Петиция за дружбу удостоверяющих центров

    image

    Дисклеймер: Описанная оказия произошла больше 2 месяцев назад но скорее всего ещё не потеряла своей актуальности. Написал пост только сейчас так как только на этой неделе появился возможный call-to-action.

    Предыстория.

    27 мая у меня истекала электронная подпись. В СКБ Контур предложили выгодную цену и дистанционный выпуск, поэтому и обратился к ним. Выставленный счёт сразу же оплатил. Заявку на выпуск ЭП одобрили быстро, в течение часа. Но в личном кабинете на ca.kontur.ru вместо кнопки «Установить сертификат» появилось только предложение «Позвонить в сервисный центр».

    Менеджер сервисного центра объяснила что без личного посещения сервисного центра СКБ Контур никак не сможет выпустить сертификат. Мол такое возможно только если действующий сертификат был выдан тоже Контуром. У меня же он был от компании Инфотекс.

    Желанием тратить 2 часа на дорогу до ближайшего сервисного центра (а на время карантина на весь Питер осталось всего 2 работающих СЦ) я не горел. К тому же мне показалось чуть более чем незаконным что одна компания не признаёт юридическую силу электронной подписи, выданной другой компанией. Погуглив я также нактнулся на рекомендацию Минкомсвязи об использовании дистанционных способов установления личности.

    Новая электронная подпись мне нужна была не суперсрочно, я мог до недели подождать пока поддержка Контура более тщательней подойдет к решению моей ситуации. Поэтому подписал старой ЭП (пока она действовала) через Контур.Крипто заявление на выдачу сертификата и отправил его в поддержку Контура вместе с требованием выдать электронную подпись удалённо и ссылкой на рекомендацию Минкомсвязи.

    В течение недели поддержка размышляла над моим запросом. В итоге пришёл ответ суть которого примерно такова: мы всё делаем по закону, поэтому фиг тебе чувак а не дистанционная выдача, езжай в офис. Чуть позже прислали официальный ответ — публикую его тут.

    Т.к. на споры у меня больше не было времени, мне пришлось потратить время на дорогу и съездить в сервисный центр. ЭП я выпустил успешно в этот же день но осадочек как говорится остался.

    Я сразу же создал голосование на РОИ, www.roi.ru/69581. Спустя 2 месяца его одобрили. Написал этот пост главным образом с целью рассказать о голосовании и привлечь внимание к проблеме. Считаю, что в век ИТ и удалёнки, и особенно в условиях эпидемии COVID, те услуги, которые могут оказываться дистанционно, должны оказываться дистанционно, если это не создаёт уязвимости в безопасности. Если вам нравится моя инициатива — пожалуйста, поддержите её.

    Если обобщать, то увидел две возможных проблемы в отрасли. И соответственно задался вопросами.

    1) Удостоверяющие центры не доверяют друг другу. Но ведь удостоверяющий центр не шарашкина контора, для работы ему необходимо иметь лицензию ФСБ и аккредитацию Минкомсвязи. Последняя как минимум должна означать равную степень страхования ответственности и защиты персональных данных. Какого чёрта тогда в Контуре не могут принять действующую ЭЦП от другой компании за удостоверение личности?

    2) Удостоверяющие центры плевать хотели на рекомендации государства. В условиях эпидемии COVID это угрожает здоровью их же клиентов. Если по дороге в сервисный центр клиент заразится коронавирусом и умрёт — это точно выгодно удостоверяющему центру?
    В чём вообще проблема следовать рекомендациям, разве они противоречат закону?

    Под понятием «удостоверяющие центры» я подразумеваю прежде всего СКБ Контур. Но не исключено что аналогичные проблемы есть и с другими компаниями. Делитесь своим опытом в комментариях.

    Есть также подозрения что СКБ Контур злоупотребляет законом и намеренно не выдаёт электронную подпись дистанционно с целью ограничения конкуренции. Логика проста — многие пользователи, у которых есть действующая ЭЦП, не захотят ехать в сервисный центр для продления и скорее продлят ЭП дистанционно в той же компании, несмотря на то что в других компаниях стоимость ЭП может быть значительно ниже. Опять-таки, возможно этой же логикой руководствуются и другие удостоверяющие центры, пишите в комментариях если у вас есть тому свидетельства.

