Комментарии 109
На сегодняшний день в России нет единого стандарта на ЭЦП. Отдельные подписи нужны для взаимодействия с каждой службой или ведомством: ФНС, Росреестр и др.— не совсем правда. Для некоторых целей нужны подписи со специальными значениями в поле extended key usage, но для сдачи отчетности куда угодно например подходит любая.
Хм. А разве ваш компьютер сколько-нибудь доверенный? Ключ, сгенерированный для вас в АЦСК, как минимум подразумевает, что и ваша личность, и криптографический софт с железом прошли аудит.
А разве ваш компьютер сколько-нибудь доверенный?
Для меня — да. В отличие от любого другого компьютера, доступ к которому есть/был у кого-то, кроме меня.
Для меня — да.
Вы понимаете, зачем эта подпись выдается? Она нужна, чтобы юридически подтверждать вашу физическую личность перед третьим лицом, и это третье лицо должно быть уверено, что ключ выдан именно лично вам как физическому лицу. Вы можете доверять вашему компьютеру сколько угодно, но вот УЦ и третье лицо доверять ему априори не могут, у них нет таких оснований.
Идеальным вариантом тут могла бы быть выдача вам сертифицированного криптографического токена и генерация ключей на нем в вашем присутствии, но никак не генерация на вашем ПК.
Почему? Я сгененировал ключ, пришел с ним в отделение и подтвердил своим лицом и документами что этот вот открытый ключ принадлежит мне.
Про генерацию при моем присутствии — как это защитит от блакбокса? Откуда я буду уверен что ключ который я или сотрудник генерирует на своем устройстве, пусть он хоть трижды сертифицирован, не уйдет в локальную сеть центра и не будет потом продан сотрудником?
Откуда я буду уверен что ключ который я или сотрудник генерирует на своем устройстве, пусть он хоть трижды сертифицирован, не уйдет в локальную сеть центра и не будет потом продан сотрудником?
Аппаратный токен с неизвлекаемым ключом, очевидно.
Это переусложнение. Для потребительского сегмента все эти дорогие токены, которые еще и перезаписывать раз в год, просто не нужны. У меня целая коробочка мертвых ключей есть. Флешка с али на 32 мегабайта и генерация на своем компьютере будет достаточна. Для тех кто не умеет — традиционный путь через девушку в окне.
Для потребительского сегмента
… надо понимать, что эти люди в подавляющем большинстве вообще ничего не знают ни о криптографии, ни о компьютерной безопасности, все вот эти открытые и закрытые ключи для них — полная тарабарщина, и никакой ликбез и просвещение тут не помогут. Рассмотрите вопрос с ЭТОЙ точки зрения.
Для тех кто не умеет
А как вы собиратесь разделять тех, кто умеет и тех, кто не умеет? "Мамой клянусь, что разбираюсь в криптографии и мой закрытый ключ надежно защищён"? Перестаньте рассматривать вопрос исключительно с позиции айтишника, который хочет сам для себя получить ключ. Попробуйте его рассмотреть со стороны госструктуры, которая должна быть твердо уверена, что вот этот ключ ассоциируется вот с этим физлицом (а не с каким-то там компьютером), и выработать единую процедуру.
Рассмотрите вопрос с ЭТОЙ точки зрения.
Я сам на этой стороне баррикад и не понимаю почему логин + пароль + код доступа не подходят.
А как вы собиратесь разделять тех, кто умеет и тех, кто не умеет?
Никак. На доверие. Приходит за ключем — не умеет. Приходит с ключем — умеет.
Перестаньте рассматривать вопрос исключительно с позиции айтишника, который хочет сам для себя получить ключ.
Мне эти ключи даром не сдались, я их не использую в жизни от слова совсем.
Попробуйте его рассмотреть со стороны госструктуры, которая должна быть твердо уверена, что вот этот ключ ассоциируется вот с этим физлицом (а не с каким-то там компьютером), и выработать единую процедуру.
У меня нет доверия к девочке/мальчику сидящей в окошке и выдающей ключи. Вообще. И к российской криптографии доверия нету.
Просто попробуйте предложить конкретный механизм, при котором на момент подписания ключа ФНС может быть уверена, что закрытый ключ находится в распоряжении конкретного физического лица. Без политоты и вот этого всего.
Причем тут политота? Я про конкретных специалистов.
