру некоему жителю Уфы. Причём сделал это дистанционно, подписав документы своей электронной цифровой подписью.
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 109

      +6
      Главный вопрос: будет ли возможность генерировать ключи у себя на компьютере и потом регистрировать открытый ключ или же, как и раньше, выдаются изначально скомпрометированные ключи, сгенеренные на не доверенном компьютере?
        +2
        Раньше тоже можно было зарегистрировать только открытый ключ, например, в УЦ Росреестра (uc.kadastr.ru). Выдаваемую электронную подпись принимают все, в соответствии с ФЗ «Об ЭП», так что вот это:
        На сегодняшний день в России нет единого стандарта на ЭЦП. Отдельные подписи нужны для взаимодействия с каждой службой или ведомством: ФНС, Росреестр и др.
        — не совсем правда. Для некоторых целей нужны подписи со специальными значениями в поле extended key usage, но для сдачи отчетности куда угодно например подходит любая.
          –3
          как этот коммент отвечает на вопрос? не тот уровень?
            +2
            Выше утверждалось, что «раньше выдавались изначально скомпрометированные ключи, сгенеренные на недоверенном компьютере», на что я ответил, что возможность сгенерировать ключи самому была и есть.
            0
            А сейчас можно? Не нашёл информации на сайте.
            –4

            Хм. А разве ваш компьютер сколько-нибудь доверенный? Ключ, сгенерированный для вас в АЦСК, как минимум подразумевает, что и ваша личность, и криптографический софт с железом прошли аудит.

              +7
              А разве ваш компьютер сколько-нибудь доверенный?

              Для меня — да. В отличие от любого другого компьютера, доступ к которому есть/был у кого-то, кроме меня.
                –11
                Для меня — да.

                Вы понимаете, зачем эта подпись выдается? Она нужна, чтобы юридически подтверждать вашу физическую личность перед третьим лицом, и это третье лицо должно быть уверено, что ключ выдан именно лично вам как физическому лицу. Вы можете доверять вашему компьютеру сколько угодно, но вот УЦ и третье лицо доверять ему априори не могут, у них нет таких оснований.


                Идеальным вариантом тут могла бы быть выдача вам сертифицированного криптографического токена и генерация ключей на нем в вашем присутствии, но никак не генерация на вашем ПК.

                  +7
                  Почему? Можно же лично первый раз прийти с документами и принести отрытый ключ (или передать через Госуслуги).
                    +6

                    Почему? Я сгененировал ключ, пришел с ним в отделение и подтвердил своим лицом и документами что этот вот открытый ключ принадлежит мне.


                    Про генерацию при моем присутствии — как это защитит от блакбокса? Откуда я буду уверен что ключ который я или сотрудник генерирует на своем устройстве, пусть он хоть трижды сертифицирован, не уйдет в локальную сеть центра и не будет потом продан сотрудником?

                      –2
                      Откуда я буду уверен что ключ который я или сотрудник генерирует на своем устройстве, пусть он хоть трижды сертифицирован, не уйдет в локальную сеть центра и не будет потом продан сотрудником?

                      Аппаратный токен с неизвлекаемым ключом, очевидно.

                        0

                        Это переусложнение. Для потребительского сегмента все эти дорогие токены, которые еще и перезаписывать раз в год, просто не нужны. У меня целая коробочка мертвых ключей есть. Флешка с али на 32 мегабайта и генерация на своем компьютере будет достаточна. Для тех кто не умеет — традиционный путь через девушку в окне.

                          0
                          Для потребительского сегмента

                          … надо понимать, что эти люди в подавляющем большинстве вообще ничего не знают ни о криптографии, ни о компьютерной безопасности, все вот эти открытые и закрытые ключи для них — полная тарабарщина, и никакой ликбез и просвещение тут не помогут. Рассмотрите вопрос с ЭТОЙ точки зрения.


                          Для тех кто не умеет

                          А как вы собиратесь разделять тех, кто умеет и тех, кто не умеет? "Мамой клянусь, что разбираюсь в криптографии и мой закрытый ключ надежно защищён"? Перестаньте рассматривать вопрос исключительно с позиции айтишника, который хочет сам для себя получить ключ. Попробуйте его рассмотреть со стороны госструктуры, которая должна быть твердо уверена, что вот этот ключ ассоциируется вот с этим физлицом (а не с каким-то там компьютером), и выработать единую процедуру.

                            +5
                            Рассмотрите вопрос с ЭТОЙ точки зрения.

                            Я сам на этой стороне баррикад и не понимаю почему логин + пароль + код доступа не подходят.


                            А как вы собиратесь разделять тех, кто умеет и тех, кто не умеет?

                            Никак. На доверие. Приходит за ключем — не умеет. Приходит с ключем — умеет.


                            Перестаньте рассматривать вопрос исключительно с позиции айтишника, который хочет сам для себя получить ключ.

                            Мне эти ключи даром не сдались, я их не использую в жизни от слова совсем.


                            Попробуйте его рассмотреть со стороны госструктуры, которая должна быть твердо уверена, что вот этот ключ ассоциируется вот с этим физлицом (а не с каким-то там компьютером), и выработать единую процедуру.

                            У меня нет доверия к девочке/мальчику сидящей в окошке и выдающей ключи. Вообще. И к российской криптографии доверия нету.

                              –3

                              Просто попробуйте предложить конкретный механизм, при котором на момент подписания ключа ФНС может быть уверена, что закрытый ключ находится в распоряжении конкретного физического лица. Без политоты и вот этого всего.

                                +7

                                Причем тут политота? Я про конкретных специалистов.


                                Алгоритм простой — хочет человек генерировать сам свой ключ — пусть это делает хоть на листике в тетрадке. Главное чтоб он пришел и подтвердил свою личность у оператора в центре и предоставил открытый ключ. Расписался что это он его предоставил, расписался что он ознакомлен с правилами генерации и все. Дальнейшая ответственность будет на нем на 100%. Ах, да, еще надо запретить пере/до-выпуск ключей без человека и его кодового слова.


