1 «А был ли мальчик?»
Многие и помногу подписывают документы электронной подписью (ЭП), рассчитывая, что их подпись законная. «Законная» не в смысле «сошлась математика» или «нет сомнений в сертификате подписанта». «Законная» - в смысле соответствия закону, как минимум основному по электронной подписи: 63-ФЗ "Об электронной подписи".
Вопрос 1. Если в постановлении или приказе госОргана про документы с ЭП явно не сказано, что требуется подпись «в соответствии с 63-ФЗ», то означает ли это, что такая подпись может противоречить требованиям 63-ФЗ, но быть допустимой?
Рассмотрим ситуацию, когда в постановлении или приказе госОргана явно есть ссылка на 63-ФЗ. Например, МинТруд приказ № 578н (т.е. речь про ЭП в рамках Трудового Кодекса, т.е. 197-ФЗ) требует ЭП, «сформированные в соответствии с требованиями Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" или в полной формулировке:
ЕДИНЫЕ ТРЕБОВАНИЯ
К СОСТАВУ И ФОРМАТАМ ДОКУМЕНТОВ, СВЯЗАННЫХ С РАБОТОЙ,
ОФОРМЛЯЕМЫХ В ЭЛЕКТРОННОМ ВИДЕ БЕЗ ДУБЛИРОВАНИЯ
НА БУМАЖНОМ НОСИТЕЛЕ
1. Документ, связанный с работой, оформленный в электронном виде без дублирования на бумажном носителе (далее - электронные документы, связанные с работой), должен состоять из следующих структурных элементов:
…
электронная подпись (электронные подписи) (при наличии) основной части документа и приложения к основной части электронного документа, связанного с работой, представленная в виде файлов электронной подписи, установленные статьей 22.3 Трудового кодекса Российской Федерации (Собрание законодательства Российской Федерации, 2002, N 1, ст. 3; 2021, N 48, ст. 7947), и сформированные в соответствии с требованиями Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; 2022, N 29, ст. 5306);
Вопрос 2 (ключевой вопрос): Определен ли в 63-ФЗ формат электронной подписи?
Что он должен был быть определен – это однозначно. Читаем 63-ФЗ: http://www.consultant.ru/document/cons_doc_LAW_112701/fe1ea3ca3855c3a34b9d8f333f8eb8d9149c5df9/
Статья 8.
4. Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, устанавливает:
…
5) формат электронной подписи, обязательный для реализации всеми средствами электронной подписи, по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности;
(п. 5 введен Федеральным законом от 30.12.2015 N 445-ФЗ)
В соответствии с Постановлениями Правительства РФ от 28.11.2011 N 976 (О ФЕДЕРАЛЬНОМ ОРГАНЕ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ, УПОЛНОМОЧЕННОМ В СФЕРЕ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ПОДПИСИ), от 02.06.2008 N 418 (О МИНИСТЕРСТВЕ ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РФ) МинЦифра является уполномоченным органом в области использования электронной подписи, на который в том числе возложены полномочия по установлению формата электронной подписи (п. 5 ч. 4 ст. 8 ФЗ "Об электронной подписи").
МинЦифры достаточно «долго думая» и видимо «в муках» родила:
Приказ Минцифры России от 14.09.2020 N 472 "Об утверждении Формата электронной подписи, обязательного для реализации всеми средствами электронной подписи"
(далее №472) Который начинается с
В соответствии с положениями пункта 5 части 4 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; 2019, N 26, ст. 3889) и абзаца третьего пункта 1 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 2 июня 2008 г. N 418 (Собрание законодательства Российской Федерации, 2008, N 42, ст. 4825; 2018, N 40, ст. 6142), приказываю:
1. Утвердить Формат электронной подписи, обязательный для реализации всеми средствами электронной подписи, согласно приложению к настоящему приказу.
http://publication.pravo.gov.ru/Document/View/0001202010290040
Формат действует см.: «Дата опубликования: 29.10.2020»
Редакция от 14.09.2020 — Действует с 09.11.2020 https://normativ.kontur.ru/document?moduleid=1&documentid=374443#l2
Т.е. нет сомнений, что формат утверждён и введен в действие, однако вспоминаем Отлагательное условие:
по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности;
т.е. МинЦифры должна его (приказ и формат ЭП) была согласовать с ФСБ (федеральный орган исполнительной власти в области обеспечения безопасности) .
Вопрос 3. Существует ли опубликованное или секретное согласование со стороны ФСБ формата, разработанного МинЦифрой (№472)?
Если в постановлении \ приказе говорится, что требуется «подпись в соответствии с 63-ФЗ», то это означает что должен быть утвержденный формат подписи, иначе все подписи будут несовместимы между собой, т.е. это не обязательно PKCS\CMS\CADES\CADES-E (2016) и даже не обязательно RSA, а может быть и симметричный алгоритм формирования подписи, а также любой алгоритм расчета хеш. Если нет единого утвержденного формата, то все это «подписание» во всяком случае на гос-уровне в рамках соблюдения 63-ФЗ теряет всякий смысл, вследствие отсутствия единого формата и обеспечения элементарной совместимости.
Внутренние форматы ЭП операторов электронного документооборота (счета фактур и т.п.) тоже могут оказаться «вне закона», несмотря на то, что большими буквами они пишут:
Юридическую силу электронного документа регулирует Федеральный закон № 63-ФЗ «Об электронной подписи». В тексте закона сказано, что электронный документ, заверенный КЭП, равноценен аналогу на бумаге.
«Вне закона» хотя бы на том основании, что формат ЭП этих операторов не соответствует требованиям 63-ФЗ, но в регламентах идет ссылка на него.
Второй вариант подразумевает, что все-таки достанут «из рукава» и нам покажут согласование от ФСБ этого самого формата ЭП (№472), что узаконит №472.
2 «Что это было?» или формат МинЦифры №472
2.1 Будем считать, что №472 – законный (иначе ситуация становится абсолютно абсурдной). Тогда возникают вопросы:
А) как формировать ЭП в соответствие с №472? Видимо должны быть какие-то методические рекомендации разработчика СКЗИ, т.к. просто сказать, что нужно выбрать «gost двенадцатого года» - недостаточно. Есть подозрения, что №472 задумывался как перепев RFC 5652 (CMS 2009 года) с заменой RSA на ГОСТ.