Алгоритм простой — хочет человек генерировать сам свой ключ — пусть это делает хоть на листике в тетрадке. Главное чтоб он пришел и подтвердил свою личность у оператора в центре и предоставил открытый ключ. Расписался что это он его предоставил, расписался что он ознакомлен с правилами генерации и все. Дальнейшая ответственность будет на нем на 100%. Ах, да, еще надо запретить пере/до-выпуск ключей без человека и его кодового слова.
Не может или не хочет — оператор достал ноутбук на базе процессора эльбрус с дистрибутивом ГосЛинукс, и я не шучу, где система сбрасывается в ноль при нажатии кнопки и далее по старой схеме как сейчас.
Главное чтоб он пришел и подтвердил свою личность у оператора в центре и предоставил открытый ключ. Расписался что это он его предоставил
Как вы планируете убедиться, что он сам его сгенерил, а ему, например, не помог соседский сын Вася (попутно скопировав), потому что сам гражданин ни черта в этом не понимает?
Если принять, что в функции государства входит в том числе и закрытие подобных рисков (в той степени, в которой это возможно и целесообразно), сразу многое станет понятнее. А если вы будете по-прежнему рассматривать взаимодействие гражданина и государства сугубо как Алисы с Бобом из задачек про криптографию, то так и будем ходить по кругу.
Как вы планируете убедиться, что он сам его сгенерил, а ему, например, не помог соседский сын Вася (попутно скопировав), потому что сам гражданин ни черта в этом не понимает?
Никак. Это будет на совести человека. Он-же сам пришел с ключем. Для предотвращения этого — достаточно информировать людей о способах генерации ключей и предоставлять удобный софт на официальных сайтах, а не как сейчас.
Если принять, что в функции государства входит в том числе и закрытие подобных рисков (в той степени, в которой это возможно и целесообразно), сразу многое станет понятнее.
Не входит это в функции государства. Они не заботятся о вас, а следят чтоб вы все налоги правильно платили и вовремя.
Не входит это в функции государства.
Извините, но тут у вас началось отрицание объективной реальности. И дело не в заботе (мотивы тут вторичны и обсуждаемы), а в том, что мир на данный исторический момент устроен именно так. В таком ключе я не готов диалог продолжать, это бесперспективно.
Ну послушайте, без скарказма и подколов — дело налоговой сопоставить Ивана Иванова и открытый ключ такой-то. Это делается подтверждением личности. То что сейчас я в налоговой еще и должен генерировать ключ — это как продажа товаров на почте россии в центре большого города в доме между пятерочкой, магнитом и местной пекарней.
Может-ли оно это делать? Да, безусловно. Должно-ли быть это обязательным? Нет. Если человек заботится о своей информационной безопасности — он пройдет путь от поиска в интернете и генерации на левом сайте, до установки убунты в виртуалку.
Безопасность через принуждение не бывает. У меня после похода в сбербанк или отделение сдека регулярно звонит телефон от службы поддержки. Мои ПД с 2НДФЛ лежат в открытом доступе после того как я за зубы вернул деньги. То что вы говорите подразумевает безоговорочную веру оператору, а я лично сталкивался с открытием на мое имя ИП без меня и с выпуском ЭЦП, где на фотке был какой-то человек итальянской наружности, при этом открыто все было в центре нашего городка, а не в поселке зуево-кукуево.
Я считаю что единственный метод который возможен — полное информирование. Создание информационного поля чтоб на запрос "выпуск ЭЦП" принудительно поисковиками в первой строке была ссылка на сайт ФНС где русским для обывателей был описан четкий алгоритм от "зачем это нужно" до скачивания простой программы в 10КБ и генерации на уровне далее-далее-далее, при этом добавив ссылки на официальный магазин где можно купить эти флешки для хранения токенов. Все что сейчас я вижу — формирование еще большей зависимости и черного ящика, когда мне, программисту с 20 летним стажем, админу весьма больших локальных сетей и серверов — трудно найти гребанный алгоритм по обновлению корневого сертификата и этот сам сертификат.
дело налоговой сопоставить Ивана Иванова и открытый ключ такой-то. Это делается подтверждением личности.
Перед тем, как вы сможете личность подтверждать, вам должны выдать документ, с помощью которого это делается. И задачи, во-первых, выдать, во-вторых, выдать именно вам, а не кому-то другому, кто вами представился (сев за ваш ПК), лежат на государстве. Потом вы можете этот документ пропить, порвать, потерять, подарить — это будут ваши проблемы. Но вот момент выдачи лично вам в собственные руки обеспечивает государство.
