Неумолимо приближается час «Ч»: «использование схемы подписи ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается!».
Инфраструктура открытых ключей. Цепочка корневых сертификатов X509 v.3
9 мин
Каким станет электронный документооборот после вступления в силу изменений в закон об электронной подписи?
3 мин
Приветствую вас, друзья!
Недавно я ознакомился с новым законом, который вносит существенные поправки в сферу электронного документооборота, а именно в 63-ФЗ «Об электронной подписи» (далее — ЭЦП). Внедрение изменений предполагается за счет использования IT-технологий, например, они коснулись способов хранения электронного ключа, теперь он будет храниться в облачном сервисе.
Мои размышления на этот счет и привели к написанию данной статьи. Хочу поделиться с вами своими мыслями о том, как изменится рынок ЭЦП после вступления закона в силу и что ждет участников электронного документооборота.
Речь идет о законе № 476-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи». 28 декабря он был опубликован на официальном интернет-портале www.pravo.gov.ru, а значит прошел все стадии подписания и рассмотрения. Он вступит в законную силу 1 июля 2020 года, кроме п.14 ст.1, он начнет действовать 1 января 2022 года.
Недавно я ознакомился с новым законом, который вносит существенные поправки в сферу электронного документооборота, а именно в 63-ФЗ «Об электронной подписи» (далее — ЭЦП). Внедрение изменений предполагается за счет использования IT-технологий, например, они коснулись способов хранения электронного ключа, теперь он будет храниться в облачном сервисе.
Мои размышления на этот счет и привели к написанию данной статьи. Хочу поделиться с вами своими мыслями о том, как изменится рынок ЭЦП после вступления закона в силу и что ждет участников электронного документооборота.
Речь идет о законе № 476-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи». 28 декабря он был опубликован на официальном интернет-портале www.pravo.gov.ru, а значит прошел все стадии подписания и рассмотрения. Он вступит в законную силу 1 июля 2020 года, кроме п.14 ст.1, он начнет действовать 1 января 2022 года.
Работа с квалифицированными сертификатами в свете новой редакции Приказа №795 ФСБ РФ от 21.01.2021. Часть II
5 мин
После опубликования статьи, посвящённой требованиям Приказа №795 ФСБ России в редакции от 29 января 2021 года, меня не покидало чувство её незавершённости. Это чувство было связано с тем, что в статье ни слова не было сказано про утилиту CAFL63, которая позволяет разворачивать удостоверяющие центры. И естественным является то, что её тоже необходимо привести в соответствие с новыми требованиями.
Суверенный, сувенирный, самопровозглашенный
4 мин
Корневой сертификат «национального удостоверяющего центра» Russian Trusted Root CA есть, а самого УЦ – нет. И быть не могло.
Мошенники переоформили квартиру в Москве с помощью поддельной цифровой подписи
6 мин
В России зафиксирован первый известный случай отъёма квартиры путём фальсификации электронной цифровой подписи.
Владелец квартиры на Тверской улице г. Москва по имени Роман обнаружил, что в очередной квитанции за коммунальные услуги у квартиры указан уже новый владелец. Гражданин обратился в Росреестр и выяснил, что осенью он подарил свою квартиру некоему жителю Уфы. Причём сделал это дистанционно, подписав документы своей электронной цифровой подписью.
Владелец квартиры на Тверской улице г. Москва по имени Роман обнаружил, что в очередной квитанции за коммунальные услуги у квартиры указан уже новый владелец. Гражданин обратился в Росреестр и выяснил, что осенью он подарил свою квартиру некоему жителю Уфы. Причём сделал это дистанционно, подписав документы своей электронной цифровой подписью.
Как изменится закон «Об электронной подписи»
2 мин
Правительство поддержало законопроект о внесении изменений в Федеральный закон «Об электронной подписи». Предлагаемые изменения вызвали бурную дискуссию: кто-то поддерживает нововведения, а кто-то видит в них препятствия для развития малого и среднего бизнеса. Что появится в 63-ФЗ?
Документ вводит новые понятия, центральное из которых — «доверенная третья сторона». Это юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах для обеспечения доверия при обмене данными и электронными документами. В связи с этим появляются понятия: «средства доверенной третьей стороны» и «метка доверенного времени».
Также законопроект признает юридическую силу на территории РФ электронных подписей, созданных по правовым нормам иностранного государства и с соблюдением международных стандартов, соответствующих признакам усиленной электронной подписи.
Появятся установленные способы идентификации заявителя на получение сертификата, в том числе посредством предоставления сведений из единой биометрической системы. Текущая версия закона не регулирует способы установления личности, что создает опасный прецедент.
Новые понятия
Документ вводит новые понятия, центральное из которых — «доверенная третья сторона». Это юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах для обеспечения доверия при обмене данными и электронными документами. В связи с этим появляются понятия: «средства доверенной третьей стороны» и «метка доверенного времени».
Международные подписи
Также законопроект признает юридическую силу на территории РФ электронных подписей, созданных по правовым нормам иностранного государства и с соблюдением международных стандартов, соответствующих признакам усиленной электронной подписи.
Идентификация заявителя
Появятся установленные способы идентификации заявителя на получение сертификата, в том числе посредством предоставления сведений из единой биометрической системы. Текущая версия закона не регулирует способы установления личности, что создает опасный прецедент.
«Сбербанк» тоже хочет выдавать ЭЦП юрлицам
5 мин
Руководитель «Сбербанка» Герман Греф предлагает внести изменения в законопроект об электронной цифровой подписи, который Госдума приняла в первом чтении в ноябре 2019 года.Новый закон сильно ужесточает требования к выдаче усиленных квалифицированных электронных подписей (УКЭП) — цифрового аналога собственноручной подписи и печати, который создаётся с помощью сертифицированных ФСБ средств шифрования. С помощью УКЭП организации и граждане обмениваются юридически значимыми документами в электронном виде, заключают сделки, в том числе о купле-продаже недвижимости.
Сегодня КЭП выдаются повсеместно: в России насчитывается почти 500 удостоверяющих центров (УЦ), в том числе банки, страховые компании, биржи, брокеры, «Почта России», частные ИТ-компании и т. д. Главная проблема — недостаточная идентификация клиентов удостоверяющими центрами. Сотни коммерческих УЦ предлагают получить цифровую подпись по копии паспорта или в офлайне по ксерокопии. Триггером для внесения изменений в закон «Об электронной подписи», возможно, стали недавние истории, как с помощью электронной подписи воруют квартиры и как мошенники оформляют на ничего не подозревающих граждан фиктивные фирмы.
Как стать участником электронных торгов государственного заказа
5 мин
Во многих отраслях бизнеса получение государственного заказа является гарантией востребованности услуг и обеспечения сотрудников работой, стабильной прибыли и продвижения в рейтингах, своеобразной подушкой безопасности.
Среди большого числа российских компаний бытует мнение, что после получения сертификата электронной цифровой подписи в одном из множества удостоверяющих центров, сразу можно участвовать в электронных торгах, например, государственного заказа.
Как правило, за день до начала торгов, совершенно неожиданно, выясняется, что нужно сделать кучу дел, занимающих кучу времени.
Среди большого числа российских компаний бытует мнение, что после получения сертификата электронной цифровой подписи в одном из множества удостоверяющих центров, сразу можно участвовать в электронных торгах, например, государственного заказа.
Как правило, за день до начала торгов, совершенно неожиданно, выясняется, что нужно сделать кучу дел, занимающих кучу времени.
NIC India выдал цифровые сертификаты на домены Google
2 мин
2 июля компания Google обнаружила несколько поддельных цифровых сертификатов на свои домены, выданные Национальным центром сертификации (NIC) Индии. Есть вероятность, что NIC выдал сертификаты и на другие сайты, не Google.
Сертификаты NIC Индии входят в каталог Indian Controller of Certifying Authorities (India CCA), который является частью корневого каталога Microsoft Root Store. Поэтому, к сожалению, фальшивые сертификаты принимались в большом количестве программ под Windows, включая браузеры Internet Explorer и Chrome. Только браузер Firefox использует собственный корневой каталог, а не Microsoft Root Store.
Mozilla и Apple забанят удостоверяющие центры WoSign и StartCom
6 мин
Расследование, проведённое Mozilla, показало, что китайский удостоверяющий центр WoSign (о бесплатных сертификатах которого был ряд статей на Хабре) за последние пару лет допустил вопиющее количество нарушений.
Google Chrome перестал доверять сертификатам WoSign и StartCom
1 мин
Как сообщалось ранее Google Chrome заблокировал сертификаты WoSign и StartCom.
Сегодня вышла новая версия Google Chrome 56, и начиная с нее браузер больше не доверяет сертификатам WoSign и StartCom выпущенным позднее October 21, 2016 00:00:00 UTC.
Отзыв 50 тысяч сертификатов DigiCert
2 мин
В начале февраля компания Trustico, выступающая реселлером SSL-сертификатов DigiCert, запросила (без объяснения причин) отзыв всех сертификатов, которые были выданы через Trustico.
Новые отраслевые требования: Удостоверяющие Центры прекращают выпускать 3-летние SSL-сертификаты с 1 марта 2018 года
1 мин
С 1 марта 2018 года Certification Authority/Browser Forum (CA/B Forum) вводит новые требования для всех Удостоверяющих Центров: максимальный срок действия всех типов SSL-сертификатов не должен превышать 825 дней (27 месяцев).
Решение было принято на голосовании 193. Единогласно – за высказались 24 Центра Сертификации: GlobalSign, DigiCert, Entrust Datacard, Certum, Comodo, SymantecTurkTrust, Izenpe, Certinomis, Amazon, CNNIC, HARICA, GDCA, Disig, Trustwave, Let’s Encrypt, Quo Vadis, SHECA, CFCA, OATI, Buypass, Logius PKIoverheid, Cisco, SwissSign), а также 5 браузеров – за: Apple, Qihoo 360, Microsoft, Opera, Google и 1 «воздержался» Mozilla
Данные меры будут направлены на повышение уровня безопасности при проверке организаций и доменов. Все Центры Сертификации обязаны следовать новому отраслевому стандарту.
Следуя новым требованиям, с 26 февраля 2018 года, GlobalSign перестанет выпускать 3-летние доверенные сертификаты SSL. Начиная с указанной даты, SSL-сертификаты могут быть выпущены с максимальным сроком действия - 2 года.
До 26 февраля мы предлагаем приобрести SSL-сертификат на 3 года, что позволит вам:
Решение было принято на голосовании 193. Единогласно – за высказались 24 Центра Сертификации: GlobalSign, DigiCert, Entrust Datacard, Certum, Comodo, SymantecTurkTrust, Izenpe, Certinomis, Amazon, CNNIC, HARICA, GDCA, Disig, Trustwave, Let’s Encrypt, Quo Vadis, SHECA, CFCA, OATI, Buypass, Logius PKIoverheid, Cisco, SwissSign), а также 5 браузеров – за: Apple, Qihoo 360, Microsoft, Opera, Google и 1 «воздержался» Mozilla
Данные меры будут направлены на повышение уровня безопасности при проверке организаций и доменов. Все Центры Сертификации обязаны следовать новому отраслевому стандарту.
Следуя новым требованиям, с 26 февраля 2018 года, GlobalSign перестанет выпускать 3-летние доверенные сертификаты SSL. Начиная с указанной даты, SSL-сертификаты могут быть выпущены с максимальным сроком действия - 2 года.
До 26 февраля мы предлагаем приобрести SSL-сертификат на 3 года, что позволит вам:
- избежать лишних хлопот с оформлением или продлением, увеличив интервал между заказами сертификатов;
- сэкономить деньги, приобретая SSL сразу на несколько лет.
FAQ про облачную [электронную] подпись
4 мин
Наша площадка стала первым федеральным оператором электронных торгов, внедрившим новую технологию облачной электронной подписи. Если обычная ЭП вызывала кучу вопросов, то эта услуга, с одной стороны, пока ещё больше непонятна бизнесу, а с другой — всё стало сильно проще.
— Что это такое?
Раньше была бумажная подпись на документе. Она не очень удобна, не очень безопасна и требует физического наличия бумаги. Потом появилась флешка с сертификатом и обвесом вокруг (вплоть до антивируса). Её сначала назвали ЭЦП — электронная цифровая подпись. Потом она стала просто ЭП. Теперь эту флешку положили в облако, и она стала ОЭП.
— Как работает ОЭП?
Предположим, вы подаёте свое предложение на тендер. Раньше, чтобы подписать документ, надо было поставить плагин для браузера, который умел связываться с софтом на локальном компьютере пользователя. Этот софт обращался к софту на флешке, софт на флешке выдавал ключ, этим ключом подписывалась транзакция и передавалась в готовом виде в плагин в браузер. Теперь мы вынимаем из этой цепочки флешку: софт обращается в облачное хранилище по шифрованному туннелю.
— Что это такое?
Раньше была бумажная подпись на документе. Она не очень удобна, не очень безопасна и требует физического наличия бумаги. Потом появилась флешка с сертификатом и обвесом вокруг (вплоть до антивируса). Её сначала назвали ЭЦП — электронная цифровая подпись. Потом она стала просто ЭП. Теперь эту флешку положили в облако, и она стала ОЭП.