RFC 5652 Cryptographic Message Syntax (CMS) https://www.protokols.ru/WP/wp-content/uploads/2009/09/rfc5652.pdf
Б) как проверить, что имеющаяся «на руках» подпись соответствует формату №472 (читай «соответствует 63-ФЗ»). Какая методика проверки?
Какой может быть алгоритм экспресс-проверки?
Хотелось бы увидеть онлайн сервис, который проверял бы файл подписи на соответствие 63-ФЗ (читай формату №472) и выдавал отчет проверки с указанием (расшифровкой) конкретных несоответствий.
Есть сервисы, которые проверят подпись на соответствие разным форматам:
- Проверку ЭП по стандарту XMLdsig в соответствии с W3C Recommendation (2008) …
- Проверку ЭП в формате PKCS#7 в соответствии с RSA Laboratories (1998) «PKCS #7: …
…
Но нигде нет проверки ЭП на соответствие формату №472.
Пробовали проверить свои подписи на соответствие 63-ФЗ, т.е. формату №472? Речь не про проверку «математика + сертификат», а именно на соответствие утвержденному Государственному формату.
Как вариант, брать имеющиеся подписи, их смотреть в микроскоп в ASN.1 декодере, например, https://lapo.it/asn1js/
и проверять наличие в файле всех обязательных OID (фраза «должен быть» к этому обязывает) и сверять их значения с указанными в №472, соблюдение последовательностей SEQUENCE, отсутствие не учтенных в №472 элементов.
2.2 Еще есть: Р 1323565.1.025-2019
Информационная технология. Криптографическая защита информации. Форматы сообщений, защищенных криптографическими методами
https://docs.cntd.ru/document/563507879
Как он соотносится с приказом №472?
Если ни из 63-ФЗ, ни из №472 нет ссылок на Рекомендации по стандартизации в
части ЭП (не только на указанный Р 1323565.1.025-2019), то вроде как: лебедь
(правительство\министерства\службы, определяющие СВОЙ документооборот с ЭП в
своей отрасли) - рак (МинЦифры, ФСБ со своим 63-ФЗ) и щука (Фед. агентство по
тех. регулированию и метрологии, т.е. бывший ГОССТАНДАРТ).
Например, ФССП сама себе определила формат ЭП: "Об определении вида электронной подписи ..."
https://www.garant.ru/products/ipo/prime/doc/400220620/
тем самым проигнорировав требование 63-ФЗ, что формат определяет МинЦифра (при выполнении выше указанного отлагательного условия).
Может быть есть более «глубокая» (глубоководная) связь «рака с щукой»?, т.е. №472 с рекомендациями по стандартизации бывшего ГОССТАНДАРТа? Вообще, насколько обязательны все эти ГОСТы и рекомендации по стандартизации? Вроде как N 184-ФЗ "О техническом регулировании" все поотменял, а они снова «по-всплывали»?
Вышел, например, Р 1323565.1.025-2019, – как понять: кто и в каких случаях обязан его исполнять?
Вообще, интересно «как это работает»? Вначале группа ТК26 (РОСССТАНДАРТ) пишет (завершает в 2014):
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ (ПРОЕКТ) ИСПОЛЬЗОВАНИЕ АЛГОРИТМОВ ГОСТ 28147-89, ГОСТ Р 34.11 И ГОСТ Р 34.10 В КРИПТОГРАФИЧЕСКИХ СООБЩЕНИЯХ ФОРМАТА CMS
https://www.cryptopro.ru/sites/default/files/products/csp/rus-popov-cms-gost-00-re.pdf
Потом группа из МинЦифры делает проект №472 (завершает в 2017), потом группа ИнфоТеКС разрабатывает Р 1323565.1.025-2019, потом видимо уже другая группа из МинЦифры обсуждает и организует согласования и экспертизы №472 (2020)? Все вроде как делают во многом одно и тоже (ASN.1\CMS\gost). В чем хитрость? Почему не поручить одной группе?
2.3 Если формат №472 – общегосударственный, то главное, что должно быть написано в описании к любому СКЗИ для ЭП – это Большими буквами «поддержка формата №472» (читай поддержка самого 63-ФЗ). Тут же возникают вопросы к государственной сертификации всех СКЗИ, выполненной после 14.09.20.
Посмотрим на то, что лежит совсем на поверхности, например, пункт №6 приказа №472 весь с ошибками. На примере Content-type:
а) В №472: п. 6.1:
Тип содержимого (Content-type). Должен быть добавлен в атрибут id-contentType с объектным идентификатором вида "1.2.840.113549.1.3";
б) В RFC 5652 (п. 11.1):
Атрибут content-type должен быть подписанным (signed) или аутентифицированным (authenticated) атрибутом, для него недопустимо быть неподписанным (unsigned), неаутентифицированным (unauthenticated) или незащищённым (unprotected) атрибутом.
Ниже приведён идентификатор объекта для атрибута content-type.
id-contentType OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs9(9) 3 }
Значения атрибута content-type имеют тип ASN.1 ContentType
ContentType ::= OBJECT IDENTIFIER
в) В файле sig «из-под пера» КриптоПро:
OBJECT IDENTIFIER 1.2.840.113549.1.9.3 contentType (PKCS #9)
г) "1.2.840.113549.1.3" – это pkcs#3
https://oidref.com/1.2.840.113549.1.3
а нужен: https://oidref.com/1.2.840.113549.1.9.3
В помощь пара книжек по ASN.1 наших классиков:
Юрий Строжевский http://rsdn.org/article/ASN/ASN.xml
Юрий Семенов http://book.itep.ru/4/44/asn44132.htm
3 «Моя хата с краю» или позиция регуляторов-потребителей и интеграторов
Отраслевые регуляторы (не МинЦифра) в свои приказы вписывают требования «подпись в соответствии с 63-ФЗ». Когда им задаешь вопрос: а какой требуется формат ЭП?, а нужно ли соблюдать пресловутый формат №472?, то следует ответ: «мы то откуда знаем, спрашивайте это в КриптоПро». Например, неформальный ответ МинТруда (в контексте реализации упомянутого ранее приказа № 578н по кадровому документообороту): «№472 - это приказ для разработчиков криптопровайдеров» (т.е. не «для нас»).