Попробуйте взглянуть на выдачу ЭЦП как на аналог выдачи паспорта — так понятнее будет?
То что вы говорите подразумевает безоговорочную веру оператору
Откуда вы и другие спорщики это берете, если я открытым текстом говорю, что сам считаю правильным вариантом аппаратный токен, где безопасность соблюдается с обеих сторон — государство убеждается, что токен выдан вам лично, а вы — что ключи его не покидают?
Откуда вы и другие спорщики это берете, если я открытым текстом говорю, что сам считаю правильным вариантом аппаратный токен, где безопасность соблюдается с обеих сторон — государство убеждается, что токен выдан вам лично, а вы — что ключи его не покидают?
Потому что все эти аппаратные токены не надежны с технической стороны, они нуждаются в специализированном закрытом софте. Потому что эти токены дорогие. Потому что 99% пользователей имеют на них пароль 0123456789. Это бесполезная трата ресурсов для псевдобезопасности, как и вся эта тема с ЭЦП для налоговой.
Защиты и стоимость уровня банковских карт вас не устраивает? Ну пусть даже так, тогда предложите альтернативу, которая в равной степени устроит все стороны и будет пригодна к эксплуатации произвольным человеком, а не только специально обученными айтишниками.
На госуслугах тоже можно пользоваться учетной записью без всяких ЭЦП. Так зачем мне, как пользователю, вся эта канитель с российской криптографией, с мутными и несовместимыми между собой «крипто-про», «код безопасности» и прочим сляпанным на коленке глючным поделием импортозамещения?
И к вопросу о расчетных счетах. Для условного ИП доступ к расчетному счету тоже вполне возможен без всяких эцп и прочего. Также через push или смс. Насколько мне известно от контрагентов, аналогичная система работает и с юрлицами — ООО имеет от одного номера телефона, куда приходят смс с подтверждениями. Обычно два — бухгалтер и директор.
Попробуйте взглянуть на выдачу ЭЦП как на аналог выдачи паспорта — так понятнее будет
Да, так очень понятно. И именно так оно и заложено в процедурах. Личная явка, выдача лично в руки с проставляемой собственноручно подписью о выдаче. Если же считать процесс выдачи документа, удостоверяющего личность, априори скомпрометированным, то у меня плохие новости.
Попробуйте взглянуть на выдачу ЭЦП как на аналог выдачи паспорта — так понятнее будет?
Вот, кстати, зря государство так сделало. Лучше было
бы, если это воспринималось как выдачу личной печати — как у японцев.
Собственно, я давно считаю, что форм фактор корпуса для всех этих токенов с ЭЦП и должен быть штампик личной печати, которым можно и мокрую печать поставить.
В таком виде до народа лучше доходить будет, что именно они на руки получают.
Да и для бумажного оборота польза будет — для серьёзных договоров можно будет требовать, чтобы на бумаге была и роспись и официально зарегистрированный штамп личной печати. Или, наоборот — на мелких договорах только штамп — чтобы подпись где попало не оставлять.
Лучше было бы, если это воспринималось как выдачу личной печати — как у японцев.
Печать не выдаётся. Вы покупаете свою печать где хотите, потом регистрируете её где вам надо.
Или, наоборот — на мелких договорах только штамп — чтобы подпись где попало не оставлять.
Плюс, у людей обычно несколько разных печатей: для серьёзных дел — одна печать, для банка — другая, чтобы подтвердить посылку почтальону — третья.
Печать не выдаётся.
У меня есть некие подозрения, что достаточно часто это совмещенная процедура, чтобы слишком много и далеко не ходить. Но да, неаккуратно сформулировал.
Но тезис был, что если бы оно называлось и выглядело как печать — то с этим бы аккуратней и правильней обращались, чем с 'флешкой'
Просто попробуйте предложить конкретный механизм, при котором на момент подписания ключа ФНС может быть уверена
Как вы планируете убедиться, что он сам его сгенерил, а ему, например, не помог соседский сын Вася (попутно скопировав), потому что сам гражданин ни черта в этом не понимает?
