Владельцем сертификата, с которым был заключен договор услуг УЦ? Тогда о каком «леваке» может идти речь? Тут ответственность УЦ за достоверность данных, включенных в сертификат, за сохранение конфиденциальности ключа ЭП до момента передачи его владельцу, за своевременное внесение информации в реестр сертификатов — это все есть в 63-ФЗ (в т.ч. наличие финансового обеспечения ответственности за убытки), есть соответствующие статьи в КОАП.
Если имеется ввиду, что сертификат выдан другому лицу, которое предоставило в УЦ поддельные документы, то тут 2 варианта:
1) сотрудник УЦ обнаружил признаки мошенничества (подделка подписи, например), отказал в выдаче сертификата и обратился в соответствующие органы.
2) подделка не обнаружена и сертификат выдан — тогда пострадавшее лицо (с которым у УЦ договорных отношений не было) обращается в суд и там решаются вопросы. А мошенника ещё найти надо (через правоохранительные органы), представить доказательство мошенничества и т.д.
Ответственность УЦ несет и при существующем законодательстве, но при наличии доказательств нарушений со стороны УЦ.
Это право, точнее обязанность есть — УЦ отказывает, в случае, если сведения, полученные из СМЭВ, не соответствуют сведениям, представленным заявителем (ч. 2.3 ст. 18 63-ФЗ). Перечень документов исчерпывающий.
они согласно риск-ориентированному подходу будут принимать меры по обработке рисков
Не позволит определить подделку подписи руководителя (а она может быть практически идентична оригиналу подписи), а получающий по доверенности м.б. действительно тем, на кого выписана доверенность (с реальным паспортом). В итоге (взгляд со стороны УЦ), принимаемые от заявителя документы наддлежаще оформлены, заверены и нет несоответствий со сведениями, полученными из ЕСИА…
Требования к доверенности установлены ГК РФ (ст. 185), законопроектом, кстати предусматривается замена в части 3 статьи 14 63-ФЗ «или доверенности» заменить словами «или нотариальной доверенности».
К этому и идет — захват рынка и это кому-то выгодно «из больших».
Вместе с тем, существуют много УЦ от госорганов и подведов (обслуживающие федеральные и региональные ОГВ, муниципалов, это и ПФР и ФОМСы, нот. палаты, мед. орг-ии, и т.д.), их дальнейшая судьба под вопросом, т.к. законопроектом предусматривается «части 7.1-8 признать утратившими силу» — т.е. требование в 1 млрд. на такие УЦ тоже будет распространятся (сейчас, на основании ч.8 ст. 16 — требования к стоимости чистых активов и к фин. обеспечению, не распространяются).
С судами все плохо. Посмотрите судебные решения в блоге Натальи Храмцовой.
Смотрел, УЦ не виноватый )
«ответчик ОАО «ИнфоТеКС Интернет Траст» не допустил нарушений закона об электронной подписи»
Абсолютно верно, тут вопрос другой — кому выгоден законопроект и кому выгодно «ликвидировать» существующие АУЦ (вероятно тому, кто хочет войти в рынок ЭП и у кого сейчас мало клиентов). Публикации в СМИ тоже кому-то выгодны… Кстати, дошла ли до суда с исками к УЦ хотя бы одна из тем, хотя бы по квартирам, где УЦ оказался бы виноват?
Инфраструктура УЦ (PKI), которую строили годами, может рухнуть, если кол-во УЦ сократится до 10-15 (кто они?), но на это похоже никто не обращает внимание.
Тут явное нарушение УЦ п.1. ч. 1 ст.18 63-ФЗ, либо в этом УЦ вы раньше получали сертификат и ваши документы и образцы подписи уже есть в архиве документов УЦ. Вообще регулятор может провести «контрольную закупку», если будет обращение.
Это компрометация, в этом случае только отзывать сертификат и получать новый.
