А вы знаете, что электронная подпись юридического лица дает возможность заходить на "Госуслуги" под видом частного лица и .... делать все, что угодно (в рамках возможностей ЛК), например, смотреть личные данные (недвижимость, обращения, налоги) и т. п.?
Как это проверить и как я про это узнал: оформил новую ЭП (кстати, термин ЭЦП давно выведен законодательством из обращения) на руководителя (себя). Решил проверить ее работоспособность. На токене размещена только одна подпись (сертификат), других нет. При заходе на портал "Госуслуги" выбираю "Войти с электронной подписью":
После этого мне отображается перечень всех личных кабинетов, в которые я могу зайти (то есть всех организаций, где я являюсь руководителем, а также ссылка на доступ в личный кабинет физического лица, в терминологии портала – "частное лицо"):
Я попробовал: действительно, могу заходить во все организации, в ЛК "частного лица" и видеть всю доступную информацию, а также совершать различные действия. Например, можно видеть всю доступную в профиле информацию (привязанный телефон, личный адрес электронной почты и т. п.):
Также можно просмотреть все заявления, ответы на обращения, возможно, заказать какую-нибудь госуслугу (но я не стал пробовать).
Возможно (возможно), при оформлении какой-нибудь из них потребуется подпись физического лица, и тогда сделать по подписи ЮЛ не получится (но это не точно).
Кто-то может сказать: ну и что тут такого, ведь речь об одном и том же человеке, что тут страшного.
Ну, во-первых, считаю, статусы у этих подписей все-таки разные, и нехорошо по ЭП одной организации давать доступ к другой организации и, тем более, к данным физлица.
А во-вторых, и это самое, на мой взгляд, главное: подавляющее большинство организаций, причём неважно, со штатным бухгалтером или бухгалтерией на аутсорсе, подает всю отчетность (в налоговую, ФСС и т. п.) по подписи руководителя.
Просто потому, что нормального механизма с электронными доверенностями нет (насколько я знаю, поправьте, если не прав). То есть надо оформлять доверенность на сотрудника, как правило, в бумажном виде, отвозить в налоговую и тогда, возможно, получится отправлять электронную отчетность по электронной подписи сотрудника. При чем для каждого из органов, куда сдается отчетность, нужно оформлять свою доверенность.
Помнится, несколько лет назад я просил пойти бухгалтерию по такому пути, но те столкнулись с трудностями: то ли не принимались документы из-за отсутствия доверенности, хотя она была, то ли приходилось оформлять разные виды доверенностей и отвозить во все инстанции, куда подавалась отчетность. То есть все удобство от использования ЭП и электронной отчетности сводилось на нет.
И только со следующего года налоговая вводит механизм электронных доверенностей, но, как выясняется, окончательно утвержденного регламента и сроков пока нет. Вот Вам и цифровизация.
В итоге, приходим к тому, что любая Марь Иванна из бухгалтерии или бухгалтер аутсорсинговой фирмы, которую Вы и в глаза никогда не видели, может спокойно лазать по личным кабинетам ваших остальных организаций (по которым у Вас нет договора с этой бухгалтерской фирмой) или по личному кабинету Вас, как физического лица, и знать про Вас такое, что Вы бы не хотели показывать посторонним людям (не потому, что это что-то плохое, а потому, что это Ваша личная информация).
А при worst-case scenario (то есть, скажу аккуратно, теоретически) такая Марь Иванна может без Вашего ведома оформить какую-нибудь госуслугу. Случайно, не со зла (хотя... случаи разные бывают).
Естественно, я обратился в чат поддержки с вопросом ("почему по ЭП организации предоставляется доступ к ЛК частного лица? ") и более, чем через час, получил, как и ожидалось, невразумительный ответ:
Вот так, "нет возможности". Примерно, как "любой может войти в вашу электронную почту по дефолтному паролю 12345678, но запретить это нет возможности" (утрирую? Наверное, но сути дела это не сильно меняет).
Поэтому я рекомендую зайти в профиль и заблокировать доступ к порталу для соответствующих электронных подписей:
Правда, информация о подписи довольно скудная, есть только номер сертификата, Вы должны сверить его с тем, что хранится на токене и/или используется для подачи электронной отчетности (неудобно: хотя бы писали, что это за подпись - если на организацию, то какую).
А во-вторых, есть здесь еще одно большое "но": даже заблокировав подпись, я снова смог по ней попасть на портал. Вот Вам скриншот с доказательством:
Я, как и положено, вышел из кабинета, затем попробовал войти вновь по заблокированной подписи и.... у меня получилось (!)
Ок, подумал я, возможно, информация еще не успела обновиться, закэшировалась, но и через 45 минут у меня получилось зайти на портал и попасть в ЛК частного лица. Как видно на скриншоте, по заблокированной, якобы, подписи.
Я провел эксперимент на другом компьютере (ноутбуке): и у меня тоже получилось попасть в ЛК частного лица по заблокированной подписи.
Что объединяло эти два компьютера: я и ранее заходил на них в ЛК (до блокировки). Поэтому провел эксперимент на третьей машине, на которой ранее в свой ЛК не заходил. И уже на ней, при попытке входа вылезла надпись "отсутствует подходящая подпись" (или что-то в этом роде).
Я подумал, что на предыдущих двух машинах сохранились сертификаты заблокированной ЭП (может, поэтому и удавалось попасть на портал), полез в хранилище сертификатов. Но нет, там сертификата заблокированной подписи не нашел.
На этом свои эксперименты прекратил и пришел к выводу, что даже если заблокировать конкретную ЭП на портале, то пресловутая Марь Иванна, которая раньше могла заходить на ЭП по этой подписи, все равно будет иметь доступ к кабинету.
В любом случае, рекомендую заблокировать в настройках профиля доступ к порталу для соответствующих сертификатов ЭП - это лучше, чем ничего.
Ну и, в заключение, так как давно порывался написать пост про ЭП, но все не доходили руки, то вкратце поделюсь некоторыми мыслями:
Хорошие инициативы с ЭП у нас превратились в "как всегда". Я имею ввиду, в первую очередь, ситуацию с директорскими подписями, которую описал выше: даже те немногие, кто понимают, что так не очень хорошо делать с т. з. безопасности, вынуждены продолжать работу из-за серьезных неудобств, неотлаженных процессов.
Может, и есть нормальный способ, до ввода электронных доверенностей в следующем году, то буду, конечно, рад о нем услышать. Но то, что даже если он и существует, им мало, кто пользуется, это точно.
Во-вторых, безграмотность и безалаберность в вопросах работы с ЭП. Причем, даже среди айтишников. Рассказываю, как обычно выглядит процесс получения ЭП: Вы приходите в УЦ, Вам дают подписать заявление, и некий Вася выходит и выдает Вам "флэшку" (токен) с подписью. Ведь так Вы ее получали?
Можно смоделировать следующую ситуацию: потом этот Вася уволится (а текучка в УЦ, как я заметил, большая), прихватив с собой и все электронные подписи. А потом по стране прокатывается волна страшилок, когда без ведома собственника продавали его недвижимость. А дальше государство начинает ужесточать законодательство в сфере УЦ и ЭП (об этом чуть ниже).
Я же при получении подписи делаю не так: прихожу, и говорю, что закрытый ключ генерировать буду сам. У "манагера" УЦ глаза делаются большими и круглыми ("вообще-то, так нельзя, никто так не делает, сейчас уточню"), он зовет Васю из подсобки, который приходит и нехотя подтверждает, что так, оказывается тоже можно. "Манагер" закатывает глаза и тяжко вздыхает, после чего я генеририрую ключевую пару на токене со своего ноута, и записываю сертификат, подписанный УЦ, на токене (это делается элементарно, средствами плагинов через браузер).
И я ничего не придумываю: такая ситуация у меня возникает практически каждый раз, когда получаешь новую подпись (вот почему удобнее продлевать до истечения - так можно избежать похода в УЦ).
Так вот, возвращаясь к ситуации с УЦ: государство (вернее, некомпетентные управленцы и исполнители) открыло этот рынок, аккредитовало УЦ, столкнулось, как обычно это бывает, с проблемами администрирования и контроля, и, по классике, пошло по самому простому для себя пути "закручивания гаек": вначале пошли слухи, что УЦ останется только один государственный, потом чиновники, похоже, спохватились, что сами могут "треснуть" из-за этого, и определили переходный период, потом назначили срок перехода, потом его перенесли... В общем, я уже устал отслеживать все эти слухи, проекты изменений, переносы, внесения поправок в НПА... Это не моя профильная деятельность, хотя, по-хорошему, каждый гражданин должен более менее в вопросе разбираться и следить за происходящим.
В общем, тем, кто дочитал мой опус до конца, желаю быть аккуратными со своими ЭП, не попадать в ситуации их несанкционированного использования и с наступающим новым годом!
Комментарии (168)
leveler
23.12.2021 08:06+2В ЛК можно просто отключить вход по ЭП, не блокируя сами подписи. Для новых учётных записей вход по ЭП, вроде как, сейчас по умолчанию отключён.