                                Не может или не хочет — оператор достал ноутбук на базе процессора эльбрус с дистрибутивом ГосЛинукс, и я не шучу, где система сбрасывается в ноль при нажатии кнопки и далее по старой схеме как сейчас.

                                  –2
                                  Главное чтоб он пришел и подтвердил свою личность у оператора в центре и предоставил открытый ключ. Расписался что это он его предоставил

                                  Как вы планируете убедиться, что он сам его сгенерил, а ему, например, не помог соседский сын Вася (попутно скопировав), потому что сам гражданин ни черта в этом не понимает?


                                  Если принять, что в функции государства входит в том числе и закрытие подобных рисков (в той степени, в которой это возможно и целесообразно), сразу многое станет понятнее. А если вы будете по-прежнему рассматривать взаимодействие гражданина и государства сугубо как Алисы с Бобом из задачек про криптографию, то так и будем ходить по кругу.

                                    +4
                                    Как вы планируете убедиться, что он сам его сгенерил, а ему, например, не помог соседский сын Вася (попутно скопировав), потому что сам гражданин ни черта в этом не понимает?

                                    Никак. Это будет на совести человека. Он-же сам пришел с ключем. Для предотвращения этого — достаточно информировать людей о способах генерации ключей и предоставлять удобный софт на официальных сайтах, а не как сейчас.


                                    Если принять, что в функции государства входит в том числе и закрытие подобных рисков (в той степени, в которой это возможно и целесообразно), сразу многое станет понятнее.

                                    Не входит это в функции государства. Они не заботятся о вас, а следят чтоб вы все налоги правильно платили и вовремя.

                                      –3
                                      Не входит это в функции государства.

                                      Извините, но тут у вас началось отрицание объективной реальности. И дело не в заботе (мотивы тут вторичны и обсуждаемы), а в том, что мир на данный исторический момент устроен именно так. В таком ключе я не готов диалог продолжать, это бесперспективно.

                                        +3

                                        Ну послушайте, без скарказма и подколов — дело налоговой сопоставить Ивана Иванова и открытый ключ такой-то. Это делается подтверждением личности. То что сейчас я в налоговой еще и должен генерировать ключ — это как продажа товаров на почте россии в центре большого города в доме между пятерочкой, магнитом и местной пекарней.


                                        Может-ли оно это делать? Да, безусловно. Должно-ли быть это обязательным? Нет. Если человек заботится о своей информационной безопасности — он пройдет путь от поиска в интернете и генерации на левом сайте, до установки убунты в виртуалку.
                                        Безопасность через принуждение не бывает. У меня после похода в сбербанк или отделение сдека регулярно звонит телефон от службы поддержки. Мои ПД с 2НДФЛ лежат в открытом доступе после того как я за зубы вернул деньги. То что вы говорите подразумевает безоговорочную веру оператору, а я лично сталкивался с открытием на мое имя ИП без меня и с выпуском ЭЦП, где на фотке был какой-то человек итальянской наружности, при этом открыто все было в центре нашего городка, а не в поселке зуево-кукуево.


                                        Я считаю что единственный метод который возможен — полное информирование. Создание информационного поля чтоб на запрос "выпуск ЭЦП" принудительно поисковиками в первой строке была ссылка на сайт ФНС где русским для обывателей был описан четкий алгоритм от "зачем это нужно" до скачивания простой программы в 10КБ и генерации на уровне далее-далее-далее, при этом добавив ссылки на официальный магазин где можно купить эти флешки для хранения токенов. Все что сейчас я вижу — формирование еще большей зависимости и черного ящика, когда мне, программисту с 20 летним стажем, админу весьма больших локальных сетей и серверов — трудно найти гребанный алгоритм по обновлению корневого сертификата и этот сам сертификат.

                                          –2
                                          дело налоговой сопоставить Ивана Иванова и открытый ключ такой-то. Это делается подтверждением личности.

                                          Перед тем, как вы сможете личность подтверждать, вам должны выдать документ, с помощью которого это делается. И задачи, во-первых, выдать, во-вторых, выдать именно вам, а не кому-то другому, кто вами представился (сев за ваш ПК), лежат на государстве. Потом вы можете этот документ пропить, порвать, потерять, подарить — это будут ваши проблемы. Но вот момент выдачи лично вам в собственные руки обеспечивает государство.


                                          Попробуйте взглянуть на выдачу ЭЦП как на аналог выдачи паспорта — так понятнее будет?


                                          То что вы говорите подразумевает безоговорочную веру оператору

                                          Откуда вы и другие спорщики это берете, если я открытым текстом говорю, что сам считаю правильным вариантом аппаратный токен, где безопасность соблюдается с обеих сторон — государство убеждается, что токен выдан вам лично, а вы — что ключи его не покидают?

                                            +2
                                            Откуда вы и другие спорщики это берете, если я открытым текстом говорю, что сам считаю правильным вариантом аппаратный токен, где безопасность соблюдается с обеих сторон — государство убеждается, что токен выдан вам лично, а вы — что ключи его не покидают?

                                            Потому что все эти аппаратные токены не надежны с технической стороны, они нуждаются в специализированном закрытом софте. Потому что эти токены дорогие. Потому что 99% пользователей имеют на них пароль 0123456789. Это бесполезная трата ресурсов для псевдобезопасности, как и вся эта тема с ЭЦП для налоговой.

                                              –1

                                              Защиты и стоимость уровня банковских карт вас не устраивает? Ну пусть даже так, тогда предложите альтернативу, которая в равной степени устроит все стороны и будет пригодна к эксплуатации произвольным человеком, а не только специально обученными айтишниками.

