Электронная подпись. История появления и развития

В современном мире, когда за несколько часов можно заработать миллион, потерять миллиард, пересечь два континента, разговаривая при этом с деловым партнером на третьем, в современном мире просто необходимо было средство, которое позволит юридически заменить бумагу и человеческую подпись шариковой ручкой на ней.

Закон «Об электронной подписи» дает чудное определение электронной подписи — это информация, которая будучи присоединенной к другой информации позволяет определить личность лица, подписавшего документ.

Что такое?

Электронная подпись может быть сохранена на
  • Дискету
  • Смарт-карту
  • USB-флешку
  • Таблетку Touch-Memory


Можно иногда сохранить ЭЦП и на компьютер в виде .cer файла. Но подразумевается, что вы всегда носите ее с собой или храните в недоступном для посторонних месте. Как печать.

По сути, электронная подпись является вашей электронной печатью, которая скрепляет и заверяет документ.

Выдают электронные подписи специально аккредитованные государством удостоверяющие центры. Выдавая ЭЦП они проверяют личность обратившегося к ним лица, а также его полномочия, если ЭЦП выдается на юридическое лицо.

В электронной подписи, которую вы получаете, содержится сертификат ключа проверки электронной подписи. Именно этот набор символов является вашим идентификатором, который видят все, кто читает ваш документ.
Если потеряли ЭЦП — немедленно обращайтесь с заявлением в полицию. В противном случае все подписанные вашей ЭЦП документы будут считаться действительными!

Помимо идентифицирующего сертификата электронная подпись содержит в себе:
  • Ключ электронной подписи — закрытый ключ
  • Ключ проверки электронной подписи — открытый ключ

Они-то и нужны, чтобы шифровать ваш документ.

Вспомните, подписывая бумажный контракт вы ставите подпись на каждой странице или аккуратно сшиваете толстую стопку листов, чтобы контрагент, каким бы благонадежным он сейчас не выглядел, не внес изменения в текст вашего соглашения.

Электронная подпись помимо идентификации должна заморозить структуру документа, чтобы любые изменения были или невозможны или нарушали «электронную печать».

Защита информации — первое правило военноначальников, поэтому истоки техники шифрования необходимо искать в истории войн.

Истрия войн

Во все времена необходимо было отправлять сообщения, защищенные от шпионов врага. Сперва это были запертые сундуки, а затем свитки, содержащие непонятный набор букв. Человечество давно придумало огромное множество различных способов шифрованная. Но для каждого секретного послания нужен был ключ.

В шпионских фильмах обычно ключом становится какая-то книга, номера страниц, строк и букв которой содержатся в послании. Надежность такого шифра не выше, чем у запертого сундука — отправитель все равно должен был сперва передать ключ.

В 1976 году Уитфилд Диффи, Мартин Хеллманом и Ральф Меркле первыми предложили «одностороннюю функцию-ловушку» — теорию, которая позволяла передать зашифрованное сообщение без передачи ключа для разгадывания послания.

Если совсем просто, их метод заключается в том, что сделать определенное математическое действие легко только в одну сторону и очень трудно в обратную. Например, если пять умножить на десять получится пятьдесят. Чтобы пятьдесят разложить на произведение пяти и десяти нужно несравнимо больше времени. Это как если вам дадут разобранные механические часы, обратно вы их едва ли соберете.

Допустим вы открыто договорились об общем ключе и обменялись секретными данными, измененными определенным образом. Таким образом, у вас на руках окажутся: открытый ключ, свои секретные данные и зашифрованное послание. У злоумышленников может оказаться ключ и оба зашифрованных послания. Но зашифрованное послание вы можете расшифровать только при помощи своей незашифрованной информации.

Такую систему шифрования замечательно иллюстрирует следующий пример:

У нас есть два шпиона по имени Алиса и Боб. Они очень хотят договориться об общем секретном числе, но их сообщения перехватывает Ева, поэтому просто отправить сообщение друг другу они не могут.

Алиса и Боб договариваются, что открытым ключом будет функция 3 по модулю 17.


Алиса зашифровывает 15 и отправляет Бобу полученное значение — 6.
Ева перехватывает 6, которое ничего не значит.


Боб зашифровывает секретное значение 13 и отправляет Алисе 12.
Ева перехватывает и 12, которое также ничего ей не скажет.