Блокировка подписи означает, что ей нельзя заявления на портале подписывать и всё.
bromium Автор
23.12.2021 08:16+2С сайта госуслуг:
Что будет, если заблокировать электронную подпись
В этом случае вы и никто другой не сможете пользоваться электронной подписью на Госуслугах. Например, нельзя будет войти на портал, зарегистрировать организацию или изменить настройки учётной записи
Это временная блокировка, её можно снять и снова пользоваться электронной подписью
leveler
23.12.2021 08:25Хм... Возможно, сам ни разу не блокировал. Но вот этот переключатель работает точно.
vikarti
24.12.2021 05:35Вот было бы очень неплохо если бы:
- можно было научить приложение госуслуг работать с ЭП с мобильных (ну а что — USB-порт и переходники, раз уж не под силу производителям ГОСТ-токенов сделать NFC-версии, хотя сама задача — решаемая — у YubiKey такое есть, там конечно не ГОСТ)
- научить приложения на андроид (вроде ГисЖКХ и банков) не запрашивать по новой логин и пароль госуслуг а запрашивать доступ через приложение Госуслуг (как Facebook делает — приложения нет — мобильная веб-страничка, приложение есть — запрос в этом приложении)
- разрешить отключать телефонную 2FA — вход только с токеном (а отключение этой опции — в МФЦ)
- сделать дополнительный способ 2FA — "нажмите ДА в приложении Госуслуг на телефоне" (вроде того же Google Prompt)
norguhtar
24.12.2021 07:05Вообще все это давно есть. Просто сходите на сайт того рутокена. Ключи есть работающие через bluetooth и с кнопкой. И да это можно все запустить на андроиде и даже есть нужное SDK
научить приложения на андроид (вроде ГисЖКХ и банков) не запрашивать по новой логин и пароль госуслуг а запрашивать доступ через приложение Госуслуг (как Facebook делает — приложения нет — мобильная веб-страничка, приложение есть — запрос в этом приложении)
Это тоже давно есть называется ЕСИА. К нему могут подключаться в том числе и некоторые коммерческие структуры. К примеру банки и провайдеры.
vikarti
24.12.2021 08:16Вообще все это давно есть. Просто сходите на сайт того рутокена. Ключи есть работающие через bluetooth и с кнопкой. И да это можно все запустить на андроиде и даже есть нужное SDK
Приложение Госуслуг на андроиде умеет этими ключами пользоваться?
А отключить в этом случае смсную 2FA можно? (у меня соответствующую опцию найти не вышло).Это тоже давно есть называется ЕСИА. К нему могут подключаться в том числе и некоторые коммерческие структуры. К примеру банки и провайдеры.
Что можно использовать другим ресурсам авторизацию я в курсе. Но вот только ГисЖКХ на андроиде — работает именно как описано мной. Открывается вебвью с сайтом госуслуг а НЕ установленное приложение госуслуг. Приложение ВТБ делает точно также. Госуслуги.Стопкороновирус (показывалка и проверялка QR-кода) тоже показывает вебвью. Яндекс(приложение) (для функции показа QR-кода) тоже показывает вебвью.
Если в спецификации ЕСИА сказано что при наличии на том же устройстве приложения госуслуг должно вызыватся оно а не вебвью — почему тогда такое количество разработчиков сделало криво?
Вот что я имею ввиду для случая Facebook, в картинках https://habr.com/ru/post/116417/norguhtar
24.12.2021 08:36Приложение Госуслуг на андроиде умеет этими ключами пользоваться?
А отключить в этом случае смсную 2FA можно? (у меня соответствующую опцию найти не вышло).Нет конечно. Там круг пользователей в данный момент весьма невелик.
Если в спецификации ЕСИА сказано что при наличии на том же устройстве приложения госуслуг должно вызыватся оно а не вебвью — почему тогда такое количество разработчиков сделало криво?
ЕСИА как раз про web там только oauth по этому и вылазит webview. А вот про приложение там ничего нет насколько я помню, по этому все и делают через webview
dmitrmax
24.12.2021 11:23Рутокен ЭЦП 3.0 - смарт карта с ГОСТ.
Но входить по ЭП, я считаю, плохо. Вы подписываете при входе какие-то рандомные данные, которые не видите. Они могут быть и не рандомными вовсе.
Tsvetik
23.12.2021 08:22+5А расскажите, как сгенерировать подпись самому и получить на нее сертификат?
Недавно получал подпись в такском. Специальная веб-странчяка вызвала биологический ГСЧ, я поводил мышкой и подпись была записана на джакарту. Потом приехал курьер и привез сертификат.
Oplkill
23.12.2021 08:42Для таких действий нужен Удостоверяющий центр, иначе никому твоя подпись не будет нужна.
norguhtar
23.12.2021 10:02+3Ищите УЦ который позволяет подписывать запрос csr тогда закрытая часть останется только у вас.
Tsvetik
23.12.2021 10:07Вот так происходит у них процесс.
https://youtu.be/E1x47IWHeyI?t=166
И мне кажется, что ключи генерируюстя у меня. Такском олько сертификат выпускает.
А можно поподробнее про csr и как все это делать?
norguhtar
24.12.2021 07:07При такой схеме csr формируется самим софтом на вашем компьютере и подписывается у них, тут все хорошо и ничего менять не надо.
bromium Автор
23.12.2021 10:20+2Точно так же, только токен я сам вставляю в свой комп и не передаю никому. И сертификат загружается тоже через веб-страницу после подтверждения заявления оператором. А Вам курьер привез, скорее всего, токен, и что с ним делали, не экспортнули ли вашу ЭП по дороге - одному богу известно.
Master_Al
23.12.2021 10:56+3Есть опыт формирования ЭП со стороны бюджетных организаций через Федеральное казначейство - они просто создали портал, где с помощью программки формируется закрытая часть ключа и заявление на получение сертификата, который вам присылают на почту через некоторое время - по итогу закрытая часть ключа остается только у вас и никто кроме вас не имеет к ней доступа.
Tsvetik
23.12.2021 11:13Не-не. Токен у меня свой. Курьер привез бумаги.
IndependentFM
23.12.2021 12:16+6Я некоторое время назад был вот этим самым "Васей", только от Контура. Посмотрев видео, могу сказать, что немного отличается схема работы. У Контура она следующая:
сначала нужно сформировать заявление (в офисе УЦ или дома, но потом приехать с распечатанным заявлением, паспортом и СНИЛСом в отделение УЦ). Менеджер проверяет данные, пробивает по базе и если все ок - тыкает кнопку и говорит, мол, можем начать выпуск подписи, как поступим, в офисе начнем или самостоятельно? Вот на этом этапе вы можете уходить домой - с приобретенным пустым токеном или своей USB-флешкой (да, на нее тоже можно выпустить ЭП), не суть важно. Дома заходите на определенный контуровский сайт (несколько вариантов логина, предпочтительный - по номеру телефона, придет смска), после чего попадаете в свой ЛК УЦ. Если менеджер нажал кнопочку правильно, вы увидете, что ваша подпись готова к выпуску. Клац-клац, качаете плагины и Крипту, генерируете контейнер, проходит от пяти минут до нескольких часов в зависимости от типа подписи и, введя еще одну смс, заканчиваете выпуск (к уже готовому контейнеру "прикрепляется" открытая часть подписи). Для сохранности можно сделать копии на другие носители и/или реестр.В таком случае у вас просто нет вариантов, где "Вася" в теории может перехватить подпись. На серверах УЦ хранятся только открытые части ЭП, но ими ничего не сделать - ни залогинится куда-либо, ни подписать документ.
Что касается статьи, то автору только остается ждать МЧД (введения и полировки) и просто поддерживать хорошие отношения с владельцами копий своей ЭП) Все-таки с ее помощью можно вещи пострашнее провернуть, чем войти в ЛК физика и там набедокурить.bromium Автор
23.12.2021 12:20+1спасибо, полезный комментарий.
Ну и на всякий случай disclaimer: никого из Василиев обидеть не хочу, это просто, не знаю, как назвать, собирательный образ, что ли. Марь Иванн прошу тоже не обижаться (написал на всякий случай, а то все-таки они держат меня за .... подпись)
bgBrother
24.12.2021 02:35В таком случае у вас просто нет вариантов, где «Вася» в теории может перехватить подпись
Код приложений, которые предлагается скачать, открыт?max_rip
24.12.2021 06:36А это интересный вопрос.
По хорошему, надо купить дистрибутив криптопро, с которым будет сертификат соответствия, что ПО было проверено ФСТЭК и ФСБ, в нем будут хеши ПО с диска. Это даёт какие-то гарантии.
Но у нас все скачивают с сайта. Хотя производите и вводят такое понятие как электронный формуляр, насколько это правильно с точки зрения законодательства не могу сказать.
И да, все ПО проприетарное, хотя все компоненты имеются в опенсорсе, но с точки зрения законодательства надо использовать только после соответствующей сертификации, а тут опенсорос уже не прокатит.
Для ЮР лиц это все обязательно, по факту к ним могут прийти и проверить.
dmitrmax
24.12.2021 11:28А проверять хэши вы чем будете? Тем же ПО с диска? Другим-то низя, ведь там хэши ГОСТ, но ой, ведь шпиён если подменит ПО на диске, подменит и проверялку хэшей.
norguhtar
24.12.2021 11:45Да хоть openssl. Алгоритмы ГОСТ криптографии и реализация к OpenSSL есть.
dmitrmax
24.12.2021 12:30Ну дома на своей уютной кухоньке-то да. А в серьезной организации нет. Не сертифицирован этот ваш OpenSSL. Вообще не является СКЗИ по закону и не может быть использован для этих целей.
bgBrother
24.12.2021 16:26с точки зрения законодательства надо использовать только после соответствующей сертификации, а тут опенсорос уже не прокатит.