                                                +1
                                                Меня вот что поражает. Перевести тысячу долларов долларов можно просто подтвердив перевод кодом из смс или push уведомления. И банку этого достаточно.
                                                На госуслугах тоже можно пользоваться учетной записью без всяких ЭЦП. Так зачем мне, как пользователю, вся эта канитель с российской криптографией, с мутными и несовместимыми между собой «крипто-про», «код безопасности» и прочим сляпанным на коленке глючным поделием импортозамещения?
                                                И к вопросу о расчетных счетах. Для условного ИП доступ к расчетному счету тоже вполне возможен без всяких эцп и прочего. Также через push или смс. Насколько мне известно от контрагентов, аналогичная система работает и с юрлицами — ООО имеет от одного номера телефона, куда приходят смс с подтверждениями. Обычно два — бухгалтер и директор.
                                              +1
                                              Попробуйте взглянуть на выдачу ЭЦП как на аналог выдачи паспорта — так понятнее будет


                                              Да, так очень понятно. И именно так оно и заложено в процедурах. Личная явка, выдача лично в руки с проставляемой собственноручно подписью о выдаче. Если же считать процесс выдачи документа, удостоверяющего личность, априори скомпрометированным, то у меня плохие новости.
                                                +4

                                                Попробуйте взглянуть на выдачу ЭЦП как на аналог выдачи паспорта — так понятнее будет?


                                                Вот, кстати, зря государство так сделало. Лучше было
                                                бы, если это воспринималось как выдачу личной печати — как у японцев.


                                                Собственно, я давно считаю, что форм фактор корпуса для всех этих токенов с ЭЦП и должен быть штампик личной печати, которым можно и мокрую печать поставить.


                                                В таком виде до народа лучше доходить будет, что именно они на руки получают.


                                                Да и для бумажного оборота польза будет — для серьёзных договоров можно будет требовать, чтобы на бумаге была и роспись и официально зарегистрированный штамп личной печати. Или, наоборот — на мелких договорах только штамп — чтобы подпись где попало не оставлять.

                                                  0
                                                  Лучше было бы, если это воспринималось как выдачу личной печати — как у японцев.

                                                  Печать не выдаётся. Вы покупаете свою печать где хотите, потом регистрируете её где вам надо.


                                                  Или, наоборот — на мелких договорах только штамп — чтобы подпись где попало не оставлять.

                                                  Плюс, у людей обычно несколько разных печатей: для серьёзных дел — одна печать, для банка — другая, чтобы подтвердить посылку почтальону — третья.

                                                    +1
                                                    Печать не выдаётся.

                                                    У меня есть некие подозрения, что достаточно часто это совмещенная процедура, чтобы слишком много и далеко не ходить. Но да, неаккуратно сформулировал.


                                                    Но тезис был, что если бы оно называлось и выглядело как печать — то с этим бы аккуратней и правильней обращались, чем с 'флешкой'

                                          +2
                                          Просто попробуйте предложить конкретный механизм, при котором на момент подписания ключа ФНС может быть уверена


                                          Как вы планируете убедиться, что он сам его сгенерил, а ему, например, не помог соседский сын Вася (попутно скопировав), потому что сам гражданин ни черта в этом не понимает?


                                          Не понимаю одного. Что мешает налоговой сделать понятный гуй с двумя кнопками: [Сгенерировать ключ и запрос на сертификат], [Импортировать сертификат]. Самому гражданину ничего не надо понимать, но и он и налоговая служба могут быть вполне уверены в том, что пользователь уникален, а ключ в безопасности. По крайней мере до тех пор, пока к компьютеру гражданина не получат доступ третьи лица. Но что мешает хранить закрытый ключ в зашифрованном виде? Тоже реализуемо в рамках того-же простого гуя.
                                        +2
                                        ФНС в любом случае не может быть уверена, что закрытый ключ не находится в распоряжении других лиц, независимо от того, кто его сгенерил.
                                          +1

                                          Да и не нужна ей эта уверенность, зачем?

                                          0

                                          Вам просто не ввдавали в банке флэшку с эцп, паролем к личному кабинету, который вы же сами установили и вирусом в придачу. Нет оснований полагать, что в налоговой с этим ражикально лучше дела обстоят. Де даже если лучше, ещё один уровень защиты не повредит.

                                            –2

                                            Я вообще не обсуждаю то, как обстоят дела в налоговой, а просто излагаю свое мнение на тему того, почему, с точки зрения госорганов, генерация закрытого ключа где-то на ПК пользователя не является правильным вариантом.


                                            Что до моего личного мнения насчет того, какая схема правильна с точки зрения защиты — я, кажется, достаточно четко написал про аппаратные токены.

                                            0
                                            Просто попробуйте предложить конкретный механизм, при котором на момент подписания ключа ФНС может быть уверена, что закрытый ключ находится в распоряжении конкретного физического лица.


                                            Всё уже давно имеется и, насколько знаю, реализовано на практике. Такой механизм называется «собственноручная подпись под бумажным документом (заявлением о признании)», сделанная в присутствии уполномоченного оператора, который при этом лично сверил паспортные данные с оригиналом паспорта и фотографию в паспорте с оригиналом физ. лица. Если не говорить о случаях мошеннических действий в УЦ, которые имели место быть, именно таков существующий порядок издания ключей ЭП для юридических лиц, физических лиц и ИП.
                                            0

                                            У меня нет доверия к девочке/мальчику сидящей в окошке и выдающей ключи.
                                            Вы доверяете им в степени, достаточной, чтобы доверить им привязку публичного ключа к личности (когда сами ключ генерируете). При генерации где-то еще, не внутри HSM, очевидной атакой является привязка какого-то произвольного ключа. И как потом доказывать будете, что это не тот ключ, что вы сами генерировали? Требования к системе же должны быть такими, чтобы нельзя было от своей подписи отказаться, сказав "это не мой ключ, а какой-то левый, который жулики на меня выписали".

