Рутокен ЭЦП 2.0 3000, COVID-19, УЦ Росреестра и операции с Росреестом онлайн ver. 2.0

    Привет, хабровчане!

    К написанию данной статьи меня подтолкнули сразу несколько вещей:

    1. Должок перед компанией «Актив», которая любезно предоставила мне их новый крипто-токен Рутокен ЭЦП 2.0 модификации 3000. Nastya_d, тэгну вас, т.к. вы последняя, кто постил от лица компании
    2. COVID-19, который перевел работу Росреестра в режим «только по предварительной записи» с хронической невозможностью туда записаться
    3. Изменения в законодательстве, которые были приняты после череды прошлогодних скандалов, связанных с применением электронной подписи
    4. Обновление Росреестра по части проведения электронных сделок и подачи каких-либо иных электронных заявлений

    Так что, наверное, так и пойдем. Кому что-то не интересно, можете переходить на интересный заголовок.

    Рутокен ЭЦП 2.0 3000


    Факты


    Новый токен под старым брендом. Вроде какая-то добавка 3000 в конце и вообще не понятно о чем это. А между тем перед нами принципиально новый носитель ключевой информации. С классическим Рутокен ЭЦП 2.0 его объединяет пожалуй лишь то, что он может быть с ним совместим, и по прежнему на нём можно хранить неизвлекамые закрытые ключи, криптографические операции с которыми происходят прямо в контроллере девайса, а закрытые ключи никогда не покидают его пределов.

    А в чем же разница? Пожалуй, отличия четыре:

    1. Это функциональный ключевой носитель (ФКН), работающий по протоколу (на самом деле метапротоколу) SESPAKE, что дает нам защиту канала между драйвером и контроллером от прослушивания
    2. Многократное ускорение при работе с токеном, на котором есть несколько ключей с сертификатами
    3. Невозможность работы в режиме ФКН через PKCS#11
    4. Отсутствие режима работы без КриптоПро

    Давайте теперь по порядку.

    ФКН с SESPAKE дает возможность защитить канал обмена между драйвером/криптопровайдером и контроллером хранилища. Раньше подобный перехват был возможен, и любой любитель Wireshark с установленным USBcap мог лицезреть открытые PIN-коды при работе с классическим Рутокен ЭЦП 2.0, которые транслируются в APDU командах контролера, что потенциально даёт вектор атаки по подслушиванию PIN'а и дальнейшему подписыванию всего и вся без взаимодействия с пользователем. И хотя формально закрытые ключи всё равно остаются неизвлекаемыми, это может перестать быть принципиальным моментом.

    Ускорение. Уж не знаю как и почему, но если у вас было несколько сертификатов на одном токене Рутокен ЭЦП 2.0, то тормоза были обеспечены. Особенно при попытке софта перебрать все сертификаты или найти контейнер с нужным. Ваш покорный слуга хватал лично ситуации, когда в некоторых системах ЭДО дешифрация маленького документа занимала более минуты. Всё кончилось тем, что Тензор в своих плагинах даже запретил использование аппаратных токенов совместно с КриптоПро 5-й версии, чем вызвал много подозрений. Теперь всё не так, я даже не замечаю разницы между тем, когда на токене был один сертификат, и теперь, когда их четыре (Тензор при этом всё равно не работает с аппаратными ключами в версиях плагинов где-то с осени 2019 года).

    Режим PKCS#11 — это возможность использовать библиотеку производителя, которая реализует стандартное API PKCS#11 по работе с ним (напрямую без КриптоПровайдера). Под Windows применяется мало, т.к. Windows Crypto API является доминирующим способом. Под Linux похоже увы, если не брать гипотетическую возможность установить КриптоПро под Linux и использовать его. КриптоПро под Linux представляет собой по сути реализацию Windows Crypto API, то есть ни одна традиционная софтина под Linux это не поддерживала и не будет поддерживать. Скорее это возможность для разработчиков пилить госзаказ и разрабатывать соответствующие серверные продукты под Linux с возможность криптографии ГОСТ. О применении в Linux Desktop речи не идет. Тем не менее Рутокен поставляет свою библиотеку PKCS#11 для старого Рутокен ЭЦП 2.0 и мне даже удавалось как-то подружить её с плагином ГосУслуг для аутентификации по электронной подписи. С ФКН возможности такой, как я понимаю нет, но возможно компания Актив меня поправит.

    Отсутствие режима работы без КриптоПро. Скорее всего это связано с предыдущим пунктом. Но на практике сложилась некоторая путаница при использовании Рутокен ЭЦП 2.0. Почему-то мало кто знает, что Рутокен ЭЦП 2.0 умеет прекрасно работать с КриптоПро 5-й версии. Возможно, из-за того, что он появился задолго до КриптоПро 5. В результате, различные участники рынка наработали кастомные решения, которые позволяют работать с Рутокен ЭЦП 2.0 без КриптоПро. Это приводило к достаточно серьезным трудностям в диагностике проблем на сайтах. Ты говоришь, что у тебя КриптоПро и Рутокен ЭЦП 2.0, а тебе говорят, что Рутокен ЭЦП 2.0 не работает через КриптоПро. С 3000-м альтернативы, похоже, никакой нет. Только КриптоПро 5. Хорошо это или плохо — время покажет.

    Картинки


    Если вы используете КриптоПро 5-й версии, то поддержка идет из коробки. Отличия для пользователя минимальны. Создание ключевого контейнера:



    В отличие от тупого носителя у вас теперь есть выбор в каком режиме вырабатывать ключевую пару. Верхний — новый режим ФКН, внизу старый режим Рутокен ЭЦП 2.0 с поддержкой PKCS#11, посередине — режим тупого токена, в котором всю работу делает криптопровайдер.

    При создании первого контейнера в режиме ФКН КриптоПро попросит задать PUK-код и пароль:





    В результате получим ключевую пару, которую можно посмотреть через Панель управления Рутокен:



    Резюме


    Рутокен ЭЦП 2.0 3000 стал для меня долгожданной заменой для ранее использованного функционального ключевого носителя из АПК КриптоПро Рутокен CSP 3.6, который умел только старые ГОСТы. Тем не менее, я очень расстраиваюсь, что для работы с этим всем добром приходится держать виртуалку с виндой. Было бы здорово, если бы Рутокен раскрыл описание своей реализации протокола SESPAKE. Думаю, что прикрутить стандартные линуксовые библиотеки для работы с этим токеном можно будет будет без особых проблем.

    COVID-19 и РосРеестр


    Пандемия нехорошим образом сказалась на возможности работы с РосРеестром. Не знаю как других регионах, но в Питере случилась прямо какая-то вакханалия. С одной стороны, МФЦ полностью перешли на работу по предварительной записи (сейчас вышли, но по услугам РосРеестра продолжают оставаться). С другой стороны, записаться на это стало возможным только в первые минуты начала дня после 9:00 и где-то на 2-3 недели вперед. СМИ сообщали, что риелторы бронировали всё под себя, а потом продавали свою очередь — но так как запись была именная, то помимо покупки очереди приходилось ещё и оформлять доверку на такого дельца, потому что кроме него никто пойти по очереди не мог.

    Альтернативой этому стали нотариусы, которые могут в электронном виде отправлять документы на регистрацию сделки в Росреестр, но они берут очень дорого за нотариальное удостоверение сделки. Другая альтернатива — ДомКлик от Сбербанка: если покупатель покупает в ипотеку, то ДомКлик позволяет зарегистрировать всё электронно (даже с небольшой выгодой по процентной ставке).

    Покупатель нашелся по ипотеке, и дружно решили оформляться через ДомКлик. Но не тут-то было. Недвижимость оказалась старой, и регистрация прав была осуществлена в 1995 году. Если вы регистрировали свои права до 31.01.1998, то нужно:

    • либо заранее внести заявление о регистрации ранее возникших прав (требует уплаты госпошлины)
    • либо такое заявление подать одновременно со сделкой, тогда это бесплатно

    Однако ДомКлик такие заявления подавать не умеет. Нотариусы тоже за это не берутся по неизвестным мне причинам, которые я не выяснял. Сделка оказалась под угрозой, так как МФЦ предложил запись аж на 23 сентября.

    И тут выхожу я весь в белом и говорю: «А давайте сделаем это в электронном виде сами?»

    Изменения в законодательстве


    Начать, пожалуй, стоит с того, что в прошлом году отменили обязательное нотариальное удостоверение сделки, если имеется общая долевая собственность и все владельцы долей участвуют в сделке. Безусловно — это позитив, ибо нотариусы совсем охренели — этих ребят стоит держаться подальше при возможности.

    После череды скандалов(раз, два, три), прокатившихся в 2019 году, связанных с регистрацией прав на недвижимость и создания ЮЛ с использованием электронной подписи, были приняты некоторые изменения в законе. Вкратце: теперь по дефолту использовать ЭП для сделок по недвижимости можно только в том случае, если сертификат ЭП выдан удостоверяющим центром Росреестра, а точнее его дочки — ФГБУ «Кадастровая палата». Вы можете этот дефолт отменить, явно указав, что хотите это делать с сертификатом любого УЦ. Однако, для этого вам необходимо подать заявление в Росреестр через МФЦ, а для этого предварительно записаться на 2-3 недели вперед (смотри выше) — то есть никакого выигрыша по времени.

    Что ж? УЦ Росреестра оказывается единственной альтернативой. Начинаем изучать. УЦ располагается по ссылке. Нажимаем «Сколько стоит?». 2200 рублей с записью на токен. 700 рублей — Предоставляется в электронном виде личность удостоверяется в офисе. Опаньки! В электронном виде, это означает, что работают по схеме с запросом на сертификат. То есть можно самым правильным способом сгенерировать пару у себя на рабочем месте, отправить им запрос, а в офисе только пройти процедуру удостоверения личности — то чем и должен заниматься УЦ.

    Регистрируемся, заводим все данные в профиль. Жмем «Отправить запрос». Сайт делает автоматическую диагностику установленного ПО: всё удовлетворяет необходимым требованиям, т.к. используются только общепринятые плагины к браузеру, а не так как у Тензора. Генерируем пару в режиме ФКН на нашем новом Рутокен ЭЦП 2.0 3000. Ждем. Через несколько минут приходят на электронную почту письма о дальнейших действия. Сказано, ждать документа на оплату. Где-то через полчаса приходит квитанция на оплату с QR-кодом. Платеж в бюджет, поэтому используется УИН. Оплачиваем 700 рублей через онлайн-банк. Ещё через 20 минут, заявка переходит в состояние оплачено. Связка Банк<->ГИС ГМП<->Росреестр работает быстрее чем платежи по реквизитам счета, но конкретная скорость может зависеть от выбранного банка. Звоним по указанному в письме телефону для записи на время для удостоверения личности — номерки есть даже на сегодня. Бегом в офис кадастровой палаты. И вот результат — в 14:00 этим вопросом озадачились. В 16:00 прошли процедуру удостоверения личности и пока ехали домой, выпустились сертификаты. Процедура достаточно тщательная, помимо всех документальных проверок, также производят фотографирование. Сертификаты, к слову, на 15 месяцев, а не как обычно на год.

    Резюме


    Несмотря на то, что Росреестр остался фактическим монолистом на рынке ЭП для сделок по недвижимости, работает четко. До этого я пользовался УЦ Тензор, где физлицу можно получить сертификат ЭП за 500 рублей. Но скорость работы, факт того, что не нужно ставить дополнительный софт, как у Тензора, сертификат на 15 месяцев — всё это даёт мне основание похвалить впервые за много лет Росреестр. 200 рублей переплаты относительно Тензора того стоят, ИМХО.

    Обновление Росреестра по части проведения электронных сделок


    В предыдущей статье на эту тему мы рассматривали оформление сделок с помощью основного портала Росреестра (не доступен в момент написания). Вначале я решил пойти по проторенной тропе, но очень быстро упёрся в то, что введенный кадастровый номер помещения не валидируется, хотя введен абсолютно правильно. Анализ HTML-кода показал, что в валидатор вставлен костыль, который отвергает большинство кадастровых номеров по первой группе цифр, которая обозначает регион. Все регионы кроме шести штук (16, 26, 47, 61, 63 и 76) оказались таким образом как бы забаненными. Нигде об этом естественно не написано. Хотелось разбомбить.

    Однако я быстро вспомнил, что аналогичный функционал, но с другим интерфейсом был представлен в личном кабинете гражданина в Росреестре (авторизация через ЕСИА), который мне не удалось протестить в прошлой статье. Сходил туда и беглый осмотр показал, что для Питера никаких ограничений нет. Значит будем делать так.

    О возможных причинах такого поведения Росреестра
    В настоящий момент в Росреестре идет активная миграция на новую информационную систему — ФГИС ЕГРН. Миграция происходит по регионам. Возможно, что старый интерфейс для электронных заявлений не предназначен для работы с ФГИС ЕГРН. А новый, который в личном кабинете, предназначен.

    Переходим на вкладку «Услуги и сервисы» и выбираем нужную услугу:



    Далее нас ждет несколько шагов по заполнению заявления (в зависимости от выбранной услуги):



    На первом шаге необходимо просто согласиться и поставить галочку.

    Далее, к сожалению, скриншоты не публикую, так как в них содержится много персональных данных.

    На втором шаге необходимо проверить и заполнить данные заявителя. Данные подтягиваются из ЕСИА, но если у вас профиль заполнен не полностью, то что-то придется дописать. Также Росреестр плохо подтягивает из ЕСИА адреса проживания и регистрации — скорее всего вам придется указать их вручную. Также отмечу, что на данном шаге есть возможность добавить других заявителей. Это необходимо сделать, если у квартиры несколько собственников.

    На третьем шаге указываются (в данном случае) данные о собственности (реквизиты помещения, доли и т.д.).

    Четвертый шаг самый сложный. Тут необходимо загрузить все документы. Начиная со сканов паспорта, которые каждый заявитель заверяет своей электронной подписью, заканчивая договорами и прочими документами, которые должны заверяться электронными подписями тех, кто их подписывает. Например, договор, должен быть подписан всеми сторонами сделки. Кроме того, может понадобиться документ, который у вас есть только в бумажном виде или от стороны, которая в сделке не участвует — например, согласие супруга. Тут можно прибегнуть к нотариусу — нотариусы умеют сканить документы и своей электронной подписью подписывать сканы и факт того, что получившийся электронный документ полностью тождественен документу на бумажном носителе. Возможно, если весь документ составляет сам нотариус, то он может сразу сделать его электронным со своей подписью без вывода на бумагу — не поверял работают ли так нотариусы на практике.

    Для подписи одного документа несколькими электронными подписями так, чтобы все подписи попали в один файл (Росреестр не поддерживает возможность указать несколько файлов с подписями, которые относятся к одному документу), в каментах к прошлому посту рекомендовали использовать бесплатную утилиту Криптолайн фирмы Такском. Действительно, утилита — огонь, хоть интерфейс и чудаковат.

    На последнем (пятом) шаге, вам предстоит повторно проверить состав поданного заявления, подписать его и отправить. Перед отправкой вас спросят о желании составить второе заявление в этом же пакете документов. Если вы регистрируете сделку (переход прав), а не просто регистрацию прав, то это необходимо сделать. Причем первое заявление должно подаваться текущими собственниками помещения, а второе — от имени тех, кому право переходит. В оба заявления нужно прицепить договор, подписанный всеми сторонами сделки.

    Резюме


    В казалось бы безвыходной ситуации нашелся выход. Всё потому что гики — это не образ жизни, а стремление к неизведанному. Прошлый мой опыт, сотканный из просто желания попробовать неизведанное, обернулся реальной пользой.

    Комментарии 66

      +1
      Спасибо за статью!
        0
        Одно неприятно, из-за бардака и безответственности в вопросах идентификации и аутентификации граждан с использованием ЭЦП, уже выделяются хорошие УЦ и все остальные. Занимательная картина средней организации, работающей с различными площадками и USB-hub-ом для всех овердофига токенов, скоро начнёт просачиваться в жизнь обычных людей… Это дорога в ад товарищи, с чем всех и поздравляю…
          0
          Но ведь действительно не все УЦ одинаково полезны. Что вы с этим предлагаете делать?

          Про USB-hub извините, не понял, что вы хотели этим сказать.
            0
            1. Видимо поэтому с 2022г. их будет выдавать только ФНС.
            2. В том плане что по наплодили сущностей. Должно быть две подписи: для организаций и для физ лиц. И то физ. лицам выдавать только через гос. структуру и бесплатно(либо минимальная оплата не в целях заработка, а окупить затраты), т.к. она им нужна только для взаимодействия с органами и в их интересах упростить себе работу. Сейчас их бесплатно выдает сайт налоговой и действует она только в его пределах.
            А у того же такскома их(ЭП) больше трёх десятков.
              0
              1. Не так. ФНС будет выдавать юрлицам и, похоже, бесплатно. При этом от имени юрлица документ будет подписываться двумя подписями — ЭП ЮЛ и ЭП ФЛ — руководителя. ЭП ФЛ вы продолжите получать в любых УЦ по вашему выбору.

              2. Согласен по всем фронтам. Более того, постоянно вносятся в ФЗ о ЭП какие-то правки, которые призваны запретить устанавливать дополнительные требования к сертификату ЭП для работы в публичной информационной системе. Однако, видимо, ответственности владельца ИС нет за это нарушение.

              3. Справедливости ради, большинство этих видов ЭП не нужны большинству участников. Кроме того, вряд ли вы будете обижаться на то, что ваша ЭП не работает там, где нужна ЭП с признаком «нотариус», «врач», «кадастровый инженер» и так далее. Или будете? )
                0
                3. Именно по этому весь выбор ЭП должен сократится до двух: ЭП ЮЛ и ЭП ФЛ.
                Чтобы не ломать мозг ни себе, ни гос организациям. Нотариус, врач, кадастровый инженер, ключ для кассы, ЕГАИС, маркировка, маркировка 2.0, это как раз лишние сущности, только усложняющие жизнь бизнесу.
                Плюс единый онлайн гос. реестр где организация/физ. лицо может увидеть все свои зарегистрированные/полученные не важно где, ЭП. С датой окончания и уведомлением.
                  0
                  > Чтобы не ломать мозг ни себе, ни гос организациям.

                  Боюсь, что именно в этом случае вы будете ломать себе мозг. Вот, допустим, нотариус Алиса подписал доверенность гражданина Дейва, находящегося в Москве, о том, что он доверяет Фрэнку, который находится в Санкт-Петербурге, провести сделку с его недвижимостью. Эту доверенность нотариус Алиса высылает нотариусу Бобу по электронной почте, который тоже сидит в Санкт-Петербурге и будет удостоверять сделку, которую Фрэнк проводит по доверенности Дейва.

                  Как должен себе сломать голову нотариус Боб, чтобы понять, что Алиса — тоже нотариус, а не какой-то хрен, у которого просто есть сертификат ЭП? Нужно какой-то реестр нотариусов держать. А если реестр заддосили хакеры? А если нотариус Алиса выдала доверенность на 3 года и на следующий день перестала быть нотариусом? Её держать в реестре или нет?

                  Поэтому самое простое и правильное — в сертификат включать признак, что это специальный сертификат.
                    0
                    Реестр должен быть устойчивым к такого рода атакам, некоторые давно уже умеют.
                    «А если нотариус Алиса выдала доверенность на 3 года и на следующий день перестала быть нотариусом?», а как сертификат защитит? Он должен автоматически протухать одновременно с закрытием/сменой деятельности.
                    «Поэтому самое простое и правильное — в сертификат включать признак, что это специальный сертификат.», да, это должен быть один сертификат с доп. пометками, а не 20 на каждый случай.
                    А софт для работы и проверки сертификатов(и подписанных ими документов), должен онлайн проверять валидность подписи(х.з. делает ли он это сейчас).
                    Плюс возможность проверки подписи документа на сайте(а так же история сделок/подписей для самой организации).
                      0
                      > Реестр должен быть устойчивым
                      Мне, если честно, не очень эта идея нравится. Реестр — это дополнительная сущность, владелец которой вообще никак не заинтересован в её содержании. Дополнительная сущность кроме всего — это просто дополнительная точка отказа. Не плодите сущности.

                      > а как сертификат защитит? Он должен автоматически протухать одновременно с закрытием/сменой деятельности.

                      Сертификат отзывается, но недействителен он только с того момента, как отозван. А всё, что было им подписано до этого момента — действует. Или вы предлагаете все подписанные документы превращать в тыкву после того, как сертификат, например, кончился? Как хорошо, что не вы закон пишете! ))

                      > да, это должен быть один сертификат с доп. пометками, а не 20 на каждый случай.

                      ну вряд ли нотариус окажется врачем и кадастровым инженером одновременно. Так что всё нормально с тем, чтобы сертификат имел специальные признаки.

                      > Плюс возможность проверки подписи документа на сайте(а так же история сделок/подписей для самой организации).

                      Хм… проверка подписи на сайте? То есть уже нужно отношение доверия к какому-то сайту иметь, чтобы удостовериться в валидности подписи? Я предлагаю в таком случае узаконить печь — лежишь на ней и говоришь: «По щучьему велению, по моему хотению, подписи электронные, проверьтесь сами и расскажите валидные ли вы»
                        0
                        Мне, если честно, не очень эта идея нравится. Реестр — это дополнительная сущность, владелец которой вообще никак не заинтересован в её содержании. Дополнительная сущность кроме всего — это просто дополнительная точка отказа. Не плодите сущности.
                        Так единый реестр от ФНС, раз они будут выдавать сертификаты, то и за их актуальностью следить будут сами же.

                        Сертификат отзывается, но недействителен он только с того момента, как отозван. А всё, что было им подписано до этого момента — действует. Или вы предлагаете все подписанные документы превращать в тыкву после того, как сертификат, например, кончился? Как хорошо, что не вы закон пишете! ))
                        Неправильно выразился. Разумеется все подписанные ранее документы остаются в силе, но уже с пометками(организация закрылась/сменила род деятельности и т.п.).

                        ну вряд ли нотариус окажется врачем и кадастровым инженером одновременно. Так что всё нормально с тем, чтобы сертификат имел специальные признаки.
                        Судя по описанию закона примерно так оно и будет.

                        > Плюс возможность проверки подписи документа на сайте(а так же история сделок/подписей для самой организации).
                        Хм… проверка подписи на сайте? То есть уже нужно отношение доверия к какому-то сайту иметь, чтобы удостовериться в валидности подписи? Я предлагаю в таком случае узаконить печь — лежишь на ней и говоришь: «По щучьему велению, по моему хотению, подписи электронные, проверьтесь сами и расскажите валидные ли вы»
                        А как сейчас узнают о не действительности подписи в случае закрытия и т.п.? Задним числом, когда деньги уже ушли, а человек уехал за границу?
                          +1
                          Очень неудобно читать ваши каменты, так как вы цитируте простым копированием. Поэтому только на последний вопрос:

                          А как сейчас узнают о не действительности подписи в случае закрытия и т.п.? Задним числом, когда деньги уже ушли, а человек уехал за границу?


                          Вы не могли бы четко описать юзкейс, который у вас вызывает сомнения? Потому что у вас какая-то куча мала. Если контора закрыта, то деньги никуда не уйдут. Не говоря уже о том, что подписание чего-либо вообще с переводом денег никак не связано, так как деньги переводит банк по поручению владельца счета.
                      0
                      Самый главный вопрос — а зачем нотариус? Нотариус лишь удостоверяет что подпись поставил именно тот человек, который предоставил документ т.к. факсимильную подпись можно спокойно подделать (и именно предоставил — нет ни слова о том что тот кто предоставил документ удостоверяющий личность — именно владелец документа).

                      В то же время — ЭЦП подделать нельзя и ее выдают именно владельцу. Зачем нотариус? Только для проверки добровольности сделки?
                        0
                        В описанной ситуации выше, если человек продает квартиру, а находится не там где покупатель, то чисто теоретически сделку можно провернуть в электронном виде без нотариусов. Но боюсь, если вы ещё с этим разберетесь, то шанс, что ваш контрагент будет такой же прошаренный — вряд ли.

                        Поэтому нужна как минимум доверенность представителю. Можно, конечно, сделать её в Москве и послать почтой в Питер, но при наличии электронного нотариата — это бред и потеря времени.

                        Далее, есть у нас в законе такие маразмы, которые остались от доЭПэшных времен. Например, статья 35 Семейного кодекса явным образом утверждает, что согласие супруга на сделку по отчуждению должно быть оформлено нотариально. Даже если вы оформляете электронно и супруг имеет ЭП и готов взять написать согласие и подписать его ЭП, и приложить — такая история не катит. Нужно всё равно чапать к нотариусу и просить его составить электронное согласие, заверенное ЭП нотариуса, либо делать его на бумаге нотариально и далее заказывать процедуру по созданию электронной копии и заверению её тождественности документу на бумажном носителе.

                        Сам ненавижу этих крыс, но иногда в них упирается закон (
                  –1
                  За что люблю российскую систему государственный сервисов, так за то, что при наличии паспортной службы при МВД, Госуслуг (уже претендующих на идентификацию народа), МинЦифры и всяких ГУЦ, сертификаты гражданам будут выдавать налоговики. Вот не получается у нас нормальная иерархия служб, всякий раз «кто может, тот и тянет»…
                    0
                    Сертификаты гражданам налоговики выдавать не будут. Думаю, что сертификаты гражданам государство будет выдавать только тогда, когда электронный паспорт наконец выпустят. И тогда этим будет МВД заниматься.
                      –1
                      Думаю, что сертификаты гражданам государство будет выдават

                      о боже… я представляю что будет
                      «с половинадцатого мартебря, все бессрочные справки и подписи перестают действовать, пройдите на получение новой бессрочной единой справки и подписи»… а потом в ФГУП-МУП-Реестр… «так, а у вас подпись не наша, а новую у нас еще не внедрили, мы вас не обслужим, и свою не дадим потому что её упразднили, приходите осенью»

                      прямо как с медицинскими полисами… если в документах покопаться у меня их уже штук десять… на всех написано «действует бессрочно» и на половине есть графы «изменение страховой компании» которые нигде и никем не заполняются
                        0
                        Полисы изначально были кто во что горазд. Идея причесать их к общему знаменателю возникла недавно (в исторической перспективе). В паспортизации всегда всё было в одной руке. У вас же нет проблемы с получением и заменой паспорта? Почему вы тут ожидаете подвоха — не понятно лично мне. С т.з. технической стороны, процесс, скорее всего, будет максимально автоматизирован.
                      –1
                      Госуслуги с паспортами работают только как посредники(как и со всем остальным), именно поэтому такие большие сроки(2-3 недели) на банальную постановку/снятие с учёта.
                        +1
                        Вы из какой страны нам пишете? Через госуслуги максимальный срок по регистрации и снятию — 6 дней, по-моему. На практике больше трех дней (если это не новый год) у меня не получалось.
                          –1
                          Не госуслуги, а МФЦ(но это по идее одно и тоже). В этом году в феврале переезжал. Две недели и пришлось самому в паспортный стол ехать, т.к. забыли поставить печать, а МФЦ документы не проверяет, только передают туда сюда.
                          И не на НГ, а в феврале/марте.
                            +1
                            Это не одно и то же. Если вы заказываете госуслугу на сайте, то вас приглашают непосредственно в отделение по вопросам миграции и в течение минут 15-30 вас прописывают, выписывают и выдают вам паспорт обратно со всеми штампами, а ребенку — форму 8. И никому вы паспорт не отдаете на несколько дней.
                              0
                              Я к сожалению не мог воспользоваться, т.к. переоформлялось сразу 4 человека. У половины была неподтверждённая учётка госуслуг и соотв. ничего не работало.
                              Подтвердил одному учётку через сбербанк онлайн, в результате их стало две и паспорт из старой в новую не переезжал. Мрак в общем.
                              В МФЦ ехали не знали про такие сроки(хотя между МФЦ и паспортным столом 15 минут езды), хотели упростить себе жизнь, в результате 2 недели ходили без паспортов.
                                0
                                Во-первых, подтвердить учетку в МФЦ, а потом заказать и получить услугу на портале — гораздо быстрее, чем то, что вы затеяли.
                                Во-вторых, в МФЦ никогда не скрывают сроков. Можно спросить и получить ответ, что это займет две недели.
                                В-третьих, всё, конечно, зависит от ситуации. Кто там собственник и все такое, но теоретически ничто не мешает тем, у кого учетка есть, пойти в МВД, а тем, у кого нет — в МФЦ. Единственное — если никто из этой когорты не является собственником, то собственнику квартиры, в которую вы прописываетесь, придется ходить и в МФЦ, и в МВД.
                                  0
                                  Собственники все четверо 1/4.
                                  Плюс собственники дома в который временно переехали двое(плюс пара малых, которых дома не на кого оставить), т.к. надо их согласие, потому было проще сдать документы, раз приехали и подождать, чем ещё раз собраться всем кагалом, т.к. все работают.
                                    0
                                    Ниче не понял. Если каждый собственник, то он может идти в любое время и любым способом регистрироваться. Ему не нужно согласие остальных собственников
                                      0
                                      Да, но для этого нужно каждый раз вызывать всех собственников жилья куда прописываешься(даже временная прописка).
                                      Т.е. четыре поездки только сдать документы и четыре получить.
                      0

                      Ну да, давайте сделаем еще одну госмонополию и убьем всю конкуренцию, ведь госорганизации никогда не ошибаются и всегда несут ответственность за свои действия(лол)

                        0
                        А где вы вообще увидели предложение создать госмонополию?
                          0
                          Государство само создало рынок ЭП и не в силах наладить порядок(в виду того что руководство, далеко до понимания как этот ваш интернет работает), само же его и убьёт.
                          С 2022г. приходите в понедельник до 12:00, количество ЭП ограничено.
                            0
                            Вообще говоря — нет. Рынок ЭП создали те, кто в начале нулевых занимался сдачей налоговой отчетности в электронном виде. Эти же лица сейчас — крупнейшие УЦ, операторы ЭДО, операторы ФД и прочее, и прочее. Государство лишь оформило эту деятельность в рамки закона. Потому что до этого это всё работало непрозрачно. Начать свой бизнес по сдаче налоговой отчетности на общих основаниях у вас бы не получилось тогда, потому что всё это делалось неформально, в баньке и тому подобное, т.е. самих общих оснований не существовало.
                              +1
                              Рынок ЭП создали те, кто в начале нулевых занимался сдачей налоговой отчетности в электронном виде


                              ой да, чтото вспомнилось… в то время мы работали с одной из таких контор как их представители… нам показывали прикольную штуку, скачиваешь с сайта правительства текст закона об электронной отчетности, открываешь метаданные, а там в авторе написано ООО "_известная_фирма_на_этом_рынке"… это даже не лобирование, это вообще цирк с конями ;)… конторы сами для себя законы писали и их принимали в правительстве дословно, даже не удосужившись почистить упоминания авторов оригинала
                                0
                                А вы считаете, что человек, который никогда в жизни не слышал про криптографию с открытым ключем, может написать про неё закон сам? )
                                  0
                                  Это не аргумент. А то давайте антимонопольные законы нам газпром писать будет и РЖД, чтобы никто не мог стать монополией кроме Газпрома и РЖД

                                  Мне видится что должен быть профильный комитет, который собирает заключения экспертов из разных профильных НИИ и участников рынка, и на основании этого пишет закон.

                                  А не то что ООО РогаИКопыта напишет закон в стиле п.1 Подпись содержит 54 знака подписанные алгоритмом Abcd512 (совершенно случайно лицензированным этимиже рогамикопытами которые по доброте душевной продают лицензии на него)… ну и в этом духе, а его принимает правительство — ну мол они разбираются лучше, мы подмахнем подпись
                                    0
                                    А не то что ООО РогаИКопыта напишет закон в стиле п.1 Подпись содержит 54 знака подписанные алгоритмом Abcd512 (совершенно случайно лицензированным этимиже рогамикопытами которые по доброте душевной продают лицензии на него)


                                    Покажите-ка мне, где в законе содержится такое или хотя бы что-нибудь в этом духе? Технические требования вообще в законе не описаны, они устанавливаются приказом ФСБ
                                      0
                                      Я образно описываю что может быть если законы пишет фирма под себя.
                                      там еще были всякие странные техпроцессы были описаны, подозрительно напоминающие обработку документов чутьли не вручную через оутлук

                                      p.s. всякие требования ФСБ вводить начали уже позже, мы в итоге закрыли это направление в бизнесе в тот момент потому что стало нужно получать какойто мудреный сертификат ради которого надо иметь в штате какихто спец.людей с дипломом определенного образца и аккредитацией этого самого ФСБ
                                        0
                                        Образно, я считаю, что нет ничего плохого в сценарии, когда закон, касающийся отрасли, пишут профессионалы из этой отрасли. А «государственные мужи», следят именно за тем, чтобы не было в законе того, о чем вы говорите, плюс блюдут государственные интересы. Более того, если собирается широкий круг профессионалов, то они первые будут кричать, если в законе вырисовывается конкретный интерес одного участника.

                                        Что касается случая с автором документа — ну скорее всего это был либо тот, кто этот документ начал, либо тот, кто сделал в нём последнюю правку. А то, что других участников не было и он целиком написан одной фирмой — это спекуляция и/или досужие домыслы.
                                          0
                                          это спекуляция и/или досужие домыслы.

                                          Чет мне кажется вы или в той конторе работали/работаете или вообще не сталкивались с той отраслью в середине 2000х
                                            0
                                            я так понимаю, что все, кто имеет наглость с вами не согласиться, автоматически работают в нехороших конторах? или может даже на солдатов НАТО? )

                                            Эту байку про метаинфу в документе я слышал много раз, но к сожалению не разу не слышал конкретное название конторы. В любом случае, работать я начал в 2003 и та контора совершенно точно не занималась сдачей налоговой документации.
                                              0
                                              я так понимаю, что все, кто имеет наглость с вами не согласиться,

                                              Вы не соглашаетесь слишком категорично, даже не допуская того что это может быть действительно так.
                                              Я сейчас на одном из форумов наблюдаю забавную ситуацию, когда такой человек пару лет назад утверждал что он много лет ИПшник и выводит бабки на свою карточку и тратит как хочет, а рассказы о том что банки лочат карты за такое — это бред и наглые вбросы… сейчас рвет голову на голове — банк залочил карту и просит указать — куда и зачем он выводит деньги с р.сч. его ИП на его личную карту… прямотаки разрыв шаблона налицо
                                              но это так лирика на тему…

                                              но к сожалению не разу не слышал конкретное название конторы

                                              Вам это чемто поможет? не знаю насколько корректно и безопасно делать такие заявления контора — Так*ком, а работал я в те годы с Контуром (не напрямую у них, но с ними) и было забавно наблюдать какие забавные палки в колеса они выдумывали своим конкурентам

                                              И это не байка, я сам своими глазами это видел когда читал законодательство в этой сфере в далеких 2000х
                                                0
                                                Вы не соглашаетесь слишком категорично, даже не допуская того что это может быть действительно так.


                                                Это вы слишком категорично утверждаете, что документ был до последней запятой написан Так*комом. Я лишь говорю, что возможно могло быть совсем иначе — могла быть рабочая группа, в которую входили разные конторы, а первую версию документа начали набивать на компьютере сотрудника Так*кома.

                                                Давайте сделаю так. Я знаю человека, с которым это всё рождалось. Он не из Так*кома. Спрошу, участвовал ли он или его фирма в рождении этого документа.
                            0
                            Меня госмонополия на выдачу паспортов не пугает, До чёртиков меня испугает появление коммерческих паспортных столов. А Вас?
                              0

                              Google Auth и прочие источники авторизации уже являются аналогом коммерческих паспортных столов и никого это особо не напрягает

                                0
                                вы можете чтото серьезное сделать авторизуясь по токену googleauth?
                                  0

                                  Ну этот вопрос обсуждаем, но сделать что-то серьезное по тому же телефону- вполне реально, который сейчас принимается чуть ли не всеми как способ идентификации человека

                            0
                            1. Даже если подпись будет выдаваться через гос.структуру, в итоге всё равно всё упрётся в одного или двух человек, проверяющих удостоверение личности и сверяющих фото. Стопроцентной гарантии не даст никто. В конце концов, паспорт можно подделать или украсть, а лицо — загримировать.
                            2. Принципиальных различий между подписями для физиков и юриков — нет.