Чем, кроме желания чиновников, обусловлен отказ от опенсорса после/при сертификации?norguhtar
25.12.2021 08:51Там есть момент что сертифицированной считается строгоопределенная версия собранного ПО которое прошло испытания т.е бинарник. Нужно менять законодательство таким образом, чтобы сертификация на соответствие получалась просто по факту прохождения открытого набора тестов к примеру. Но никому из участников процесса это не интересно.
norguhtar
24.12.2021 07:10Достаточно подписать софт. Это будет гарантировать, что софт именно производителя и его никто не модифицировал.
bgBrother
24.12.2021 16:09будет гарантировать, что софт именно производителя и его никто не модифицировал
Лично я буду доверять производителю только тогда, когда или сам сделаю аудит открытого кода, или это сделает независимая организация, а не только правоохранительные органы.
IndependentFM
24.12.2021 07:59Код приложений, которые предлагается скачать, открыт?
Насколько я понимаю - нет. Из мастхевного плагин Контура и сама Крипта, остальное ПО по желанию/удобству, в процессе генерации и записи ЭП оно не участвует.
Намек понимаю, но очень сильно сомневаюсь, что крупнейшие УЦ будут хранить на своих серверах ЭП клиентов, даже если бы у них технически была такая возможность. Это незаконно и наказуемо. Хранятся только открытые части ключей.
Насчет собственно технической возможности ничего сказать не могу, знаю про "внутреннекапотную" генерацию контейнера аж ничего, но сильно сомневаюсь, что есть возможность одновременной генерации контейнера в какое-то другое место.
bgBrother
24.12.2021 16:13Это незаконно и наказуемо. Хранятся только открытые части ключей.
Ровно до той поры, пока государство или органы сами не заинтересованы.
norguhtar
24.12.2021 07:08Если у вас флешка да. Если у вас именно криптотокен, то перевозка безопасна. Вынуть закрытую часть ключа из токена нельзя. Никак :)
bgBrother
24.12.2021 16:18Вынуть закрытую часть ключа из токена нельзя. Никак :)
Зависит от производителя токена, реализации ГПСЧ и время от времени всплывающих уязвимостей. Еще следует учесть, что закрытый ключ могли импортировать в токен из-вне, вместо генерации на устройстве.norguhtar
24.12.2021 16:31я про штатный конечно же функционал. Бывает что есть возможность вынуть, но с таким же успехом можно и флешкой пользоваться.
bgBrother
24.12.2021 17:18я про штатный конечно же функционал
Так и я о нём. Вам нужно каким-либо образом убедиться, что:
1) завод бренда не заложил бекдор;
2) бренд не уменьшил качество ГПСЧ;
3) не было третьего человека между вами и производителем (продавец/доставщик/коп), который теоретически может импортировать секретный ключ, при условии что вы забудете регенерировать на новый.
aim
23.12.2021 09:24+1хм. получается что всякие сервисы ужаленной бухгалтерии, типа того что "точка" предоставляет тоже могут расхаживатб по ЛК Госуслуг...
SAWER
23.12.2021 10:48Не уверен как реализовано там. Но обычно передаётся сертификат открытого ключа(без закрытого ключа). В таком случае можно реализовать защиту.
bromium Автор
23.12.2021 12:38+3как без закрытого ключа они могут подписывать документы и отправлять документы? обычно всякие сторонние сервисы хранят и закрытый ключ (без этого же не подписать), просто используют еще и в терминологии 63-ФЗ простую подпись, то есть присылают смс с кодом подтверждения действия (подписания), если юзер подвтердил, то закрытым ключом подписывают документ
megathrone
23.12.2021 12:46+2обычно всякие сторонние сервисы хранят и закрытый ключ (без этого же не подписать)
Все так и есть. Я участвовал в разработке подобного сервиса (лет 5 назад).
Yuriy_krd
23.12.2021 14:01Нет, не могут. Там схема работы такова — вы через договор делаете их уполномоченными представителями вашей организации для сдачи отчетности, но подписывают они ЭЦП, который выпускается на их имя.
aim
23.12.2021 15:38я перепроверю (как раз сейчас надо ключи выпускать на следующий год), но кажется я прав.
vikarti
23.12.2021 17:17+1Видимо мне почудилась подписанная (посколько МоеДело требует) мной бумага что мной получен (хотя реально файлов не имею) сертификат с открытым ключом таким то от Калуги-Астрал (а теперь от Аналитического Центра, но зато там через myDSS хоть, с myDSS хоть много слов умных сказано что оно через КриптоПРО HSM работает и сертифицировано),
Goodwinnew
23.12.2021 09:25+4Что тут вообще обсуждать?
Логин - это Ваша почта/СНИЛС или телефон. Свой логин сделать нельзя. Логин утекает достаточно быстро, он же не секрет.
Подбирай пароль сколько хочешь. Нормальной защиты от подбора судя по всему НЕТ. Мой пароль из 10 символов подобрали за полгода. Хоршо, была включена 2F, пришла СМС на телейфон. Логирования с успешных паролем нет. Только полноценный вход (после СМС) - т.е. если проблемы с телефоном - ты и не узнаешь, что твой пароль подобрали. На почту инфа придет только после полного входа.
Даже в онлайн-банках используют отдельный свой логин, что бы было сложно подобрать пару логин-пароль.
Jsty
23.12.2021 11:15+12Действительно. Попробовал рандомный набор данных в credentials. После третьей попытки один(!) раз запросило ввести капчу и далее просто кликал на кнопку входа раз 100-150, капчи больше не было.
Позорище.
vsb
23.12.2021 09:39+6Как я когда-то решал последнюю проблему в Казахстане:
Я прихожу и получаю ЭЦП на флешку, как все "нормальные" люди.
Дома первым делом я выпускаю вторую ЭЦП через портал pki.gov.kz подписывая её первой ЭЦП. Тут уже ключ генерируется локально, проблем нет.
Отзываю первую ЭЦП.
В итоге потенциально скомпрометированная ЭЦП отозвана, я пользуюсь нормально сгенерированной ЭЦП. Если в России можно так делать, то проблема вроде решаема.
Хотя вообще когда я последний раз получал, там процесс получения был разделён на три этапа. На первом этапе генерируют ключ, сохраняют на флешку, распечатывают заявление и отправляют во второе окошко. На втором этапе во втором окошке просматривают заявление и документы и подтверждают выпуск сертификата. После этого человек возвращается в первое окошко и ему на флешку копируют уже готовый сертификат в придачу к ключам.
Собственно первый и третий этап технически подкованный пользователь вполне может сделать дома и самостоятельно, нужно лишь распечатать бумажку-заявление. Заодно и быстрей всё будет.
inkelyad
23.12.2021 10:09Собственно первый и третий этап технически подкованный пользователь вполне может сделать дома и самостоятельно, нужно лишь распечатать бумажку-заявление. Заодно и быстрей всё будет.
Проблема в том, что к остальным могут прийти вежливые и убедительные люди (и программы) — 'помощники', которые тот же ключ помогут правильно создать. И не забудут записать его себе, как в сценарии с Васей.
Поэтому единственный вариант, который кажется правильным — это
(a) использование правильного токена, который ключи сам умеет делать
в комплекте с
(b) вусмерть засертифицированным и запломбированным со всех сторон HSM в удостоверяющем центре, куда этот токен втыкается для всех процедур создания личной ЭП. Причем хорошо бы — чтобы это происходило на виду у получающего подпись и с печатью этим же HSM каких-нибудь подтверждающих бумажек.bromium Автор
23.12.2021 10:27на хабре даже была статья про проблемы с рутокен лайт. И да, как и что там генерится, не утекает ли ключевая пара на сторону , тоже не известно. Но хотя бы формально есть сертификаты, аккредитация.
vGimly
23.12.2021 11:11+3Как вообще можно сертифицировать "криптоконтейнеры" без криптопроцессора?
Если "неизвлекаемый" закрытый ключ необходимо каждый раз физически с носителя считывать (пусть даже потом и расшифровывать в памяти компа)... Что-то тут категорически не так с безопасностью.
Криптобезопасность путём обфускации (на самом деле нет). Тут люди ищут способы борьбы с утечками закрытых ключей по побочным каналам - в том числе и от считывания путём травления или механического доступа к кристаллам. А у нас "зашифрованные флешки" под видом криптоконтейнеров продают.
max_rip
24.12.2021 06:46Так он и не извлекается в ПК, данные для подписи передаются в токен, а оттуда возвращается хешь. Как раз для этого токен и нужен.
bgBrother
24.12.2021 16:33Кажется, под "«криптоконтейнеры» без криптопроцессора" имели ввиду не крипто-токен, а флешки без чипа и ПО, реализующее «криптоконтейнер», на ПК без TPM-модуля.
rrrad
24.12.2021 00:49+1Любой вариант с генерацией ключа неизвестным вам алгоритмом (по сути - бинарником, собранным неизвестно из чего) потенциально небезопасен.Здесь была статья, в которой демонстрировалась возможность генерации валидной пары ключей RSA, у которых по публичному ключу можно идентифицировать приватный, достаточно всего лишь искусственно ограничить используемую энтропию ГСЧ, подобрав из нескольких генерируемых вариантов промежуточных множителей выбрать тот, который удовлетворяет определённому условию. Возможно, я немного не точно описываю модифицированный процесс генерации пары ключей, но суть в том, что полученные на выходе ключи никто, кроме создателя модифицированного алгоритма, не отличит от нормальных.
vGimly
23.12.2021 11:06+2В этом году для двух ЭЦП проводили полностью дистанционное продление сертификатов в разных УЦ.
Имеется (пока) действующая квалифицированная ЭЦП для организации.
На основе её сертификата создаётся и ей же подписывается CSR, который дистанционно через интернет передаётся в УЦ. Некоторые поля в CSR относительно "старого" сертификата причём поменялись - например ИНН в подписи был организации а стал ИНН физлица, а ИНН-ЮЛ ушло в поле с пока не понимаемым многими старыми прогами OID - может это особенность того УЦ (старый сертификат был не их).