                                              +1
                                              Вы доверяете им в степени, достаточной, чтобы доверить им привязку публичного ключа к личности (когда сами ключ генерируете)


                                              А почему нет? В результате процедуры у меня на руках документ, в котором объявлены параметры публичного ключа, мои персональные данные, стоит подпись оператора и всё это скреплено печатью уполномоченного органа. Если от моего имени будет подписан документ какой-либо другой подписью, пусть даже эта подпись в базе привязана ко мне, то, во-первых, я предъявлю этот документ, в котором указанная подпись не фигурирует, а во-вторых попрошу заинтересованное лицо предъявить их документ с параметрами ключа, которым подписан оспариваемый электронный документ, и моей собственноручной подписью. В совсем тяжелых случаях мы проведем криминалистическую экспертизу такого документа (дактилоскопическая, графологическая).
                                            +1
                                            все вот эти открытые и закрытые ключи для них — полная тарабарщина, и никакой ликбез и просвещение тут не помогут


                                            Задача защиты ключей от компрометации лежит на том субъекте обмена, который с этими ключами однозначно ассоциирован. Но никак не на контрагенте. Если субъект отказывается от защиты своей критической инфраструктуры, что может в дальнейшем повлечь в том числе юридические последствия, это его право.

                                            Есть ведь и реверсивный вопрос: каким образом физическое лицо, например, идентифицирует и ассоциирует с надлежащим ключ, которым подписано налоговое требование об уплате транспортного налога или, например, налога на недвижимое имущество? А справки из Росреестра? Никак, ведь это конкретное физлицо не принимало никакого участия в выпуске ключей ЭП, которыми эти документы подписывались, лично не засвидетельствовало момент внесения тех или иных публичных ключей в реестр? Пора разбирать всю систему, она не жизнеспособна?
                                            0
                                            Флешка с али на 32 мегабайта

                                            Аж прослезился. Неужели, где-то такое ещё можно купить? Моя первая флэшка была как раз на 32 мегабайта...

                                              0

                                              На али полно. Судя по чипам — обрезанная выбраковка на 1 гигабайт. Прошивкой ограничивают место и продают. Сейчас у меня 10 флешек на 16 метров и 10 на 1 мегабайт. Для ключей — прекрасное решение.

                                            0
                                            А вот не праздный вопрос: какие существуют аппаратные токены с неизвлекаемым закрытым ключом, которые соответствуют требованиям ФЗ «Об ЭП»? Причем, эта неизвлекаемость должна быть физическая, а не как у каких-то токенов — на уровне протокола (при наличии там же непубличного протокола или даже возможности доступа через RAW USB CTL)?
                                              0
                                              Да. В системе ЕГАИС используются. Несколько сотен тысяч работают по всей стране в магазинах в которых алкоголь продают.
                                                0
                                                Вопрос был не о факте существования, а о конкретных моделях. Иными словами: «как называется и где купить физическому лицу для целей издания пары ключей и регистрации ЭП в государственном органе».
                                                  0
                                                  Рутокен ЭЦП 2.0, JaCarta ГОСТ. Для того чтоб использовать в для взаимодействия с гос. органами необходимо КриптоПро CSP 5.0. Через поиск сразу находиться несколько интернет-магазинов где это можно купить.
                                                    0
                                                    Кличи извлекаемые, если хранятся в контейнерах КриптоПро/VipNet. Если это PCSC/PKCS15 — тогда да, не извлекаемые.
                                                      0
                                                      На сегодняшний день и КриптоПро, и ViPNet отлично умеют работать с неизвлекаемыми ключами на токенах и картах. Только надо правильным образом создавать ключи (контейнеры).
                                                      0
                                                      А были исследования независимыми хакерами этих токенов? Ну вот, например, не получится с ними, как тут? Или, даже если не как там, то, например, вся «неизвлекаемость» строится на obscurity (просто некоторые USB-CTL специально подавляются драйвером, однако, доступны при прямом доступе к USB-интерфейсу)?
                                                        0
                                                        Таких токенов много продано и наверняка кто-то пытался исследовать. Стойкость к взлому должна быть сравнима с чиповыми платежными картами, по сути технологии те же. Собственно операцию подписи делает сам чип токена и карты.
                                                          +1
                                                          Да много-то много. Однако, когда я года два назад звонил, кажется, в российский Аладдин, и задал вопрос о токенах с неизвлекаемым ключом, мне ответили, что ничем не могут помочь.
                                                          +1
                                                          По правде говоря, в той статейке я не увидел, что скопированы какие-либо ключи. Человек скопировал файлы, хранящиеся в файловой системе токена. Да, это он сделал.
                                                          Можно, кстати, было сделать все гораздо проще — для работы с файловой системой и других действий вовсе не нужно реверсить библиотеки. Всего лишь нужно изучить стандарт ISO-7816. Но что сделано, то сделано. В каком-то смысле автор упростил себе жизнь, получив более высокоуровневые функции.
                                                          Только вот в теме хранения ключей на токене он так и не разобрался. И не разбирался.
                                                          Объекты в файловой системе имеют разные атрибуты безопасности. Некоторые можно читать (и копировать) без PIN-кода. Другие — можно читать и копировать по предъявлении PIN-кода.
                                                          Но вот сгенерированные на токене неизвлекаемые ключи хранятся в таких объектах, атрибуты безопасности которых не дают возможности их прочитать даже зная PIN-код.
                                                            0
                                                            Поэтому у меня была вторая часть вопроса:

                                                            Или, даже если не как там, то, например, вся «неизвлекаемость» строится на obscurity (просто некоторые USB-CTL специально подавляются драйвером, однако, доступны при прямом доступе к USB-интерфейсу)?
                                                              +1
                                                              Тут несколько сложнее. Или проще — как поглядеть.
                                                              Сама по себе работа с железным USB толку не даст, поскольку протокол низкоуровневый и через него всего лишь гоняются какие-то данные. Ну то есть докопаться до каких-то данных, которые хранятся в токене шибко осмысленным способом не получится. Разве что при помощи фаззинга найти какие-то команды, на которые операционная система карты или токена (это одно и то же по сути) будет откликаться.
                                                              Эти самые команды как раз описаны в стандарте ISO-7816, называются APDU-команды.
                                                              Так что вопрос не столько в том, что фильтруется на уровне USB протокола, а существуют ли в карточной операционной системе команды, способные выдавать наружу неизвлекаемые ключи. Или нет ли какого бага, который позволяет это делать.
                                                0

                                                Откуда я буду уверен что ключ который я или сотрудник генерирует на своем устройстве, пусть он хоть трижды сертифицирован, не уйдет в локальную сеть центра и не будет потом продан сотрудником?
                                                Потому что требования к сертификации этих HSM, которые, по идее, должны для этой цели использоваться — довольно злобные.