Алиса и Боб используют свои секретные значения, чтобы расшифровать полученные сообщения:
12 в степени 15 по модулю 17 = 10
6 в степени 13 по модулю 17 = 10

Таким образом, 10 — это общее секретное число, которое может быть использовано в качестве ключа дешифровки для последующих сообщений между Алисой и Бобом.

Уитфилд Диффи, Мартин Хеллманом и Ральф Меркле начали новую волну в шифровании, но в наше время их система уже не используется, а срок действия их патента под номером U.S. Patent 4 200 770 истек.

У придуманного ими способа обнаружились недостатки. Во-первых, требуется некоторое время, чтобы обменяться сообщениями, во-вторых, что наиболее серьезно, если у вас много контактов, необходимо хранить множество ключей. Предположим, что Алиса — это банк, в таком случае таких как Боб у нее тысячи. С каждым необходимо договориться о секретном ключе.

Следующей вехой в шифровании стал алгоритм RSA — Рональда Ривеста, Ади Шамира и Леонарда Адлемана. Придуманный в 1977 году способ даже сейчас можно использовать для создания примитивных цифровых подписей.

На самом деле алгоритм RSA был придуман еще в 1973 Клиффордом Коксом, но его исследования были мгновенно зашифрованы, поэтому на суд общественности была предложена работа Ривеста, Шамира и Адлемана.

В основе их работы лежала теория, что Алисе достаточно отправить Бобу замок, которым Боб может закрыть послание и вернуть обратно Алисе. Получается, что ключей должно быть два — ключ шифрования и ключ дешифровки.

Ключ шифрования может быть открытый, потому что зашифровать проще, чем расшифровать, то код дешифровки должен быть секретным.

Простая и непростая подписи

Все, о чем мы говорили выше касается усиленной квалифицированной электронной подписи. Новый закон 2011 года «Об электронной подписи» ввел также понятия неквалифицированная электронная подпись и простая электронная подпись.

Квалифицированная отличается от неквалифицированной тем, что квалифицированную подпись выдает аккредитованный удостоверяющий центр, а неквалифицированную — не аккредитованный.

Сейчас надежнее и безопаснее использовать квалифицированную электронную подпись.

Неквалицированная подпись сейчас используется, как это ни странно в госзакупках, что вызывает определенные трудности, поскольку получение одновременно квалифицированного сертификата и неквалифицированного — сложно и дорого.

Ранее необходимость в такой подписи была на переходном этапе, когда закон был, а аккредитованных удостоверяющих центров еще не было. Для чего нужно сохранять сейчас такого рода подпись — совершенно неясно.

Простая электронная подпись, как ясно из названия, существенно проще в использовании, чем квалифицированная. Простая подпись не требует обращения в удостоверяющие центры, не использует способы защиты от изменений документа, а единственной характеристикой является идентификация лица, подписавшего документ.

Примерами простой электронной подписи могут являться логин и пароль при входе в аккаунт электронной почты, вконтакте или фейсбука.

Юридически значимыми ваши документы, подписанные простой электронной подписью будут только в том случае, если вы их адресуете государственным или муниципальным органам, например через сайт госуслуги.

Вспомним еще и такой вид «электронной подписи», как изображение рукописной подписи. Часто встречаются приложения для мобильных платформ, Gmail, да что там — даже в «Просмотре» на Mac OS есть удобный режим «подписывания» документа.

По американскому закону об электронных подписях в международных и внутригосударственных торговых отношениях такая подпись более чем юридически значима. Говорят, Билл Клинтон даже подписал этот закон электронной подписью.

По российскому законодательству электронное изображение подписи является не более, чем факсимеле, использование которого допустимо только между контрагентами, которые заблаговременно письменно договорились о возможности применения такого документооборота.

Развитие


Сегодня выдано более трех миллионов сертификатов электронной подписи. Любой желающий может участвовать в электронных торгах, сдать отчетность в налоговую, зарегистрировать юридическое лицо, заказать выписку из ЕГРП, зарегистрировать изобретение или товарный знак, опубликовать сведения о юридическом лице и, конечно же, подписать договор и счет-фактуру — в любой точке мира… где есть интернет, разумеется.

Остается только одна проблема — чтобы получить электронную подпись, нужно приехать в удостоверяющий центр, показать себя и документы (сотрудники проведут процедуру идентификации) и получить USB-ключ, сроком на один год. На следующий год — все заново.