Не понимаю одного. Что мешает налоговой сделать понятный гуй с двумя кнопками: [Сгенерировать ключ и запрос на сертификат], [Импортировать сертификат]. Самому гражданину ничего не надо понимать, но и он и налоговая служба могут быть вполне уверены в том, что пользователь уникален, а ключ в безопасности. По крайней мере до тех пор, пока к компьютеру гражданина не получат доступ третьи лица. Но что мешает хранить закрытый ключ в зашифрованном виде? Тоже реализуемо в рамках того-же простого гуя.
Вам просто не ввдавали в банке флэшку с эцп, паролем к личному кабинету, который вы же сами установили и вирусом в придачу. Нет оснований полагать, что в налоговой с этим ражикально лучше дела обстоят. Де даже если лучше, ещё один уровень защиты не повредит.
Я вообще не обсуждаю то, как обстоят дела в налоговой, а просто излагаю свое мнение на тему того, почему, с точки зрения госорганов, генерация закрытого ключа где-то на ПК пользователя не является правильным вариантом.
Что до моего личного мнения насчет того, какая схема правильна с точки зрения защиты — я, кажется, достаточно четко написал про аппаратные токены.
Просто попробуйте предложить конкретный механизм, при котором на момент подписания ключа ФНС может быть уверена, что закрытый ключ находится в распоряжении конкретного физического лица.
Всё уже давно имеется и, насколько знаю, реализовано на практике. Такой механизм называется «собственноручная подпись под бумажным документом (заявлением о признании)», сделанная в присутствии уполномоченного оператора, который при этом лично сверил паспортные данные с оригиналом паспорта и фотографию в паспорте с оригиналом физ. лица. Если не говорить о случаях мошеннических действий в УЦ, которые имели место быть, именно таков существующий порядок издания ключей ЭП для юридических лиц, физических лиц и ИП.
У меня нет доверия к девочке/мальчику сидящей в окошке и выдающей ключи.
Вы доверяете им в степени, достаточной, чтобы доверить им привязку публичного ключа к личности (когда сами ключ генерируете). При генерации где-то еще, не внутри HSM, очевидной атакой является привязка какого-то произвольного ключа. И как потом доказывать будете, что это не тот ключ, что вы сами генерировали? Требования к системе же должны быть такими, чтобы нельзя было от своей подписи отказаться, сказав "это не мой ключ, а какой-то левый, который жулики на меня выписали".
Вы доверяете им в степени, достаточной, чтобы доверить им привязку публичного ключа к личности (когда сами ключ генерируете)
А почему нет? В результате процедуры у меня на руках документ, в котором объявлены параметры публичного ключа, мои персональные данные, стоит подпись оператора и всё это скреплено печатью уполномоченного органа. Если от моего имени будет подписан документ какой-либо другой подписью, пусть даже эта подпись в базе привязана ко мне, то, во-первых, я предъявлю этот документ, в котором указанная подпись не фигурирует, а во-вторых попрошу заинтересованное лицо предъявить их документ с параметрами ключа, которым подписан оспариваемый электронный документ, и моей собственноручной подписью. В совсем тяжелых случаях мы проведем криминалистическую экспертизу такого документа (дактилоскопическая, графологическая).
все вот эти открытые и закрытые ключи для них — полная тарабарщина, и никакой ликбез и просвещение тут не помогут
Задача защиты ключей от компрометации лежит на том субъекте обмена, который с этими ключами однозначно ассоциирован. Но никак не на контрагенте. Если субъект отказывается от защиты своей критической инфраструктуры, что может в дальнейшем повлечь в том числе юридические последствия, это его право.
Есть ведь и реверсивный вопрос: каким образом физическое лицо, например, идентифицирует и ассоциирует с надлежащим ключ, которым подписано налоговое требование об уплате транспортного налога или, например, налога на недвижимое имущество? А справки из Росреестра? Никак, ведь это конкретное физлицо не принимало никакого участия в выпуске ключей ЭП, которыми эти документы подписывались, лично не засвидетельствовало момент внесения тех или иных публичных ключей в реестр? Пора разбирать всю систему, она не жизнеспособна?
Флешка с али на 32 мегабайта
Аж прослезился. Неужели, где-то такое ещё можно купить? Моя первая флэшка была как раз на 32 мегабайта...
Можно, кстати, было сделать все гораздо проще — для работы с файловой системой и других действий вовсе не нужно реверсить библиотеки. Всего лишь нужно изучить стандарт ISO-7816. Но что сделано, то сделано. В каком-то смысле автор упростил себе жизнь, получив более высокоуровневые функции.