Закрытый ключ для нового сертификата полностью генерируется на стороне клиента.
bromium Автор
23.12.2021 12:40+1да, при продлении, если подпись действующая, то заявление на выпуск можно ею подписать (ну, что лоигчно). А если истекла, или новая - то по закону нельзя дистанционно, насколько я помню.
postgree
23.12.2021 23:43В РК другая проблема - наркомански реализовано по для формирования подписей (NCALayer). На Хабре статья была по поводу хранения пути и пароля до ключа на странице. Нуц вроде бы исправил эту проблему в основном модуле, но много модулей эту шляпу притащила к себе. Так же каждый модуль отдельных систем может поидее творить что угодно, и пользователь не будет знать этого, механизм аудита этих модулей отсутствует. Работа только по вебсокету - не заводилось на куче старых АИС, древних как говно мамонта, и требующих режим совместимости с ишаком версии 9 и ниже. Я сам лично танцевал над одной системой, запустили через ёжика. А вот некоторые забили. И или пользовались старыми системами и поддерживали допотопные решения с апплетами. А некоторые умудрились тогда даже деньги на новые системы выпросить. И самая главная проблема на мой взгляд - пользователь не видит, что подписывает. Лично моё мнение - это обязательная фича должна быть. Во времена калкана и апплетов была история, как один чел реализовал при входе в систему подписание договора на передачу органов. За пол года ни один человек не обратился.
vsb
24.12.2021 07:49+1Ну NCALayer реализован так хорошо, как мог быть для технологий того времени. Единственное, что я бы сейчас изменил, это добавил бы WebUSB для казтокенов, но казтокены вроде не в их юрисдикции, это отдельная компания.
С остальным согласен. Тут ещё проблема в том, что подписывается обычно какой-то непонятный для пользователя XML-файл со всякими идентификаторами. От того, что его покажешь, толку будет немного. Можно было бы на уровне законодательства принять какие-то стандарты, к примеру подписываться должен текстовый файл, который должен быть понятен целевому пользователю и показываться перед подписью.
ifap
23.12.2021 10:20+20Позвольте, Вы получили ЭП на Иванова И.И., гендира ООО «Аленький цветочек», и возмущены тем, что можете войти с этой ЭП в личный кабинет того же Иванова И.И.?
У меня для Вас новости: ЭП гендира ООО «Алекнький цветочек» Иванова И.И. — это ЭП все того же физлица Иванова И.И. в статусе гендира ООО, а не ЭП гендира ООО, которым сегодня является Иванов И.И., а завтра непойми кто. Завтра Непоймикто П.П., назначенный на должность гендира ООО, будет вынужден получить свою собственную ЭП, с которой не сможет зайти в личный кабинет Иванова И.И.bromium Автор
23.12.2021 10:40+4Да, я предвидел этот комментарий и ответ на него отразил в своем посте. И новость Вы никакую мне не сообщили. Пожалуйста, читайте внимательно.
Проблема ведь другим: снова игра в одну калитку. Хочешь удобно ("без геморроя") пользоваться отчетностью - приходиться отдавать директорскую КЭП. При этом наличие КЭП не означает наличие доступа ко всем сервисам: вот у УЦ и есть тарифы: дешевый за 1000 и дорогой за 5000 с большим набором OID. Что и удручает - теряется суть КЭП (аналог собственноручной)): "ручки" приходится использовать разные.
То есть, чтобы побольше собрать с пользователя денег, разделение по OID сделали, а с доступом в ЛК почему-то про такое разделение "забыли".
ifap
23.12.2021 11:01+7Вы когда в банк как гендир своей компании впервые пришли, просто паспорт показали, или еще кучу дополнительных
OIDдокументов представили — устав, приказ о назначении, причем с нотариальными копиями, которые небесплатны? А когда карточку в банке на себя как на гендира получили, эта карточка стала удостоверять Вашу личность при проверке документов? Не удивляет, почему, хотя для ее получения пришлось предъявлять паспорт, который личность удостоверяет?bromium Автор
23.12.2021 12:22+4почему у вас такой негативно-агрессивно-надменный тон в комментариях? я вас чем-то обидел?
я же пишу - статусы разные получаются. я когда продаю или покупаю квартиру, машину, действую уже не как ЮЛ, а как ФЛ. Хотя собственноручная подпись одна и та же.
И логика мне эта понятна - я написал же в статье и я, в целом, согласен. Я же про другое говорю: надо аккуратно относиться к ЭП (спасибо, кэп, или, в данном случае, КЭП), что мы загнаны в определнные рамки (МЧД до сих пор нет), что можно было бы сделать разделение между подписями - да, подпись одна, но уровни доступа могут быть раные, что блокировка ЭП не всегда срабатывает.
Если у меня есть логин пароль от одного сайта, совсем не обязательно на другом сайте давать возмодность заходить по этому же логину и паролю без явного разрешения пользователя. Может, не совсем точная аналогия, но, думаю, понятно: подпись - это идентификация и аутентификация, но не обязательно авторизация.
ifap
23.12.2021 13:13+6Сожалею, если задел Вас своим тоном, такой цели не было. А комментарий мой относился к Вашей ключевой фразе, вынесенной в подзаголовок:
А вы знаете, что электронная подпись юридического лица дает возможность заходить на «Госуслуги» под видом частного лица и… делать все, что угодно (в рамках возможностей ЛК), например, смотреть личные данные (недвижимость, обращения, налоги) и т. п.?
Кажется, мы выяснили, что это не ЭП юрлица, а все того же физика, так что не «под видом» а под самим собой и безопасность «Госуслуг» тут ни при чем, тем более в кавычках. Их есть за что пинать и без того, в т.ч. и в части безопасности.
asdp
23.12.2021 19:52+3Вы не действуете "как ЮЛ", вы всё ещё действуете как ФЛ, но наделены правом представлять интересы ЮЛ. В этих понятиях настолько огромная разница, что лучше её постараться уловить, а если вдруг не получится, то просто принять как факт. И отдельной ЭП, в которую входило бы только это право, не существует и не может существовать, как и нет какой-то отдельной вашей физической подписи или отдельного паспорта.
Не давайте свою ЭП никому и никогда если не можете доверять этому человеку как самому себе.
Если по каким-то причинам не хочется возиться с доверенностями или есть какие-то сложности с их принятием в различных органах - сделайте себе нескольких генеральных директоров, ограничьте уставом полномочия второго ГД сдачей отчётности и выпустите ему свою собственную ЭП, благо это уже давно разрешается.
vadimr
23.12.2021 12:40+5Всё это отчасти справедливо, но причём здесь госуслуги? Претензия должна быть к тем ведомствам, куда ваш бухгалтер вынужден подавать отчёты, подписанные подписью директора. Госуслуги в данном случае работают именно так, как надо: удостоверяют физлицо по его электронной подписи.
Ежу ясно, что давать свою подпись другим лицам – это полнейшее пренебрежение безопасностью. Неважно, в силу каких обстоятельств оно образовалось.
По сути, у вас тут просто путаница в понятиях, часто встречающаяся в малых предприятиях. Нет никакой подписи юридического лица. Есть подпись руководителя (и подписи других лиц по доверенности, и именно с доверенностями – обычными бумажными – мне кажется, вам надо разобраться).
SwingoPingo
23.12.2021 17:35+1Ровно как и нет никаких подписей физических лиц вне контекста конкретных операций. Есть некая операция (договор), и есть подпись привязанная к конкретному физическому лицу в контексте этой сделки. Гражданский ли договор, в контексте исполнения обязанностей согласно должностной инструкции, устава и т.д. Вот этот контекст в ЭП прописан. Вы, к примеру, оформлены главбухом в организации с одной ЭП, там же кладовщиком на пол ставки с другой ЭП. Аналог: когда вы подписываете бумажный документ, то рядом с подписью будет стоять расшифровка "главный бухгалтер" или "кладовщик", определяющий контекст и зону ответственности подписавшего согласно должностной инструкции бухгалтера или кладовщика. В конечном итоге как ГБ подписавший не обязан лично проверять каждую машину на предмет загрузки, а как кладовщик - обязан. Это я к тому что контекс подписи неразрывно связан с самой подписю.
Далее утрируем больше - допустим у вас 2 ЭП, выданные в разных странах, пофантазируем. Доступ к инфо все еще должен быть внеконтекстовым? Допустим в одной стране этот человек прикупает квартирку, а в другой у него доступ к самым страшным тайнам?
Мое личное представление таково, что выпуск ЭП в некотором контексте действия этой ЭП, включая все доступны это более удобная штука, чем ЭП просто физического лица с доступом ко всему, что с этим физлицом связано. И именно потому что ЭП можеть быть передано ненасильственно другому лицу, в отличии от живой руки живого человека, подписывающего всегда в рамках какого либо контекста. Эта разница существенна и аппеляция к одинаковости подписей не верна.
vadimr
23.12.2021 17:45Откуда в ЭП возьмётся контекст? Может, у вас в ЭП стоит “главный бухгалтер”, а вы фактически уже вчера уволены. Именно поэтому контекст определяется другими документами (зарегистрированным уставом предприятия, доверенностями). А подпись просто подтверждает, что вы Иванов Иван Иванович.
Не вижу, кстати, никакой принципиальной проблемы с подписанием одной подписью покупки квартиры в одной стране и страшной тайны в другой стране (за исключением того чисто технического нюанса, что национальные требования к криптосредствам могут различаться).
И именно потому что ЭП можеть быть передано ненасильственно другому лицу, в отличии от живой руки живого человека, подписывающего всегда в рамках какого либо контекста. Эта разница существенна и аппеляция к одинаковости подписей не верна.