УЦ вы можете выбрать любой, на свое усмотрение, другая сторона тоже может выбрать любой УЦ. Используемые сертификаты и (или) УЦ вы можете прописать в соглашении.
УЦ который то ли наказали, то ли он перестал работать.
В свое время приостанавливали аккредитацию и у Тензора и у Контура. Это не значит что все вдруг перестали использовать сертификаты, выданные этими УЦ. Если вы выбрали УЦ, хотите использовать неквалифицированную подпись, то это ваши риски.
А какого -нибудь способа сделать так, чтобы каждый желающий мог проверить, что вот эту статью/файл написал я
Использовать простую ЭП, например. Но вообще авторские права на статью вроде по-другому защищаются :)
Если вы хотите использовать ЭП на основе отечественной криптографии, то проверить ЭП опубликованного вами файла каждый не сможет (желающим придется ставить соответствующий криптопровайдер и средство проверки ЭП).
В принципе, можете использовать RSA сертификаты от какого-нибудь известного центра сертификации (ст.7 63-ФЗ)
Неаккредитованный УЦ можете найти по списку УЦ Минкомсвязи, у которых прекращена или приостановлена аккредитация. digital.gov.ru/ru/activity/govservices/certification_authority
Ещё некоторые АУЦы имеют также отдельные ПАК УЦ, которые используют для выдачи неквалов.
Чтобы другая сторона приняла ЭП, подписанное неквалом, вы можете договориться с ней заранее об использовании неквала (договором, соглашением) — это по 63-ФЗ
Вообще не вижу проблемы. Как частное лицо вы можете использовать:
1) простую ЭП (для обычной переписки, например с родственниками);
2) неквалифицированную ЭП — по соглашению с другой стороной;
3) квалифицированную ЭП (для физ.лица) — в случае, если её необходимость предусмотрена законодательно (налоговая отчетность, закупки и т.д.).
По п. 2 можете получить в неаккредитованном УЦ, по п.3 — в АУЦ, можете несколько сертификатов и выбрать какую использовать.
Идентификация личности при активации учетной записи проводится по паспорту и снилсу, кроме того есть следующий этап — подтверждение уч. записи. Есть проблема возможности подделки паспорта мошенником, но эта проблему можно и к остальным услугам отнести (везде, где требуется предъявление документов).
Выездные услуги связаны с «временным» хранением в УЦ сертификата и ключа ЭП (если владелец на своей стороне сам не сформировал ключ). По сравнению с личной передачей из рук в руки непосредственно сразу после изготовления ключа ЭП под расписку в журналах учета, этот метод менее безопасный и более затратный для УЦ (нотариалка — более затратна для заявителей, тем более для ОГВ и подведов, там в бюджете на это м.б. денег по этим статьям расходов не запланировано).
Представляете, сотрудники казначейства (или ФНС — планируется же ГосУЦ по законопроекту) будут ездить по организациям с журналами учета и выдавать сертификаты и (или) ключи ЭП :)
Не путайте пожалуйста подпись (ЭП), ключ ЭП, сертификат ключа проверки ЭП, это разные «сущности». ЭП документа неразрывно связана с самим документом, ЭП получить в УЦ нельзя, хранить ЭП отделенную, которую сами сформировали при подписанни документа, вы конечно можете отдельно от документа, но никакого смыла не имеет.
Сертификат, соответствующий ключу ЭП, вы может получить в УЦ (можете несколько). Ключ ЭП можете сформировать сами при формировании запроса на сертификат или получить его в УЦ вместе с сертификатом. Хранение и использование — в соответствии с инструкцией ФАПСИ 152. Если сертификаты квалифицированные, то и подпись на документе (по 63-ФЗ)будет квалифицированная. Чтобы она была не юр. значимой можете использовать неквалифицированный сертификат и использовать для свой внутренней (личной) переписки).