                                                Они должны сносить все, что хоть сколько-то на ключ походит, чуть ли не от косого взгляда или слишком резкого изменения внешней температуры. И должны иметь защиту в том числе и от тех людей, что их эксплуатируют — чтобы и они до тех ключей, что не положено, добраться не могли.

                                                  +2

                                                  Ключевое слово в вашей фразе — "по идее". Я немного подрабатываю с банками и наблюдал эпичные фейлы в виде продажи на авито настроенных на интрасеть банкоматов точек циско, установку на компьютерах для работы с ПД, какой-то высокой категории, браузера мейл.ру и сидение в одноглазниках и т.п. дичь. Простите но я не верю в соблюдение протоколов. А после того как я сам лично устанавливал криптопро определенной версии с какого-то форума, куда меня направил по телефону специалист из казначейства, а документы по обновлению ПО содержали ошибки из-за которых пройдя по пунктам я не мог подключится и сдать отчетность во время и все что мне могли посоветовать это "Снести виндоуз х64" — то простите но нет.

                                                +6
                                                Для подписи требуются два ключа: закрытый и соответствующий ему открытый. С помощью закрытого можно подписать, с помощью открытого — проверить подлинность подписи. Регистрация открытого ключа удостоверяет, что этот открытый ключ принадлежит конкретному человеку. Этот ключ не требует секретности. А вот закрытый ключ должен быть создан и храниться исключительно в информационном пространстве своего владельца. Иначе нет гарантии того, что подпись поставил владелец ключа.
                                                  –7

                                                  Спасибо, я в курсе общей теории. Теперь поймите, пожалуйста, разрыв для третьей стороны между "ваша личность" и "ваш компьютер". Не только вы, но и третья сторона должна быть уверена, что подпись может поставить только владелец ключа. И до вашей уверенности в вашем ПК третьей стороне нет никакого дела.

                                                    +7
                                                    Разрывов для второй стороны (не третьей) здесь никаких нет и мой компьютер тут ни при чем. Действительно, вторая сторона не может быть уверенной в том, что мой закрытый ключ не скомпрометирован. Она не может в этом быть уверенной не зависимо от того, кто этот ключ сгенерил: я или она (т.к. при передаче мне закрытого ключа она уже не контролирует его). Но ей это и не нужно: если стоит моя подпись, значит вся ответственность на мне. Именно поэтому сохранение закрытого ключа в секрете — это моя задача, как подписанта.
                                                      –2
                                                      Но ей это и не нужно: если стоит моя подпись, значит вся ответственность на мне.

                                                      В том-то и проблема, что в данном конкретном случае третья сторона не может так сделать и просто всё на самотек пустить. Часть ее ответственности — защищать неквалифицированного пользователя от собственной неквалифицированности и дурости. То, что лично вы полагаете, что вам такая защита не нужна, глобально картину никак не меняет, даже если лично в плане себя вы правы.

                                                        +5
                                                        Хорошо, давайте на пальцах. Вы налоговая. Рассмотрим два сценария:

                                                        Первый. Я прихожу к вам с паспортом, вы выдаете мне закрытый и открытый ключ, я ухожу, подписываю документы этим закрытым ключом и отправляю вам.

                                                        Второй. Я прихожу к вам с паспортом, отдаю вам свой открытый ключ, ухожу, подписываю документы своим закрытым ключом и отправляю вам.

                                                        В чем для вас разница при проверке моей подписи на полученных документах в случае первого и второго сценария?
                                                          –3

                                                          Во втором сценарии можно сказать, что 'закрытый ключ злобные хакеры украли еще до того, как я пришел. Поэтому это не я подписал, а они.'


                                                          В первом — человек, выдавший ключ, может более-менее быть уверен, что злобные хакеры появились только потом. А если он заливал приватную часть ключа сразу в устройство, из которого ее извлечь нельзя — то может считать, что злобных хакеров не было, а вы врете.

                                                            +5
                                                            Ну и в первом случае можно сказать, что закрытый ключ украли злобные хакеры, поэтому это не я подписал, а они. Какая разница, когда они это сделали.
                                                              –2

                                                              Нельзя. Потому что использовалось условно сертифицированные железка и софт. Этой сертификации верят больше, чем словам "у вас мой ключ украли".

                                                                +4
                                                                Т.е. если ключ сгенерить на сертифицированном оборудовании и отдать пользователю, у него его не могут украсть, а если он сам его сгенерировал, то могут?

                                                                (ключ — это буквенно-цифровая последовательность, не устройство, раньше надо было со своей дискетой приходить, чтобы на нее его скопировали)
                                                                  –2

                                                                  В общем, именно так, да. Если отдают внутри токена, из которого его извлечь нельзя. Смотри банковские карты — там, как я понимаю, именно такая логика. Те ключи, что внутри них, никто же сам не генерирует.

                                                                    +1
                                                                    Так речь про сам ключ. Возможность использования токена является опциональной, раньше ее вообще не было.

                                                                    ФНС России предлагает два варианта хранения подписи: ключ к ней хранится либо на компьютере пользователя, либо в защищенном налоговой службой хранилище.

                                                                    www.nalog.ru/rn10/news/tax_doc_news/5846491
                                                                      –1

                                                                      Ну вот в этом и есть основной косяк. Банковские карты с защищенным чипом и SIM-ки в телефоны направо и налево раздают.


                                                                      А использование той же технологию для ЭЦП почему-то опционально да еще и сам токен дорогой.

                                                                      0

                                                                      Что мешает сказать что хакеры-карманники физически украли токен и подписали договор? Не вижу принципиальной разницы со сливом ключа

                                                                        0

                                                                        Видимо, считается, что обязанность следить за сохранностью и сообщать о компрометации наступает в момент получения и подпоясывания всех бумажек. А если украли до того — то ты "еще не знал" и сказать "сам виноват" не получается.