Так было раньше. Сейчас можно никуда не ехать — можно заказать и получить электронную подпись не выходя из офиса. Но это уже тема для немного другой статьи…
Поделиться публикацией

Комментарии 61

    +8
    Простите, не могу удержаться, потрясающе безграмотно.
    электронная подпись содержит в себе:

    Ключ электронной подписи — закрытый ключ
    Ключ проверки электронной подписи — открытый ключ

    Они-то и нужны, чтобы шифровать ваш документ.

    Позволю себе ссылку на Википедию, где указано, что в асимметричной схеме подпись вычисляется с помощью закрытого ключа, а проверяется с помощью открытого. Поверьте, электронная подпись не содержит в себе никаких закрытых ключей.
      +5
      Просто жесть. Что за ад? Как можно написать такое?

      Электронная подпись может быть сохранена на
      • Дискету
      • Смарт-карту
      • USB-флешку
      • Таблетку Touch-Memory


      Можно иногда сохранить ЭЦП и на компьютер в виде .cer файла. Но подразумевается, что вы всегда носите ее с собой или храните в недоступном для посторонних месте. Как печать.


      Благодаря автору, сегодня один из тех дней, когда я ненавижу Интернет без премодерации.
      +10
      Электронная подпись выглядит, как USB-флешка.

      Дальше читал очень вскользь. Уважаемый, все же это хабр, а не сайт домохозяек! Хотя, и на сайтах домохозяек не стоит упрощать материал, до уровня бреда!
        –6
        Поправил этот момент, тем более что и по фактике не совсем правильно.
          +1
          Они-то и нужны, чтобы шифровать ваш документ.

          И вот это спрячьте, пожалуйста, не пугайте покупателей смарт-карт. От кого вы собрались шифровать документ своим ключом? От получателя?
            –6
            Т.е. вы хотите сказать, что смарт-карта не используется для идентификации и шифрования?
              +2
              Иван, прочтите, пожалуйста, заглавие своей статьи. Давайте сначала с азбукой разберёмся. Оставьте шифрование на следующую статью, вам там объяснят и про него последовательно.

              Итак, вопрос. Что именно вы собираетесь шифровать при подписании документа электронной цифровой подписью?
                –4
                Хэш-функцию.
                Шифрование необходимо для того чтобы защитить документ от изменения и от подделки электронной подписи.
                  0
                  Шифровать хэш-функцию? Уже хорошо.
                  Т.е., вы искренне считаете, что при подписании документа вы шифруете две основные вещи: хэш функцию отдельно и документ отдельно. Для защиты от изменений. Интересно.

                  Вы не могли бы привести пример зашифрованной хэш-функции и её исходного вида (так же приятно глазу, как привели примеры с Алисой, Бобом и Евой)?
                    –3
                    Подписывается обычно только хэш-функция.
                    Вы верно воспринимаете, что шифрование — это засекречивание документы.
                    Подписание электронной подписью позволяет проверить идентичность подписи, для чего применяются ассиметричные методы шифрования.
                    Но сама информация не скрывается.
                      +9
                      Видите ли, вы пишете статью об очень, очень важном и тонком моменте. Некорректная терминология, недосказанности и неопределённое поведение, опечатки — недопустимы при обсуждении криптографии!

                      А вы предлагаете «подписывать хеш-функцию». Это что, нужно исходники хеш-функции шифровать, или машинный код, или текстуальное описание алгоритма работы? Когда подписывают документ, зашифровывают не хеш-функцию, а результат вычисления хеш-функции, которой на вход подали наш документ, то есть, хеш этого документа. Не функцию, а результат её работы.

                      Подобные ляпы у вас по всей статье. Вы и ключи асимметричные называете подписью, хотя это не подпись, а инструменты для её создания. Вы что, не различаете оттиск на бумаге — т.е. печать, и сам штамп, с помощью которого он делается? Не различаете закорючку на бумаге и руку, которая её нарисовала? А подпись, печать — это значки на конкретном документе, соответственно, электронная подпись — это прикреплённый к документу блок данных, который позволяет проверить, что данный конкретный документ создан определённым лицом (и не изменялся без его ведома). Это результат вычисления функции, на входе которой — документ и закрытый ключ. И никак иначе.

                      Подобные ляпы совершенно недопустимы в статье про криптографию.
              0
              Нет, как раз можно зашифровать документ своим закрытым ключом и результат предъявить вместе с сертификатом (в котором свой открытый ключ, информация о личности подписавшего, и всё это уже в свою очередь подписано удостоверяющим центром, которому получатель априори доверяет). Это действительно будет самая настоящая электронная подпись.