1. Защищенность входа можно усилить, включив двухэтапную авторизацию в настройках ЛК (подтвержение входа через код смс). Если произойдет взлом учетки, то это будет практически сразу заметно владельцу (ещё и логи можно посмотреть), в отличие от получения квал. сертификата мошенником).
Регистрацию ЭП — как вы себе это представляете? Может имели ввиду регистрацию квалифицированного сертификата все-таки? Регистрация сертификатов в ЕСИА и так осуществляется, это обязаны делать все аккредитованные УЦ при выдаче сертификата. Если под «Регистрацией ЭП» вы подразумеваете направление через госуслуги заявок в УЦ на получение сертификата, то это не одно и то же, что непосредственно получение сертификата (получают лично, как и паспорт, хотя заявку можно направить через госуслуги), об этом писал выше.
2. «практика выдачи удостоверений личности по доверенностям порочна» — может практика выдачи квалифицированных сертификатов? :) По 63-ФЗ требования к доверенностям не определены, про документы есть «надлежащим образом заверенные копии». С другой стороны вряд-ли министр, депутат или глава лично придет получать сертификат, по ГК доверенность может оформить ЮЛ на своего уполномоченного сотрудника.
3. Требования ввели для сокращения кол-ва УЦ. На практике даже страхование ответственности УЦ, насколько мне известно, не применялось. На сайте росэу была аналитическая статья…
О том, как работает технология, в т.ч. интеграция ИС в СМЭВ, регистрация ИС, пользователей, назначение прав доступа, можно почитать на техпортале smev.gosuslugi.ru, smev3.gosuslugi.ru. Про права доступа, если кратко, со стороны пользователя выглядит так: Пользователь при входе в ИС (например, те же закупки), выбирает вход через госуслуги, авторизируется, его перебрасывает обратно в ИС, при этом, если пользователь является сотрудником ЮЛ и ему были назначены права для работы в ИС (например, специалист с правом подписи контракта), то информация об этих правах тоже передается в ИС (в ИС при проектировании и внедрении это д.б. учтено). Это вполне заменяет наличие OID в сертификате ЭП.
«Я имею в виду те права, что вида „подпись 0xABCD… имеет право...“ — Подпись не может иметь прав :) Права может иметь лицо, подписывающее документ. Но про права подписи — это уже юр сторона вопроса, по технологии — атрибутный сертификат, законодательством пока не предусмотрен. По 63-ФЗ в „обычных“ квалифицированных сертификатах не предусмотрено включение информации о конкретных правах владельца сертификата (можно включить в сертификат информацию о правомочиях заявителя действовать от имени третьих лиц, но на практике таких сертификатов не встречал). Более того, по 63-ФЗ (ст. 6) квал. сертификат „по умолчанию“ может использоваться в любых правоотношениях, поэтому проверка полномочий должна регулироваться другими способами (доверенностями, соглашениями сторон, регламентами работы в ИС и т.д.) и не привязываться к квал. сертификату.
Подписывание документа в оффлайне конечно возможно, но в этом случае не будет доступа к списку отозванных сертификатов по всей цепочке сертификатов от ГУЦ до сертификата пользователя (если вручную заранее СОСы актуальные не установили), а также подпись не будет содержать штампа времени, полученного от службы штампов времени. Это в свою очередь, может создать проблему проверки ЭП в документе для остальных участников взаимодействия. Про юридическую силу — в 63-ФЗ есть условия признания документов, подписанных квал. ЭП.
Это не файлик )) Для ЮЛ права доступа сотрудников для различных ИС, зарегистрированных в ЕСИА, назначаются под правами руководителя ЮЛ. Технология уже работает (так, например, с ЕИС (закупки))
ДТС как бы уже в законопроекте есть (как в варианте МКС, так и РОСЭУ), ДТС с большой долей вероятности все-таки в России будет, но построение инфраструктуры ДТС будет таким же сложным, как и с 1-ФЗ, многое не проработано (нужны будут подзаконные акты). Также была же тема по атрибутым сертификатам (С. Муругов вплотную занимался, законодатели похоже не поняли тему).
Проблема с мошенничеством (получением в УЦ ключа ЭП другим лицом) сейчас просто можно решить:
1. Сделать сервис подачи документов в УЦ через портал госуслуг (тут и подтвержение с e-mail (обратная связь), и идентификация ЮЛ/ФЛ). Потребуется, чтобы заявители и УЦ были зарегистрированы в госуслугах (УЦ там и так есть). Личное присутствие заявителя все равно потребуется при получении квалифицированного сертификата. Популярность госуслуг ещё несколько вырастет, при этом в СМИ нужно проводить пропаганду против ЭП (как сейчас), а наоборот популяризировать ИТ-технологии и ЭП);
2. Сделать сервис для УЦ (и др. участников, например банков, нотариусов) в СМЭВ 3, который не только дает возможность проверить действительнось паспортных данных, но и выдает фотоизображение (с учетом, конечно, требований ИБ) заявителя;
3. Получение физлицом по доверенности за другое ФЛ — только по нотариальной доверенности (некоторые УЦ это в своем Порядке прописывают, по ЮЛ — сложнее, «мешает» ГК). Таких физлиц очень мало, в основном приходят лично.
В принципе, этого достаточно и не надо «1 млрд» в требованиях по аккредитации для УЦ (как сейчас в законопроекте — это просто разрушит все PKI в России, альтернативы существующей построенной инфраструктуре пока нет).
Про фиксацию заявок, поступивших через госуслуги — по той же технологии, как и с получением паспорта (приходят получать все равно лично), так же как и получением путевок в лагеря, записью с д/с… и т.д. Технология уже отработана. Тут для УЦ важно, что идентификация первичная произведена и заявки поступили через госуслуги (ЕСИА)
Отличная статья и анализ. Но…
Проблема 2 — ограничения использования ЭП — в нем краткий анализ «вероятных нарушителей» почти из модели угроз :) Но ограничения, в настоящее время это OIDы в сертификатов (посмотрите требования Росреестра и Рособрназора), ФЭТП, слава богу, от этого ушли. Использование OID в сертификатах (именно для определения прав доступа) — это костыли (все это можно делать через авторизацию ЕСИА и назначение прав в ней на каждую ИС и каждого сотрудника, тем более это обязаловка по ГИС).
По проблеме 1 — есть и альтернативная позиция — УЦ, который дорожит репутаций, «зарабатывает» бонусы на надежности, в итоге м.б. пропустит «мелких» клиентов, но выиграет в итоге )
Про стандартизацию уже с 1-ФЗ говорят и на рускрипто много раз поднимался вопрос… проблемы совместимости, криптопро, випнет, континент tls, особенно в режиме шифрования, остались.
А впереди, вероятное будущее — 10-15 УЦ с 1 млрд. капитала и 1-2 ГосУЦ, и те же проблемы…
Владельцем сертификата, с которым был заключен договор услуг УЦ? Тогда о каком «леваке» может идти речь? Тут ответственность УЦ за достоверность данных, включенных в сертификат, за сохранение конфиденциальности ключа ЭП до момента передачи его владельцу, за своевременное внесение информации в реестр сертификатов — это все есть в 63-ФЗ (в т.ч. наличие финансового обеспечения ответственности за убытки), есть соответствующие статьи в КОАП.
Если имеется ввиду, что сертификат выдан другому лицу, которое предоставило в УЦ поддельные документы, то тут 2 варианта:
1) сотрудник УЦ обнаружил признаки мошенничества (подделка подписи, например), отказал в выдаче сертификата и обратился в соответствующие органы.
2) подделка не обнаружена и сертификат выдан — тогда пострадавшее лицо (с которым у УЦ договорных отношений не было) обращается в суд и там решаются вопросы. А мошенника ещё найти надо (через правоохранительные органы), представить доказательство мошенничества и т.д.
Ответственность УЦ несет и при существующем законодательстве, но при наличии доказательств нарушений со стороны УЦ.
Это право, точнее обязанность есть — УЦ отказывает, в случае, если сведения, полученные из СМЭВ, не соответствуют сведениям, представленным заявителем (ч. 2.3 ст. 18 63-ФЗ). Перечень документов исчерпывающий.
Один из УЦ уже попытался так обезопаситься и вот что из этого вышло
Не позволит определить подделку подписи руководителя (а она может быть практически идентична оригиналу подписи), а получающий по доверенности м.б. действительно тем, на кого выписана доверенность (с реальным паспортом). В итоге (взгляд со стороны УЦ), принимаемые от заявителя документы наддлежаще оформлены, заверены и нет несоответствий со сведениями, полученными из ЕСИА…
Т.е. ответственность за проведение почерковедческой экспертизы возложить на УЦ? :)
Если подписи нотариусов подделывают (Пенсионный фонд России выявил одно из самых крупных мошенничеств на пенсионном рынке и тут
Т.е. специалисты, например (в ПФР, МФЦ и т.д) не могут «распознать» подделку, а специалист в УЦ (с ЗП от 15 до 20 тыр.) обязан?
Требования к доверенности установлены ГК РФ (ст. 185), законопроектом, кстати предусматривается замена в части 3 статьи 14 63-ФЗ «или доверенности» заменить словами «или нотариальной доверенности».
К этому и идет — захват рынка и это кому-то выгодно «из больших».
Вместе с тем, существуют много УЦ от госорганов и подведов (обслуживающие федеральные и региональные ОГВ, муниципалов, это и ПФР и ФОМСы, нот. палаты, мед. орг-ии, и т.д.), их дальнейшая судьба под вопросом, т.к. законопроектом предусматривается «части 7.1-8 признать утратившими силу» — т.е. требование в 1 млрд. на такие УЦ тоже будет распространятся (сейчас, на основании ч.8 ст. 16 — требования к стоимости чистых активов и к фин. обеспечению, не распространяются).
Смотрел, УЦ не виноватый )
«ответчик ОАО «ИнфоТеКС Интернет Траст» не допустил нарушений закона об электронной подписи»
Абсолютно верно, тут вопрос другой — кому выгоден законопроект и кому выгодно «ликвидировать» существующие АУЦ (вероятно тому, кто хочет войти в рынок ЭП и у кого сейчас мало клиентов). Публикации в СМИ тоже кому-то выгодны… Кстати, дошла ли до суда с исками к УЦ хотя бы одна из тем, хотя бы по квартирам, где УЦ оказался бы виноват?
Инфраструктура УЦ (PKI), которую строили годами, может рухнуть, если кол-во УЦ сократится до 10-15 (кто они?), но на это похоже никто не обращает внимание.
Проект закона о внесении изменений в Федеральный закон «Об электронной подписи» от 06.04.2011 N 63-ФЗ (последняя редакция) от РОСЭУ, альтернатива этому законопроекту, но в них везде прописан 1 млрд. руб. в требованиях к минимальному размеру собственных средств УЦ.
По этому вопросу не все так просто, вот точка зрения со стороны УЦ:
"… собиралась провести эксперимент и получить сертификат электронной подписи по поддельным документам"
Это компрометация, в этом случае только отзывать сертификат и получать новый.
УЦ вы можете выбрать любой, на свое усмотрение, другая сторона тоже может выбрать любой УЦ. Используемые сертификаты и (или) УЦ вы можете прописать в соглашении.
В свое время приостанавливали аккредитацию и у Тензора и у Контура. Это не значит что все вдруг перестали использовать сертификаты, выданные этими УЦ. Если вы выбрали УЦ, хотите использовать неквалифицированную подпись, то это ваши риски.
Использовать простую ЭП, например. Но вообще авторские права на статью вроде по-другому защищаются :)
Если вы хотите использовать ЭП на основе отечественной криптографии, то проверить ЭП опубликованного вами файла каждый не сможет (желающим придется ставить соответствующий криптопровайдер и средство проверки ЭП).
В принципе, можете использовать RSA сертификаты от какого-нибудь известного центра сертификации (ст.7 63-ФЗ)
digital.gov.ru/ru/activity/govservices/certification_authority
Ещё некоторые АУЦы имеют также отдельные ПАК УЦ, которые используют для выдачи неквалов.
Чтобы другая сторона приняла ЭП, подписанное неквалом, вы можете договориться с ней заранее об использовании неквала (договором, соглашением) — это по 63-ФЗ
1) простую ЭП (для обычной переписки, например с родственниками);
2) неквалифицированную ЭП — по соглашению с другой стороной;
3) квалифицированную ЭП (для физ.лица) — в случае, если её необходимость предусмотрена законодательно (налоговая отчетность, закупки и т.д.).
По п. 2 можете получить в неаккредитованном УЦ, по п.3 — в АУЦ, можете несколько сертификатов и выбрать какую использовать.
Выездные услуги связаны с «временным» хранением в УЦ сертификата и ключа ЭП (если владелец на своей стороне сам не сформировал ключ). По сравнению с личной передачей из рук в руки непосредственно сразу после изготовления ключа ЭП под расписку в журналах учета, этот метод менее безопасный и более затратный для УЦ (нотариалка — более затратна для заявителей, тем более для ОГВ и подведов, там в бюджете на это м.б. денег по этим статьям расходов не запланировано).
Представляете, сотрудники казначейства (или ФНС — планируется же ГосУЦ по законопроекту) будут ездить по организациям с журналами учета и выдавать сертификаты и (или) ключи ЭП :)
Сертификат, соответствующий ключу ЭП, вы может получить в УЦ (можете несколько). Ключ ЭП можете сформировать сами при формировании запроса на сертификат или получить его в УЦ вместе с сертификатом. Хранение и использование — в соответствии с инструкцией ФАПСИ 152. Если сертификаты квалифицированные, то и подпись на документе (по 63-ФЗ)будет квалифицированная. Чтобы она была не юр. значимой можете использовать неквалифицированный сертификат и использовать для свой внутренней (личной) переписки).
Регистрацию ЭП — как вы себе это представляете? Может имели ввиду регистрацию квалифицированного сертификата все-таки? Регистрация сертификатов в ЕСИА и так осуществляется, это обязаны делать все аккредитованные УЦ при выдаче сертификата. Если под «Регистрацией ЭП» вы подразумеваете направление через госуслуги заявок в УЦ на получение сертификата, то это не одно и то же, что непосредственно получение сертификата (получают лично, как и паспорт, хотя заявку можно направить через госуслуги), об этом писал выше.
2. «практика выдачи удостоверений личности по доверенностям порочна» — может практика выдачи квалифицированных сертификатов? :) По 63-ФЗ требования к доверенностям не определены, про документы есть «надлежащим образом заверенные копии». С другой стороны вряд-ли министр, депутат или глава лично придет получать сертификат, по ГК доверенность может оформить ЮЛ на своего уполномоченного сотрудника.
3. Требования ввели для сокращения кол-ва УЦ. На практике даже страхование ответственности УЦ, насколько мне известно, не применялось. На сайте росэу была аналитическая статья…
«Я имею в виду те права, что вида „подпись 0xABCD… имеет право...“ — Подпись не может иметь прав :) Права может иметь лицо, подписывающее документ. Но про права подписи — это уже юр сторона вопроса, по технологии — атрибутный сертификат, законодательством пока не предусмотрен. По 63-ФЗ в „обычных“ квалифицированных сертификатах не предусмотрено включение информации о конкретных правах владельца сертификата (можно включить в сертификат информацию о правомочиях заявителя действовать от имени третьих лиц, но на практике таких сертификатов не встречал). Более того, по 63-ФЗ (ст. 6) квал. сертификат „по умолчанию“ может использоваться в любых правоотношениях, поэтому проверка полномочий должна регулироваться другими способами (доверенностями, соглашениями сторон, регламентами работы в ИС и т.д.) и не привязываться к квал. сертификату.
Подписывание документа в оффлайне конечно возможно, но в этом случае не будет доступа к списку отозванных сертификатов по всей цепочке сертификатов от ГУЦ до сертификата пользователя (если вручную заранее СОСы актуальные не установили), а также подпись не будет содержать штампа времени, полученного от службы штампов времени. Это в свою очередь, может создать проблему проверки ЭП в документе для остальных участников взаимодействия. Про юридическую силу — в 63-ФЗ есть условия признания документов, подписанных квал. ЭП.
Это не файлик )) Для ЮЛ права доступа сотрудников для различных ИС, зарегистрированных в ЕСИА, назначаются под правами руководителя ЮЛ. Технология уже работает (так, например, с ЕИС (закупки))
Проблема с мошенничеством (получением в УЦ ключа ЭП другим лицом) сейчас просто можно решить:
1. Сделать сервис подачи документов в УЦ через портал госуслуг (тут и подтвержение с e-mail (обратная связь), и идентификация ЮЛ/ФЛ). Потребуется, чтобы заявители и УЦ были зарегистрированы в госуслугах (УЦ там и так есть). Личное присутствие заявителя все равно потребуется при получении квалифицированного сертификата. Популярность госуслуг ещё несколько вырастет, при этом в СМИ нужно проводить пропаганду против ЭП (как сейчас), а наоборот популяризировать ИТ-технологии и ЭП);
2. Сделать сервис для УЦ (и др. участников, например банков, нотариусов) в СМЭВ 3, который не только дает возможность проверить действительнось паспортных данных, но и выдает фотоизображение (с учетом, конечно, требований ИБ) заявителя;
3. Получение физлицом по доверенности за другое ФЛ — только по нотариальной доверенности (некоторые УЦ это в своем Порядке прописывают, по ЮЛ — сложнее, «мешает» ГК). Таких физлиц очень мало, в основном приходят лично.
В принципе, этого достаточно и не надо «1 млрд» в требованиях по аккредитации для УЦ (как сейчас в законопроекте — это просто разрушит все PKI в России, альтернативы существующей построенной инфраструктуре пока нет).
Про фиксацию заявок, поступивших через госуслуги — по той же технологии, как и с получением паспорта (приходят получать все равно лично), так же как и получением путевок в лагеря, записью с д/с… и т.д. Технология уже отработана. Тут для УЦ важно, что идентификация первичная произведена и заявки поступили через госуслуги (ЕСИА)
Проблема 2 — ограничения использования ЭП — в нем краткий анализ «вероятных нарушителей» почти из модели угроз :) Но ограничения, в настоящее время это OIDы в сертификатов (посмотрите требования Росреестра и Рособрназора), ФЭТП, слава богу, от этого ушли. Использование OID в сертификатах (именно для определения прав доступа) — это костыли (все это можно делать через авторизацию ЕСИА и назначение прав в ней на каждую ИС и каждого сотрудника, тем более это обязаловка по ГИС).
По проблеме 1 — есть и альтернативная позиция — УЦ, который дорожит репутаций, «зарабатывает» бонусы на надежности, в итоге м.б. пропустит «мелких» клиентов, но выиграет в итоге )
Про стандартизацию уже с 1-ФЗ говорят и на рускрипто много раз поднимался вопрос… проблемы совместимости, криптопро, випнет, континент tls, особенно в режиме шифрования, остались.
А впереди, вероятное будущее — 10-15 УЦ с 1 млрд. капитала и 1-2 ГосУЦ, и те же проблемы…