                                                                0

                                                                Нам нужно срочно запретить людям тратить деньги без согласования с государством. Вдруг они потратят их на какие-то бесполезные вещи и потом обвинят в этом государство?!!


                                                                Если серьезно то человек выбравший опцию с генерацией ключа на своей машине принимает на себя ответственность за хранение данного ключа. Да, возможно некоторые необразованные предприниматели сольют этот ключ, но предотвращение такой возможности не стоит дыры в безопасности в виде слива ВСЕХ приватных ключей налоговой.

                                                                  +1
                                                                  Нам нужно срочно запретить людям тратить деньги без согласования с государством. Вдруг они потратят их на какие-то бесполезные вещи и потом обвинят в этом государство?!!

                                                                  Вы не поверите, но… гуглить "квалифицированный инвестор". Или accredited investor, если хотите убедиться, что это не чисто российская практика. Госрегулирование и защита населения в области продуктов и услуг, которые слишком сложны для понимания неспециалистом — это просто часть современного мира.

                                                          +5
                                                          Ещё раз: если я получаю закрытый ключ из чужих рук, то эта третья сторона не может быть уверена, что документ был подписан именно мной, потому что копия ключа побывала в чужих руках и могла в этих руках и остаться. То есть этот «четвёртый» (сотрудник ФНС или удостоверяющего центра) мог подписать документ и никто не сможет доказать обратного. И этого достаточно, чтобы любой договор, подписанный этой подписью, поставить под обоснованное сомнение.
                                                            –3

                                                            Я никак и нигде не оспаривал вышеизложенное, поэтому не очень понимаю, зачем вы решили "еще раз" мне об этом написать.

                                                        0
                                                        Идеальным вариантом тут могла бы быть выдача вам сертифицированного криптографического токена и генерация ключей на нем в вашем присутствии, но никак не генерация на вашем ПК.

                                                        Многие аппаратные токены умеют в подтверждение факта генерации ключа на токене, а не импорта. Ближайший пример — Yubikey PIV attestation, но и у наших тоже вроде бы встречал.

                                                          0
                                                          Она нужна, чтобы юридически подтверждать вашу физическую личность перед третьим лицом, и это третье лицо должно быть уверено, что ключ выдан именно лично вам как физическому лицу


                                                          ЭП нужна для того, чтобы установить юридические последствия между участниками обмена документами. И в первую очередь, юридические последствия в отношении лица, на имя которого зарегистрирован открытый ключ, соответствующий тому ключу, которым подписан документ. А это не то же самое, что «подтвердить физическую личность». Иными словами, как раз хоть краткосрочное нахождение закрытого ключа ЭП в чужих руках мгновенно переводит его в статус «скомпрометированный», поскольку позволяет издавать документы от имени лица, на которое регистрируется публичная пара этого закрытого ключа. В том числе, без ведома этого лица.
                                                          –2

                                                          Но ключу ЭЦП доверять должны не вы, а те, кто проверяет валидность подписи на ваших документах. И тут есть правило разделения ответственности. Вы можете что угодно делать со своим закрытым ключом — передать другу, выложить во ВКонтакте и т.д. Но это ваша зона ответственности, кроме одного момента: на момент выдачи вам сертификата, подписанного АЦСК, ваш ключ гарантированно не должен быть скомпрометирован, иначе это уже будет проблема АЦСК, что они подписали скомпрометированный ключ. Вот поэтому они вам генерируют их сами.

                                                            0

                                                            "на момент выдачи вам сертификата, подписанного АЦСК, ваш ключ гарантированно не должен быть скомпрометирован, иначе это уже будет проблема АЦСК"


                                                            Это уже бюрократический недочет. Если пользователь хочет взять на себя ответственность за то что передал скомпроментированный ключ — зачем его останавливать?

                                                              –1

                                                              Потому что бывает мошенничество, когда человека уболтают 'скачай программу и сгенерируй себе ключ без этого выноса мозга'. И по дороге как раз к себе в базу ключик запишут, который ты регистрировать будешь. Или даже смотри "облачная электронная подпись", где вообще черти что делается.


                                                              Не, единственный надежный способ — это пришел, на тебя посмотрели, паспорт сверили, воткнули токен в облепленный со всех сторон видимыми пломбами HSM (так, чтобы ты это видел), это железка сгенерировала ключ, подписала и залила обратно в токен. Для особых параноиков — можно использовать токен, что сам ключевую пару умеет генерировать, но такой будет немного дороже.

                                                        0

                                                        Такая возможность есть и сейчас. Нужно использовать ключевые носители с собственной криптографией "на борту". Тогда ключи генерируются вообще не на компьютере

                                                        +18

                                                        Теперь-бы еще снесли десятки вариантов всех этих криптопро, цсп и иже с ними и сделали 1 открытое и бесплатное приложение на государственном уровне под все платформы, установив которое я наконец смогу не держать в бухгалтерии 3 версии винды, в каждой из которых свое приложение для работы со их ИС.

                                                          0
                                                          Люто согласен.
                                                            0

                                                            И которые ещё к тому же требуют деньги за кучу разных вариантов лицензий

                                                              0

                                                              Криптопро номинально работает на маке, но мне чтобы его запустить, пришлось что-то там патчить и что-то там вытворять в консоли (не помню уже, но помогло). Так что да, плюсую

                                                              +2
                                                              Какая хорошая новость, теперь не придется платить за ПО и ЭЦП каждый год, ради одного клика для сдачи декларации. Как раз получается, что «я ждал этого 3 года»

                                                              Пугает, только:
                                                              Правда, есть небольшое подозрение, что ФНС сейчас зачищает рынок выдачи сертификатов ЭЦП, а потом сделает эту услугу платной.