Вендоры СЭД по этому вопросу ровно также спрашивателей отправляют лесом в КриптоПро, например, разработчики СЭД «Дело» отправляют туда же в ответах на вопрос из чата своего вэбинара по ЭП. Т.е. озвучивается легенда: у нас в СЭД только кнопочка «Подписать», а все вопросы по форматам ЭП – это пожалуйста к криптопровайдеру (CSP).
Форуму КриптоПро этот вопрос задан, но «воз и ныне там»:
Электронная подпись по 63-ФЗ и приказы МинЦифры
https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=21655
Напомню, что рассуждения выше справедливы при условии, что №472 законен, т.е. существует явное согласование ФСБ. Если вдруг единого формата вообще нет (т.е. нет искомого согласования и выходит, что №472 – это «филькина грамота»), то использование электронной подписи возможно исключительно в рамках отдельных «n-сторонних» регламентов, где две (три, n) стороны фиксируют собственный формат ЭП, как например, ФССП («Об определении вида электронной подписи …»). Понятно, что в этом случае о массовой технологии подписания документов (разными системами) не может быть и речи.
Забавно, что до 2020 (14.09.20) вообще не было никакого формата ЭП, ни в рамках 63-ФЗ (2011), ни его предшественника «Об ЭЦП». Т.е. если ранее можно было лепить «все что в голову придет» (даже в сертифицированных СКЗИ много всевозможных ручных настроек), то после 14.09.20 вроде как эту «лавочку» прикрыли. "Прикрыли", сделав еще хуже.
4 Перед законом все равны, но некоторые равнее
Забавно, но сама МинЦифры вводит двойные стандарты, например, МЧД хочешь подписывай в XMLDSIG, а хочешь в №472:
УТВЕРЖДЕНЫ
приказом Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 18.08.2021 г. N 857ЕДИНЫЕ ТРЕБОВАНИЯ К ФОРМАМ ДОВЕРЕННОСТЕЙ, НЕОБХОДИМЫХ ДЛЯ ИСПОЛЬЗОВАНИЯ КВАЛИФИЦИРОВАННОЙ ЭЛЕКТРОННОЙ ПОДПИСИ
1. Доверенность создается в электронной форме в формате XML и подписывается усиленной квалифицированной электронной подписью в формате XMLDSIG или в соответствии с Форматом электронной подписи, обязательным для реализации всеми средствами электронной подписи, утвержденным приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 14.09.2020 N 472 «Об утверждении Формата электронной подписи, обязательного для реализации всеми средствами электронной подписи» (зарегистрирован в Министерстве юстиции Российской Федерации от 29 октября 2020 г., регистрационный N 60631).
https://www.diadoc.ru/docs/laws/p-857
Как так? «Всеми средствами электронной подписи», но мы всё же ровнее …
5 «Кто виноват?» и «Что делать?»
Как так получилось, что выпущен «сырой» приказ с обязательным для всех форматом ЭП?
На МинЦифры по ID проекта:
01/02/10-17/00074234: https://regulation.gov.ru/projects#npa=74234
есть карточка проекта, но ссылки там кривые (просмотр урезанный, не удалось скачать документы).
Может кто-то участвовал в этом нелегком и небыстром согласовании и может рассказать детали?
Окончание независимой антикоррупционной экспертизы: октябрь 2017, и в проекте приказа подписантом значился еще министр Н.А. Никифоров.
Нашел замечания «Сигнал-КОМ»: https://www.e-notary.ru/news_14/
КриптоПро и кто-либо еще из вендоров давали замечания? Как могли такое «проспать» ТК26, РОССТАНДАРТ и т.п.?
Ввиду отсутствия необходимых подробностей по формированию формата ЭП или уточняющих ссылок на RFC 5652 (или других RFC) получился неполный (неполноценный) и кривой аналогофнет №472 на 10 листах, пытающийся на эллиптических кривых (gost) «переплюнуть» куда более «многобуквенный» RFC 5652.
"По хорошему" вместо RFC 5652 нужно было сразу вводить формат CADES хотя бы ETSI TS 101 733 V2.2.1 (2013-04): https://www.etsi.org/del...60/ts_101733v020201p.pdf
а то и сразу ETSI 2016-го года (№472, Дата начала общественного обсуждения: 19 октября 2017 г.).
Для сравнения то, что уже в 2016/17 -том у соседей действовали:
http://online.budstandart.com/ru/catalog/doc-page.html?id_doc=65132
http://online.budstandart.com/ru/catalog/doc-page.html?id_doc=72925
Не говоря уже о соседях ЭП-передовиков, например, эстонцев.
Кроме группы ИнфоТеКС- РосСтандарт переводом международных стандартов по электронной подписи занимаются другие «группы», включая МинЗдрав, например, ETSI CADES \ XADES в составе: ИНФРАСТРУКТУРА С ОТКРЫТЫМ КЛЮЧОМ. Часть 4. Электронные подписи медицинских документов
Также непонятно как «ЭП от медицины» и приказ № 947н соотносятся с 63-ФЗ и № 472 (см. «лебедь-рак-щука»):
Что касается стандарта (формата) представления, то ссылки только на CMS-формат (п.13 приказа № 947н) явно недостаточно. Наверное, не надо было вообще в этом приказе говорить о форматах ЭП. Замечу, что формат УКЭП утвержден приказом Минкомсвязи РФ от 14.09.2020 № 472.
Кроме того, мы не затронули простую подпись, доверенное время и другие элементы 63-ФЗ, которые имеют отношение к единому формату ЭП. Формально, должен быть определен формат не только усиленной, но и простой подписи: разве они наносятся не средствами ЭП?, а чем тогда? «средствами не электронной подписи»? Формально он как бы определен в том же №472, т.к. нигде нет оговорок об обратном.