              На практике конечно так никто не делает, проблем у такого подхода уйма (вы опасно некомпетентны в криптографии как минимум уже если собрались шифровать непосредственно документ асимметричным алгоритмом).
                0
                Я лишь уточняю у автора статьи непонятные мне моменты, в комментариях недостаточно информации об уровне моей компетентности. Или вы не туда ответили?
                  +1
                  Во-первых, не принимайте на свой счёт, выражение «вы опасно некомпетентны в криптографии» — известный фразеологизм, название соответствующей статьи, призывающей по возможности не изобретать новые криптосхемы, а внимательно изучить все имеющиеся и выбрать.

                  Во-вторых, отвечал я именно туда, куда ответил.
                  И вот это спрячьте, пожалуйста, не пугайте покупателей смарт-карт. От кого вы собрались шифровать документ своим ключом? От получателя?

                  Вы неправы, с академической точки зрения ничего неверного в шифровании документа своим ключом нет. От этого вполне даже может получиться подпись, если ключ взять закрытый. То, что автор статьи не понимает, почему на самом деле для получения подписи сам документ непосредственно никто не шифрует — вопрос другой, технологический, и вы явно не его задали.

                  А я педант :D
                    +2
                    Признаю, спасибо.
                    Я хотел лишь услышать, что автор собирается шифровать. Ответ «шифровать хэш-функцию» меня полностью удовлетворил.
          –8
          В той же статье на Википедии есть раздел про закрытый ключ.

          Но все же, может быть мы про разные вещи говорим, где, по-вашему, хранится закрытый ключ?
            +3
            Да где угодно он хранится! Иногда в smart-card, которая иногда похожа на флешку, и которую вы из некомпетентности обозвали «электронной подписью». Проводя аналогию в неэлектронный мир, вы ляпнули «рука — это подпись».
              –11
              Закрытый и открытый ключ — суть электронная подпись в той терминологии, которая основана на Законе об электронной подписи и которая используется в статье. Они позволяют оформить электронный документ, как того требует закон.
                +4
                Закон «Об электронной подписи» дает чудное определение электронной подписи — это информация, которая будучи присоединенной к другой информации позволяет определить личность лица, подписавшего документ.

                Таки куда присоединяется закрытый ключ?
                Кстати, определение весьма корректно. Так что я сильно сомневаюсь, что люди, писавшие закон, написали такой бред, каким он выглядит в вашем изложении.
            +1
            На хабре уже был цикл статей по этой теме, вот ссылка на первый пост habrahabr.ru/post/97066/. Автору будет полезно прочитать, разобраться и упорядочить свои знания, а затем поправить данную статью.
              +1
              Автор если цитируете Закон, цитируете его дословно!

              Закон «Об электронной подписи» дает чудное определение электронной подписи — это информация, которая будучи присоединенной к другой информации позволяет определить личность лица, подписавшего документ.

              электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;

              ЭЦП подписывает хэш, но не документ. Если получу такой же хэш как у вас то подпись по Закону будет валидной.
                0
                ЭЦП подписывает хэш, но не документ. Если получу такой же хэш как у вас то подпись по Закону будет валидной.

                Вот это лишняя придирка. Подписывается документ. Про хеш-функцию ни слова.

                То, что при этом используется хеш-функция — это конкретная технология получения подписи. Мало ли, изобретут другой алгоритм получения подписи, не использующий хеш-функции и асимметричную криптографию — суть подписи не изменится — это по-прежнему некая информация, полученная с использованием документа и удостоверяющая личность.

                Безусловно, хеш-функции непременно содержат коллизии, но если вам удалось найти коллизию — это недостаток существующей технологии, а не специально на этот случай оставленная лазейка в законе. Подпись технически будет валидной, но юридически можно будет признать её недействительной, например, по результатам экспертной оценки подделанного документа.
                  0
                  Но как можно экспертно оценить какой из документов (!!!) правильный, если в документе всего 20 байт?
                    +1
                    Практическую ситуацию, в которой подписываемая информация составляла бы 20 байт, сможете привести?