Если вас беспокоит именно эта деталь, держите свою ЭП в контейнере, открывающемся по биометрии сетчатки глаза. Вообще не передать будет.
На практике же крайне распространена подделка бумажных подписей другими лицами по обоюдному согласию сторон.
SwingoPingo
23.12.2021 17:50+2так еще раз с другой стороны. вот марьиванна кладовщик ловко научилась расписываться как директор и пошла в банк обналичила расчетные счета организации, условно? Нет, так в реальном мире не работает, улыбнемся мы, ее в банке забреют. Подпись та, но весь контекст немного другой. А с ЭП выходит что пожалуйста.
ПС. Плюс само умение подделать подпись не дает никакой информации по НДФЛ, допустим. В реальном мире вещей это само собой разумеющееся, что само по себе умение расписываться не достаточно, а в электронном виде стало неразумеющимся.
Как по мне так была создана новая сущность типа "электронный аналог личности" это совершенно особенная сущность со своими свойствами и силой действия, не имеющая аналогом ни саму физическую личность человека, ни тем более только его отдельно подпись. И уравнивать их это значит принципиально не желать учитывать разницу.
dmitrmax
24.12.2021 11:39Ну я гендир. Подпись свою никому не давал. Всю отчётность подписываю сам. Бух готовит xml-ки, я загружаю их в контур, проверяю и подписываю.
А то, что вы говорите - это от желания не исполнять не интересные обязанности гендира, но необходимости такой нет.
Silvarum
23.12.2021 10:56+3Я тоже не понимаю, в чём тут проблема. Почему нельзя выпустить для «Марь Иванны» свою отдельную ЭП и передать ей право подписи на определенные виды документов через доверенность, как это обычно делается для физической подписи?
TheBasta
23.12.2021 12:01+3Потому что пока что нет средств хранения и проверки таких электронных доверенностей. Обещали с января 2022 года ввести, но как обычно не справились и отложили на год.
Это вообще-то в статье отражено, вы читали?
Silvarum
23.12.2021 12:21+2А причем здесь средства хранения доверенностей? Наша компания каким-то образом именно по доверенностям и работает. Просто прикрепляет к каждому подписанному документу ещё и доверенность. Да, сейчас кривая процедура, проблемы бывают с неопытными сотрудниками, но редко. Обещанные МЧД по сути ничего принципиально нового не принесут, кроме того, что доверенности не надо будет прикреплять каждый раз и упростят их выдачу.
bromium Автор
23.12.2021 12:23Спасибо за комментарий, вы четко все объяснили. Может, я действительно, плохо выразил мысль, но мне на момент написания казалось, что достаточно простым языком, пусть и по-обывательски, я объяснил проблему.
Olgeir
23.12.2021 10:20+7Ребята, вы честно смешные. Вы представляете кто пишет ТЗ на всё на это, осуществляет приёмку, разрабатывает, поддерживает? Это сотрудники с низкой квалификацией и зарплатой. Причём эти два фактора жёстко взаимоувязаны.
Отсюда все эти проблемы. Я об этом не задумывался, пока не "посчастливилось" поработать на государство. Отвратительно низкая квалификация и полнейшее отсутствие мотивации на всех уровнях. Имитация бурной деятельности и усталость как мера работы, это всё про это.
И даже нельзя сказать, что целиком и полностью, в царящем ужасе, виноваты сотрудники. Сама система выстроена так, что хтоническая бюрократия сломает любого человека, какая бы у него не была высокая мотивация и желание работать. Пол года и человек сгорел.
А от тех кто там остается, нельзя ожидать хороших результатов.vadimr
23.12.2021 12:58В данном случае как раз наоборот. Схема применения электронных подписей рассчитана на определённый уровень информационной безопасности, который не обеспечивается в небольших фирмах, где все бегают подписывать документы с флешкой директора.
ARechitsky
23.12.2021 15:57-1Схема рассчитана на определённый уровень информационной безопасности потому, что люди, которые ее разрабатывали, обладают недостаточно высокой квалификацией. Более квалифицированные специалисты могут сделать защиту от больших дураков.
onix74
23.12.2021 12:11+5@bromiumА Вы в разных компаниях, в которых являетесь руководителем, разными подписями подписываете бумажные документы? Или всё-таки для бумажных документов Вы используете одну единственную подпись, которую же используете и для подписания бумаг личного характера?
bromium Автор
23.12.2021 12:26-3частично написал ,в чем проблема: https://habr.com/ru/post/597321/#comment_23858683
могу ответить симметрично: а вы когда устраиваетесь на работу, также переписываете все свое имущество на работодателя или даете работодателю беспрепятственный доступ к своему имуществу?
onix74
23.12.2021 12:42+2Это не симметрично. Ваша ЭП — аналог Вашей обычной подписи. Если Вы пописали документ руками, то не имеет значения какой это документ — личный или рабочий — подпись действительная и документ действительный. Вы же не переживаетет по поводу того, что в приказе на отпуск или на премирование сотрудников расписались так же, как, например, в договоре при приобретении личной СИМ-карты. Чтобы не переписывать своё имущество на работодателя, не нужно отдавать другим сотрудникам свою ЭП.
SwingoPingo
23.12.2021 17:43+1однако обладание этой подписью не дает ее обладателю ничего большего вне контекста сделки. ни информации о недвижимости, ни НДФЛ. Как Вы вообще себе представляете обратный физический аналог электронной подписи в рельном мире вещей, что так легко аппелируете к этому аналогу? ФП и ЭП очень разные вещи и уравнены они только законодательно, но никик не в своей сути.
jh7
24.12.2021 11:16Вообще-то дает. Если он сможет удалить текст исходного документа и оставить подпись, то поверх можно напечатать новый текст документа.
Поэтому не рекомендуется оставлять подпись на чистом листе.
SwingoPingo
24.12.2021 15:57+1И снова обладание таким мошейническим листом не наделает обладателя теми возможностями, которыми наделяет его обладание ЭП.
Каким образом можно с помощью чистого листа с подписью получить данные о НДФЛ? Вот напишите Вы на листе: Я, Петров Петр Петрович сией подписью разрешаю мне предоставить данные о моем НДФЛ и куда с ним пойдете? В ФНС? А ФНС спросит: является ли обладатель этого листка заодно и обладателем паспорта этого лица? (двухфакторная авторизация). А обладатель паспорта совпадает ли лицом с фотографией в паспорте? (трехфакторная). Это все есть и подразумевается по умолчанию в реальном мире, а в электронном об этом забыли. И подменили это все подписью удостоверяющего центра, аналогов чего в реальности нет вовсе. Собственно даже для НДФЛ подписи недостаточно. Это я сейчас об условном НДФЛ, я понимаю что это может быть вообще открытая информация.
ЭП это совершенно другие возможности и другая практика ее применения, это другая сущность и ее свойства и методы придумываются законодателем и предоставителем услуг "на лету", что вдвойне печальнее, т.к. даже "опытные пользователи" сейчас сами не знают, какими еще волшебными свойствами и доступами наделят этот предмет завтра эти самые предоставители услуг.
jh7
25.12.2021 05:19Я просто подумал, что вас интересует в первую очередь защита от мощенничества.
Если брать имущество, то по целому ряду катергорий эти сведения вообще публикуются открыто, например, руководтители госпредприятий и их супруги.
dmitrmax
24.12.2021 11:42Просто генацвале презюмирует необходимость передачи закрытого ключа третьим лицам (буху). Именно необходимость (как он думает).
inkelyad
23.12.2021 12:41На самом деле то, что у нас называют 'подписью' надо в наших реалиях было назвать 'Электронная Печать'. Было бы сильно понятней по сценариям использования и странности такого вида не возникали бы. То что документы в конкретной организации заверяются печатью как раз для этой организации и предназначенной — это выглядит нормальным. А привязка того, что это печать именно моя и я имею право ее использовать — это отдельный механизм.
onix74
23.12.2021 12:47+5Я так понимаю, что если бы это была именно "Электронная печать", то автора можно было бы понять. Действительно, как это печатью одной компании заверяются документы другой? Это неправильно. В настоящий же момент это называется "Электронная подпись", что равносильно личной подписи и никакого диссонаса вызывать не должно бы, по-моему.
inkelyad
23.12.2021 13:10Да, но только в какой-то момент времени эти сценарии смешали и изобрели 'подпись для руководителя'. Ну вот и получили путаницу из за неудачной терминологии.
ifap
23.12.2021 13:17Печать уже необязательна для юрлиц, проклятое наследие царизма. Подделать ее не труднее чем подпись, сама по себе она ничего не удостоверяет.
lost55
23.12.2021 13:47простите меня, я не автор, просто заинтересовала тема. но если это именно подпись, а не печать, то на кой черт подпись юр лица? подписывать физ. лицом и всё.
vadimr
23.12.2021 13:06Это именно подпись, для которой существует распространённая порочная практика использования её в качестве печати.
buratino
23.12.2021 12:57+1Если бы проблема госуслуг была только ЭП...
Я вот в июне подхватил ковид однвременно с прививкой, вызвал врача через госуслуги, и этот вызов завис и так и висит. Удалить невозможно. Информации о прививке тоже нет, но это вероятно проблема не госуслуг, а госуслуг Московской области...
QtRoS
23.12.2021 13:08А есть ли какой-то гайд по ЭП? Как нужно делать и как не нужно, для чего сейчас используется, как избежать проблем и тд?
vvbob
23.12.2021 14:56+2Вообще это как-то не совсем правильно - передавать свою подпись третьему лицу, пускай даже любимой сотруднице Мариванне, она с этой подписью много чего может сделать. А регистрировать ее на организацию - тоже как-то не понятно, это какая-то обезличенная подпись получается. Сама логика тут как-то не стыкуется.