Странный замысел и реализация приказа МинЦифры про доверенное время (№ 857) мало чем отличается от обсуждаемого №472. А где в №472 прописаны CMS, которые Advanced (CADES), или форматы PADES (pdf-файл) и XADES (XML-файл) и другие, которые также применяются в рамках 63-ФЗ? «Впрочем, это уже совсем другая история».
Не хватает кармы поставить тег "Законодательство в ИТ", надеюсь, что более обкармованные товарищи прояснят вопрос относительно №472.
PS
Критический склад 63-ФЗ
Что не так с федеральным законом «Об электронной подписи» (63-ФЗ), и как это можно исправить
FAQ
1
Так задайте этот вопрос официально, письменно, чтобы и ответ был тоже официальный. Бьюсь об заклад, он будет отличаться от "спрашивайте в КриптоПро".
Задать вопрос нужно (все пишем и делимся ответами), но это не гарантировано что-то прояснит, а может и более запутать. Обращаю внимание на моменты:
а) важно понимать, что именно у законодателей не «на языке» (письменном ответе на вопрос), а «в голове», т.к. часто: Язык дан чтобы скрывать свои мысли. Иногда лучше иметь (понимать) мотивацию ответа, а не сам часто чисто формальный и туманный ответ, который можно интерпретировать по-разному. Часто позволяет приблизиться к разгадке именно «что в голове», которое законодатели озвучивают только неформально.
б) в своих ответах на подобные вопросы министерства и ведомства добавляют дисклеймер, который фактически говорит «мы думаем как-то так, но это не точно, а точно узнаете только в суде, когда Вам вынесут приговор».
в) наличие официального ответа не гарантирует прояснение ситуации, а может запутать еще больше. Привожу пример в части вопроса относительно простой подписи в кадровом документообороте и необходимости интеграции с госуслугами.
Было Постановление Правительства РФ от 01.07.2022 № 1192 «Правила взаимодействия информационной системы работодателя, …» http://www.consultant.ru/document/cons_doc_LAW_421101/92d969e26a4326c5d02fa79b8f9cf4994ee5633b/
которое было и остаётся многими непонятным от слова Совсем. Поэтому многие спрашивают: «А что это было?» и пишут вопросы в профильное министерство и ведомство. Итак:
Дисклеймеру министерства: «Мнение Минтруда России по вопросам, содержащимся в Вашем обращении, не является разъяснением и нормативным правовым актом» в письме Минтруда России от 6.10.2022 № 14-6/ООГ-6311. https://www.b-uchet.ru/ndoc/450883/
МинТруд опубликовал собственное понимание, но не «разъяснение» (что ожидалось всеми) многими непонятого Постановления Правительства РФ от 01.07.2022 № 1192 в части правил взаимодействия кадрового ЭДО с порталом госуслуг, вызывающие интриги, в том числе, «интеграция обязательна или по желанию»? Абзацем выше этого же письма МинТруд подчеркивает, что имеет право давать разъяснения, но видимо не может так позиционировать свой ответ, т.к. или сам не уверен, что верно понял содержание этого Постановления Правительства или считает кадровый ЭДО вообще за рамками своих компетенций (что еще более абсурдно).
Более того, «письмо - не разъяснение» Минтруда (интеграция обязательна только для простой электронной подписи) противоречит письму Роструда от 01.08.2022 N ПГ/19773-6-1 (интеграция с госуслугами обязательна в любом случае). https://buhexpert8.ru/npa/pismo-rostruda-ot-01-08-2022-n-pg-19773-6-1.html
…
Полагаем, что работодатели, которые перешли на электронный документооборот (далее — ЭДО), должны обеспечить взаимодействие своих систем ЭДО с федеральной государственной информационной системой «Единый портал государственных и муниципальных услуг (функций)».
Настоящее письмо не является правовым актом.
Не удивительно, что разъяснения самого Правительства или МинЦифры могут оказаться новой альтернативной версией, не совпадающей с озвученными взаимно противоречивыми мнениями МинТруда и РосТруда. На сегодня ситуация так и остаётся в «неопределённости» несмотря на то, что в компаниях постоянно идет внедрение кадрового электронного документооборота. Многие законы написаны так, что однозначно их интерпретировать без внешних дополнений – невозможно, а дополнения, данные «с отказом от ответственности» - часто добавляют только сумбур.
2
Ответ на вопрос 1 требует уточнения. А что такое "допустимая", в вашем понимании, подпись? Например. простая ЭП, согласно ФЗ, может быть в любом виде, который вы согласуете в рамках системы ЭДО.
«Допустимая» - это не противоречащая законАм, т.е. не только 63-ФЗ, но и другим остальным про ЭП. Применительно к указанной Вами простой ЭП. Совсем не значит, что всё то, что будет написано в корпоративном регламенте кадрового ЭДО (и подписано обоими сторонами) относительно простой подписи будет допустимым. Нужно еще чтобы «это написанное» не противоречило как 63-ФЗ, так другим постановлениям, приказам и т.п.
В FAQ1 приведены Постановление Правительства РФ от 01.07.2022 № 1192 и письмо Минтруда России от 6.10.2022 № 14-6/ООГ-6311. Согласно им, простая подпись будет «допустимой», только при наличии интеграции кадрового ЭДО с госуслугами.
Вообще в части электронной подписи могут выходить постановления Правительства, которые не меняют ни строчки в 63-ФЗ, но вносят в его интерпретацию иной (дополнительный) смысл, т.е. понять какой полный набор постановлений (приказов) определяет текущие требования к электронной подписи – сложная задача. Иногда случайно натыкаешься на новые и думаешь, а как об этом можно было вовремя узнать и почему нет единого реестра с разбивкой: это требования для всех подписей в рамках 63-ФЗ, это дополнительные требования для подписей по кадровому ЭДО, это требования для подписей там-то и там-то.
Комментарии (37)
itGuevara Автор
00.00.0000 00:00+3В технических ваших дебрях я ничего не могу сказать - не моя компетенция,
Если совсем просто: 63-ФЗ через №472 определил обязательный формат ЭП, т.е. все подписи вне этого формата - не законные (не по закону № 63-ФЗ).