                    Суть в том, что защищаемые подписью документы обычно содержат структуру. И наверняка premiage-коллизия, если таковая внезапно найдена, внесёт искажения в эту структуру. Например, содержащаяся в 20-байтном документе дата-время (которая занимает половину из этих 20 байт), станет очевидно нереальной. Или xml внутри окажется не-well-formed, потому, что обязательно где-нибудь флип бита попадёт на имя тега или синтаксический элемент.

                    Пример: существует возможность построить с нуля два документа с одинаковым префиксом, MD5-хеши которых совпадут. Это не preimage, который и для md5 в лучшем случае имеет сложность 2^123 — нереально много, но пусть хотя бы так. Размер блоков, которые придётся добавить к документу, чтобы получить два разных с одинаковым хешем — минимум 128 байтов (хотели 20? ха-ха). При этом, блоки выглядят как мусор, а в тексте документа (префикс) ничего не меняется. Наличие подобного мусора в конце подписанного документа и может быть для эксперта основанием для заключения, что электронная подпись подделана с использованием уязвимости используемой хеш-функции.
                      0
                      Адрес сайта/электронной почты/номер документа, ФИО и т.д.
                      Те же CFB-файлы или базы 1C содержат неиспользуемые «секторы», которые могут нести любой мусор, а значит и экспертиза несколько «осложниться».
                        0
                        Адрес сайта с одной заглавной буквой в середине выглядит странно, не так ли? То же самое ФИО.

                        По поводу документов с мусором согласен.
                          0
                          Предположим что все же возможно сформировать валидный документ с валидной подписью, не имея закрытого ключа… Подозрения суд, в общем-то, не должен рассматривать.
                –1
                Со своей стороны замечу что ЭЦП — это подпись, сделанная с помощью сертификата. То есть в УЦ выдают сертификат, а потом пользователь делает ЭЦП самостоятельно. Понимаю, что простые пользователи как-то свели всё в одно понятие «ЭЦП». Но надо всё-таки эти понятия жестко разделять.
                  +1
                  Не переставляйте местами яйца с курицей. Прежде всего пользователь формирует закрытый ключ, и запрос на получение сертификата. УЦ по этому запросу выпускает сертификат.
                    –1
                    Мне кажется что вы слабо понимаете что тут «яйца», а что «курица». А насчет работы УЦ — как бывший директор организации в составе которой был свой УЦ скажу, что возможен случай генерации закрытого ключа на оборудовании самого УЦ.
                      +1
                      Возможен. Но с точки зрения безопасности неверен. Закрытый ключ должен находится только у пользователя и не передаваться по открытым каналам связи. УЦ которые не могут нормально обеспечить генерацию сертификатов выкручиваются генерируя закрытый ключ у себя, а затем заставляя получателей приезжать за ними лично или курьером с доверенностью. 21век же. Чего уж там.
                        –1
                        Обеспечить безопасность при таком методе генерации сертификатов также возможно. Делается это посредством специального оборудования и административных регламентов. Всё-таки 21-ый век же :)
                          +1
                          Да. Согласен. Специальные токены позволяют не только хранить ключи, но и генерировать закрытую часть и производить шифрование/ дешифрование внутри себя, не передавая закрытый ключ наружу вообще ни как. Но в любом случае за токеном надо ехать лично.
                          Что касается регламентов… На мой взгляд бумажка не может ничего обеспечить. Только отпинаться от претензий и контролирующих органов.
                            0
                            Регламент это описание комплекса процедур. И эти процедуры должны быть выполнены для обеспечения безопасности ключа пользователя. А вот если эти процедуры есть только формально, на бумажке, то тогда это только для контролирующих органов. Но, как мы знаем, везде есть свои проблемы, без этого никак.
                              +1
                              Так о том и речь что есть принцип. Закрытый ключ генерирует пользователь и никому его не показывает не передает. И есть УЦ нарушающие правила, и пытающиеся компенсировать эти нарушения техническими средствами и бумажками с инструкциями.

                              И все таки мы ушли от того с чего начали. В первую очередь создается закрытый ключ. Открытый ключ и сертификат, это все уже после.
                                0
                                Вот в вашем предложении «закрытый ключ генерирует пользователь и никому его не показывает не передает» как-раз описан регламент, но только со стороны пользователя. Предположим пользователь его игнорирует (всем показывает и передаёт). Будет ли обеспечена безопасность ключа? Нет. Так и в случае с генерацией ключа в УЦ.