Только вот в теме хранения ключей на токене он так и не разобрался. И не разбирался.
Объекты в файловой системе имеют разные атрибуты безопасности. Некоторые можно читать (и копировать) без PIN-кода. Другие — можно читать и копировать по предъявлении PIN-кода.
Но вот сгенерированные на токене неизвлекаемые ключи хранятся в таких объектах, атрибуты безопасности которых не дают возможности их прочитать даже зная PIN-код.
Или, даже если не как там, то, например, вся «неизвлекаемость» строится на obscurity (просто некоторые USB-CTL специально подавляются драйвером, однако, доступны при прямом доступе к USB-интерфейсу)?
Сама по себе работа с железным USB толку не даст, поскольку протокол низкоуровневый и через него всего лишь гоняются какие-то данные. Ну то есть докопаться до каких-то данных, которые хранятся в токене шибко осмысленным способом не получится. Разве что при помощи фаззинга найти какие-то команды, на которые операционная система карты или токена (это одно и то же по сути) будет откликаться.
Эти самые команды как раз описаны в стандарте ISO-7816, называются APDU-команды.
Так что вопрос не столько в том, что фильтруется на уровне USB протокола, а существуют ли в карточной операционной системе команды, способные выдавать наружу неизвлекаемые ключи. Или нет ли какого бага, который позволяет это делать.
Откуда я буду уверен что ключ который я или сотрудник генерирует на своем устройстве, пусть он хоть трижды сертифицирован, не уйдет в локальную сеть центра и не будет потом продан сотрудником?
Потому что требования к сертификации этих HSM, которые, по идее, должны для этой цели использоваться — довольно злобные.
Они должны сносить все, что хоть сколько-то на ключ походит, чуть ли не от косого взгляда или слишком резкого изменения внешней температуры. И должны иметь защиту в том числе и от тех людей, что их эксплуатируют — чтобы и они до тех ключей, что не положено, добраться не могли.
Ключевое слово в вашей фразе — "по идее". Я немного подрабатываю с банками и наблюдал эпичные фейлы в виде продажи на авито настроенных на интрасеть банкоматов точек циско, установку на компьютерах для работы с ПД, какой-то высокой категории, браузера мейл.ру и сидение в одноглазниках и т.п. дичь. Простите но я не верю в соблюдение протоколов. А после того как я сам лично устанавливал криптопро определенной версии с какого-то форума, куда меня направил по телефону специалист из казначейства, а документы по обновлению ПО содержали ошибки из-за которых пройдя по пунктам я не мог подключится и сдать отчетность во время и все что мне могли посоветовать это "Снести виндоуз х64" — то простите но нет.
Спасибо, я в курсе общей теории. Теперь поймите, пожалуйста, разрыв для третьей стороны между "ваша личность" и "ваш компьютер". Не только вы, но и третья сторона должна быть уверена, что подпись может поставить только владелец ключа. И до вашей уверенности в вашем ПК третьей стороне нет никакого дела.
Но ей это и не нужно: если стоит моя подпись, значит вся ответственность на мне.
В том-то и проблема, что в данном конкретном случае третья сторона не может так сделать и просто всё на самотек пустить. Часть ее ответственности — защищать неквалифицированного пользователя от собственной неквалифицированности и дурости. То, что лично вы полагаете, что вам такая защита не нужна, глобально картину никак не меняет, даже если лично в плане себя вы правы.
Первый. Я прихожу к вам с паспортом, вы выдаете мне закрытый и открытый ключ, я ухожу, подписываю документы этим закрытым ключом и отправляю вам.
Второй. Я прихожу к вам с паспортом, отдаю вам свой открытый ключ, ухожу, подписываю документы своим закрытым ключом и отправляю вам.
В чем для вас разница при проверке моей подписи на полученных документах в случае первого и второго сценария?
Во втором сценарии можно сказать, что 'закрытый ключ злобные хакеры украли еще до того, как я пришел. Поэтому это не я подписал, а они.'
В первом — человек, выдавший ключ, может более-менее быть уверен, что злобные хакеры появились только потом. А если он заливал приватную часть ключа сразу в устройство, из которого ее извлечь нельзя — то может считать, что злобных хакеров не было, а вы врете.