— Как работает ОЭП?
Предположим, вы подаёте свое предложение на тендер. Раньше, чтобы подписать документ, надо было поставить плагин для браузера, который умел связываться с софтом на локальном компьютере пользователя. Этот софт обращался к софту на флешке, софт на флешке выдавал ключ, этим ключом подписывалась транзакция и передавалась в готовом виде в плагин в браузер. Теперь мы вынимаем из этой цепочки флешку: софт обращается в облачное хранилище по шифрованному туннелю.
Зачем нужен собственный удостоверяющий центр
5 мин
Примеры 1) промежуточного УЦ в открытой иерархии доверия и 2) частной иерархии, которая изолирована от открытой иерархии, со своим собственным корневым УЦ
Инфраструктура открытых ключей (PKI) традиционно имеет иерархическую структуру. В ней удостоверяющие центры (УЦ) связаны отношениями подчинённости. Все пользователи доверяют одному и тому же корневому (головному) УЦ, а каждый нижестоящий УЦ подчиняется более высокому в иерархии.
Но что, если мы хотим создать частную инфраструктуру PKI со своим собственным УЦ? Действительно, в некоторых ситуациях такие промежуточные или частные иерархии очень удобны на практике.
Удобное шифрование с удостоверяющим центром
5 мин
Удобное шифрование с удостоверяющим центром.
Привет всем читателям Хабра! В этой статье рассмотрим проблемы и способы использования шифрования в документообороте. Перед командой стояла задача разработки новой архитектуры шифрования, которую нужно внедрить в наш продукт.
Примеры грамотного применения SSH-шаблонов
6 мин
Перевод
SSH-сертификаты — очень мощный инструмент. Первоначально в удостоверяющем центре
step-ca мы реализовали только минимальный набор функций для аутентификации по сертификатам пользователя и хоста. Затем добавили шаблоны сертификатов X.509, а ещё в августе прошлого года — и SSH-шаблоны, в версии 0.15.2. Наконец, мы задокументировали эту функцию и готовы о ней рассказать.Шаблоны для сертификатов SSH действуют аналогично шаблонам X.509: это JSON-файлы, написанные в Go
text/template. Они применяются для настройки SSH-сертификатов, которые выдаёт step-ca. Давайте посмотрим, что представляют собой эти шаблоны и как их можно использовать.
Памятка для удостоверяющих центров и других участников PKI
12 мин
Удостоверяющий центр, в чьи функции входит поддержание жизненного цикла сертификатов открытых ключей проверки электронной подписи, шифрования, аутентификации и защиты каналов передачи данных, их выпуск, распределение, депонирование, резервное копирование, восстановление, отзыв и ведение списка отозванных сертификатов, является важнейшим участником и арбитром инфраструктуры открытых ключей.
УЦ должен работать, как часы. От его правильного функционирования зависит электронный документооборот множества клиентов и систем.
Некорректная работа или сбой удостоверяющего центра может привести к санкциям регуляторов, искам недовольных клиентов для самого УЦ и значительным финансовым и репутационным потерям всех участников электронного обмена.
Для удостоверяющих центров, аккредитованных в Министерстве цифрового развития, связи и массовых коммуникаций, выпускающих квалифицированные сертификаты и обеспечивающих безусловно юридически значимый электронный документооборот, такой вопрос стоит еще более остро.
В этом посте я хочу рассказать, с какими критическими проблемами и нарушениями в работе УЦ часто приходится сталкиваться, а также о том, как их избежать.
У полноправного участника Public Key Infrastructure, должна быть информационная система со встроенными СКЗИ, которая позволяет вести электронный документооборот с клиентами и партнерами, обмениваясь с ними документами с электронной подписью (ЭП) или зашифрованными данными.
Когда партнер присылает документы с ЭП, система выполняет ряд действий. Она проверяет электронную подпись на документе и партнерский сертификат открытого ключа проверки этой подписи.
Электронный медицинский документооборот — последняя миля
6 мин
01 февраля 2021 года вступил в силу Приказ Министерства здравоохранения РФ от 7 сентября 2020 г. N 947н “Об утверждении Порядка организации системы документооборота в сфере охраны здоровья в части ведения медицинской документации в форме электронных документов". Приказ финализирует законодательные инициативы в области медицинского документооборота. Пора ли клиникам начинать активный переход в область цифровых документов и какое место занимают разработчики в процессах?