                                А насчет «ушли с чего начали»: я изначально говорил про отличие понятий ЭЦП и сертификат. Наверное вы думаете, что первично нужно делать ЭЦП (в виде запроса на выпуск сертификата). Однако тут есть тонкий момент — в статье ЭЦП упоминается в как часть закона. А в законе ЭЦП — это комплекс данных, фактически сформированный по стандартам PKCS#7 (CMS). А вот для такой подписи уже необходим сертификат. Так что ЭЦП в запросе на сертификат сильно отличается от ЭЦП, обсуждаемой в данной статье.
                                  +1
                                  Ну да. В какой то мере регламент. Но он не добавляет в модель злоумышленника в дополнение к безголовому пользователю, нечистого на руку курьера и хитрого оператора УЦ.

                                  И я не думаю что надо делать ЭП. Запрос на выпуск сертификата это еще не ЭП. Запрос это просто набор данных для удостоверяющего центра. На основе этого набора формируется сертификат. Заверяется электронной подписью и передается пользователю. Что в этом меняет упоминаемый закон? Кажется 63 ФЗ. Да. Наверное запрос как информацию можно присоединить к другой информации. Но для идентификации лица она не подходит в виду того что никто не гарантирует достоверность этой информации.

                                  Теперь по сертификату. Что он содержит помимо данных о владельце ЭП? Область применения ключей и открытый ключ. Открытый ключ формируется на основе закрытого ключа. Основное свойство ключей. Имея секретный ключ можно получить соответствующий ему закрытый ключ. Имея открытый ключ нельзя вычислить соответствующий закрытый.
                                  То есть. Формируем закрытый ключ. Получаем открытый. Добавляем прочую информацию. Формируем запрос и отправляем его в УЦ. УЦ выпускает сертификат подтверждая корректность нашей информации своей ЭП. Мы получаем сертификат.
                                  И да. Понял вашу мысль. Это тоже не ЭП. А только сертификат. ЭП это все станет в момент прикрепления ее к подписываемому документу.
                                  И насколько знаю термин ЭЦП упразднен. Правильно использовать обозначение просто ЭП.
                    0
                    Есть одна печальная подробность. Сказать, что в УЦ не выдают подпись — значит, соврать. Сертификат, который выдаётся в УЦ, содержит в себе информацию об субъекте сертификации (кому он выдан), органицации, выдавшей сертификат, разлиные флаги, и вся эта информация защищена электронной подписью.

                    Сертификат подписывается самим УЦ, то есть, содержит в себе электронную подпись. Значит, электронную подпись УЦ всё-таки выдаёт. Но, конечно, не ту, которую потом с его помощью будет генерировать пользователь (а точнее, которую с помощью этого сертификата будут проверять контрагенты нашего пользователя).
                      0
                      Уже сказал выше, что в моём ответе ЭЦП понимается в контексте закона (PKCS#7 / CMS). Подпись в самом сертификате является примитивной формой электронной подписи.
                    +3
                    Если потеряли ЭЦП — немедленно обращайтесь с заявлением в полицию. В противном случае все подписанные вашей ЭЦП документы будут считаться действительными!


                    Зачем? Полиция найдет вашу «ЭЦП»? Почему не в ФСБ, МЧС?
                    В случае утери следует обращаться в УЦ выдавший подпись. Только он сможет отозвать ваш сертификат и поместить его в список отозванных сертификатов. Только после этого остальные участники электронного документооборота узнают что ваш сертификат недействителен и ему не следует доверять.
                      +4
                      Посмотрел профиль автора. Оказывается он является основателем сервиса, который выдаёт сертификаты только по сканам документов. Если он ещё может отвечать, то мне бы было очень интересно, чтобы он рассказал всем о своей «модели угроз и нарушителя». Также мне лично было бы интересно, как на выпуск сертификатов по таким документам согласился УЦ «Контур Экстерн» (который и обслуживает изначальный сервис).
                        +1
                        Я тоже долго думал, как бы намекнуть на то, что его «бизнес» незаконен в РФ. И попросить объяснить, так зачем же при выдаче сертификата всё-таки требуется процедура идентификации личности, которая делается очно.
                          –1
                          В соответствии со ст. 18 Закона «Об электронной подписи»
                          При выдаче квалифицированного сертификата аккредитованный удостоверяющий центр обязан:
                          1) установить личность заявителя — физического лица, обратившегося к нему за получением квалифицированного сертификата;

                          Мы заключили договор с платежной сетью CONTACT, в соответствии с которым все банки, которые входят в сеть в 54 странах мира оказывают для нас услуги идентификации клиента. Мы получаем полную расшифровку паспортных данных, которые сотрудник банка для нас проверил и засвидетельствовал.