Нельзя. Потому что использовалось условно сертифицированные железка и софт. Этой сертификации верят больше, чем словам "у вас мой ключ украли".
(ключ — это буквенно-цифровая последовательность, не устройство, раньше надо было со своей дискетой приходить, чтобы на нее его скопировали)
В общем, именно так, да. Если отдают внутри токена, из которого его извлечь нельзя. Смотри банковские карты — там, как я понимаю, именно такая логика. Те ключи, что внутри них, никто же сам не генерирует.
ФНС России предлагает два варианта хранения подписи: ключ к ней хранится либо на компьютере пользователя, либо в защищенном налоговой службой хранилище.
www.nalog.ru/rn10/news/tax_doc_news/5846491
Что мешает сказать что хакеры-карманники физически украли токен и подписали договор? Не вижу принципиальной разницы со сливом ключа
Нам нужно срочно запретить людям тратить деньги без согласования с государством. Вдруг они потратят их на какие-то бесполезные вещи и потом обвинят в этом государство?!!
Если серьезно то человек выбравший опцию с генерацией ключа на своей машине принимает на себя ответственность за хранение данного ключа. Да, возможно некоторые необразованные предприниматели сольют этот ключ, но предотвращение такой возможности не стоит дыры в безопасности в виде слива ВСЕХ приватных ключей налоговой.
Нам нужно срочно запретить людям тратить деньги без согласования с государством. Вдруг они потратят их на какие-то бесполезные вещи и потом обвинят в этом государство?!!
Вы не поверите, но… гуглить "квалифицированный инвестор". Или accredited investor, если хотите убедиться, что это не чисто российская практика. Госрегулирование и защита населения в области продуктов и услуг, которые слишком сложны для понимания неспециалистом — это просто часть современного мира.
Идеальным вариантом тут могла бы быть выдача вам сертифицированного криптографического токена и генерация ключей на нем в вашем присутствии, но никак не генерация на вашем ПК.
Многие аппаратные токены умеют в подтверждение факта генерации ключа на токене, а не импорта. Ближайший пример — Yubikey PIV attestation, но и у наших тоже вроде бы встречал.
Она нужна, чтобы юридически подтверждать вашу физическую личность перед третьим лицом, и это третье лицо должно быть уверено, что ключ выдан именно лично вам как физическому лицу
ЭП нужна для того, чтобы установить юридические последствия между участниками обмена документами. И в первую очередь, юридические последствия в отношении лица, на имя которого зарегистрирован открытый ключ, соответствующий тому ключу, которым подписан документ. А это не то же самое, что «подтвердить физическую личность». Иными словами, как раз хоть краткосрочное нахождение закрытого ключа ЭП в чужих руках мгновенно переводит его в статус «скомпрометированный», поскольку позволяет издавать документы от имени лица, на которое регистрируется публичная пара этого закрытого ключа. В том числе, без ведома этого лица.
Но ключу ЭЦП доверять должны не вы, а те, кто проверяет валидность подписи на ваших документах. И тут есть правило разделения ответственности. Вы можете что угодно делать со своим закрытым ключом — передать другу, выложить во ВКонтакте и т.д. Но это ваша зона ответственности, кроме одного момента: на момент выдачи вам сертификата, подписанного АЦСК, ваш ключ гарантированно не должен быть скомпрометирован, иначе это уже будет проблема АЦСК, что они подписали скомпрометированный ключ. Вот поэтому они вам генерируют их сами.
"на момент выдачи вам сертификата, подписанного АЦСК, ваш ключ гарантированно не должен быть скомпрометирован, иначе это уже будет проблема АЦСК"
Это уже бюрократический недочет. Если пользователь хочет взять на себя ответственность за то что передал скомпроментированный ключ — зачем его останавливать?
Потому что бывает мошенничество, когда человека уболтают 'скачай программу и сгенерируй себе ключ без этого выноса мозга'. И по дороге как раз к себе в базу ключик запишут, который ты регистрировать будешь. Или даже смотри "облачная электронная подпись", где вообще черти что делается.
Не, единственный надежный способ — это пришел, на тебя посмотрели, паспорт сверили, воткнули токен в облепленный со всех сторон видимыми пломбами HSM (так, чтобы ты это видел), это железка сгенерировала ключ, подписала и залила обратно в токен. Для особых параноиков — можно использовать токен, что сам ключевую пару умеет генерировать, но такой будет немного дороже.