Этому формату (№472) не соответствует ни одна из существующих подписей. Чтобы это проверить нужно погружаться в "технические дебри" (показано как погрузиться и это не так сложно, как просто страшно или лениво, т.к. проверка простая), чтобы в это поверить нужно подождать мнений иных специалистов.
ifap
00.00.0000 00:00+5Когда им задаешь вопрос: а какой требуется формат ЭП?, а нужно ли соблюдать пресловутый формат №472?, то следует ответ: «мы то откуда знаем, спрашивайте это в КриптоПро».
Так задайте этот вопрос официально, письменно, чтобы и ответ был тоже официальный. Бьюсь об заклад, он будет отличаться от "спрашивайте в КриптоПро".
itGuevara Автор
00.00.0000 00:00-1Типовой вопрос. Добавил в FAQ.
ifap
00.00.0000 00:00+3Типовой ответ: нас послали - мы пошли. Если для Вас это имеет принципиальное значение, то Вы требуете дать официальное разъяснение, а не вот это вот "мы считаем, но это частное мнение". Отказываются - обжалуете выеш, пишите в прокуратуру, подаете в суд. Это если вопрос для Вас принципиален и потенциально грозит проблемами, а если нет, то да, как-то так:
- А валенки у вас есть?
- Сколько?
- Да не надо, это я так спросоил...
itGuevara Автор
00.00.0000 00:00-1Отказываются - обжалуете выеш, пишите в прокуратуру, подаете в суд.
Это был юмор? Тогда не хватает третьего: "письма всевышнему" на ул. Ильинка подъезд 11.
"Это Россия, детка!" (мем).
Это если вопрос для Вас принципиален и потенциально грозит проблемами,
Полагаю, что Вопрос должен быть принципиален каждому, кто проставляет на документах или проверяет электронную подпись.
ifap
00.00.0000 00:00+1Нет, это не был юмор, я-то как раз помню, что никто не даст нам избавленья: ни бог, ни царь и ни герой (далее - по тексту) и не жду, что одно открытое письмо в "Спортлото" даст какой-то эффект.
itGuevara Автор
00.00.0000 00:00-1Поэтому я и хотел Вначале узнать мнение хабр-сообщества на эту проблему. Возможно я что-то не нашел и согласование ФСБ "вот оно" или я не так прочитал OID, а нужно было иначе, т.е. вдруг мне тут покажут, что с №472 "полный порядок". Зачем тогда лишний раз беспокоить "наших занятых ЭПчиновников"?
Кстати, на каких форумах можно задать вопрос по №472?
ifap
00.00.0000 00:00+1Согласование ФСБ или кого угодно - внутренний документ, он не публикуется (и не должен) и наверняка имеет гриф ДСП, хотя СП там - только в больной фантазии чиновников, привыкших ховать все, на чем явно не написано аршинными буквами: для обязательной публикации, иначе - расстрел! Проверить, получил ли НПА согласование... интересный вопрос. Можно прямо задать вопрос обеим сторонам: согласующему и подававшему на согласование. Можно пнуть прокуратуру с просьбой проверить, т.к. в открытом доступе информации нет, а Вы, как законопослушный гражданин, беспокоитесь и не хотите невзначай нарушить. Правда выцарапывать потом из прокуратуры результаты проверки - может получиться отдельный квест. Ну а по поводу Минцифры и ЭП вообще, можете на досуге почитать мою статью - лично я не удивлюсь, если 472-й приказ ни с кем не согласован, принят в нарушение всего, что только можно, и вообще является плодом работы агентов вражеских разведок, но никому и ничего за это не будет.
itGuevara Автор
00.00.0000 00:00-1можете на досуге почитать мою статью
Вывод из наших статей одинаковый:
Регуляторам "так можно и никому за это ничего не будет": https://habr.com/ru/post/708970/#comment_25071178
ifap
00.00.0000 00:00+1Возможно и будет, только мы (широкая общественность) об этом сможем лишь догадываться. Начнутся подковерные игры против Шадаева или Чернышенко - и эти темы, и другие им предъявят в виде докладной "наверх" как свидетельство неполного служебного.
suurtoll
00.00.0000 00:00+3Ответ на вопрос 1 требует уточнения. А что такое "допустимая", в вашем понимании, подпись? Например. простая ЭП, согласно ФЗ, может быть в любом виде, который вы согласуете в рамках системы ЭДО.
Ответ на вопрос 2 вы сами дали по тексту. Цепочка документов ведет к Приказу Минцифры России от 14.09.2020 N 472
Ответ на вопрос 3. Согласование между ведомствами работает не так. Гриф согласования должен быть на проекте приказа (это отдельный документ с собственным номером исходящего). На итоговом варианте, зарегистрированном в Минюсте, грифа согласования не бывает. Обязанности просто так публиковать эту переписку у министерств нет. Однако факт регистрации приказа в Минюсте подразумевает наличие такого согласования! Если ещё остались сомнения - направьте запрос в Минцифры, а лучше в Минюст, они вам обязательно ответят, каким письмом из ФСБ было согласовано.
Далее у вас некоторая каша начинается, уж извините. И нумерация вопросов пропадает.
Про применимость стандартов и рекомендаций все ответы можно легко нагуглить.
Рекомендации по стандартизации и проекты мет. рекомендаций, на которые вы ругаетесь - все о разном вообще-то, и неудивительно, что их разные люди делали. Перечень того из них, что действует - смотрите на сайте ТК 26.
RFC в России законной силы не имеют и при необходимости отраслевыми комитетами по стандартизации используются как информативные источники.
В общем ситуация странная, но не настолько плохая, как вы описали.
P.S. Я не юрист, а математик, к ведомствам отношения не имею, но имею опыт взаимодействия с ними.
P.P.S. Прикольно, что в приказе Минцифры ошибки в части ASN, это ужасающий косяк.
itGuevara Автор
00.00.0000 00:00-1Пояснения по Вопросу 1 добавил в FAQ2 (как типовой вопрос).
Вопрос 2 (ключевой вопрос): Определен ли в 63-ФЗ формат электронной подписи?