Намного логичнее давать человеку с его личной ЭП доверенность и он сможет по ней уже подписывать документы, и эти документы буду иметь силу при действительной доверенности.
inkelyad
24.12.2021 08:47Намного логичнее давать человеку с его личной ЭП доверенность
Использование личной ЭП подходящей везде (включая общение с государством), создает угрозы. Придется токен с ней всегда с собой всегда носить и втыкать в технику, тебе не подконтрольную. То что какой-нибудь зловред подсунет этому токену подписать совсем не то, что ты видишь — становится более вероятным.
Это как раз воспроизведение недостатка бумажной личной подписи, которая везде одинакова. И похоже на использование одного ключа на все двери, которые ты открывать должен.
Логичнее как раз выписывать 'печать' (в которой вписано, кому именно она выдана) в отдельном токене и ограничивать ее область действия только какой-то конкретной организацией/сценарием итд итп. И такая подпись-печать главного бухгалтера не должна подходить к его учетке на госуслугах. Да и вообще никуда больше не должна подходить.
А после увольнения человека — отзывать соответствующий ключ с конкретной даты. Плюс, вообще говоря, подпись/печать должна заверять документ с заверенной меткой времени, по которой тоже можно проверить, действителен 'штампик' или уже нет.
vvbob
24.12.2021 09:23Зачем изобретать велосипед? Доверенность решает проблему ограничения полномочий. Когда вы даете кому-либо доверенность на продажу вашего автомобиля, например, в ней вы можете написать что доверяете этому человеку продать конкретный автомобиль в конкретный период времени, он не сможет по этой доверенности продать ваш дом, например, или другой ваш автомобиль. Точно так-же вы можете эту доверенность и отозвать.
И с предприятием - "Доверяю Мариванне вести бухгалтерию ООО Рога и копыта, на весь период ее работы в указанном ООО", и все, ее подпись имеет юридическую силу, до тех пор пока доверенность не отозвана, и пока ограничения, описанные в ней, соблюдаются.
А подписываеться этот человек должен своей личной подписью.
Проблема безопасности подписи - она тут в совершенно параллельной плоскости находится. Втыкать токен в неконтролируемые компы, действительно не стоит, тут и спорить не о чем.
Кстати, бумажная подпись при нынешнем развитии технологий, как мне кажется, совсем утратила какую-то безопасность. И раньше эти подписи с легкостью подделывались, сейчас же не представляет особого труда создать машину, которая будет копировать подпись практический идеально, учитывая силу нажатия на ручку, скорость, и внося небольшие отклонения для того что-бы копию не вычислили по повторяемости результата (человек никогда не подпишется идеально, всегда есть какие-то микроотклонения).
inkelyad
24.12.2021 09:33Зачем изобретать велосипед? Доверенность решает проблему ограничения полномочий.
Ну вот и можно технически устроить, что такая 'печать' — и есть такая доверенность. Которая не прикладывается рядом с подписью, а прямо напрямую применяется.
Ее так или иначе ведь все равно надо генерировать и подписывать. Почему бы сразу ключевую пару не сделать.Какая задача решается тем, что надо использовать именно личную подпись? Понять кто подписывал? Так в данных 'печати' вписано. Понять область применения? А все равно нужно в общем случае какую-то бумажку читать, что именно можно тут человеку делать, а что нельзя.
vikarti
24.12.2021 18:37И с предприятием — "Доверяю Мариванне вести бухгалтерию ООО Рога и копыта, на весь период ее работы в указанном ООО", и все, ее подпись имеет юридическую силу, до тех пор пока доверенность не отозвана, и пока ограничения, описанные в ней, соблюдаются.
А МЧД разве не про это?
Более менее внятно описание что это такое — https://www.diadoc.ru/articles/22019-mashinochitaemye_doverennosti_mchd
И даже хотели внедрить с 1 января 2022 но отложили.Ну или да — заставить принять бумажную доверенность.
norguhtar
25.12.2021 08:53Там проблема в том что формат МЧД не утвержден :) В проекте только общие словая про то что как будет здорово когда оно будет.
dmitrmax
24.12.2021 22:04+2Прилетел Морфиус и оставил эту запись.
зловред подсунет этому токену подписать совсем не то, что ты видишь
- Попробуй осознать истину.
- Какую истину?
- В 99% вы подписываете вслепую, не видя то, что программа (браузер, плагин) реально отправляет на криптографическое преобразование.
Вам показывают красивую человекочитаемую форму отчета в ФНС, а на самом деле на подпись улетает довольно уродливая XML-ка с кириллическими тэгами. Но ничто не мешает отправить на подпись заявление о переходе прав на квартиру.
tmin10
23.12.2021 15:45+2Хм, всегда казалось, что директор должен просматривать документы и подписывать их своей подписью.
Когда бумажные документы подаются в налоговую, бухгалтер же не рисует самостоятельно подпись, похожую на подпись директора, а директор сам расписывается? Так и с ЭП, бухгалтер подготовил документы, потом директор их подписал своей подписью, не важно цифровой или физической.
Exesium
24.12.2021 14:00бухгалтер же не рисует самостоятельно подпись, похожую на подпись директора, а директор сам расписывается
Думаю, такое вполне имеет место быть в некоторых компаниях.
igsend
23.12.2021 15:58+2А во-вторых, и это самое, на мой взгляд, главное: подавляющее большинство организаций, причём неважно, со штатным бухгалтером или бухгалтерией на аутсорсе, подает всю отчетность (в налоговую, ФСС и т. п.) по подписи руководителя
Как по мне, это основная и главная проблема - директорам и прочим руководителям пофиг. Реально пофиг, как их ЭП используется.
Бумажку подписать какую-нибудь внутреннюю (на покупку картриджа, например) - пройди, собери все подписи вручную "это же важно". ЭП гуляет по рукам - "а что такого?". И даже при наличии в огранизации целого ИТ-директора и отдела бизнес-процессов, не факт, что этим будут заморачиваться.
Gutt
23.12.2021 16:31+5Не понимаю претензий. У вас есть ЭП, выданная человеку (не компании, у юрлиц не может быть ЭП), и с её помощью можно делать многое, подписывать документы и, в частности, входить на сайт Госуслуг. Это совершенно нормально и ожидаемо. А вот то, что марьванны из бухгалтерии вместо того, чтобы получить доверенность на совершение определённых действий и пользоваться своей ЭП, пользуются чужой -- это опасно. Потом будет трудно доказывать, что это не руководитель подписал документ, а кто-то другой, если понадобится оспорить что-нибудь.
SergeyPerm
23.12.2021 17:47Это абсолютно нормально. И благодаря этому лично я без отдельных заморочек для физ. лица начал пользоваться госуслугами давным давно :)
Как тут правильно написали, это подписывает физ. лицо, а не организация. И пользоваться чужими подписями не правильно, надо пользоваться своей, при необходимости, с доверенностью. Вот и все.
ildarz
23.12.2021 18:21Единственная проблема в статье, касающася безопасности именно сайта Госуслуг - возможность аутентифицироваться и совершать операции по "заблокированной" ЭП. Вы вот про это не пробовали с их техподдержкой пообщаться?
xycainoff
23.12.2021 18:50Это безумие. Кроме госуслуг, ЭП руководителя может подписать почти ЛЮБОЙ документ от имени юр.лица. Не давайте ЭП на директора кому-либо кроме самого директора. На всех остальных делайте личные ЭП и ДОВЕРЕННОСТЬ. То что "так сложилось" что большинство не включая голову передают подписи свои сотрудникам, бухгалтерам и прочим - равносильно передаче постронним ключей от своей квартиры или личного смартфона. Сам являюсь директором в одном юр.лице и наемным сотрудником в другом - никогда не было непреодолимой проблемой оформить доверенность на подписанта.
Rampages
23.12.2021 21:42Ну не совсем понятна претензия, изначально ЭЦП (а позже ЭП) это фактически полноценная подпись человека и я тоже не понимал как можно доверять ее третьим лицам.
То есть автор боится что некий бухгалтер случайно без злого умысла что-то сделает на госуслугах, но я наприпер боюсь, что бухгалтер просто создаст вордовский документ и подпишет что угодно от моего имени и по закону подпись будет легетимной и ее наверное можно будет оспорить в суде, но опять же это время/деньги/нервы.
Вообще кажется можно было на тендерных площадках делать доверенность на сотрудника на совершение операций от лица юр. лица и подпись на него оформлять, но там тоже не все так просто было.
В маленькой компании у нас не было регламентов относительно ЭП и вообще все время таскал с собой ЭП ген дира и постоянно проверял дома сроки подписания контрактов перед сном. Друг из авиакомпании говорил, что у них ЭП стоит в сервере, на который заходят по терминальному доступу и с него уже делают все операции по подписанию и отправке заявок в тендеры и на электронных площадках.
nApoBo3
23.12.2021 23:46+1В чем собственно говоря проблема?
Есть интсрумент, его не корректное использование удобно, но не безопастно, вы понимаете, что так небезопастно, НО используете данный интрумент не корректным образом.
Вопрос, почему притензии к инструменту, а не к себе? Если вы используте инструмент значит вас все устривает, если не устраивает зачем вы его используете?