                                                              Потому что будет как-то не правильно платить ФНС, за то чтобы она твою декларацию по налогам приняла. В конце концов тогда куда сами налоги то идут?
                                                                –1
                                                                а база данных на продажу на чёрном рынке не пугает?
                                                                  –1
                                                                  ради одного клика для сдачи декларации

                                                                  Декларации сдаются не чаще, чем раз в квартал, имхо не такая проблема съездить лишний раз в налоговую раз в 3 месяца. Другое дело, если у вас большой документооборот, тогда да
                                                                    +1
                                                                    Я в самом начале ездил. Но быстро надоело. Нужно отсидеть очередь в 1-3 часа. Отчёт нужно заполнять синей(!) ручкой(чтобы была возможность заменить лист, т.к. нельзя чтобы часть информации была напечатана, часть написана).
                                                                    Подключил онлайн бухгалтерию и вздохнул с облегчением. ЭП для отчётности они сами выпускают и перевыпускают(по истечению срока или при смене данных) и это входит в стоимость как и юр. консультации. Заполнение отчётности гораздо проще, в большинстве случаев достаточно прокликать далее(т.к. расчёт идёт автоматом, платёжки в банк так же автоматически заполняются и привязываются к отчёту). Т.е. для квартальной отчётности нужно потратить минут пять — десять.
                                                                      0
                                                                      У меня не было таких проблем, все проходило быстро, сдавал полностью в печатном виде. У каждого индивидуально видимо, лично для меня нерационально платить еще за недешевую ЭП
                                                                    +1
                                                                    Какая хорошая новость, теперь не придется платить за ПО и ЭЦП каждый год, ради одного клика для сдачи декларации. Как раз получается, что «я ждал этого 3 года»


                                                                    А кто вам сказал, что не надо будет платить за ПО? Речь шла только об ЭЦП. А ПО для отчетности и криптопровайдер, скорее всего, как всегда, оплачивается отдельно)
                                                                      0
                                                                      У криптопровайдера КриптоПро есть вариант «бесплатного» использования ЭП (лицензия «вшита» в сертификат). Но в случае с «бесплатной» выдачей ЭП налоговой кенечно же такой «халявы» ждать не приходится…
                                                                        0

                                                                        Она может быть записана в сертификат, но не является бесплатной. Другое дело, что цена ее спрятана, но существенно ниже, чем полная лицензия

                                                                    0

                                                                    Да они прямо мысли мои читают!

                                                                      +1
                                                                      А бесплатной будет только сама ЭЦП или еще и приложения/плагины для браузеров и т.п. которые могут потребоваться чтобы этой подписью воспользоваться?
                                                                      0
                                                                      Неслыханная щедрость! Только как я понимаю, ЭЦП типа «юридическое лицо» будет налоговая выдавать только лицам, которые действуют от имени юр. лица на основании Устава (содержатся в выписке ЕГРЮЛ). Всем остальным 100500 сотрудникам юридического лица, которые по факту и сдают отчетность в налоговую и в другие ведомства, придется оформлять ЭЦП типа «физического лица» в тех. же самых УЦ и представлять также доверенность, при пользовании услуг, что они уполномочены действовать от имени юр. лица. за туже самую денежку. «Бесплатно».

                                                                      Цитирую — «Выпускаемая удостоверяющим центром ФНС России электронная подпись будет применима для получения всех государственных и коммерческих услуг, а также подписания любых электронных документов»».
                                                                      А как быть, например, с Росреестром, который требует специального «расширения ключа»? У меня подозрения, но в 2021 году просто начнется новая головная боль.

                                                                      И да, если ничего не поменялось, УЦ ФНС на данный момент не имеет аккредитации.
                                                                        0

                                                                        90% организаций получают эцп на директора и дальше им пользуются все кому не лень.

                                                                        0
                                                                        Ждем новых статей в стиле «налоговая выдала кому-то „мою“ ЭЦП»
                                                                          +2

                                                                          Не ожидал, что все так плохо… Украина — у нас уже лет 6 налоговая выдаёт ключи абсолютно бесплатно и как-то дико, что может быть по другому. Ключ ЕЦП может получить любой гражданин (для предпринимателя и частного лица ключ один) или юрлицо. Льготы по карантину можно было получить только при наличии ключа. Много гос. сайтов поддерживают авторизацию с ключами — сама налоговая, пенсионный, земельный кадастр и т.п., последнее время много соц. услуг можно получить из дома, а с 2021 года субсидию по коммунальным платежам принимают только с ключами. Также государственный (пока) Приватбанк тоже выдаёт ключи всем своим клиентам бесплатно. Внедряется мобайл-id, smart-id, bank-id… пытались впарить всем кассовые аппараты (в т.ч. — бесплатные программные в смартфоне от налоговой + частные на апи налоговой с плюшками) — но предприниматели взбунтовались и это перенесли на год… не забываем, что хабр не для политики вроде...

                                                                            0
                                                                            Интересно бы почитать еще мнения по Украине на этот счет. Неужели там действительно цифровая бюрократия победила бумажную?
                                                                              0

                                                                              Это две разные вселённых и развиваются они параллельно… оформить наследство стало очень непросто в связи с постоянными изменениями требований к документам, базы то недвижимости, то кадастра изменяются постоянно. Вот сейчас изменилось территориальное устройство (бывшие районы стали громадами с отпочковавшимися частями) — а код прежнего классификатора был завязан в кадастровый номер земельного участка — так вместо создания отдельной переходной базы решили поменять формат кадастрового номера и привязать его к новому классификатору, отличному по структуре с предыдущим… но пока не внедрили — только идеи… в основном сейчас КЭП применяется для подачи отчётов и получении разных данных с реестров. Юрлица ещё активно применяют для обмена юридически значимым документами между собой. Также для получения разных соцуслуг. Сам пользуюсь ЕЦП (как его неназывай) с момента внедрения такой возможности уже не помню и когда — с тех пор забыл, что такое налоговая, пенсионный и т.п. (от имени юрлица, потом оформил себе, жене, теще — так легче контролировать уплату налогов). Вот недавно ещё оформлял ФОП, сидя дома со смартфоном — за 3 минуты оформил и перевёл на единый налог (упрощённая система налогообложения). Ещё за 10 минут открыл на него счёт в банке, день ушёл на переписку с системой принятия платежей на сайте и приведение сайта к её требованиям. На следующий день пришёл первый платёж. Сам не поверил, что так можно сделать, не выходя из дома. С тех пор в налоговой ещё не был и не планирую ближайшее десятилетие)))

                                                                            –1

                                                                            Вот только не ЭЦП а ЭП.
                                                                            Простите глаза режет.