Утвердительный ответ на этот вопрос требует публикации согласования этого приказа (№472) от ФСБ. Если отлагательное условие не выполнено, то утвержденного Формата - нет, а МинЦифры грубо нарушило требование 63-ФЗ, выдав свой №472 за утвержденный.
Вопрос 3. Существует ли опубликованное или секретное согласование со стороны ФСБ формата, разработанного МинЦифрой (№472)?
"Как бы" Доказательства:
Однако факт регистрации приказа в Минюсте подразумевает наличие такого согласования!
Это неявное доказательство. Я тоже уверен, что согласование есть, но раз в 63-ФЗ указали явно на наличие такого согласования как важное отлагательное условие, то выполнение этого условия должно быть подтверждено Явно. Ответ кого-либо (МинЮста, МинЦифры, ФСБ) в адрес одной компании (автора запроса) – это «не в счет», т.е. должно быть публично подтверждено выполнение или невыполнение столь критически важного отлагательного условия.
Перечень того из них, что действует - смотрите на сайте ТК 26.
Там указано много чего (к сожалению, вместо прямых ссылок на документы стоят ссылки «в корзину»), но непонятен сам статус рекомендаций: они обязательны? Что значит «Действуют». Для кого и в каких случаях? Кто их использует и как они связаны с постановлениями, приказами, например, той же МинЦифры (с тем же №472)?
Что сегодня (не когда-то давно) есть ТК26? «Частная лавочка» ИнфоТеКС как подразделение РОССТАНДАРТа?
Как «это вообще работает» сегодня? Нужен не формальный ответ из «Язык дан чтобы скрывать свои мысли» (см. FAQ1), а именно неформальный и точный (прямой) ответ. Чтобы понять всю эту крипто-механику\политику изнутри.
suurtoll
00.00.0000 00:00+1Вы неверно понимаете работу механизма согласования законодательных актов между ведомствами. Приказ согласован ДО его подписания, а не ПОСЛЕ. Точка. Это не вызывает вопросов ни у кого, кроме вас. При сомнениях - пишите в ведомства, вам ответят. Просто ваше возмущение (и полстатьи) основано на незнании.
Что сегодня (не когда-то давно) есть ТК26? «Частная лавочка» ИнфоТеКС как подразделение РОССТАНДАРТа?
https://tc26.ru/about/ Вы будете смеяться, но тут всё написано - что, кому и зачем.
Рекомендации по стандартизации и госстандарты выдаются за деньги. Это может опять же вам не нравиться, но таковы нормы закона.
непонятен сам статус рекомендаций: они обязательны?
Национальные стандарты имеют добровольное применение[7]:Ст. 4 за исключением применения стандартов для оборонной продукции и для защиты сведений, составляющих государственную тайну или иную информацию ограниченного доступа[7]:Ст. 6. Также обязательны для применения документы по стандартизации, включённые в определённый Правительством Российской Федерации перечень документов по стандартизации, обязательное применение которых обеспечивает безопасность дорожного движения при его организации на территории Российской Федерации[8]. Обязательность применения документов по стандартизации устанавливается только законом «О стандартизации в Российской Федерации»[7]:Ст. 2, при этом применение документов по стандартизации для целей технического регулирования устанавливается в соответствии с законом «О техническом регулировании»[7]:Ст. 5.
Чтобы понять всю эту крипто-механику\политику изнутри.
Купите книжку. Организационно-правовое обеспечение криптографической защиты конфиденциальной информации | Коваленко Юрий Иванович. -- Горячая Линия - Телеком. 2022
itGuevara Автор
00.00.0000 00:00Просто ваше возмущение (и полстатьи) основано на незнании.
Конечно на незнании, поэтому и спрашиваю. Все вопросы указаны в статье и Ваша отсылка "куда-то" для меня непонятна (снова от незнания).
Расскажите незнающему "на пальцах" (сожалею, но приходится повторяться), например, рассматриваемый Р 1323565.1.025-2019 для кого был придуман? https://docs.cntd.ru/document/563507879
Кто должен его использовать и на него ссылаться? Разработчик СКЗИ? Разработчик СЭД с кнопочкой «Подписать»? Конечный потребитель кнопочки «Подписать»? А может его придумали исключительно для МинЦифры? Не для самого же себя "любимого" его придумал РОССТАНДАРТ.
Как связаны формат №472 и Р 1323565.1.025-2019? Вообще эти оба точно про RFC 5652? Почему в них нет ссылок на него (поиск «5652» пишет «не найдено»)? Может они совсем про другой формат и даже не на один из этих:
https://habr.com/ru/company/aktiv-company/blog/191866/
По №472 можно сформировать «хоть какую-то» подпись (которая хотя бы не выдаст ошибки на соответствие «старым» форматам CMS) только дополнительно положив рядом RFC 5652 или Р 1323565.1.025-2019 и к тому же исправив ошибки в пункте 6 приказа №472.
т.е. Для формирования подписи (и проверки) по формату №472 какие нужно положить рядом с №472 книжки (методички Минцифры, стандарты, РОССТАНДАРТы , ГОСТы, IETF RFC, ETSI и т.п.) и где сказано какие (может брать 5652 - это грубая ошибка)?
David_Osipov
00.00.0000 00:00Текст сложен - изобилует канцелярщиной, плохо структурирован и похож на поток сознания.
itGuevara Автор
00.00.0000 00:00"изобилует канцелярщиной" - при обсуждении законодательства по ИБ без этого видимо никак. Вообще чтение и анализ законов - очень скучное занятие. Куда проще и веселее в соседней ветке обсуждать: «Почему я не могу нормально зарабатывать?» Верно?
"плохо структурирован" - пока на хабре к Markdown не добавят (заменят) движок ZettelKasten, то структурирование будет всегда "так себе". Кроме того, в этой статье "сошлись": законодательство, чтение байтов (ASN.1) и стандарты криптографии (CMS\PKCS#7), поэтому конечно "без подготовки" читается сложно.
Tavrid
00.00.0000 00:00+1Еще одна ошибка во всех подписях УКЭП выдаваемых ФНС - они подменяют местонахождение юр.лица его полным адресом в пределах места нахождения.
Согласно ФЗ-63 и Приказа ФСБ в УКЭП указывается "местонахождение" - как на обычной печати - это город.
ФНС само придумало всем в УКЭП дописывать адреса улица, дом, офис - в итоге при изменении адреса в пределах города (переезд в соседний офис) подпись автоматически недействительна.
А еще они любому юр.лицу могут выставить недостоверность адреса за 5 минут и тогда никакую УКЭП подпись в ФНС уже не получить.
Писал везде, Главе ФНС, МинЦифры, ФСБ - толку ноль - все просто не замечают эту проблему.
При этом структурно эти данные записываются в поля предназначенные Приказом ФСБ для записи адреса "Удостоверяющего центра".itGuevara Автор
00.00.0000 00:00Писал везде, Главе ФНС, МинЦифры, ФСБ - толку ноль - все просто не замечают эту проблему.
1 Можете скан выложить своих писем? Хотя бы замазанные, чтобы твердое основание было написать в … Спортлото:
… отвечайте нам, а то,
Если вы не отзовётесь —
Мы напишем в Спортлото!
2 Вопрос как знатоку ФНС: Правильно я понимаю, что использовать полученные НЭП на сайте ФНС в других документах, например, кадровых, нельзя? Почему?
3 Есть «свежие» предложения ФНС по изменениям в 63-ФЗ (не в свете Вашего вопроса), просто «для информации», раз ФНС вспомнили:
Tavrid
00.00.0000 00:00+1-
Да, нет проблем. Борьба общая.
ответ МинЦифры ниочем. Ответ ФНС вплоть от руководителя ФНС России простой - все вопросы по КЭП в Минцифры, мы сами не знаем что творим, и кто вообще все эти поля придумал.
Сама жалоба
-
ЖАЛОБА
на неправомерные действия Федеральной налоговой службы России
по отказу в выдаче КСКПЭП в случае наличия записей о недостоверности
Мне было неправомерно отказано в выдаче КСКПЭП на ООО «АКВАТУР» в ФНС России по причине наличия в ЕГРЮЛ записи о недостоверности адреса в пределах места нахождения ЮЛ.
Причина отказа мне была обоснована требованиями законодательства в последнем развернутом ответе МИФНС № 9 по Республике Крым.
Однако, законодательство не содержит озвученных причин для отказа в выдаче КСКПЭП юридическому или физическому лицу по следующим доводам:
1) В силу пп. 2 п. 2 ст. 17 Федерального Закона № 63-ФЗ квалифицированный сертификат должен содержать, «наименование, МЕСТО НАХОЖДЕНИЯ и основной государственный регистрационный номер владельца квалифицированного сертификата — для российского юридического лица». В указанном федеральном законе отсутствует требование включения в КЭП адреса в пределах места нахождения российского юридического лица.
В соответствии с ч.2 ст. 54 ГК РФ «Место нахождения юридического лица определяется местом его государственной регистрации на территории Российской Федерации путем указания наименования населенного пункта (муниципального образования).», не следует отождествлять отдельные понятия место нахождения и адрес в пределах места нахождения, который определен ч.3 ст. 54 ГК РФ «В едином государственном реестре юридических лиц должен быть указан адрес юридического лица в пределах места нахождения юридического лица.»
Повторюсь — в Федеральном законе от 06.04.2011 N 63-ФЗ «Об электронной подписи» отсутствует обязательное требование включения в КСКПЭП «адреса в пределах места нахождения», имеется императивное требование Федерального закона о включении «места нахождения». Никаких сносок о расширительном толковании или предоставлении права какому‑либо органу устанавливать или изменять состав полей КСКПЭП Федеральный закон не предусматривает.
2) МИФНС № 9 в своем последнем письме ссылается на пункт 17 Приказа ФСБ России от 27.12.2011 № 795 установлены стандартные атрибуты, используемые при описании формы квалифицированного сертификата. Мнение МИФНС № 9 что согласно пп. 6 и 7 необходимым для указания атрибутами являются наименование населенного пункта и название улицы, номер дома соответствующего лица является ошибочным, основанным на неверном понимании верховенства законов, подзаконных нормативных актов и внутренних приказов.
В указанном приказе описаны технические требования к полям, которые в случае применения (включения в КСКПЭП) подлежат соответствующей унификации (форматированию, длине, составу символов) в соответствии со установленными стандартами.
Пунктом 10 установлена абстрактная синтаксицеская нотация всего КСКПЭП и включенные в него структуры, последующими пунктами последовательно описаны все поля.
Пункт 17–18 относится к полю issuer (пункт 16 «издатель») и определяет порядок заполнения именно этого поля КСКПЭП, и не подлежит императивному применению при заполнении других полей.
К полю Субъект относится лишь пункт № 20 «Поле subject имеет тип Name и идентифицирует владельца квалифицированного сертификата.», каких либо других требований к пункту subject Приказ ФСБ № 795 не содержит!
Более того, в составе Приложениях к Приказу имеются грубые заблуждения в терминах, так как «Место нахождения юридического лица: <countryName>, <stateOrProvinceName>, <localityName>, <streetAddress>» на самом деле описывает адрес в пределах места нахождения, а не место нахождения как того требует Федеральный закон и Гражданский кодекс.
3) Изданный ФНС ключ другого юридического лица совершенно не соответствует синтаксису указанному в Приказе № 795, в частности:
issuer:
CN = Федеральная налоговая служба
O = Федеральная налоговая служба
OU = УЦ ЮЛ
STREET = ул. Неглинная, д. 23
L = г. Москва
S = 77 Москва
C = RU
ИНН = 007 707 329 152
ОГРН = 1 047 707 030 513
E = uc@nalog.ru
4) Приказом ФНС России от 30.12.2020 № ВД-7–24/982@ вообще не установлено требование включения адреса в пределах места нахождения (п.22), равно как и места нахождения в состав КСКПЭП, в приложенных заявлениях отсутствуют необходимые для этого поля (п.23), отсутствует источник откуда импортируются эти данные, по тексту ФНС лишь вправе провести идентификацию и проверку данных предоставленных заявителем (п.25–26).
Более того Приказ ФНС России вообще не содержит словосочетаний «адрес» или «место нахождения» или требований/источников их формирования.