    Крайне интересно услышать мнение хабрасообщества по всему вышеописанному.

    Средняя зарплата в IT

    113 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 5 709 анкет, за 2-ое пол. 2020 года Узнать свою зарплату
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 41

    • НЛО прилетело и опубликовало эту надпись здесь
        +4

        Кстати, да. Пока не пришёл в отделение, которое выдало кредитку, мне ни техподдержка, ни другое отделение не могли сказать, почему деньги класть я могу, а платить ими не могу.

          +5
          почему деньги класть я могу, а платить ими не могу.

          Кладёте вы СВОИ (т.е. вы имеете право ими распоряжаться) деньги,
          А платить собираетесь деньгами БАНКА.
          /irony
            0
            Ииии… их нет.
        +5
        Для начала гос-во одной рукой легко запрещает то, что другой разрешает. Да и что такое «гос-во», есть некие «органы», которые что-то пишут и принимают как бы в рамках закона (на самом деле не совсем чтобы всегда), и которые порой внутренними инструкциями создают условия для нарушения прав граждан или норм закона.

        А тут вы недовольны Контуром… Они даже как бы в своем праве, сослались на его величество Закон, и как бы чисты.

        А что УЦ друг другу не доверяют — это да, это проблема. С другой стороны, я (честно говоря) им (всем вместе) не доверяю, узнавая истории, когда левые люди получают ЭЦС не на себя. Такая, как бы сказать, социальная игра — человеку выдают ЭЦП, посмотрев ему в лицо, и сравнив его с паспортом. Насколько внимательно смотрят, и как можно сравнить лицо на фото, сделанном с усами и бородой десять лет назад, с лысым и бритым дядькой, пришедшим куда-то там — вопросы, на которые УЦ вряд ли вам ответят откровенно, сделают каменное лицо, и уточнят, как уже написали, что работают под Законом, и смотреть в лицо — должны и обязаны.

        Так что улыбаемся и машем, играем в эту игру, и радуемся, что не часто нужно играть. А что другой лысый бритый дядька с паспортом с древней фоткой придет в другой УЦ, и там ему выпишут ЭЦП на (условно) вас — правда, это же мелочи, «идите жаловаться туда, где левую подпись выписали, пусть они и разбираются».

        И УЦ как бы вроде ни за что не отвечают финансово, правда, даже если у человека по левой подписи, скажем, квартиру продали? Отличный бизнес.

        P.S. Мне вот тоже предлагали подпись выдать, встретившись у метро, типа «хоть так наш человек на вас посмотрит». А что, требование личного присутствия выполнится же!
          +1
          Мне руководитель филиала Контура сказал что необходимость приехать в офис это сознательное неудобство в целях безопасности. Но лично мне видится что здесь больше неудобств чем безопасности когда речь о продлении ЭЦП. Сравнение лица с паспортом не надёжней верификации по действующей ЭЦП. Если удостоверяющий центр очень хочет видеть моё лицо — они могут созвонится со мной по скайпу, точно знаю что таким образом во время самоизоляции некоторые банки удостоверяли личность для открытия расчетного счета. И даже если действующую ЭЦП выдала «шарашкина контора» в нарушение закона — ну так они отвечают за это финансово, их ответственность застрахована не менее чем на 30 миллионов рублей. Технологически для подтверждения личности можно также использовать какой-нить сервис ID-check типа SumSub, у них ответственность также застрахована. Короче, после этой истории перестал считать Контур технологичной компанией с продвинутыми регламентами.

          P.S. У Контура кстати есть курьерская доставка ЭЦП. Но цена в Питере истинно конская, 4000 руб. И вроде как с 1 июля курьерскую доставку отменили из-за изменений в 63-ФЗ.
            +1
            И даже если действующую ЭЦП выдала «шарашкина контора» в нарушение закона — ну так они отвечают за это финансово

            Вот здесь надо четко понимать, что такое ответственность в реальной жизни.
            Наличие законов не означает, что в момент совершения УЦ преступления в него с небес шарахнет молния и спишет в вашу пользу указанные 30 миилионов)
            Там будет длительный судебный процесс, в котором придется мнго чего доказывать и пояснять…
            У меня машину на платной охраняемой стоянке (ответственное хранение прописанное законами) побили. По логике должно было быть одно, максимум два заседания суда для установки одного единственного факта, что машина была на стоянке. Так в итоге суд полтора года шел! И это пустяковое дело. В случае же УЦ процесс можно затянуть на несколько лет. И не факт, что вы сможете что-то доказать в итоге.
            Как показывают текущие процессы по фальшивым ЦП, органы даже дела не особо заводят ибо там не за что зацепиться.


            P.S. И кстати, про 30млн) Вы так уверенно говорите, будто это очень много… Посмотрите где используют поддельные ЦП, это не только относительно дорогие кваритры, но и налоги. Открывают на ваше имя контору удаленно и гонят через нее НДС, а там указанные вами 30млн выглядят смешно на фоне итоговых налогов повиснувших на этих конторах...

              +1
              здесь больше неудобств чем безопасности когда речь о продлении ЭЦП. Сравнение лица с паспортом не надёжней верификации по действующей ЭЦП.

              В предлагаемом вами способе достаточно получить на пять минут доступ к чужой ЭП и выпустить еще одну в другом УЦ, и владелец об этом долго может не узнать, пока финансово не пострадает. А при обновлении ЭП в том же самом УЦ, после выпуска новой хотя бы старая отзывается и сразу видно возникновение проблемы. Это к вопросу о надежности верификации. Мне ваш паспорт в УЦ труднее принести и собой с ним совпасть, чем до вашей ЭП добраться.
                +1
                и выпустить еще одну в другом УЦ

                А при обновлении ЭП в том же самом УЦ, после выпуска новой хотя бы старая отзывается

                А почему при оформлении в другом не отзывается старая? Что за прикол с кучей ЭП в разных УЦ? Ни разу не пользовался этими подписями, но со стороны выглядит как лажа.
                  0
                  Возможно потому, что УЦ это удостоверяющий центр, и его функция — удостоверить, что некое большое, с высокой степенью вероятности уникальное число, однозначно связанное определенным, законодательно установленным, математическим преобразованием с другим подобным числом(ЭЦП), принадлежит человеку, который эти числа сгенерировал и предъявил одно из них для удостоверения, что им пользуется он.
                  А его личность в этой связке должна в свою очередь быть однозначно удостоверена документом удостоверяющим личность, т.е. имеющим фотографию. Список этих документов определен законодательно, и те органы которые выдают эти документы по сути тоже являются своего рода удостоверяющими центрами.
                  И еще Я думаю можно провести некоторую аналогию с нотариусами, которые заверяют копии подлинных документов и после этого эти копии приобретают силу подлинных. В том плане, что механизм похож и имеет довольно длительную историю и как-то противостоит попыткам мошенничества.
                  И тогда в контексте функции удостоверения получается, что вы в праве выпустить сколько вам захочется таких чисел (подписей) и удостоверить их у разных лиц имеющих на это полномочия.
                  А вся эта лажа которая вокруг этих подписей образуется скорее всего следствие того, что возможности технологии развиваются гораздо быстрее, чем осмысление и понимание, как ими пользоваться.
                  Типа те, кто пишут законы, не совсем понимают как оно работает, а те которые понимают как оно работает не совсем понимают ту среду для которой оно должно работать, а эта «среда» не понимает, что с этим делать, так и живем.
                    0
                    Ещё и нет единого центра, чтобы можно было посмотреть активные ЭП разных УЦ на одни паспортные данные/организацию с оперативным уведомлением владельца об изменениях.
                    Нужно обзвонить их все и делать это регулярно.
                +2
                > как можно сравнить лицо на фото, сделанном с усами и бородой десять лет назад