Проблема в том, что директора организации вместо того, чтобы корректно организовать процесс внутри компании положили прибор на собвтенную информационную безопасность. Ну так это их добровольный выбор. Думается мне, если бы никто не стал использовать ЭЦП подобным образом, ситуация давно была бы заметно другой.
iingvaar
24.12.2021 08:37+1На Госуслугах до сих много не только дыр в безопасности, но и страшных и тяжелых ошибок. Месяц назад я создавал подряд две учетные записи по просьбе знакомой и ее мамы. При создании первой записи туда были внесены ФИО, паспорт, адрес, СНИЛС, медицинский полис. Затем я вышел из госуслуг, очистил куки и в том же браузере создал новую запись. Добавил в нее аналогичные реквизиты для другого человека. В результате на обоих аккаунтах получил дикую кашу из реквизитов - СНИЛСы, адреса, паспорта задублировались, причем не с первого на второго, а произвольно в обе стороны. Это уже никак не лечилось, пришлось всем втроем ногами идти в МФЦ и стоять там час в очереди. Что случилось в точности непонятно, но ясно, что на сервере произошла привязка сессии к конфигурации компьютера, а при завершении сессии на клиенте на сервере она не умерла, и подхватилась затем для второй учетки. Значения полей ушли в базу в соответствии с фазами Луны.
tmin10
24.12.2021 12:13Со сторон сайта, конечно, бага, но для такого лучше использовать приватный режим. При его закрытии всё очищается и потом можно заново начинать.
iingvaar
24.12.2021 12:54Так в том и дело, что это вряд ли помогло бы. По сути я имитировал приватный режим. Сессия жила на сервере и даже не думала умирать, когда я ее с клиента "закрыл" да еще куки почистил. Привязка была не к кукам. Вот мне интересно - к чему?
dmitrmax
24.12.2021 13:15Так в том и дело, что это вряд ли помогло бы
Магии не бывает. Что вы ты там имитировали, нам тут сейчас не разобраться. А если делать так, как сказал предыдущий оратор, то сервер может знать только о том, что эти две учетки создаются с одного IP-адреса и в одной версии браузера. Больше там нет и не может быть какой-либо ещё информации, которая может протечь из одной учетки в другую.
bgBrother
24.12.2021 16:40Магии не бывает
Популярные инструменты «обходят» приватный режим браузера с включенными методами защиты от fingerprint'а.dmitrmax
24.12.2021 16:55Это же специально нужно запариться на тему того, чтобы отслеживать юзера про fingerprint'ам. Чтобы что? Чтобы заполнять его данными другую учетку?
Давайте серьезно, я не про возможность намеренной слежки за юзером, а про возможность случайного перетекания данных между различными сессиями.
Я бы очень обиделся, если бы мне пришлось чистить куки во всем браузере. Думаю, я тредстартер тоже решил не обламываться, а удалил куки точечно, но что-то не учел и какой-то домен просмотрел.bgBrother
24.12.2021 17:22Чтобы что? Чтобы заполнять его данными другую учетку?
Я крайне не поддерживаю подобные механизмы идентификации, но слышал, что их продвигают под соусом «защиты» от злоумышленников. Мол по идентификатору можно понять зашёл ли тот же человек из анон. режима или злоумышленник со схожим UA и адресом.
Банки любят использовать фингерпринтинг во время входа и/или оплаты.
iingvaar
24.12.2021 17:55Это не единственный вариант, хотя в fingerprint на госуслугах я тоже не особо верю. Но есть еще, как минимум, ETag, и это более вероятно.
iingvaar
24.12.2021 18:05+1Приватный режим все-таки не панацея, если постараться, уникальные идентификаторы можно составить из тех данных, которые не зависят от режима. Да, приватный режим надежнее, чем почистить куки. Но дело даже не в этом. Я вообще не должен был даже куки чистить. Ведь я явно сказал серверу: - Закрой сессию! Это я уже подстраховался (недостаточно), потому что заранее ожидал подлянки от госуслуг. И, как видим, ожидания меня не подвели.
tmin10
24.12.2021 13:44Возможно были очищены куки самого сайта, а не ЕСИА портала, через который осуществляется вход. Чем и хорош приватный режим: там ничего нет для всех доменов, не только одного. Ничего случайно не пропустить.
dmitrmax
24.12.2021 16:56Вам бы всё равно пришлось бы топать в МФЦ, чтобы активировать эти учетки. Ведь я так понимаю у ваших подопечных не было ни Сбербанк онлайна, ни Тинькова?
sysmetic
24.12.2021 14:18"нормального механизма с электронными доверенностями нет (насколько я знаю, поправьте, если не прав). То есть надо оформлять доверенность на сотрудника, как правило, в бумажном виде, отвозить в налоговую и тогда, возможно, получится отправлять электронную отчетность по электронной подписи сотрудника. При чем для каждого из органов, куда сдается отчетность, нужно оформлять свою доверенность."
На самом деле все нормально работает с доверенносями сейчас (в большой компании гендир в принципе не может подавать сам отчетность, а передавать кому то свою ЭП он же тоже не может - мало ли что ей подпишут) -
1) Действительно ФНС требует, чтобы доверенность им отвезли именно бумажную. Если это сделать один раз, то далее они вносят данные о доверенном лице в свою внетреннюю систему, и доверенное лицо может спокойно подавать отчетность по доверенности. Сделано это (бумажная доверенность, а не электронный документ заверенный ЭП гендиректора) именно из-за иноформационной безопасности, так как ФНС не доверяет частным удостоверяющим центрам, выдающим ЭП.
2) В иные госорганы (например, ПФР и соцстрах) можно подать электронно скан бумажной доверенности, заверенный ЭП гендира - они не требуеют привозить бумажную доверенность.
После этого доверенное лицо может подавать отчетность.
dmitrmax
24.12.2021 16:40-1Вы спутали механизм и отсутствие механизма.
> Действительно ФНС требует, чтобы доверенность им отвезли именно бумажную.
Сие вообще не про электронную доверенность.так как ФНС не доверяет частным удостоверяющим центрам, выдающим ЭП.
Вы уже почти полгода как можете получить сертификат КПЭП в ФНС. Так что это не может являться причиной отсутствия механизма.
> В иные госорганы (например, ПФР и соцстрах) можно подать электронно скан бумажной доверенности, заверенный ЭП гендира - они не требуеют привозить бумажную доверенность.
Сие не электронная доверенность, хотя так может показаться.
Электронная доверенность - это электронный, машиночитаемый (то есть структурированный и формализованный) документ, а не его человекочитаемое представление в виде pdf'очки.
Впрочем и автор не прав. Механизм уже есть, более того, с Нового года он должен был стать обязательным для юрлиц и ип, но его отложили на год. Что, впрочем, не мешает принимать эти доверенности госорганам.sysmetic
24.12.2021 17:02Странно писать мне, что я что-то путаю, когда я описываю как механизм работает на практике в текущий момент. Причина в том, что это Вы как раз путаете машиночитаемую доверенность, про которую я ничего не писал, и доверенность в виде электронного документа, про которую я писал, и которая работает как механизм уже сейчас, пока не была еще изобретена МЧД.
dmitrmax
24.12.2021 18:07когда я описываю как механизм работает на практике в текущий момент.
Вы описываете работу (или скорее неработу) другого механизма, который как вам кажется, является аналогом МЧД.
Причина в том, что это Вы как раз путаете машиночитаемую доверенность, про которую я ничего не писал, и доверенность в виде электронного документа, про которую я писал, и которая работает как механизм уже сейчас, пока не была еще изобретена МЧД.
Я не путаю эти механизмы, я как раз вам указал на их абсолютно разную природу. Но давайте обратимся к автору поста, чтобы понять, что он имел ввиду. Читаем:
тогда, возможно, получится отправлять электронную отчетность по электронной подписи сотрудника.
То есть автору нужна доверенность не просто на возможность сотруднику подавать отчетность, но именно подавать отчетность, подписанную своей УКЭП. Что говорят НПА на эту тему. А говорят вот что: Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 18.08.2021 № 857 "Об утверждении единых требований к формам доверенностей, необходимых для использования квалифицированной электронной подписи"
доверенность в виде электронного документа, про которую я писал,
Давайте посмотрим, про что писали вы. Слава атому, все ходы записаны:
можно подать электронно скан бумажной доверенности
Опять же, черт его знает, что вы там имели ввиду, но сложившаяся практика применения терминологии в этой сфере, говорит о том, что вы писали не про электронный документ, а про электронный образ документа на бумажном носителе. Закон и в особенности суды принципиально различают эти два понятия.
sysmetic
24.12.2021 18:19+1Вы привели ссылку на порядок, который будет действовать в будущем, который описывает МЧД (машиночитаемую доверенность), которая будет применяться только при сделках между юрлицами и отношениями с госорганами. Действительно станет все намного четче и лучше. В остальных сделках и далее будет применяться доверенность в бумажной форме или в виде электронного документа (человекочитаемая).
Что такое доверенность в виде электронного документа, в отличие от машиночитаемой, Вы можете почитать например здесь (ее например нотариусы выдают, но ее может выдать любое лицо с УКЭП): https://www.law.ru/article/22936-elektronnaya-doverennost
Glavbuh_uh
24.12.2021 17:22Сегодня как раз обсуждали вопросы безопасности ЭП в компании. И пришли в ужас когда осознали масштаб трагедии. А многофакторная проверка при входе в госуслуги может решить проблему входа в них "ненужными людьми"
zidercol
24.12.2021 17:22Единственная поддержка Госуслуг, которая реально что-то может поменять на сайте это Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации. Я жаловался. Мне помогли. На самих Госуслугах пока ни одна проблема решена не была. Честно говоря я забыл уже когда в последний раз мог достучаться до поддержки Госуслуг непосредственной.
frogrey
24.12.2021 17:23+1Нигде не увидел заветного слова ЕСИА.