                                                                              0
                                                                              Мне тоже непонятно использование старого термина. Федеральный закон от 06.04.2011 № 63-ФЗ, ст. 2. Всё-таки на Хабре публикация статьи, а не трёп в курилке.
                                                                                0

                                                                                Сленг и прочая неофициальная терминология на Хабре были всегда без них это будет не Хабр.

                                                                                  +1
                                                                                  В технической среде уже есть устоявшийся термин ЭЦП, который большинство трактует однозначно (как ЭП на основе PKI, она же КЭП по-вашему).
                                                                                  Точно такое же значение термин имеет и в других русскоязычных странах (например, Украина, Казахстан).

                                                                                  Деление ЭП на виды, которое в 63-ФЗ сейчас есть, лично я считаю недоразумением, которое все запутывает и усложняет. Концепция ЭП без криптографии это вообще нонсенс. Очень надеюсь, что со временем этот закон перепишут. А до тех пор можно использовать старый термин, ведь мы не на юридическом форуме.
                                                                                0

                                                                                Только один вопрос: почему действительно нужные решения принимаются так долго (разговоры о бесплатной ЭЦП ведутся уже больше года), а какая-нибудь ерунда в два счета?

                                                                                  0

                                                                                  Немножко не в тему, но ещё один поток в карманы инспекторов (корупционно состовляющая)
                                                                                  Одновременно с этим будет и приостановление выдача ЭЦП до 30 дней как делается при подачи многих форм на изменения ЕГРЮЛ. Так ещё, пришел сделать ключ а тебя сразу на допрос и вручения уведомлений (разных видов). Как бы не увиличилось количество обнуление инспекциями (хотя их и так 10 процентов от количества организаций в инспекции).
                                                                                  Ко всему прочему будут и внутренний бардак в налоговых органах, как с программным обеспечением, трудовыми ресурсами, и конфликтами интересов. И это малая часть того, что будет твориться с данным переходом получения ЭЦП от ФНС.
                                                                                  Надеюсь, что придуманная во благо общества нововведение не превратиться в что то иное. Работал в НО, знаю.

                                                                                    0
                                                                                    Что-то на сайте ИМНС нет ничего об этом. :(
                                                                                      0

                                                                                      Наконец то, жутко парила процедура получения этого ЭЦП в "аккредитованном удостоверяющем центре", который является какой-нибудь шаражкой на пятом этаже в здании бывшего КБ с поломанными полами и перегоревшими лампочками, где деньги надо переводить на карту и вот это все.


                                                                                      Достаточно логичный и приятный шаг в довершение достаточно приятного и бесшовного UX налог.ру. Не могу сказать, конечно, что все там работает ок, но возможность все делать из дома, при этом имея достаточно удобный сайт (по крайней мере ЛК физлица и ИП) мне очень нравится.

                                                                                        0
                                                                                        18 лет. Совершеннолетие. Кто-то на этом сколотил миллиардное состояние. Массовая выдача ЭЦП началась в 2003-м году. Фактически сбор денег за генерацию ЭЦП каждый год был нормой в частных конторах.
                                                                                        Если тебе нужны все виды ЭЦП, то где-то ежегодно нужно было отдавать от 7 до 10 т.р. (личная, на юрлицо, егаис, закупочные площадки).

                                                                                        Остается еще одна затянувшаяся история — ЭКЛЗ и т.п. для систем фискализации для касс.

                                                                                        Но, при этом вводятся обязательные системы маркировки. На них сейчас новое золотое дно.
                                                                                        Так, что с одной стороны радость. С другой печаль :)
                                                                                        Равновесие.
                                                                                          0
                                                                                          Маркировку обещают тотальную, а это мрак для некоторых видов товаров.
                                                                                          У меня в маленьком магазине(чуть более 5кв.м.) более 10тыс. только наименований товаров. Как их принимать и продавать, я пока слабо представляю. Обычная приёмка, от 300-500 позиций.
                                                                                            0
                                                                                            1сники не то, что потирают руки :)
                                                                                            Я пытался в тему погрузиться, понял, что нужна очень большая команда
                                                                                            и в очередной раз — уже всё поделено. Работать интегратором по таким, как у вас
                                                                                            магазинчикам. Хотя до сих пор мои клиенты: микро-бизнес только смогли
                                                                                            ККМ нормально внедрить по деревням.
                                                                                            Вот думаю, куда двигаться дальше с самозанятостью. Своя пекарня была, закрыл по
                                                                                            другим причинам — аренда сжирала всю прибыль.
                                                                                              0
                                                                                              Дело не в интеграции. У того же Эвотора давно уже есть готовое решение и вроде даже не одно. Дело в ручном труде. Каждую пачку семян по 5-10 рублей придётся сканировать отдельно при продаже. А возможно даже и и при приёмке. Т.к. на данном этапе общая упаковка не предусмотрена(и соотв некуда ставить QR код), а пачки банально скрепляются резинкой(и так у всех поставщиков). Коробка семян одного вида это редкое явление и то на самые популярные сорта перед сезоном.
                                                                                              Т.е. будет огромное количество ручного труда как для поставщика, так и для розничных магазинов. Что не может не сказаться на цене товара. Подделки семян я за пять лет работы ИП и мать за 10 лет работы продавцом ни разу не встречала. Была один раз «не подделка» на дорогую химию. Один завод днём гнал продукцию в одну страну, ночью в другую и перепутали несколько коробок семян. В результате коды проверок стали не действительными и была долгая судебная возня с поставщиком.
                                                                                              Всё же надеюсь что для некоторых категорий товаров сделают исключение(т.к. в первую очередь хуже станет покупателям).

                                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                        Самое читаемое