                У меня фото в паспорте сделано 17 лет назад, и я там выгляжу подростком, а сейчас я лысый дядя с седой бородой. Как-то сличают. Или делают вид.
                • НЛО прилетело и опубликовало эту надпись здесь
                +5
                Удостоверяющие центры бывают разными. Я помню много историй о незаконно выпущенных разными именно что шарашкиными конторами электронных подписей, как для физлиц так и для юрлиц.
                Так что если рассматривать конкретный случай — то это может быть такое повышение привилегий. Сначала мошенник где то может выпустить левый ключ по фото копии паспорта, а потом по этой подписи получить самую что ни есть валидную в Контуре или другом крупном УЦ.
                  +1
                  левый ключ по фото копии паспорта, а потом по этой подписи получить самую что ни есть валидную

                  Этот левый ключ ничем не будет отличаться от «валидной», ибо либо ключ выписан удостоверенным центром, и он везде должен приниматься (в том числе и в Контуре), либо это левый, и всем на него покласть.
                    0
                    ну не совсем. После тех событий я читал несколько раз, что те компании у которых есть антифрод, более внимательно проверяют клиентов, у которых ключи, выданные избранными УЦ.
                  +3
                  Заголовок уровня «кликбейт».
                    0
                    Тоже об этом подумал, но имхо всё-таки это не кликбейт. Заголовок отражает один из смыслов и я не получаю с поста доход от онлайн-рекламы :)
                      +1

                      Ваш заголовок, конечно, лучше, чем недавнее на Хабре "МВД, Администрация Президента и Росгвардия лишены официальных сайтов", но всё же желтизной попахивает явно )

                    0
                    А в чем смысл «истекания» цифровой подписи, если ее можно фактически продлить, используя ее же?
                      0
                      прибыль уц, а также то что не в состоянии создать инфраструктуру в которой подписи можно будет на 5 лет выдавать
                      +3
                      Ваши рассуждения вполне логичны, но разбиваются о реальную практику.
                      У подписи есть вполне ограниченный круг допустимого использования, плюс удостоверяющий центр не имеет обязанности принимать электронную подпись.
                      С одной стоны, всю эту фигню с электронной подписью давно пара закончить, подпись у человека должна быть одна, так же как она у него в реальной жизни одна. И что для работы тебе нужен иногда десяток электронных подписей выданных разными организациями, площадками торгов, банками, эдо и налоговой, это маразм.
                      Но с другой стороны, учитывая состояния информационной безопасности у большинства людей, наличие доступа к этой подписи у третих лиц( директора даже не понимают, что делают когда оформляют подпись на себя, но распоряжается этой подписью бухгалтер ), заканчивая, а мне не удобно на токене, пусть будет везде и без пароля.
                      А так же то насколько не сложно получить эцп не на себя.
                      Наверно лучше пусть их будет куча, так риски все же заметно ниже.

                      А так было бы удобно, пусть ЭЦ выдает только налоговая или паспортный стол, стойкая ЭЦП только на токене, плюс к ней в пару не стойкая с подтверждением по СМС, для большей части операции достаточно не стойкой, для части использовать только стойкую, и обязать вообще всех ее принимать.
                      При выдаче ЭЦП уведомление в личном кабинете, плюс смс, плюс звонок, плюс заказное письмо. ЭЦП начинает действовать через месяц после выдачи, это месяц на оспаривание.
                        0
                        Так вроде уже готовиться к тому что ЭЦЦ будет заниматься ФНС.
                          +1
                          У подписи есть вполне ограниченный круг допустимого использования, плюс удостоверяющий центр не имеет обязанности принимать электронную подпись.

                          Тут суть как я понял в том, что Контур для продления принимает только свою подпись, хотя она ничем не отличается от подписи любого другого УЦ.
                            0
                            И что для работы тебе нужен иногда десяток электронных подписей выданных разными организациями, площадками торгов, банками, эдо и налоговой, это маразм.

                            Это не маразм.
                            Это нормальное поведение, так задуманное.
                            Многие воспринимают ЭП как эквивалент собственноручной подписи, что естественно не так.
                            ЭП — свидетельство того, что вы наделены полномочиями совершать определенные действия.
                            Аналоги из обычной жизни — паспорт, вод.права, корочки различных служб, доверенности и пр.