Такая возможность есть и сейчас. Нужно использовать ключевые носители с собственной криптографией "на борту". Тогда ключи генерируются вообще не на компьютере
Теперь-бы еще снесли десятки вариантов всех этих криптопро, цсп и иже с ними и сделали 1 открытое и бесплатное приложение на государственном уровне под все платформы, установив которое я наконец смогу не держать в бухгалтерии 3 версии винды, в каждой из которых свое приложение для работы со их ИС.
Пугает, только:
Правда, есть небольшое подозрение, что ФНС сейчас зачищает рынок выдачи сертификатов ЭЦП, а потом сделает эту услугу платной.
Потому что будет как-то не правильно платить ФНС, за то чтобы она твою декларацию по налогам приняла. В конце концов тогда куда сами налоги то идут?
ради одного клика для сдачи декларации
Декларации сдаются не чаще, чем раз в квартал, имхо не такая проблема съездить лишний раз в налоговую раз в 3 месяца. Другое дело, если у вас большой документооборот, тогда да
Подключил онлайн бухгалтерию и вздохнул с облегчением. ЭП для отчётности они сами выпускают и перевыпускают(по истечению срока или при смене данных) и это входит в стоимость как и юр. консультации. Заполнение отчётности гораздо проще, в большинстве случаев достаточно прокликать далее(т.к. расчёт идёт автоматом, платёжки в банк так же автоматически заполняются и привязываются к отчёту). Т.е. для квартальной отчётности нужно потратить минут пять — десять.
Какая хорошая новость, теперь не придется платить за ПО и ЭЦП каждый год, ради одного клика для сдачи декларации. Как раз получается, что «я ждал этого 3 года»
А кто вам сказал, что не надо будет платить за ПО? Речь шла только об ЭЦП. А ПО для отчетности и криптопровайдер, скорее всего, как всегда, оплачивается отдельно)
Да они прямо мысли мои читают!
Цитирую — «Выпускаемая удостоверяющим центром ФНС России электронная подпись будет применима для получения всех государственных и коммерческих услуг, а также подписания любых электронных документов»».
А как быть, например, с Росреестром, который требует специального «расширения ключа»? У меня подозрения, но в 2021 году просто начнется новая головная боль.
И да, если ничего не поменялось, УЦ ФНС на данный момент не имеет аккредитации.
Не ожидал, что все так плохо… Украина — у нас уже лет 6 налоговая выдаёт ключи абсолютно бесплатно и как-то дико, что может быть по другому. Ключ ЕЦП может получить любой гражданин (для предпринимателя и частного лица ключ один) или юрлицо. Льготы по карантину можно было получить только при наличии ключа. Много гос. сайтов поддерживают авторизацию с ключами — сама налоговая, пенсионный, земельный кадастр и т.п., последнее время много соц. услуг можно получить из дома, а с 2021 года субсидию по коммунальным платежам принимают только с ключами. Также государственный (пока) Приватбанк тоже выдаёт ключи всем своим клиентам бесплатно. Внедряется мобайл-id, smart-id, bank-id… пытались впарить всем кассовые аппараты (в т.ч. — бесплатные программные в смартфоне от налоговой + частные на апи налоговой с плюшками) — но предприниматели взбунтовались и это перенесли на год… не забываем, что хабр не для политики вроде...
Это две разные вселённых и развиваются они параллельно… оформить наследство стало очень непросто в связи с постоянными изменениями требований к документам, базы то недвижимости, то кадастра изменяются постоянно. Вот сейчас изменилось территориальное устройство (бывшие районы стали громадами с отпочковавшимися частями) — а код прежнего классификатора был завязан в кадастровый номер земельного участка — так вместо создания отдельной переходной базы решили поменять формат кадастрового номера и привязать его к новому классификатору, отличному по структуре с предыдущим… но пока не внедрили — только идеи… в основном сейчас КЭП применяется для подачи отчётов и получении разных данных с реестров. Юрлица ещё активно применяют для обмена юридически значимым документами между собой. Также для получения разных соцуслуг. Сам пользуюсь ЕЦП (как его неназывай) с момента внедрения такой возможности уже не помню и когда — с тех пор забыл, что такое налоговая, пенсионный и т.п. (от имени юрлица, потом оформил себе, жене, теще — так легче контролировать уплату налогов). Вот недавно ещё оформлял ФОП, сидя дома со смартфоном — за 3 минуты оформил и перевёл на единый налог (упрощённая система налогообложения). Ещё за 10 минут открыл на него счёт в банке, день ушёл на переписку с системой принятия платежей на сайте и приведение сайта к её требованиям. На следующий день пришёл первый платёж. Сам не поверил, что так можно сделать, не выходя из дома. С тех пор в налоговой ещё не был и не планирую ближайшее десятилетие)))
Вот только не ЭЦП а ЭП.