                            По-моему, нужно делать следующее:
                            1. Ужесточать требования к выдаче лицензий УЦ. Не обязательно доверять только государству, но порог вхождения должен быть достаточно высоким. Однодневок среди УЦ быть не должно.
                            2. Обязать УЦ публиковать списки выданных сертификатов (причём публиковать в нормальном виде).
                            3. Запретить выдачу сертификатов с датой начала действия раньше, чем через сутки или двое после выдачи. Это позволит лицу, на имя которого выдан сертификат, отозвать сертификат до начала его действия (если, конечно, это лицо позаботится о мониторинге).
                            4. В идеале — наладить доставку сообщений о выдаче сертификатов в личный кабинет портала госуслуг (и далее — по всем каналам, про которые портал госуслуг знает).
                              0
                              Поздно, президент уже заверил закон.
                              С 1 января 2022 года

                              Подпись юрлица смогут получать только руководители организаций. Сотрудники должны будут получать подпись физлица.
                              Сотрудникам нужно будет прилагать доверенность при подписании электронных документов.
                              ЭП юрлица без привязки к руководителю или другому сотруднику можно использовать при любом автоматизированном подписании.
                              Перестанет действовать аккредитация большинства удостоверяющих центров.
                              Подписи руководителям юрлиц начнут выдавать ФНС, Центробанк и Казначейство, подписи физлицам и сотрудникам компаний — оставшиеся на рынке аккредитованные УЦ.
                                0
                                Не вижу ничего в этом тексте, что хоть как-то относилось к каменту Sergey_Cheban. Те изменения, которые подписал президент, никак не относятся к предлагаемым им изменениям. И это не единственное изменение в 63-ФЗ, другие были до этого, и будут ещё в будущем.
                            0
                            Но ведь действительно не все УЦ одинаково полезны. Что вы с этим предлагаете делать?

                            Подписывать их другим сертификатом ГУЦ. То есть разные цепочки доверия для разного класса проверок. Если для совершения каких-то действий нужно быть уверенным, что человек точно реальность — подписываем сертификат ЦС сертификатом ГУЦ соответствующего класса, а сам ЦС при этом попадает на адовую систему проверок и параллельной верификации выданных сертификатов постфактум (выдали сертификаты, а службы аудита от ГУЦ проверила более 50%, что они относятся к реальным людям и эти люди вообще в курсе, полученных на их имя сертификатов). Ну и ещё плотная работа ФСБ-шного противошпионского главка по сотрудникам центра. И если что, тот же главк тянет человека по соответствующим статьям об измене Родине и диверсиях… Не хочешь такого ужаса — подписывайся сертификатом классом пониже… В результате, если сертификат пользователя по цепочке доверия доходит до сертификата ГУЦ соответствующего класса доверия, мы ему доверяем, если нет, то не доверяем. А положение с 100500 ЦС, какие-то из которых хорошие, какие-то плохие, а понять это можно только по статьям на хабре — это не PKI, а детский сад — штаны на лямках…

                            Про USB-hub извините, не понял, что вы хотели этим сказать.

                            Не знаю как Вы, я я наблюдал у народа, плотно работающего с различными площадками тендеров и торговли, целые горы токенов, которые иногда нужны прям почти все сразу, поэтому выделенную машину под работу с площадками (либо машину сотрудника, что с ними работает) нужно было дополнительно комплектовать USB-hub-ом, так как портов под все токены не хватало. Нет, если сертификаты выписывались нашеми спецами, мы обычно пытались создавать контейнеры на уже имеющихся токенах, но это не всегда возможно, и почти всегда бухгалтерия с новой площадкой получала ещё один токен.
                              0
                              1. Вы опускаетесь до технических подробностей. Как сделать технически — понятно. Не понятно как это развести юридически. Сейчас это законодательно нельзя сделать. То, что в этом вопросе должна вестись работа — я с вами абсолютно согласен.

                              2. Наличие большого количества токенов — как правило не от большого ума. Большинство из этих подписей можно упихать на один токен. Для этого и требуется генерировать всё на своем рабочем месте по схеме с запросом на сертификат. Товарищи, о которых вы пишите, ничего этого не знают — им сказали куда занести денех, чтобы получить очередной сертификат ЭП с нужными признаками, они побежали и занесли. Им в УЦ взяли и на чистый сто первый токен сгенерили пару, записали сертификат и выдали. Когда УЦ делает подпись под ключ они не парятся тем, чтобы записать вам всё на уже существующий токен. Ну в крайнем случае могут согласится записать на ваш, но перед этим его отформатировать. А уже о том, чтобы сгенерить токен на ФКНе — и речи такой идти не может. Только тупые токены.
                                0
                                1. Нет, это порядок существования системы идентификации субъектов государственных отношений. Оно должно было существовать, или прорабатываться до выдачи первого сертификата. А сейчас нужно всё бросить, и создавать такую систему, поскольку в противном случае мы получаем огромное пространство слабоуправляемых процессов, которые могут привести к плачевным результатам для госвласти. Если госсистемам идентификации не доверяют, то вскоре не будут доверять и государству, что черевато.
                                2. Большая часть людей, работающих с сертифкатами — люди, их подготовка по работе с этими сертифкатами в лучшем случае — листовка-памятка. Людей нужно готовить к работе с инструментом и инструмент должен быть подготовлен к работе с людьми. На данный момент можно нарваться на ЦС, который без токена ключа не выдаст. Кроме того во многих случаях полезно иметь несколько токенов, для работы нескольких специалистов. В любом случае, по сертификату на площадку — это проблема.
                                0
                                Кстати, если разделить УЦ по уровням доверия, то кончится всё просто тем, что все те участники, которые принимают документы, подписанные электронными подписями, просто задерут свои требования к сертификатам, чтобы они был из самой доверенной цепочки. И все остальные, менее доверенные просто автоматически обнулятся. Таким образом, от этого ранжирования на практике будет мало пользы.
                                  0
                                  Вряд ли, к паспортам то дополнительных требований не возникает. Здесь тоже не должно.
                                    0
                                    ШТОА? Вы где-то видели паспорта разного уровня доверия? Я нет, потому и не возникает. Вы же именно и предлагаете ввести такую цветовую дифференциацию штанов.
                                      0
                                      1. Есть паспорт
                                      2. Есть бумажка, на которой написано «Иван Иванович» и снизу подпись «нотариус Петров»
                                      3. Есть бумажка, на которой написано «Иван Иванович» и стоит печать конторы «Рога и копыта»
                                      4. Есть бумажка на которой написано «Вася»
                                      Это 4 разных бумажки с 4-я разными уровнями доверия. 1-я самая доверенная. Если я заявлюс с паспортом, народу придётся поднапрячься, чтобы доказать, что я-не-я, если рожа с паспорта сойдётся с рожей обращающегося. Вот и все уровни доверия.
                                        0
                                        Отлично! И каком проценте мест, где положено удостоверять вашу личность, вместо паспорта у вас готовы принять хотя бы одну из оставшихся трёх бумаг? На моей памяти в паре мест согласились по водительскому удостоверению, и то делать они этого не могли — нарушили свои инструкции.