                            зы
                            тут еще вспомнил, сертификат aka регистрационное свидетельство.
                            +2
                            А при получении нового сертификата/подписи с Вас что нибудь спрашивали, или просто в глаза посмотрели? =)

                            Всё же это разные орагнизации, и возможно им нужен был ваш паспорт/договор или прочая ерунда которцю они не могут получить от «Инфотекс»
                            0
                            Я правильно понял, что автор тупо не доволен, что нужно было ехать учитывая, что он же получал подпись в одном СЦ, а пошел брать в другой? Вроде, все логично. Если бы дальше брали в интерфаксе, то наверно и не надо было ехать. А если ты получил подпись нелегально, у левого УЦ условно, то все должны поверить этому УЦ и продлить ее. Куча историй, как оформляют такие УЦ подписи нелегально + то, что подверждают личность как раз говорит о том, что это правильное отношение. Да, тут тоже можно схитрить, но куда реже и сложнее. А как еще предлагаете подтверждать личность, мазок сдавать, кровь, анализы?

                            Всегда есть и будет необходимость ехать и подтверждать личность, если берешь в разных местах. По сути автор просто решил докопаться, т.к. потратил два часа времени, но при этом сэкономил деньги на предложении контура. Красава.
                              –1
                              Я докопался к тому, что заявление, подписанное действующей квалифицированной электронной подписью (пусть и выданной другой компанией), Контур не признал юридически значимым. Да, в Контуре вышло дешевле, чем у двух других компаний которых я рассматривал, но это моё неотъемлемое право как потребителя выбирать лучшую цену. К тому же вполне возможно что я столкнулся бы с аналогичной проблемой в других компаниях.

                              А свои соображения по альтернативным способам подтверждения личности написал в комменте чуть выше.
                                0
                                А что не так с бухгалтером? Подпись физического лица и директора ООО, ЗАО — это разные люди. А так продаст бухгалтер шикарную квартиру директора и все новое уголовное дело.
                                +1
                                Кстати, если тут есть представители СКБ Контур — интересно что они думают на этот счет
                                  +1
                                  Здравствуйте, Павел. Отвечаю вам как официальный представитель компании.

                                  Контур, как технологическая компания, заинтересован в оказании именно технологичных услуг, одна из которых, как вы верно заметили, — удаленная доверенная идентификация при получении сертификата КЭП. Здесь мы готовы к любой конкуренции, но вместе с тем обязаны действовать только в рамках закона, о чем и сообщили вам наши коллеги в официальном ответе.

                                  Проблемы с доверием участников электронного взаимодействия, в частности удостоверяющих центров, друг к другу и к электронной подписи действительно есть. Индикатор этих проблем — случаи мошенничества с имуществом граждан или налоговой отчетностью, о многих из которых писали в СМИ. На эти ситуации уже отреагировали регуляторы отрасли, они изменили законодательство, чтобы уменьшить риски и повысить доверие к электронной подписи.

                                  С 1 июля 2020 года вступили в силу поправки в 63-ФЗ «Об электронной подписи», которые увеличили требования к аккредитованным УЦ и их ответственность за нарушения. Это уберет с рынка недобросовестные УЦ и позволит всем участникам ЭДО больше доверять процедуре выдачи сертификатов. Одновременно с этим в законе появилась и возможность удостоверять личность действующим сертификатом аккредитованного УЦ. Благодаря этому клиенты смогут безопасно получать сертификаты удаленно, даже если раньше сертификат им выдал другой УЦ.

                                  С уважением, Ксения Федюшина
                                  Ведущий специалист по связям с общественностью Контура

                                  +2

                                  А мне почему-то нравится идея, что УЦ не доверяют друг другу. Если все УЦ доверяют друг другу, то один обосравшийся УЦ означает, что все остальные тоже обосрались. А так обосрался только сегмент (часть подписей).


                                  Например, в PKI большинство УЦ не доверяют друг другу.

                                    +1

                                    Насколько я помню удостоверящих центров в стране примерно 600. Сколько из них шарашкиных контор одному богу известно. Насколько законно их кому-то делить на шарашкиных и на правильных для самого УЦ тоже неясно. Вобщем проще запретить. А рекомендации это и значит что выполнять просят, но не обязывают.
                                    Когда УЦ на страну станет с два десятка, думаю все станет примерно как хочет ТС. Уверен это случится меньше чем за 10 лет. Но вот беда в этом недалеком будущем из двух десятков примерно два десятка УЦ будут государственными и все будут ныть что государство подмяло рынок УЦ.

                                      +3
                                      Есть еще один нюанс. Точнее два.
                                      1. Недавно вышло распоряжение запрещающее выдавать ЭЦП по доверенности. Видимо мошенничество по получению эцп на левых лиц уже перешло все допустимые границы.
                                      2. Допустим вася купил у коли ООО оформленное на номинала снежану. Причем купил его с эцп снежаны в комплекте.
                                      По хорошему надо чтобы продлить можно было только лично, но вот срок конечно не один год, а минимум лет на пять, и поднять уже государственный таймсервер наконец.
                                      И все эти УЦ надо разогнать ссаными тряпками, пусть мвд или фнс выдают.

                                      А теперь получается что через год вася спокойно продлит себе эцп на снежану.
                                        0
                                        Собственно всё к тому и идёт. ЭП становятся всё более универсальными(их не нужно будет с десяток для разных случаев как сейчас) и для организаций подписи будут выдаваться монопольно ФНС(с 2022г).
                                        Для физ лиц тоже что то слышал что будут выдавать бесплатно, но кто и когда непонятно.
                                        P.S. Нашёл. С 2015 налог.ру выдаёт бесплатно для физ. лиц. Но она работает только для налогов в пределах личного кабинета, для госуслуг уже не работает(хотя кабинет в налог.ру можно зарегистрировать имея подтверждённую учётку госуслуг).
                                        Правда заныкана она глубоко и на главной о ней не упоминается.

                                        +2
                                        ЭЦП настолько идеологически сломаны, что доверие УЦ друг к другу это просто ничтожнейшая из всех проблем. До сих пор УЦ могут сами генерировать закрытые ключи и сами их записывать на токены в режиме «криптофлешки».
                                          +1
                                          Потому что саму идею ассимметричного шифрования могут понять не только лишь все, а примерно 5% населения. Разработчики законопроектов туды разумеется не входят. И сотрудники УЦ тоже. И тем более клиенты. Как вы прикажете сотруднику УЦ объяснить клиенту про открытые и закрытые ключи если они оба не понимают? Проще забрать у него «флешку» и записать туда самому.

                                          Оленю понятно что нужен централизованный реестр, работающая система отзыва сертификатов и проверки оных на дубликаты, запрещение экспорта с токенов, а также таймсервер. Но это оленю, а разработчики нормативных актов они не олени, они чиновники.

                                          А, ну да, надо прекратить кормить УЦ, и выпускать сертификаты на 3-5 лет.

                                          Более того у их половина токенов фейковые, без криптопроца, там закрытый ключ в процессе юзания в ОЗУ извлекается! Зато экономия $2 на «флешке»
                                            0
                                            Кстати да. И вот Контур тут (в отличии от того же Тензора) — себя с хорошей стороны проявляет.
                                            0
                                            Цифровая реинкорнация «Крепостного права»?
                                            Торгаш, присосавшись к государству, подменяя его функции прибирает к рукам немного власти. Естественно не доверяя другому такому же.
                                            А вы теперь в зависимости от его произвола.

                                            Началось еще с платных туалетов, если не ошибаюсь.
                                              0
                                              Основный посыл статьи, должен ли УЦ при выпуске нового сертификата доверять безусловно сертификату другого УЦ.
                                              Определенного ответа нет. Может доверять. И может и не доверять.

                                              Это примерно как пропуск на территорию одного юрлица.
                                              И пропуск на территорию другого юрлица.
                                              И там, и там на пропуске ваше фио и фото.
                                              Но получение пропуска осуществляется в большинстве случаев при личном посещении.

                                              Не следует путать собственноручную подпись и наличие полномочий на совершение каких-либо действий. Не под каждым документов ваша подпись действительна.
                                              ЭП — это такая штука, которая объединяет в себе собственноручную подписи и предоставленные полномочия. Не под каждым документом ваша ЭП действительна.

                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                              Самое читаемое