Простите глаза режет.
Сленг и прочая неофициальная терминология на Хабре были всегда без них это будет не Хабр.
Точно такое же значение термин имеет и в других русскоязычных странах (например, Украина, Казахстан).
Деление ЭП на виды, которое в 63-ФЗ сейчас есть, лично я считаю недоразумением, которое все запутывает и усложняет. Концепция ЭП без криптографии это вообще нонсенс. Очень надеюсь, что со временем этот закон перепишут. А до тех пор можно использовать старый термин, ведь мы не на юридическом форуме.
Только один вопрос: почему действительно нужные решения принимаются так долго (разговоры о бесплатной ЭЦП ведутся уже больше года), а какая-нибудь ерунда в два счета?
Немножко не в тему, но ещё один поток в карманы инспекторов (корупционно состовляющая)
Одновременно с этим будет и приостановление выдача ЭЦП до 30 дней как делается при подачи многих форм на изменения ЕГРЮЛ. Так ещё, пришел сделать ключ а тебя сразу на допрос и вручения уведомлений (разных видов). Как бы не увиличилось количество обнуление инспекциями (хотя их и так 10 процентов от количества организаций в инспекции).
Ко всему прочему будут и внутренний бардак в налоговых органах, как с программным обеспечением, трудовыми ресурсами, и конфликтами интересов. И это малая часть того, что будет твориться с данным переходом получения ЭЦП от ФНС.
Надеюсь, что придуманная во благо общества нововведение не превратиться в что то иное. Работал в НО, знаю.
Наконец то, жутко парила процедура получения этого ЭЦП в "аккредитованном удостоверяющем центре", который является какой-нибудь шаражкой на пятом этаже в здании бывшего КБ с поломанными полами и перегоревшими лампочками, где деньги надо переводить на карту и вот это все.
Достаточно логичный и приятный шаг в довершение достаточно приятного и бесшовного UX налог.ру. Не могу сказать, конечно, что все там работает ок, но возможность все делать из дома, при этом имея достаточно удобный сайт (по крайней мере ЛК физлица и ИП) мне очень нравится.
Если тебе нужны все виды ЭЦП, то где-то ежегодно нужно было отдавать от 7 до 10 т.р. (личная, на юрлицо, егаис, закупочные площадки).
Остается еще одна затянувшаяся история — ЭКЛЗ и т.п. для систем фискализации для касс.
Но, при этом вводятся обязательные системы маркировки. На них сейчас новое золотое дно.
Так, что с одной стороны радость. С другой печаль :)
Равновесие.
У меня в маленьком магазине(чуть более 5кв.м.) более 10тыс. только наименований товаров. Как их принимать и продавать, я пока слабо представляю. Обычная приёмка, от 300-500 позиций.
Я пытался в тему погрузиться, понял, что нужна очень большая команда
и в очередной раз — уже всё поделено. Работать интегратором по таким, как у вас
магазинчикам. Хотя до сих пор мои клиенты: микро-бизнес только смогли
ККМ нормально внедрить по деревням.
Вот думаю, куда двигаться дальше с самозанятостью. Своя пекарня была, закрыл по
другим причинам — аренда сжирала всю прибыль.
Т.е. будет огромное количество ручного труда как для поставщика, так и для розничных магазинов. Что не может не сказаться на цене товара. Подделки семян я за пять лет работы ИП и мать за 10 лет работы продавцом ни разу не встречала. Была один раз «не подделка» на дорогую химию. Один завод днём гнал продукцию в одну страну, ночью в другую и перепутали несколько коробок семян. В результате коды проверок стали не действительными и была долгая судебная возня с поставщиком.
Всё же надеюсь что для некоторых категорий товаров сделают исключение(т.к. в первую очередь хуже станет покупателям).
Налоговая выдаст ЭП бесплатно для ИП и юрлиц