                                        То же самое будет и с разными уровнями сертификата. Иметь значение будет только самый высокий.
                                          0
                                          Если в данном месте принято удостоверять мою личность, значит она должна быть удостоверена надёжно. На сколько мне помнится, вся проблема с ЭЦП связана с тем, что там где нужно принимать паспорта, принимали бумажку с надписью «Это Вася, мамой клянусь», и в результате у Васи из реальной жизни начинались проблемы с отчётностью, кредитами и прочим. Я вот не хочу проснутся и узнать, что на мою тушку выписано кредитов больше чем я и мои родственники стоим вместе на рынке органов.

                                          А по поводу злых дядь, которые могут захапать себе выпуск этих сертификатов и никого туда не пускать и цену заломить, так они могут захапать его и сейчас, это вопрос правовых норм и регламентов, управляющих деятельностью. Та же УЦ-шка ФНС может выдавать сертификаты бесплатной, а может и за мзду малую в качестве кормления недоросли из новой аристократии. И у недоросли будет всё в полном ажуре. Нужно не механизмы уродовать, а дядь сажать и в запущенных случаях расстреливать…
                                            0
                                            Пардон, а Петров и Баширов поехали в Солсбери вроде как по настоящим паспортам. Так что всегда есть тот, кто выдаст не то и/или не тому. Умышленно.
                            0
                            не туда
                              0

                              Если сиё чудо не работает в линуксах, зачем наплодили защищеных астралинуксов и альтлинуксов? Смысл существования отечественных ос если отечественнаые эцп в них не работают.? Все равно виндовс покупать

                                0
                                Отличный вопрос! Только ответ на него зависит от того, что вы имеете ввиду под фразами «эцп работает» и «эцп не работает» ) Давайте определимся в терминах перед тем как дискутировать )
                                  0
                                  Кстати, на днях заставил всё это работать в линуксах. Аж сам опешил, что теперь не надо перегружаться в винду для работы с ЭП.
                                  0
                                  Это круто, но пока мало кто будет так пугаться, слишком сложно.
                                  А на счёт очередей — это ещё даже не цветочки, будет ещё кручу когда УЦ нормальные закроют. Вот тогда мы все познаем полноценно все «радости» ГОСсектора
                                    0
                                    1) а почему их должны закрыть? и почему должен остаться только гос.сектор?
                                    2) сейчас рынок и так сосредоточен в руках 5-6 УЦ, я не наблюдаю проблем с очередями.
                                    3) понятное дело, что это не для всех, но аудитории Хабра, как минимум, под силу не быть как все.
                                      0
                                      В смысле по чему? Вы что не в курсе изменений в 63-ФЗ? Ну тогда вы счастливый человек, кто в теме уже всё понял.
                                      Для начала потому, что останутся только у тех УЦ одни ФЛ (физ лица) а все Юрики и Ипешники Гос-во под себя подминает… так что будет «весело»… но многие уже понимают, что надо готовиться к смене работы, а если те предложат типа будите под нашим крылом, то на пример если раньше за ЭП для торгов и т.п. накидывали и поднимали по 5-7 т.р. то теперь даже 2-3 не будет с обычной КЭП т.к. это будет в дургие карманы падать.

                                      Ну и условия там если оставаться такие, что лучше вам это надо видеть.
                                      Поищите хороший ролик от Инфотекст Траст (ссылку не буду давать) и это только начало.
                                        0
                                        В смысле по чему? Вы что не в курсе изменений в 63-ФЗ? Ну тогда вы счастливый человек, кто в теме уже всё понял.


                                        На столько не в курсе, что писал по этому отдельный пост: habr.com/ru/news/t/480014

                                        Для начала потому,


                                        Для начала вы написали «будет ещё кручу когда УЦ нормальные закроют». «Закроют» я понимаю так, что придет в один день МинЦифра и скажет: «отзываем вашу аккредитацию потому что нам так захотелось». Однако из того, что вы пишете, вытекает то, что никто эти УЦ закрывать не будет. Они сами закроются, потому что многие из них будут обслуживать полтора физлица. И в общем-то не сказать, что такие УЦ нормальные. Крупные, которые сейчас есть, останутся, просто переориентируются на физиков.

                                        то на пример если раньше за ЭП для торгов и т.п. накидывали и поднимали по 5-7 т.р.


                                        то ли какая-то очень глубокая мысль, которую мне не понять, то ли вы хотели сказать, что у УЦшек пропадёт возможность выдавать СКПЭПы на тороговые площадки. Мне же кажется, что просто площадки поставят раком и заставят пускать участников по обычным сертификатам. Государству надоел этот беспредел с миллионом подписей, уже два раза в закон вносили прямые запреты этим заниматься, но отрасль не смогла себя отрегулировать — это выгодно и УЦ, и площадкам. Поэтому чаша терпения лопнула и государство скажет «баста!».

                                        Ну и условия там если оставаться такие, что лучше вам это надо видеть.

                                        Не пугайте ежа голой задницей. Выкладывайте ваши страшилки.

                                        Поищите хороший ролик от Инфотекст Траст (ссылку не буду давать) и это только начало.

                                        Как я «люблю» эти ваши «погуглите сами». Но даже в этот раз погуглил. Нашел их канал в ютубе, там всего 4 ролика и ни один не на эту тему.
                                    0

                                    Возможно ли на одном токене создать один ключ гостовский через ФКН, а один RSA через PKCS#11?

                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                    Самое читаемое