                          Дополнительно паспортные данные проверяются в специальном сервисе налоговой — «Проверка ИНН», извините ссылку дать не могу :)

                          Также в соответствии с партнерским договором между нами и СКБ Контуром выдача и получение электронной подписи осуществляется на основании сканированных копий документов клиента.
                            +2
                            Даю тогда идею для ещё более интересного бизнеса — выдача кредита по скану паспорта и скану ИНН.

                            А если серьёзно: бизнес на УЦ в России имеет историю в пару десятков лет. Вы думаете почему сервисов, подобных вашему просто нет? Наверное вы оказались самый умный и расчётливый? Или всё-таки более умные дядьки и тётки до вас нашли там «подводные камни»?
                              –2
                              Что ж, похоже я вас удивлю — Тинькофф Кредитные Системы и Рокетбанк.
                              Бизнес УЦ в том виде, в котором он есть сейчас, имеет в Росси историю от силы в 3 года — с момента принятия нового закона.
                              И почитайте еще про идентификацию Яндекс.Денег, интересная практика.
                                +1
                                Вы похоже попутали кредитную карту и сертификат. Как уже упоминали ранее сертификат отличается по виду от USB флешки :)
                              +2
                              А насчет СКБ Контур: у них есть партнёры, которые приводят к ним клиентов. Так вот эти партнёры обязаны просто удостоверить личность получателя сертификата. Скорее всего вы ввели их в заблуждение, утверждая, что вы это делаете.

                              Если это читает кто-нибудь из Контура то я бы рекомендовал обратить внимание на такого «партнёра».
                                –3
                                Не говорите за других, почитайте внимательно про идентификацию, которую мы проводим и которую проводят для нас в свою очередь наши партеры и не нервничайте так, пожалуйста :)
                                  +1
                                  Ставлю минус в карму второй раз в жизни. И очень желаю, чтобы пострадавших от вашего бизнеса было как можно меньше.
                                    –4
                                    Только довольные и благодарные клиенты, которым не надо выезжать из офиса или которые вообще в другой стране.
                                      +2
                                      Если можно было бы два минуса поставить — я бы поставил. Хотя вас, похоже, научит только повестка в суд от «благодарного клиента».
                                        –4
                                        Не надо грубить.
                                          +2
                                          Грубить вам будут ваши клиенты, когда УЦ Контур отзовёт все выданные вами сертификаты. Также погрубит представитель УЦ Контур за обман. Может быть погрубит какой-нибудь представитель власти за отсутствие разрешений и лицензий.

                                          И ладно только погрубят — как минимум ваши клиенты потеряют от этого деньги. А это уже, как я и сказал, возможные повестки в суд.
                                    +3
                                    Действительно, вы нарушаете регламент Сертум-Про.

                                    Согласно вашему договору,
                                    1.3. Исполнителем услуг является
                                    ООО «Сертум-Про»

                                    ОГРН 1116673008539,

                                    ИНН6673240328 КПП 667301001

                                    620057, Свердловская обл, г. Екатеринбург, ул. Ульяновская, д
 13А, оф. 209 Б



                                    Регламент Сертум-Про расположен по адресу: ca.skbkontur.ru/about/documents/29. В нём есть такой пункт:

                                    8.2. Создание и выдача Сертификата

                                    8.2.1. Выдача Сертификата физическому лицу осуществляется на основании заявления на изготовление Сертификата, подписанного Заявителем лично. Подпись производится чернилами (пастой) синего цвета. Форма заявления на изготовление Сертификата физическому лицу приведена в Приложении №1 к настоящему Регламенту.


                                    Хотя вы в своём договоре и заявляете, что
                                    10.2. Стороны договорились о возможности использования факсимиле подписи (клише с подписи) для подписания Договора на оказание услуг Удостоверяющего центра, а также всех приложений к указанному договору и актов сдачи-приемки, в качестве аналога собственноручной подписи, равнозначного собственноручной подписи. Акт сдачи-приемки, счет на оплату, настоящий Договор имеют такую же юридическую силу, какую бы имели документы, подписанные уполномоченным лицом собственноручно на основании пункта 2 статьи 160 Гражданского кодекса Российской Федерации.