Заявление, которое формируется посредством личного кабинета налогоплательщика вообще не содержит полей адрес или место нахождения, однако в КСКПЭП эти поля заполняются.
5) И раз уж ФНС самостоятельно на свое усмотрение вносит поля адреса в КСКПЭП (якобы по требованию ФСБ касающиеся «издателя»), то никто не смог мне пояснить, почему ФНС отбрасывает один из обязательных атрибутов Адреса — почтовый индекс, который содержится в ЕГРЮЛ. Таким образом в КСКПЭП вносится недостоверный и неполноценный адрес в пределах места нахождения без индекса.
Таким образом, я считаю, что ФНС нарушает права предпринимателей и юридических лиц в РФ, монополизировав рынок выдачи КСКПЭП и установив требования к их выдаче не предусмотренные Федеральным законодательством, и безосновательно отказывает в выдаче КСКПЭП, требуя совершения не предусмотренных действий от заявителей (устранения неких записей о недостоверности), чем сознательно препятствует их законной предпринимательской деятельности.
Подписи выданные ФНС использовать можно практически везде, кроме отдельных случаев, когда к примеру серые и мутные торговые площадки требуют какое-то особое поле OID что бы было заполнено (ограничение участников).
itGuevara Автор
00.00.0000 00:00Ответ ФНС вплоть от руководителя ФНС России простой - все вопросы по КЭП в Минцифры, мы сами не знаем что творим, и кто вообще все эти поля придумал.
Как видим все они откидывают мячик на другого (в т.ч. "по вопросам, связанным с содержанием полей квалификационного сертификата, необходимо обращаться в ФСБ России …") и добавляют традиционный дисклеймер:
В связи с изложенным, настоящее письмо Минцифры России носит исключительно информационно-развлекательный характер.
ФСБ что-то ответило?
Подписи выданные ФНС использовать можно практически везде, кроме отдельных случаев, когда к примеру серые и мутные торговые площадки требуют какое-то особое поле OID что бы было заполнено (ограничение участников).
Не только торговые, но и тот же Росреестр. Вопрос больше не в технических ограничениях, а в правовых. Если подписывать подписью НЭП ФНС кадровые документы (трудовой кодекс статьи 22.1 – 22.3), то потом никто не скажет, что все они недействительны, потому что не соответствуют целям, в соответствии с которыми были выданы ключи?
-
Popadanec
00.00.0000 00:00УКЭП выдаваемая ФНС, это одна большая ошибка. Если раньше я мог безопасно подписать отчётность с чего угодно имеющего экран, браузер и выход в интернет. То теперь только с одного конкретного ПК, ещё и за лицензию криптопро заплати. Которая через пару лет «устареет», и нужно покупать новую(4.0 моя онлайн бухгалтерия уже не принимает).
nick-for-habr
Провокационный заголовок, и длинный, путанный, трудный для понимания текст.
Так в чём же суть? Используемые сейчас ЭЦП "незаконны"? А что вы вкладываете в это понятие - "законность"?
Если требуют подписывать синей шариковой ручкой, а я подпишу синей "гелевой", или тёмно-синей шариковой, почти чёрной (но только "почти") - подпись будет незаконна?
Я к тому, что "законность" ( или "незаконность") - это юридическое понятие, а вы углубились в дебри технических реализаций. В технических ваших дебрях я ничего не могу сказать - не моя компетенция, да и стиль изложения не способствует пониманию, но и каких-то юридических аргументов в тексте я то же не обнаружил.
Вот рубли - законное платёжное средство, а какой-нибудь "ххх-коин", созданный строго по всем возможным RFC - нет? Почему?
А если вы напечатаете свой "рубль" (на бумаге), имеющий абсолютно все законные признаки законного рубля - то "законность" своих действий вы очень скоро будете доказывать соседу по камере, а не главе Центробанка. Почему?
isden
Когда-то очень давно
в далекой-далекой галактикелично сталкивался с таким — отказались принимать подпись синей гелевой ручкой, обосновывая тем, что у них требование сверху принимать подпись только синей шариковой, и все остальное недействительно. Почему, и самое главное — зачем — мне узнать не удалось.saege5b
Гелевые ручки (и прочая экзотика), где-то в самом начале сводились достаточно легко, плюс были проблемы при копировании (экзотическая-экзотика).
В те же дремучие годы, была весёлая привычка печатать на матричнике.
И шариковая ручка, и принтер продавливали лист бумаги, этим самым повышая безопасность (с).
isden
Но почему именно синей?
lumag
Чтобы отличаться от черно-белой ксерокопированной.
johnfound
И еще не все чернила стареют и выцветают одинаково. А исчезновение подписи в архивном документе не хорошо. Я встречал даже требование использовать ручки определенного производителя – примерно Schneider.
Wesha
"Девушка, а вы эксперт по различению ручек на глаз? Можно ваш сертификат посмотреть?"
Rinsewind
Я слышал объяснение, что это требование от экспертизы, т.к. сравнивается не форма отпечатка, а динамика нанесения, углы и прочая. Гелевая или перьевая ручка слишком сильно виляют на результат.
Popadanec
Ещё буквально пару лет назад в ФСС требовали.
aMster1
Слышал версию что если надпись нанесена гелевой ручкой, то при экспертизе невозможно определить давность нанесения надписи.
randomhabrcommentator
Соглашусь и добавлю, что если автор исследует законность ЭЦП, то ожидаемо увидеть в статье анализ юридической практики. Например, документы, подписанные какими ЭЦП принимаются судами, а какими нет и позиция судов.
slammed
Исследование законности, основанное на анализе практики? Я не юрист и не биолог, но что-то мне это всё похоже на эксперименты с лабораторными мышами. Я не религиозен, мне живых существ жалко.
Wesha
...то вы чёрта с два докажете, что его напечатал коллега, а не Гознак.
Didimus
Если номер ещё несуществующей купюры, то это будет довольно просто
Wesha
В задаче было "абсолютно все признаки законного рубля". Правильный номер — это тоже признак законного рубля. Более того, фальшивомонетчик может не выйоживаться, а взять номер с реальной купюры.