Столкнулся с этой проблемой ещё года полтора назад. И техподдержка госуслуг в принципе аргументировано спросила, в своём ли я уме. ЕСИА - Единая система идентификации и аутентификации. Она так и задумывалась, чтобы физлицо было неразрывно связано с юрлицом. И никакая тётя Валя из бухгалтерии не имела возможности сдавать за генерального директора юридически значимые документы через портал Госуслуг. Разделить это - значит нарушить все выверенные законодательство цепочки ответственности и убить идеи создания ЭДО и использования ЭЦП.
Выхода - нет. С точки зрения доверенностей в госуслугах ЕСТЬ функционал передачи полномочий другому ответственному лицу. Однако фактически он не работает. И дело вот в чём. Задолго до самих госуслуг различные ведомства (ИФНС, Таможня customs.ru) пилили свои информационные системы, и достаточно неплохо справлялись своими силами. Выдавали логины/пароли, заставляли делать ЭЦП. Но затем пришла стандартизация и унификация, и всех стали загонять под одну гребёнку. И появилась на порталах этих госструктур возможность заходить старым способом по ЭЦП и ещё через ЕСИА Госуслуги. Фактически это пока используется, но в перспективе ЕСИА заменит всё. Ведомства помоложе уже, к сожалению, пилят свои порталы только со входом через ЕСИА. Однако всех их связывает одно - даже если ты сделал доверенности в Госуслугах, конкретно на портале ведомства ты не сможешь подписать какое-нибудь заявление подписью никого, кроме генерального директора. Портал заглядывает в реестр юрлиц, не находит там этого доверенного лица в списке генеральных директоров и отвергает запрос. И это можно понять - никто из ведомств не хочет потом разбираться, как так получилось, что тётя Валя намутила что-то с налогами. Отвечать за это кто будет? По закону только генеральный директор. Поэтому все хотят только генерального директора и никого больше. Саботируют от греха.
- переход на ЕСИА неминуем
- доверять свою ЭЦП кому-то в рамках юрлица должно быть равносильно доверия всей своей жизни, свободы и т.п. Всё это вопрос более на логику с философским уклоном. Но по-другому и быть не может. Если ты, генеральный директор, "условно халатно" отнёсся к своей подписи, значит "условно халатно" ты отдал другому человеку всю свою жизнь, имущество и свободу.
dmitrmax
24.12.2021 17:56ЕСИА в общем случае никак не связан с УКЭП. ЕСИА - это простая электронная подпись (ПЭП), а УКЭП - это УКЭП, то что вы по старинке называете ЭЦП (хотя такого термина в НПА более нет).
norguhtar
Проблема в том как выдается подпись. Фактически ЭП на директора, это ЭП выданная физическому лицу с дополнительными атрибутами. Да все верно введение МЧД (машино читаемых доверенностей) должно решить эту проблему, а так же проблему с тем что вам каждый раз надо делать новую ЭП на каждого сотрудника. Когда введут МЧД, все станет как надо. ЭП будет выдаваться на человека, а для подписи доверенности будет нужна ЭП гендирерктора которая выдается в ФНС.
gonchik
А решит ли проблему с доступом к личным данным физ лица ?
norguhtar
Конечно :) ЭП будет выдан на физическое лицо, т.е. подпись наконец будет личная, как и в бумажных документах. Но если мы тут говорим за ЭП гендиректора, боюсь ничего не поменяется и не может поменяться, так-как это ЭП гендиректора и она все так же будет выдана физическому лицу.
gonchik
Звучит, что нужен поддомен который только на уровне юр лиц работает. Тогда появится возможность пофиксить ситуацию доступа к данным физ лиц.
norguhtar
Не нужно. ЭП привязана к физическому лицу и это нормально. Передавать ЭП генерального директора не надо просто.
EVolans
Тут вопрос в другом, с чего в друг эп физ лица или директора выдана другому физическому лицу пусть и сотруднику? Почему не перевели право подписи и бухгалтер заходит не со своей подписью, а подписью директора?
Если правильно помню это нарушение и такая подпись уже скпомпромитирована и должна быть отозвана. Понятное дело что так никто не делает потому что "удобно" но жаловаться при этом на госуслуги потому что сами себе злобные буратины... как то странно.
norguhtar
Лень и жадность. Для того чтобы сделать как указано надо делать подпись на бухгалтера, осуществлять бюрократию. Поверьте у меня есть пара сервисов которые содержат такие подписи просто чтобы автоматически документы отправлять куда надо.
Правда со следующего года подпись директора выдается только на токене откуда закрытый ключ вынуть нельзя, так что тут хоть копию сделать нельзя она привязана к физическому устройству.
generalx
Я буду использовать хаб, и кого я знаю тоже .
elfukado
Я так и не понял в чём проблема. Вы директор, получили подпись на себя и можете зайти в свой кабинет.
В любом приличном уц закрытый ключ формируется пользователем за своим компьютером, потом он едет подтверждать личность, потом опять за своим компьютером получает сертификат к закрытому ключу. Ну а с действующей подписью уже никуда ехать не надо (до следующего года).
Врядли те, кто всем предприятием пользуются подписью директора, будут что-то менять.
У нас уже много лет есть подписи на директора и сотрудников. И, внезапно, когда директор не раздаёт свою подпись всему предприятию, как это положено по закону, то у него не возникает вопросов, почему он со своего компьютера может зайти со своей подписью в свой кабинет.
norguhtar
Люди негодуют что доступ в ЛК Директора доступен под его ЭП :) Так-как воспринимают ЭП директора как печать, а не как подпись.
Да но нет. Чаще всего генерация всего делается прямо в УЦ и тупо пишется на флешку клиенту. По этой причине принудительное использование токенов это благо.
А придется. ЭП директора будет выдаваться только на токене. Ключ скопировать никак, в итоге так или иначе придется получать подпись ЭП на человека, особенно если ключ использовался для подписания отчетности в автоматизированном сервисе. Раньше ключ просто копировался несколько раз и использовался где надо.
alan008
Отдаст токен в бухгалтерию да и всё
norguhtar
Все верно, только вот ключи с токена вынуть нельзя. Если раньше украсть ключи можно было простым копированием, то в случае токена только кража физического носителя. А это уже другие риски.
dmitrmax
Уважаемый, я вот несколько раз пытался купить смарт-токены в Питере - это нереально. В итоге мне Актив выслал один бесплатно на обзор. В УЦ тоже такими токенами не барыжат. А если даже и барыжат, то запросто могут сгенерить ключ без использования набортной крипты, а софтваоно.
Так сот только сам, только на своём рабочем месте.
norguhtar
Ну вон люди выше спрашивают у меня что это за плохие центры :) А по факту все так.
elfukado
Я такого не видел, ничего не могу сказать, видимо не попадались такие убогие уц.
Место получения меняется, а требования к носителю где прописаны?
norguhtar
К сожалению бывают
В законе прописаны. Использование только токенов. Флешки как носитель использовать нельзя
dmitrmax
Где такое прописано в законе?
norguhtar
https://ca.kontur.ru/articles/20993-novye_pravila_raboty_s_ep_2022
dmitrmax
Дружище, а вас спрашиваю про закон (номер закона, статья, часть, пункт), а вы мне кидаете ссылку на обзорную статью журнализдского качества.
TL;DR.
Я догадываюсь, что вы имели ввиду, Приказ ФНС (что ни разу не закон, а максимум подзаконный акт), но он касается только ЮЛ.
norguhtar
Ну дак и речь идет про ЮЛ и ИП. Остальные где получали там и получают.
dmitrmax
Если вы читали внимательно и с выражением приказ ФНС о введении в эксплуатацию удостоверяющего центра, и имеете способность понять, а не заснуть, далее десятого предложения на канцелярите, то там много лулзов.
Например, технические требования к токену (в части, например, интерфейса подключения) распространяются только на случай изготовления ключей в УЦ ФНС. А если вы самостоятельно изготавливаете ключи, то вы обязаны предъявить токен и сертификат на него, а технических требований к нем нет. То есть если вы придете туда с токеном на смарткарте (Рутокен ЭЦП 3.0, например), то прочитать они его не смогут, но и отказать в выдаче сертификата тоже =)
Разумеется, практики по этому тонкому троллингу ФНС ещё пока нет вразумительной, но всё как говорится спереди...
dmitrmax
В законе зато написано, что ключи можно хранить в облаке у какого-то дяди.
norguhtar
Там требуется специальный HSM и акредитация
dmitrmax
А кроме того (и самое главное), требуется отношение доверия владельца ключа и аккредитирующего органа. Вот ни разу мне не понятно откуда это отношение должно и может возникать. Вы писали хоть раз жалобу в Минсвязи (ныне Минцифры) на очевидные нарушения 63-ФЗ со стороны УЦ? Получали отписки? И как после этого этим долбоёбам можно хоть что-либо доверять? =)
bromium Автор
респектую, я вот стеснялся их так вслух назвать.
elfukado
И причём тут запрет на копирование? Это атрибут электронной подписи, а не носителя.
norguhtar
Скопировать контейнер с флешки вы можете. А вот вынуть из токена закрытый ключ или к примеру контейнер никак
elfukado
Посмотрел ещё раз информацию, на руководителя действительно на носителе с неизвлекаемым ключом, был неправ.
Но вы так пишете
как будто все носители с неизвлекаемым ключом, бывают и токены с извлекаемым.
norguhtar
Вообще если токен позволяет извлекать ключ, это как бы ЖЖ и не очень настоящий токен
Wesha
Вопрос только в том, какое оборудование для этого потребуется.