                                    это нарушает указанный пункт регламента УЦ. Вы можете договор с заказчиком заключать как угодно, но заявление в УЦ должно попасть натуральное и подписанное, не скан и не факсимиле.

                                    В регламенте также есть такие пункты:
                                    8.2.2. Выдача Сертификата юридическому лицу осуществляется на основании заявления на изготовление Сертификата, подписанного Уполномоченным представителем юридического лица. Форма заявления на изготовление Сертификата юридическому лицу приведена в Приложении №2 к настоящему Регламенту. Форма стандартной доверенности на Доверенное лицо юридического лица приведена в Приложении №3 к настоящему Регламенту.

                                    8.2.3. Удостоверяющим центром в Сертификат вносится информация на основании заявления на изготовление Сертификата. При этом если Владельцем Сертификата является юридическое лицо, то наряду с наименованием такого юридического лица в Сертификат вносится информация об Уполномоченном представителе. Достоверность сведений, указанных в заявлении, подтверждается Заявителем путём представления Доверенному лицу Удостоверяющего центра необходимых документов. Документы представляются в виде надлежащим образом заверенных копий.

                                    В ходе проверки достоверности сведений, указанных в заявлении, Доверенное лицо Удостоверяющего центра устанавливает:

                                    факт принадлежности документов предоставившему их лицу и/или лицу, чьи интересы оно представляет;
                                    факт отсутствия явных признаков подделки документов.

                                    8.2.7 Оператор УЦ, ответственный за создание Сертификатов, назначается из числа специалистов (старший специалист, ведущий специалист) соответствующего структурного подразделения УЦ. Уполномоченным лицом УЦ назначается руководитель или заместитель руководителя соответствующего структурного подразделения УЦ.

                                    Вы, являясь доверенным лицом, никак не выполняете пункт 8.2.3, не производя фактическую проверку факта принадлежности документов предоставившему их лицу, поскольку это физически невозможно в вашей модели оказания услуг. Во всяком случае, из вашего сайта прямо следует, что какой-либо механизм проверки у вас вообще отсутствует, в договоре никаких подробностей на эту тему я не нашёл.
                                    +2
                                    А насчет СКБ Контур: у них есть партнёры, которые приводят к ним клиентов. Так вот эти партнёры обязаны просто удостоверить личность получателя сертификата. Скорее всего вы ввели их в заблуждение, утверждая, что вы это делаете.

                                    Вот и я подозреваю, что здесь происходит что-то подобное.

                                    Сам-то Контур выдаёт сертификаты для ЭЦП только после личного контакта (в центре выдачи).
                                      –1
                                      Не надо подозревать, просто посмотрите требования закона и порядок процедуры идентификации, которую проводим мы и которую проводят аналогичные сервисы.
                                      Мы оказываем более чем законные услуги, к томе же очень удобные и выгодные.
                                        +1
                                        Думаю просто требуется уточнить что Вы из себя представляете. Удостоверяющий центр или регистрирующий центр. В первом случае запрос в ФСБ и Роскомнадзор о вашей лицензии на оказание соответствующих услуг. Во втором случае только в Роскомнадзор.
                                        На вашем сайте об этом никакой информации нет, и учитывая технический уровень статьи сомневаюсь вообще в получении вами каких либо лицензий.
                                          +1
                                          Я так понял, это «Доверенное лицо Удостоверяющего центра». Жаловаться, соответственно, в УЦ.
                                            0
                                            Но доверенное лицо как я понимаю не является юридическим лицом.
                                              0
                                              Я не вчитывался, должно быть это физическим или юридическим лицом. Понятно только, что действует оно на основании договора с УЦ и в рамках регламента этого УЦ.
                                            0
                                            Да, он является «центром регистрации». Вот выписка из «условий получения электронной подписи» на его сайте:
                                            1.10. Центр регистрации – подразделение ИСПОЛНИТЕЛЯ или организация (ИП), уполномоченная ИСПОЛНИТЕЛЕМ на основании договора представлять интересы ИСПОЛНИТЕЛЯ во взаимоотношениях с ЗАКАЗЧИКОМ.

                                            1.11. Центром регистрации по настоящему Договору является

                                            ИП Хаустов Иван Александрович
                                            Адрес: 344068, Ростовская обл, г Ростов-на-Дону, ул Ларина, д.45
 Телефон: +7 905 47 95 063

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое