Петиция за дружбу удостоверяющих центров. Часть 2

    Привет, хабровчане!

    Хочу поделиться ещё одной зашкварной историей, связанной с ЭЦП. В главных ролях крупные удостоверяющие центры - Контур и Тензор.

    Прошлая проблема, которая возникла в мае, в общем-то решилась - когда я подавал инициативу на РОИ, я не знал что с 1 июля 2020 вступают в силу поправки в 63-ФЗ «Об электронной подписи», согласно которым возможность удостоверять личность действующим сертификатом аккредитованного УЦ теперь закреплена законодательно.

    Но технически с применением этого закона есть большие ограничения, о которых ничего не сказано в законе.

    В частности, если у тебя сертификат электронной подписи на носителе - ты легко можешь воспользоваться новой редакцией ФЗ-63 и получить ЭЦП удалённо, у крупных удостоверяющих УЦ есть автоматизированные сервисы для этой задачи. А вот если действующий сертификат облачный - начинаются проблемы.

    Сегодня мне нужно было получить новый сертификат в УЦ Тензора на юрлицо для работы со СБИС. Действующий сертификат есть только от УЦ Контур. Он квалифицированный, но не на отдельном ключе, а облачный, по технологии КриптоПРО DSS.

    У меня подтвержденный положительный тест на COVID, сижу дома на самоизоляции до повторных отрицательных тестов. Т.е. даже возможности лично приехать в УЦ и удостоверить личность по закону нет и остаётся вариант только удалённого выпуска.

    Техподдержка Тензора сказала что единственная техническая возможность удостоверить личность облачным сертификатом - настроить работу с облачным хранилищем в КриптоПРО 5.0 Для этого нужно знать адрес Сервера авторизации и DSS серверов.

    Техподдержка Контура же отказалась сообщить эти url потому что:

    "Это закрытая информация"

    "Мы не предоставляем доступ к ним для использования на стороннем портале. DSS сертификаты используются только для работы с сервисами нашей компании через внутренний авторизованный доступ."

    "Такая политика относительно серверов DSS связана с текущими недоработками в данной технологии." (Эта отмазка вообще прекрасна. Если технология недоработана, почему её сертифицировала ФСБ?)

    (цитаты из чатов с разными операторами техподдержки, номер обращения 28323177)

    Просмотрев QR-код, который Контур выдаёт для настройки мобильного приложения myDSS, я нашёл адрес DSS сервера: https://mydss.kontur-ca.ru/MyDssServerExternal/InteractionService.svc. Но адреса сервера авторизации там не было. А стандартные url не работали. Короче, реверс-инжиниринг не удался.

    На всякий случай написал в поддержку КриптоПРО, вот что они ответили:

    У нас нет и не может быть адресов облачных сервисов на базе КриптоПро DSS, развернутых сторонними компаниями. Мы лишь предоставляем ПО, которые наши заказчики вправе использовать по своему усмотрению. (Обращение №33489)

    Тензор тоже "хорош". Предложил им альтернативный способ идентификации на существующих сервисах - я отправляю в адрес компании через систему электронного документооборота (Контур.Диадок) подписанную облачной подписью заявку на выпуск ЭЦП и все необходимые документы (паспорт, СНИЛС). На основании которых подпись выпускается как новая. Ну и предложил созвониться по видеосвязи если они очень хотят понаблюдать моё лицо (знаю что такую идентификацию использовали некоторые банки при открытии расчётных счетов юрлицам во время "первой волны" пандемии) . Мне было отказано:

    Делегировать получение ЭЦП я тоже не могу, согласно новым поправкам ЭЦП можно получить только лично.

    На мой взгляд, оба удостоверяющих центра своими действиями нарушили 63-ФЗ и собственные же договора и регламенты.

    В частности, у Контура в договоре есть такие пункты насчёт прав пользователя:

    6.5.1. Круглосуточно получать доступ к серверу Удостоверяющего центра за исключением времени проведения профилактических работ и воспроизводить графическую часть (рабочий интерфейс) на экране персонального компьютера;

    6.5.2. использовать все функциональные возможности ПО

    Кроме того, согласно п 3.1.4 ГОСТ Р 34.10-2012, которому якобы соответствует КриптоПРО DSS, "параметр схемы ЭЦП (domain parameter): Элемент данных, общий для всех субъектов схемы цифровой подписи, известный или доступный всем этим субъектам". Т.е. по ГОСТУ Контур не имеет права делать эту информацию закрытой.

    А у Тензора в регламенте есть такая обязанность:

    3.1.19. Идентификация заявителя проводится при его личном присутствии или посредством идентификации заявителя без его личного присутствия с использованием КЭП при наличии действующего квалифицированного сертификата.

    В самом регламенте нет подробной процедуры как именно происходит идентификация при помощи КЭП. А п.1 ст 18 ФЗ-63 говорит о том что удостоверяющий центр ОБЯЗАН "осуществлять идентификацию заявителя без его личного присутствия с использованием квалифицированной электронной подписи при наличии действующего квалифицированного сертификата". Конечно, есть принцип "Закон не заботиться о мелочах", но по букве закона и логике вещей подписание заявки на получение ЭП и отправку её через СЭД Тензор обязан засчитать за идентификацию.

    Короче говоря, из-за бездействия удостоверяющих центров сегодня я не смог выпустить электронную подпись и как минимум просрочил отчёт РСВ по ООО за 9 месяцев (сегодня крайний день сдачи), в результате чего попал на штраф минимум в 1000 рублей. Я, конечно, отправил обращение в ФНС по данной ситуации, но штрафы там выписывают автоматически и мне видимо придётся их отменять через суд, что само-собой влечёт потери времени. Чтоб их компенсировать планирую обратиться в суд с встречным иском к Контуру и Тензору. Как думаете, какие шансы?

    Еще слышал новость о том что с 1 января 2022 года УЦ не смогут выдавать сертификаты электронной подписи юрлицам — эти полномочия перейдут к Удостоверяющему центру ФНС. Тот факт что УЦ сейчас забивают на клиентский сервис и техническое развитие выглядит вполне логичным. Но не до такой же степени чтоб нарушать ФЗ.

    Напишите пожалуйста в комментариях всё что вы думаете по описанной проблеме. Особенно хотелось бы увидеть здесь комментарии представителей Контура, Тензора, КриптоПРО, Минкомсвязи и ФСБ :) И юристов, которые специализируются на вопросах электронной подписи.


    Комментарии 27

      0
      А просто подписать заявку существующией подписью вообще не вариант?

      Не в курсе всех тонкостей, но этот вариант выглядит логичнее всего. Просто берем и подписываем. Подпись же подходит по всем правилам. Безопасно, надежно, совместимо, стандартно.
        0
        Как я понял, у автора есть ЭЦП на физлицо. А ему нужно для организации. Но вопрос, почему заявку, подписанную физлицом, которое является учредителем юрлица, не является идентификацией я не понял.

        Предложил им альтернативный способ идентификации на существующих сервисах — я отправляю в адрес компании через систему электронного документооборота (Контур.Диадок) подписанную облачной подписью заявку на выпуск ЭЦП и все необходимые документы (паспорт, СНИЛС). На основании которых подпись выпускается как новая. Ну и предложил созвониться по видеосвязи если они очень хотят понаблюдать моё лицо (знаю что такую идентификацию использовали некоторые банки при открытии расчётных счетов юрлицам во время «первой волны» пандемии). Мне было отказано
          0
          У меня есть и ЭЦП на физлицо на Рутокене (причём от Тензора же), и ЭЦП как на руководителя организации (этот сертификат облачный, по технологии КриптоПРО DSS)
          Но ни одну эту подпись Тензор не может принять для идентификации заявителя без личного присутствия «по техническим причинам». Считаю что это нарушение 63-ФЗ.
            0
            не смог выпустить электронную подпись и как минимум просрочил отчёт РСВ по ООО за 9 месяцев (сегодня крайний день сдачи)

            Если у вас есть ЭП на организацию, которую КриптоПро может использовать для подписи файлов, то РСВ-1 вы можете сдать следующим способом:
            1) Установить ПО Налогоплательщик ЮЛ;
            2) Заполнить в нём РСВ-1
            3) Выгрузить криптоконтейнер с РСВ-1 (не просто экспорт, а именно криптоконтейнер), в этот момент Налогоплательщик ЮЛ подпишет документы через КриптоПро;
            4) Зарегистрироваться в сервисе ФНС по сдаче налоговой и бухгалтерской отчётности (НБО):
            service.nalog.ru/nbo
            через сервис регистрации: service.nalog.ru/reg (кажется там через госуслуги можно);
            5) Загрузить в НБО полученный криптоконтейнер с РСВ-1.

            Указанная схема позволяет формировать и сдавать отчетность при наличии действующих ЭП без использования информационных систем операторов. Только использовуя подпись, Госуслуги и сервисы ФНС.
            Кстати, также можно сдавать 4-ФСС. Там даже проще, нужно только софт скачать с сайта ФСС: fss-arm. Он сам умеет через КриптоПро подписывать xml файлы и отправлять в ФСС. Сами xml можно формировать вручную (редактировать за предыдущие кварталы) или использовать онлайн (форма на сайте) или офлайн программу от самого ФСС.
              0

              Павел, добрый день! Пишу вам как официальный представитель Контура.
              Мы заинтересованы в том, чтобы наши сертификаты работали в максимальном количестве систем, но гарантировать этого не можем в силу технологических ограничений. Ваши пожелания к развитию сервисов мы постараемся учесть.


              Сожалеем, что не предложили решения проблемы своевременно, однако варианты есть — о них уже сообщили вам наши специалисты. Если вы все еще заинтересованы в этом, свяжитесь с нами, и мы вам поможем.

            0

            Добрый день. Адреса серверов DSS мы можете найти
            1) В письмах от УЦ, где указаны ваши аутентификационные данные (qr или логин/пароль, не знаю как у контура, все нормальные УЦ добавляют эту информацию именно туда), в инструкции по настройке рабочего места с ОКЭП от тензора, запросить которую вы можете с электронной почты, которую указывали при оформлении ОКЭП.
            И да, ТП УЦ не сможет вам предоставить такой информации т.к. не сможет фактически вас идентифицировать.

              0
              Адрес DSS я нашёл, расшифровав QR-код :)
              Но для настройки Крипто ПРО 5.0 ещё требуется URL cервера авторизации. Пробовал и стандартный роут КриптоПРО DSS (/STS/oauth) и auth.kontur.ru, не сработало.
              А Контур наотрез отказывается предоставлять точный адрес. И не по причине того что не может меня идентифицировать, а по причине того что «система технически недоработана». Говорят мол, что как доработаем — сможем предоставить, но точные сроки доработки и доработают ли вообще не могут сказать.
            0

            Хорошая статья. И все же


            Еще слышал новость о том что с 1 января 2022 года УЦ не смогут выдавать подписи юрлицам — эти полномочия перейдут к Удостоверяющему центру ФНС.

            Эта терминология, мягко говоря, не совсем верна. УЦ никому не выдают подписи. УЦ выдают сертификаты по заявкам юр или физ лиц и т.д. А вот юр или физ лицо, имея сертификат и закрытый ключ, само, подчеркиваю, само поставить подпись под документом. А поскольку сертификат это все же аналог паспорта, то и требования к его получению соответствующие.
            Итак, УЦ вы дают сертификаты! Подпись ставит лицо, получившее сертификат.

              0
              Спасибо за уточнение, поправил пост :)
                0

                А если ещё точнее: УЦ станут доверенными представителями ФНС.

                0
                Может кто-нибудь подскажет. А можно ли по закону заявку на ЭЦП (Иванова Ивана Ивановича в качестве руководителя ООО Ромашка), подписать ЭЦП Иванова Ивана Ивановича (в качестве руководителя ООО Рога и Копыта)? Контур несколько месяцев назад сказал что так нельзя. Хотя как по мне это странно, Иван Иванович в качестве руководителя одного предприятия, всё равно остаётся физлицом с определённым СНИЛСом.
                  0
                  Мне аналогично сказал и Тензор. Тоже считаю это странным и нарушением здравого смысла. Если вы от этого понесли какие-то убытки — напишите в личку, составим коллективный иск.
                    0
                    Сертификат, директора, это не только подтверждение личности, но и подтверждение полномочий.
                    Личный сертификат или сертификат директора другой компании может подтвердить только личность. Полномочия не может.
                      0
                      Так вопрос как раз в том, что бы подтвердить личность, для получения сертификата на другую компанию.
                        0
                        А разве полномочия нельзя подтвердить, проверив ЕГРЮЛ? :)
                          0
                          Ну наверно можно, только тогда теряется смысл ключей директора в принципе. Смысл как раз в том, чтобы делать это единожды, при выдаче ключа, а не каждый раз.

                          А то, это выглядит как-то странно. Представьте, вы пришли в банк и просите снять все деньги со счета юр-лица наличкой. При этом, вы показываете паспорт, заверенную копию устава другого юр-лица, где вы числитесь директором, и, говорите, «Ну, я еще и директор и этого юр-лица тоже, но заверенного документа показать не могу, но деньги все равно давайте. Можете проверить по базе.» Так вот… скорее всего вас пошлют. Просто потому, что проверять по базе, — не их обязанность.
                            0
                            И всё-таки ЕГРЮЛ является эталонным источником данных.

                            Согласно 129-ФЗ при смене директора компания должна в течение трех дней с момента назначения нового директора сообщить об этом в регистрирующий орган по месту своего нахождения.

                            ФНС вносит запись в ЕГРЮЛ, на которую и ориентируются остальные участники рынка.

                            Не знаю как обстоят дела с удостоверением личности при снятии денег со счёта юрлица в банках, но с УЦ дела по закону обстоят так:

                            1) Согласно п.2 ст 18 ФЗ-63 Для получения ЭЦП заявитель обязан предоставить «документ, подтверждающий право заявителя действовать от имени юридического лица без доверенности». Технически это может быть как копия приказа о назначении директора, так и выписка ЕГРЮЛ.

                            А вот УЦ обязан всегда проверять именно ЕГРЮЛ:
                            п. 2.2. ст. 18 63-ФЗ:
                            "… Для заполнения квалифицированного сертификата в соответствии с частью 2 статьи 17 настоящего Федерального закона аккредитованный удостоверяющий центр запрашивает и получает из государственных информационных ресурсов:
                            1) выписку из единого государственного реестра юридических лиц в отношении заявителя — юридического лица;
                            ..."

                            Так что «по базе» УЦ ОБЯЗАНЫ проверять всегда ;)

                            На практике же в заявке на ЭЦП удостоверяющие центры запрашивают только копии паспорта и СНИЛС для упрощения процедуры подачи. Выписку ЕГРЮЛ наверняка получают сами через сервисы ФНС.
                              0

                              Ключевыми реквизитами в ЭП являются ИНН и ОГРН. В ЭП ФЛ указывается ИНН ФЛ, а ОГРН отсутствуект в принципе, в ЭП ЮЛ соответственно ИНН ЮЛ и ОГРН ЮЛ. Потому использование ЭП ФЛ для подтверждения личности руководителя ЮЛ невозможно, ровна как и обратное.

                                0
                                Вы правы, но частично. Есть ещё СНИЛС.

                                СНИЛС как раз фигурирует и в ЭП ФЛ, и в ЭП ЮЛ. И для ЭП ФЛ он ОБЯЗАТЕЛЕН. И я не понимаю почему основе СНИЛС нельзя подтвердить мои полномочия. Технически по СНИЛСу легко получить ИНН (через ЕСИА или межвед), а по нему в свою очередь через ЕГРЮЛ подтвердить то, что я уполномочен действовать от имени юрлица без доверенности.

                                Вывод: ЭП ФЛ для подтверждения личности руководителя ЮЛ может быть использовано как юридически, так и технически. «Тензор» мне отказал и в этом способе, поэтому у меня на них зуб.

                                В ЭП ЮЛ согласно ст.17 ФЗ-63 СНИЛС не обязателен (обязателен только ИНН), но на практике УЦ практически всегда вписывают в это поле СНИЛС заявителя. У меня например в DSS сертификате так.

                                Вывод: ЭП руководителя ЮЛ для подтверждения личности физлица может быть использовано де-юре, но де-факто технически только если СНИЛС прописан в сертификате.
                              +1
                              Так речь не об этом. Я пишу о том, что эцп юрлица так же подтверждает и личность физического лица которому оно принадлежит. То, что там ещё и дополнительно указано что он является директором где-то, это дело 10.

                              Но, тот же контур не даёт при выпуске сертификата подтвердить личность физического лица эцп юрлица.
                      +2

                      Ха. Пишу как нынешний сотрудник Контура, менеджер и как бывший сотрудник, инженер по выпуску ЭП от партнёра Тензора.
                      Подписать облачной ЭП? Если вчитываться в ФЗ, то удалённый выпуск возможен только при помощи КЭП, по техническим параметрам DSS не совсем соответствует под такие цели.
                      Когда работал на партнёра Тензора ранее можно было подписать облачной подписью, такая выпускалась по умолчанию и заявку на новую КЭП можно было подписпть, позже отключили всё это ещё до новых правок в ФЗ.
                      Винить УЦ это в этом? А в чём? В том соблюдают ФЗ? И судиться? Ну если хотите, то судитесь с Правительством по поводу ФЗ, удачи

                        0
                        по техническим параметрам DSS не совсем соответствует под такие цели


                        Можете пояснить?

                        В личном кабинете Контура моя облачная подпись значится как «квалифицированная».
                        А если назвался груздем — полезай в кузов.
                        На сайте КриптоПРО DSS сказано что комплектации квалифицированной подписи «имеют сертификаты соответствия требованиям ФСБ России». Получается что либо ФСБ ошибочно присвоило КриптоПРО сертификат соответствия, либо Контур занимается мошенничеством и введением потребителя в заблуждение, выдавая неквалифицированную подпись за квалифицированную.
                          0
                          Сертификат соответствия требованиям ФСБ России выдаётся по результатам сертификационных испытаний. Простыми словами сертификат действует только в том случае, когда DSS определенным образом настроен, к нему реализован определенным образом доступ и т.п. QR-коды, OTP-SMS и все остальные технологии также обговорены в Технических условиях на DSS. Эти ТУ и ложатся в программу и методики сертификационных испытаний.
                          Сомневаюсь, что в техподдержке УЦ смогли бы квалифицированно объяснить, почему они не могут отойти от схемы, которую им скорее всего разработали при внедрении DSS.
                        0

                        Наброшу раз тему подняли.


                        До последнего времени DSS сертификат пользователя №1 выпущенный у УЦ провайдера №1 не мог принимать запросы от пользователя №2 DSS УЦ провайдера №2.
                        То есть, чтобы пользователь №2 попросил пользователя №1 что-то подписать, он должен быть в ним в одном УЦ.


                        Это в корне противоречит духу и модели иерархического-распределенного УЦ.
                        Разработчики обещали сделать федерацию между DSS, но как они продвинулись не ясно.
                        То же актуально и для MyDSS.

                          0

                          Та еще борода, эти УЦ. Больничный открыт? От штрафа по больничному отскочить можно попробовать. Как решить не знаю, сам недавно ключи ездил перевыпускать. Регламент они поменяли, теперь только в офис к ним. Раньше можно было фото себя и паспорта вместе.

                            +1
                            Техподдержка Контура же отказалась сообщить эти url потому что:
                            "Это закрытая информация"

                            Security through obscurity?

                              0
                              Он квалифицированный, но не на отдельном ключе, а облачный, по технологии КриптоПРО DSS.


                              Я не очень понял, смысл как раз в том чтобы пользоваться криптографией и облаком из любой точки мира, хочешь с компа, хочешь с мобилки подписывать документа — вэлкам. Как-то странно, что вы приобрели облачную подпись и тупо не можете воспользоваться CSP 5.0 для того чтобы подписывать ею документы на ПК. Есть множество УЦ которые предоставляют такую возможность. Компания не дает возможности пользоваться облачной подписью на ПК — зачем тогда приобретать «облако» у такой компании?

                              Что касается удаленного выпуска — КСКЭП предполагает, что он является средством идентификации (одним из) заявителя согласно ФЗ-63. Вы же можете подписать всякие там Заявления на выпуск КСКПЭП ЮЛ, а так же ознакомления с составом сертификата, УПД и пр. своей облачной КСПЭП, верно? Предположу, что у этого УЦ просто не совершенный процесс удаленного выпуска. В чем проблема выбрать другой УЦ где это можно сделать? Свет клином сошелся что ли на Тензоре или Контуре? Компания не соответствует ФЗ или вашим требованиям, идите к их конкурентам которые соответствуют, не вижу проблемы — голосуйте рублем.

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое