17 мая на Хабре публиковалась новость о фиксировании первого известного случая отъема квартиры путем фальсификации электронной цифровой подписи. Тогда сообщалось, что владелец квартиры на Тверской улице г. Москва обнаружил, что его квартира каким-то образом переоформлена на другого человека. Сделано это дистанционно, злоумышленник подписал документы электронной подписью реального владельца. Самое интересное то, что сам владелец никогда не получал электронную подпись и носитель с ключом.
Оказалось, что получить электронный ключ на любого человека действительно несложно. Журналисты СМИ 47news провели эксперимент и без труда выполнили эту операцию. Как оказалось, любой разбирающийся в налоговых процедурах человек может без проблем завладеть не только чужой квартирой, но и чужой компанией.
Для этого не нужные какие-то преступные связи или сотни тысяч долларов США. Хватит десяти тысяч рублей, которые и нужны для оформления электронного ключа. Он требуется для проведения сложных процедур купли-продажи недвижимости, переоформления квартиры и т.п. По мнению разработчиков, электронная подпись по уникальности равноценна обычной подписи, она так же уникальна и значима. Физически она записывается на устройство, которое по внешнему виду напоминает флешку.
Организации, удостоверяющие личность человека, пришедшего оформлять электронный ключ, представляют собой обычные частные фирмы, которые получили в Министерстве цифрового развития специальную аккредитацию. Кроме того, таким компаниям для старта деятельности нужно получить лицензию от ФСБ.
Свидетельство дает право продавать ЭЦП, но вот обязанностей контроля действий владельца подписей не налагает. Сотрудников удостоверяющего центра не контролирует никто — ни ФСБ, ни Минсвязи, ни какие-либо иные органы.
Эксперимент СМИ заключался в том, что журналист этого издания должен был получить ЭЦП за генерального директора и одновременно главного директора издания. В самом начале две городские конторы обратили внимание заявительницы на то, что оформлять документ может помощник руководителя, но вот оплачивать услуги требуется лишь со счета организации, на которую нужно получить ЭЦП.
После того, как журналист пожаловалась на то, что генеральный директор очень занят, ей пошли навстречу и предложили заполнить бланки и оплатить с любого счета, как фирмы, так и личного. Участники эксперимента решили получить подпись, которая позволяет подавать отчетности в налоговую, производить регистрационные действия и решать большое количество других задач, включая переоформление недвижимости. Ключ действует год.
Для получения ключа требовались установочные данные организации, включая ИНН, ОГРН, ФИО и ИНН директора. Все эти данные без труда можно найти в открытых источниках. После оплаты счета пришло письмо с приглашением загрузить документы в личный кабинет. В компании, которая оформляла ключи, не задавали вопросов о том, почему ЭЦП заказывается на одну фамилию, а в чеке указана другая.
Самым сложным моментом во всей этой истории была подделка подписи человека, на которого оформлялся ключ. СНИЛС был нарисован в графическом редакторе. Авторы идеи сообщают, что они приложили отсканированную копию паспорта, но фото гендиректора заменили на фото журналиста, причем лицо изменили и нанесли на лоб водяной знак.
Затем последовало приглашение поехать в офис компании для получения ключа. Как оказалось, проверка прошла успешно, проверяющий не обратил внимания на фотографию, которая выглядела достаточно странно.
По словам экспертов, при помощи электронного ключа можно выполнить многие действия юридического и налогового характера. «Сделать можно всё: ликвидировать фирму, реорганизовать, сменить генерального директора, завысить или занизить налоги для отчётности. Разве что учредителей не поменять. Сегодня, не как в девяностые, просто так собственников с завода не выкинешь. А вот испортить ему жизнь или забрать налоговую переплату, предварительно сделав руководителем нужного человека — легко», — заявил генеральный директор консалтинговой компании «Лодж» Александр Рокин.
И это не теоретическая ситуация, проблемы уже возникают. Случаи, подобные ситуации с переоформлением квартиры обсуждаются в социальных сетях и на форумах. Бухгалтеры и юристы рассказывают о случаях, когда за них уже подана налоговая декларация по поддельным ЭЦП.
Комментарии (125)
Kiano
23.05.2019 22:02+3Напрашивается вопрос: а бороться с этим как?
ReklatsMasters
23.05.2019 23:53Чтобы не попасть в такую ситуацию, Светлана советует всем сходить в МФЦ и написать заявление, что они запрещают любые действия с их недвижимостью без личного присутствия.
В первой статье по ссылке ответ.
Whuthering
24.05.2019 00:13+1И в комментариях к той же статьей ещё написано, почему это не сработает:
m.habr.com/ru/news/t/452292/comments/#comment_20169434Мне по телефону в росреестре сказали, что запретить подачу документов в росреестр с помощью ЭП нельзя никак. Законом не предусмотрено. И тут же объяснили, что волноваться не стоит, т.к. все УЦ надежные.
8 (800) 100-34-34 горячая линия росреестра. Они подробно объясняют, что такое Заявление о невозможности действий с недвижимостью без личного участия собственника.
В этом заявлении, которое мне предоставили в МФЦ, именно фраза «без личного участия». Никаких упоминаний ЭП или «без личного присутствия» в этом заявлении нет, это стандартная форма, и этих фраз в заявлении не предусмотрено.vikarti
24.05.2019 07:38Надежные?
Ну не знаю.
Потребовалось недавно подписи получать и физика и ИП
У одно из двух УЦ вполне нормально токен выдать прямо с уже сгенеренной подписью (и тут я вспоминаю правила безопасности по работе с НЕ сертифицированными подписями — например то что ключ надо генерить — самостоятельно и он вообще никому не должен попадать, никак). У второго (Контур) — генерация ключа на моей машине (правда закрытым софтом и только под Windows). Правда вот сертификат для Эльбы (сдача отчетности) генерируется примерно как с банками ниже.
С банками для ИП вообще интересно. Все хотят еще и сдачу отчетности через них И общение с налоговой, для чего надо получить, правильно, сертификат. Получение выглядит как 'подпишите вот тут распечатку с хэшем сертификата. Файл выдать хотя бы? А у нас Сертифицированная Облачная Подпись'(подтверждение операции — по СМС)(у одного из банков еще и саму услугу этой Облачной подписи оказывает не сам банк).
Нет, я понимаю зачем эта Облачная подпись придумана (потому КриптоПро и аналоги — это тот еще гемморой, на 100% нормально работающий только только под Windows а пользователи почему то не оценивают это) но… мне например — не очевидно (хотя документы — читаны) — та же подпись Эльбы облачная или там подпись для сдачи отчетности банка — она может быть для чего то ЕЩЕ использована быть? А если таки кто-то сопрет? Какие там у этих облачных подписей меры безопасности и кто за это отвечает?
Ilandslc
24.05.2019 20:09+3С Эльбой всё очень весело. Надеюсь, скоро допишу статью на эту тему. Если кратко — а) они генерируют сертификат квалифицированной электронной подписи _заочно_, на основании скана паспорта и СНИЛСа (что, кмк, уже повод для обращения в прокуратуру для проверки на предмет соблюдения ФЗ об ЭП).
б) приватный ключ остаётся на их стороне. Мало того, что они сгенерирован ими, так ещё и у пользователя _вообще нет к нему доступа_
в) за четыре месяца общения с их поддержкой они не смогли привести НИ ОДНОГО аргумента против того, что их сертификат _достаточен_ для подписания договоров и совершения прочих действий, для которых он, по логике, не предназначен (исключительно работы с отчётностью в рамках Эльбы). В св-вах сертификата (проверял, запрашивая данные из их УЦ) прописаны значения, достаточные для использования этого сертификата в кач-ве «электронной подписи, эквивалентной собственноручной». Особенно весело это для ИП, для которых такой серт эквивалентен собственноручной подписи ФЛ, для продажи квартиры, например, или получения микрозайма.
wtpltd
25.05.2019 01:56Т.е. если взять мегакредит по их ключу, а потом рассказать, что этот ключ никогда сам не генерил, в глаза не видел и всякое такое — попадает эльба и прочие онлайновые?
Вы эту тему в своей статье раскройте поподробнее. Как можно заэксплуатировать в плане халявных макбуков и прочих приятностей :)Ilandslc
25.05.2019 03:41Так у вас это не получится — ваш приватный ключ вы даже не увидите. А вот кто его увидит — не узнаете.
mediakotm
24.05.2019 20:18+2Это должно быть по умолчанию то есть нужно в МФЦ ходить, чтобы разрешить это действие, а не запретить. Но у нас всё продумано как всегда.
Alexey_VL
25.05.2019 13:59Ходил сегодня в московский мфц. Говорят, что электронная подпись эквивалентна личному присутствию и предалагают обращаться в росреестр, чтобы запретить использовать эцп. На горячей линии росреестра говорят что запретить использование эцп нельзя. Шах и мат.
dmitrmax
24.05.2019 01:56Так как ваш вопрос не содержит указания на лицо, которому надо бороться, то ответ мой прозвучит не менее вакуумо-сферично. Борьба должна заключаться в модификации законодательства, таким образом, чтобы получение ключа по доверенности было возможно только по нотариальной доверенности во всех случаях (в т.ч. для юрлиц).
Если вы хотите почувствовать себя сопричастным к этой борьбе, то напишите обращение в Минкомсвязи о необходимости подобной законотворческой инициативы. Я написал уже года полтора назад об этом.semen-pro
24.05.2019 06:50Нотариальная доверенность так же подделывается, к примеру, случаи выдачи дубликатов СИМ карты, с последующим уводом средств с привязанных счетов.
dmitrmax
24.05.2019 10:42Я не верю в то, что кто-то нашел черного нотариуса, чтобы тот выдал настоящую доверенность без присутствия лица, которое доверяет, только ради того, чтобы стырить деньги с симки. Тут риски в сотни раз выше потенциального профита.
Зато я верю в то, что кто-то нафотошопил доверку, а работник ОПСОСа не проверил её через открытый реестр доверенностей.
d1f
24.05.2019 09:07> а бороться с этим как?
ну я планировал разместить где-нибудь у нотариуса заведомый отказ от любой электронной подписи,
но боюсь, что это не сработает.
Ilandslc
24.05.2019 20:15Писать в прокуратуру. На предмет проверки соответствия работы таких УЦ закону об ЭП. У меня Контур-Эльба на очереди.
u_235
23.05.2019 22:13Интересно, возможно ли взыскание ущерба с конторы, которая выдала ключ не в те руки.
dmitrmax
24.05.2019 02:01С данном случае в работе УЦ на самом деле практически нет нарушений. При получении сертификата по доверенности на должностное лицо юридического лица у УЦ нет обязанности (и права) требовать оригиналы паспорта. СНИЛС вообще не является документом — это цветная ламинированная бумажка без признаков документа — нет ни печати, ни подписи, ни степеней защиты. А доверенность обязана быть удостоверена согласно ч. 4 ст. 185.1 ГК РФ, и она была именно так и удостоверена. Проверять, что это подделка у УЦ опять таки нету ни возможности, ни права.
imbasoft
23.05.2019 22:24+10Проблем тут несколько
1) Паспортные данные, СНИЛС используется как аутентификационная информация, но по сути это публичные данные. Нужно искоренять практику, когда для аутентификации личности используется данная информация.
2) У текущей схемы государственного PKI — набора аккредитованных УЦ (63-ФЗ) есть фатальная проблема конфликт интересов УЦ между безопасностью и продажами. УЦ зарабатывают на количестве проданных ЭП (электронных подписей). Для упрощения продаж ослабляются процедуры проверки документов и идентификации личности. Клиенты не хотят заморачиваться и любую «безопасность» воспринимают как бюрократию, в результате чего пойдут в тот УЦ, где «бюрократии» нет. Это не проблема одного УЦ, это системная проблема, решить которую можно только на уровне законодательства. Нужно менять всю схему. Текущая вариант, когда государство периодически проводит проверки качества работы УЦ по факту не решает проблему.
С точки зрения публикации, то тут журналисты совершили уголовку — подделали подпись собственника (заявителя) ЭП, подделали сканы паспорта. Такое может быть даже если документы будут внимательно проверять. По сути работник УЦ ОБЯЗАН был звонить не журналисту «заминать» вопрос, а в полицию и возбуждать 159, 327 УК РФ.
Не стоит забывать, что подделывая бумажную подпись можно бед натворить много больше, нежели с помощью ЭП.Hardcoin
24.05.2019 00:12Нужно искоренять практику, когда для аутентификации личности используется данная информация.
А как её искренишь? Никакой секретной информации (при этом подходящей для проверки) у человека нет. Пароль? Так это ещё хуже ЭЦП.
imbasoft
24.05.2019 09:45Менять бизнес-процессы и принятые бизнес-практики, но это очень сложно, почти нереально.
Если говорить о практике, то варианты есть — кодовое слово, биометрическая идентификация, идентификация через доверенный сторонний сервис и т.д. Ну и в конце концов, можно применять различные методы идентификации для операций различного уровня риска.
Проблема в том, что это будет «усилий» от клиента, но тут уже ничего не поделаешь. Хочешь жить — борись за жизнь.Hardcoin
24.05.2019 11:08Менять бизнес-процессы и принятые бизнес-практики, но это очень сложно, почти нереально.
Бизнес-процессы? При оформлении недвижимости? Напишите конкретно, без воды.
биометрическая идентификация
Один раз утечет в сеть и всё. Больше никогда ничем владеть уже нельзя. Подпись хоть оспорить можно, отпечаток не оспоришь.
dmitrmax
24.05.2019 01:40+1> подделали сканы паспорта
> работник УЦ ОБЯЗАН был звонить не журналисту «заминать» вопрос, а в полицию и возбуждать 159, 327 УК РФ.
Может быть, на вас возбудить за то, что вы подделываете логику? )
Во-первых, нельзя подделать то, что документом не является. Скан документа != документ до тех пор, пока он хотя бы кем-то не заверен.
Во-вторых, совершенно верно написал журналист, что работник УЦ не может делать НИКАКИХ выводов на основании звонка непонятно кого. Потому что в противном случае он своими руками организует Denial of service.imbasoft
24.05.2019 09:55Работник УЦ ОБЯЗАН руководствоваться регламентом УЦ. Когда клиент выбирает в каком УЦ получить ЭП, он должен ознакомиться с регламентом, оценить удовлетворяет ли он его требованиям безопасности и т.д.
Если в регламенте УЦ написано, что блокировка производится по простому звонку, то оператор ОБЯЗАН выполнить ее. Клиент должен был оценить риски подобных действий до подписания документов.
На практике, все удостоверяющие центры гос. и коммерческие обычно, с которыми я работал, проводят подобные действия по кодовому слову.
Скорее все журналисты столкнулись с преступной халатностью работников УЦ.
И на последок про DoS. Если вы нашли на улице банковскую карту, то вы можете позвонить в банк эмитент сказать им об этом и ее заблокируют просто по вашему звонку…dmitrmax
24.05.2019 10:03У меня есть сертификаты в четырех УЦ. Ни в одном никогда не возникало какой-либо речи о кодовом слове. Так что про такую практику я слышу впервые. Я допускаю, что УЦ может так поступить если хотя бы я представляют владельцем скомпрометированного сертификата. Но тут намеренно они представляются а бы кем.
Hardcoin
24.05.2019 11:14Когда клиент выбирает в каком УЦ получить ЭП
Клиентом вы в данном случае называете мошенника? Настоящий клиент вообще не получал подпись. А мошенник конечно ознакомился с правилами безопасности и выбрал подходящий центр.
wxmaper
24.05.2019 03:54С точки зрения публикации, то тут журналисты совершили уголовку — подделали подпись собственника
А если они действовали по обоюдному согласию с исследовательской целью и зафиксировали это в виде какой-то расписки? Считается ли это преступлением?
MaxDamage
24.05.2019 10:50Журналистам обычно много что прощается по «журналистскму расследованию», если они не получили выгоды, конечно. Подозреваю, что в данном случае тоже.
В том числе в GDPR и смежных документах у журналистов специальные условия.
Neuromantix
23.05.2019 23:01Но все все еще считают, что ответственность программистов и прочих IT обработчиков персональных данных не нужна.
Я еще могу сказать, что и с госуслугами такая же дыра — я оформлял пособие по уходу за инвалидом, при этом в ПФ мне просто сказали: «Раз у инвалида нет госуслуг и мобильного, дайте чей-нибудь номер телефона, на него придет пароль, пусть его вам сообщат». Это говорят работники ПФ, потому что оформить без регистрации в госуслугах пособие невозможно.Hardcoin
24.05.2019 00:18+3Ответственность программистов за то, что продавец выдал ЭЦП по поддельным документам? Это вы классно придумали.
dmitrmax
24.05.2019 02:06+1Он просто думает, что манагеры в УЦ — это IT ) Быль в том, что они в 95% случаев даже не знают, что такое электронная подпись. Что продают — толком не понимают. Обучены делать какую-то последовательность действий и тупо ей следуют.
Neuromantix
24.05.2019 10:28-1IT, разрабатывавшие все это, должны были предусмотреть ВСЕ возможные варианты мошенничества, в том числе и получение ЭП по фальшивым документам, и предусмотреть какой-то способ сообщения юзеру, что на его имя получается некий «ключ от всех дверей». Или какой-то тайм-аут для верификации операции с помощью девочки на телефоне. Но зачем? Можно прикрыть зад EULA и не париться — проблемы юзеров шерифа не волнуют.
Внизу в комментах пишут, что возможно получение неограниченного числа копий ЭП — в этом, разумеется, тоже виноваты исключительно девочки-манагеры, а не разработчики идеологии системы ЭП.Whuthering
24.05.2019 10:43IT, разрабатывающие все это, делают это в строгом соответствии с поставленным им ТЗ и законодательством, и за самодеятельность там можно очень больно получить.
dmitrmax
24.05.2019 10:47+1> IT, разрабатывавшие все это, должны были предусмотреть ВСЕ возможные варианты мошенничества, в том числе и получение ЭП по фальшивым документам
IT? Фальшивые документы? Написать программу, которая говорит «ПРЕДЪЯВЛЕН ФАЛЬШИВЫЙ ДОКУМЕНТ!»? На нейросетях, наверное?
> и предусмотреть какой-то способ сообщения юзеру, что на его имя получается некий «ключ от всех дверей»
Вот допустим я сейчас хочу сообщить Вам (не на хабре, а официально), что на ваше имя получается ключ от всех дверей. Как мне с вами связаться? Это даже государство не всегда может, а вы предлагаете отвечать за это IT.
> Можно прикрыть зад EULA
EULA, конечно же, пишут тоже программисты, а не юристы.
> Внизу в комментах пишут, что возможно получение неограниченного числа копий ЭП — в этом, разумеется, тоже виноваты
В этом вообще никто не виноват. Это не бага. Это фича.Neuromantix
24.05.2019 10:55Ну вообще-то у нас давно даже в соцсетях регистрируют по номеру мобильника — но, видимо, для всех прочих это за пределами сложности. Обычная почта с уведомлением заказным письмом, как это было, например, на «Молотке» — тоже.
Военкомат, между тем, работает на бумажном документообороте, и они реально присылают заказные письма — мол, вами поданы следующие документы (список) для рассмотрения (цель) при сдаче документов, и второе письмо «ваше обращение (цель) рассмотрено, решение такое-то вынесено, забрать документы (если представлены были оригиналы) там-то и там-то». Помимо писем сообщают и по телефону тоже, но письма идут с печатью и подписью и являются документом, который можно «пришить к делу». Если такое письмо было б отправлено, а юзер его не получил — тогда разговор становится уже немного другим, если же все документодвижения делаются втихаря за спиной юзера — система сделана через место пониже спины.
Неограниченное число копий — это не фича, это баг, причем критический — это как иметь сотни копий паспорта, каждая из которых может оказаться где угодно.Whuthering
24.05.2019 11:04Обычная почта с уведомлением заказным письмом
Очень долго, особенно если сам УЦ и адрес регистрации лица в разных концах страны. Пока письмо дойдет и будет получено, дел может быть наворочено очень много.
Помимо писем сообщают и по телефону тоже
Как можно узнать номер телефона, если человек его специально не оставлял, и какой-либо единой базы телефонных номеров привязанных к личности не существует?
Неограниченное число копий — это не фича, это баг, причем критический
Тут вы правы, но непонятно, почему по этому багу вы катите бочку на разработчиков программных систем, а не на законодателей и профильные министерства
dmitrmax
24.05.2019 11:19+2Ещё раз. Ситуация. Приходит в УЦ (оставим сейчас работу по проверке документов в сторону) хрен с бугра и предъявляет полный набор документов на вас, необходимый для получения сертификата ЭП. При этом ваши контактные данные там полностью не настоящие. Не настоящий адрес прописки, не ваш телефон (то есть он мошенника), не ваш email. Как УЦ должен по этим данным связаться с настоящим вами?
Военкомат априори знает ваш настоящий адрес, ему не нужен для этого хрен с бугра, который перед началом документооборота туда явится вместо вас и введет их в заблуждение.Neuromantix
24.05.2019 13:11Например сделать запрос в паспортный стол, и свериться с данными, находящимися там (номер паспорта, адрес проживания и тп)
dmitrmax
24.05.2019 14:10А в паспортном столе прямо ждут, когда им работы подкинут, чтобы кто-то мог заработать денег, а они (в паспортном столе) нарушить закон о полиции.
Neuromantix
24.05.2019 14:28В любом случае виновны те, кто разработал и сделал эту насквозь дырявую и убогую систему. Если не хотят лишней работы — не надо вводить новых сущностей. А то очень удобно — подкладывать другим свинью, а потом ни за что не отвечать. Да, можно по подложным документам оформить генеральную доверенность, но при бумажном документообороте шансов, что где-то спалят, много больше, либо надо много своих людей. А тут — ни сном ни духом не знаешь, чего там намудрят без твоего ведома. Если у вас нет возможности сделать систему безопасной, тем более с такими явными дырами — не надо ее делать совсем.
На коммент ниже: да, я буду называть того, кто разработал убогую идеологию системы (со множественными ключами и отсутствием обратной связи) программистом, потому что это именно он.dmitrmax
24.05.2019 14:45Я смотрю вам уже напихали за шиворот минусов, а вы всё не уйметесь. А я вам всё-таки поясню, последний раз.
Законодательной основой, которая стоит за ВСЕЙ это кухней, является Федеральный закон №63-ФЗ «Об электронной подписи». Именно в нём прописывается то, как должен работать УЦ, и другие затрагиваемые вами нюансы. Я даже спорить не буду с тем, что в нём куча косяков — это так. Правда вы даже не представляете себе какие там косяки. Они уж точно посерьезнее того, что обсуждается в данной статье.
В результате того, что такой закон родился на свет, появились коммерческие фирмы, которые получили акредитацию в Минкомсвязи как УЦ, которые используют разработанные совершенно другими фирмами средства криптографической защиты информации (СКЗИ), для осуществления своей деятельности по извлечению прибыли.
Программисты в этой истории разработывают СКЗИ, которое выполняет элементарные криптографические операции, и может быть использовано кем угодно и как угодно. В том числе как угодно криво.
Таким образом, ваше утверждение равносильно тому, что убийства совершаются Калашниковым, Макаровым, Стечкиным и т.д., а не теми, кто применяет их оружие.Neuromantix
24.05.2019 14:54Разница в том, что автомат Калашникова — это изначально оружие, а ЭП — это тостер, в который разработчики зачем-то встроили ядерную боеголовку. Ну, или если взять пример с АК — это автомат, который в разгар перестрелки внезапно начинает пускать мыльные пузыри. Но разумеется, конструкторы в этом не виноваты — атомная бомба в тостер попала совершенно случайно, потому что в любой тостер можно затолкать атомную бомбу, или потому что им так захотелось или еще по какой-то иной, столь же дурацкой причине.
dmitrmax
24.05.2019 15:55+1Если продолжать аналогию с АК, то вы пытаетесь на Калашникова переложить ответственность в том, что в некой стране законодательно разрешили свободную продажу АК, которая привела к всплекску убийств. И никакого тостера с ядерной боеголовкой тут нет, не выдумывайте.
Whuthering
24.05.2019 15:49+1На коммент ниже: да, я буду называть того, кто разработал убогую идеологию системы (со множественными ключами и отсутствием обратной связи) программистом, потому что это именно он.
То есть эти люди программистами не являются и к программированию вообще никакого отношения не имеют, но вы упорно называете их "программистами".
Л — логика.
rdc
24.05.2019 02:28Я оформил маме учётку в госуслугах, чтобы сменить ей поликлинику. Никаких номеров телефонов вообще не потребовалось, только e-mail и данные из документов.
WinLin2
24.05.2019 09:09-1Работники ПФР нагоняют статистику использования сайтом госуслуг,
у них план по электронным заявлениям, также как и у всех госучреждений.
Принять заявление они могут в любом виде при большом желании посетителя.
roscomtheend
24.05.2019 13:58Как же любят граждане называть программистами любого, кто хоть чуть связан с IT. Водителя инженером-конструктором не называете?
Ты с конпутером работаешь? Значит погромист. Я сказал погромист, а не секретанша! И нечего умного человека путатьт, иди утюг чини.
сделать запрос в паспортный стол
На самом деле не туда.
Radiohead72
23.05.2019 23:06-2Сегодня уже проходил совет от юристов на эту тему.
Оказывается есть такая государственная услуга как «Запрет на сделки с недвижимостью».
Идем в МФЦ и подписываем бумажку о запрете на любые действия с вашей недвижимостью.
После установки запрета — все действия с вашей недвижимостью только при вашем ЛИЧНОМ присутствии. Всякие электронные ключи теряют силу.
Обезопасит от:
оформление залога или аренды вашего объекта третьими лицами;
прекращение прав на владение объектом;
оформление продажи, дарения или мены объекта.Whuthering
24.05.2019 00:18+2После прошлой статьи один хабраюзер звонил в Росреестр, и ему там сказали ровно обратное: https://m.habr.com/ru/news/t/452292/comments/#comment_20169434
Все равно даже при наличии этой записи о невозможности можно оформить сделку, если есть ЭЦП.
Запись о невозможности без личного участия собственника означает, что другое лицо, отличное от собственника, не сможет подать документы.
dmitrmax
24.05.2019 01:26Это запрет на сделки по доверенности. При наличии ЭП он, кстати, легко снимается через сайт росреестра
NeoCode
24.05.2019 08:56Интересно, а если я пойду в нормальный удостоверяющий центр и зарегистрирую себе ЭП, то это как-то защитит от повторной регистрации моей ЭП злоумышленниками?
dmitrmax
24.05.2019 09:52Нет. У вас может быть неограниченное количество одновременно действующих сертификатов.
NeoCode
24.05.2019 13:16Ну тогда это просто дырень. А если у меня банально украдут токен? ИМХО должен быть государственый реестр действующих сертификатов. Чтобы можно было отозвать в случеа чего.
dmitrmax
24.05.2019 14:08Если украдут токен, то связываетесь с тем УЦ, в котором вы получали сертификат и заявляете, что ключи ЭП скомпрометирован. УЦ вносит ваш сертификат в реестр отозванных сертификатов.
NeoCode
24.05.2019 20:58+1Так смысл всего этого в том чтобы была единая государственная база данных (как раз тот случай когда государство и централизация нужны). Может этот конкретный УЦ к тому времени сам сдуется и исчезнет:)
dmitrmax
24.05.2019 21:40Я как-то не улавливаю, откуда вы почерпнули такой странный смысл ) Сказать, что это не так, это ничего не сказать. Это вообще совсем не так. Смысл электронной подписи в следующем:
1) Подлинность (в смысле принадлежности автору подписи)
2) Неизменность после подписания
3) Неотрекаемость
и всё это, чтобы юридически значимо и без использования бумаги.
В настоящий момент есть проблемы с п.3) потому что есть проблема с установлением времени, когда была совершена подпись. Это фиксится законодательно путем службы времени или блокчейном. И с п.1) по описанным в статье причинам. Впрочем я не вижу ничего страшного в этом. Когда институт нотариусов устаканивался, там тоже было множество злоупотреблений.
Кстати, возможно, что блокчейн хороший вариант и как единый реестр выданных сертификатов. Опять же, главное, чтобы это было законодательно прописано.NeoCode
25.05.2019 00:03Ну неизменность и неотрекаемость делаются криптографически (тот же блокчейн, хотя там и обычной асимметричной криптографии достаточно). А вот как быть с принадлежностью автору? Как связать конкретную подпись с человеком? ИМХО, вот как раз здесь и нужно государство как служба. Ну а в идеале хорошо бы все эти функции туда заложить, чтобы уж была единая служба.
dmitrmax
25.05.2019 00:20Возьмите, как пример, нотариусов. С одной стороны это частно практикующие люди, с другой стороны они выполняют государственную функцию (за что берут в том числе государственную пошлину). Мне, например, не очевидно, что УЦ должны идти другим путём. Правда, если бы государство избавилось бы от нотариусов, я был бы только рад, уж больно они мерзкие (и пусть мне ещё минусов наставят за это).
Am0ralist
25.05.2019 10:48Правда, если бы государство избавилось бы от нотариусов, я был бы только рад, уж больно они мерзкие (и пусть мне ещё минусов наставят за это).
С чего бы? Вот нотариус мой жене вопрос задавала конкретный: вы понимаете, что подписав эту доверенность, вы передаете право делать с квартирой что угодно своему мужу и он сможет её продать или подарить без вашего ведома?
И ведь риэлторы ничего про это не объясняли, когда текст давали. А текст юридический распутывать далеко не все могут, как и понять что человек сможет сделать по какой-нибудь бумажке.
Так что их роль как раз понятна и нужна и пока не придумают информационную систему, которая сможет сама растолковывать последствия подписи и анализировать вменяемость подписывающего, а так же что он понимает результат — заменить их нечем.dmitrmax
25.05.2019 19:14Ну, допустим, что сам институт доверенности нужен для того, чтобы обеспечить сделку, не имея возможности физического присутствия. Уже одно это становится ненужным при переходе в цифру… Для чего ещё вам нужен нотариус (если исключить навязанные государством моменты)?
Am0ralist
25.05.2019 23:04Для чего ещё вам нужен нотариус (если исключить навязанные государством моменты)?
без навязанных государством моментов по большей части будет ещё больший бардак. спасибо, нафиг не надо.
Ну, допустим, что сам институт доверенности нужен для того, чтобы обеспечить сделку, не имея возможности физического присутствия.
И от этого никуда не деться вообще.
Уже одно это становится ненужным при переходе в цифру…
а, вы уже живете в цифре… нет, мы по старинке — в реальности. и тут куча мест, где без физического — никак, не говоря уже о том, что цифра туда дотянется не скоро.dmitrmax
25.05.2019 23:14а, вы уже живете в цифре…
Нельзя так передергивать, как это делаете вы, в приличной дискуссии. Разговор о нотариусах был начат в этом каменте, и по его смыслу очевидно, что речь идет о развитии институтов УЦ в будущем и о предложении в будущем же от нотариусов уйти. Поэтому не так важно, где я уже живу, сколько то, где мы будем с вами жить.Am0ralist
26.05.2019 11:17Так кто в цифре будет проверять ваши документы и разбираться в хитросплетении требований и прочего?
Вот сейчас уязвимости описанные — они как раз по причине того, что физические документы в уц не нужны и не важны оказались, а только продажи. И никакой ответственности.
Единственный вариант — это сделать прошаренную коробочку с а-ля ИИ в духе сдачи крови в момент подтверждения личности, анализ радужки и анализ голоса, одновременно с анализом вменяемости личности и т.п. Потому что, чтоб получить доверенную подпись вам вначале нужно доверять в плане того, что вы и есть тот человек и дееспособны в данный момент.
NeoCode
25.05.2019 18:09За нотариусами тоже нужен контроль, и известны случаи участия нотариусов в преступных схемах. Просто на момент их появления еще не было технической возможности. Сейчас — есть, и сильная криптография, и блокчейн, и само проникновение Интернета достаточно.
dmitrmax
25.05.2019 00:23Что касается блокчейна, то вопрос тоже спорный. Это модная сейчас тенденция, но она требует большой инфраструктуры. С другой стороны надежная чистая ЭП по сути требует только трёх участников — подписант, УЦ и служба времени.
NeoCode
25.05.2019 18:05Например, централизованный реестр подписей можно вести как раз в блокчейне. Подписи создаются/отзываются не каждый день, а в идеале — один раз в жизни, так что в масштабах государства нагрузка будет небольшая. Зато у самого государства не будет возможности изменить что-либо задним числом.
dmitrmax
25.05.2019 19:17Например, централизованный реестр подписей можно вести как раз в блокчейне.
Вы повторяете мою мысль из последнего абзаца в этом каменте
Подписи создаются/отзываются не каждый день, а в идеале — один раз в жизни
Сертификаты подписей имеют срок годности 12 месяцев. Хотят сделать 24 месяцев для хороших ключевых носителей, но пока это только мысли. С чего вы взяли про один раз в жизни?
saipr
23.05.2019 23:11+2По мнению разработчиков, электронная подпись по уникальности равноценна обычной подписи, она так же уникальна и значима. Физически она записывается на устройство, которое по внешнему виду напоминает флешку.
Первое, "на устройство, которое по внешнему виду напоминает флешку", записывается не электронна подпись, а сертификат и закрытый ключ, которым владелец будет подписывать документы. У каждого документа будет своя уникальная подпись. Сегодня беда в том, что закрытый ключ хранится где попало. Надо все же переходить на криптографические токены PKCS#11. И самое главное, на мой взгляд запретить УЦ генерировать/выдавать устройства с закрытым ключом (где гарантия, что у них не остался дубликат). В УЦ заявители должны приходить с электронным запросом на сертификат и необходимыми документами.
legolegs
23.05.2019 23:30+4Вы такие здравые вещи говорите, будто статью не читали. Не важно что там за устройство с вашими ключами, если его любому зашедшему с улицы выдают.
Так-то, конечно, ключ должен генерироваться на токене и приватная часть там навечно и оставаться, но чтобы вкусить плоды такого хайтека сначала надо, чтобы государство с пальмы слезло.
dmitrmax
24.05.2019 02:21+1Но я с вами, коллега, одновременно согласен и одновременно нет. У нас цифровизацию экономики начали с ТСЖ. Задолго до того, как ею заболел Путин, все ТСЖ фактически обязали иметь электронную подпись (2014 год, на секундочку). А кто у нас председатели ТСЖ? В основном пенсионеры, отставные военные и прочее. Вы думаете они знают, кто такие Алиса и Боб? Не сильно лучше, кстати, дела обстоят с руководителями других организаций. Поэтому если сделать так, как предлагаете вы, это породит более страшную вещь — для генерации запроса на сертификат будут нанимать вообще мутных чуваков со стороны, которые будут тырить эти ключи и продавать их на черном рынке. Это ещё хуже контролируемый процесс, чем эта вакханалия в УЦ.
Увы, но это задача без решения в настоящее время. Никакого стимула вникать в этупорнокриптографию у людей далеких от айти сейчас нет. По сути их превратили в обезьян с гранатой, только гранату их заставили взять, а не случайно оставили без присмотра.
RomanPyr
24.05.2019 02:30В некоторых банках юр. лицами именно так и получается электронная подпись (банковская). через запрос на сертификат.
dmitrmax
24.05.2019 02:48В результате подпись получает не директор, а за него это делает сисадмин.
WinLin2
24.05.2019 09:15У госорганизации существует 6 компьютерных систем,
где все документы должен подписывать руководитель электронной подписью.
То есть руководитель должен целый день бегать по этажам и подтверждать документы на компьютерах пользователей.
А теперь догадайтесь, как на самом деле это организовано.dmitrmax
24.05.2019 10:09Очень давно чешутся руки пощупать, что такое СМЭВ физически. Но нет возможности. Я правда сильно подозреваю, что руководитель может это все подписать не вставая с места, т.к. там облако. Но ему лениво в это вникать.
amphasis
25.05.2019 11:46+1На самом деле это должно быть реализовано правильным внедрением системы электронного документооборота. В таком случае и по этажам не придется бегать, и закрытый ключ кому либо доверять.
daggert
25.05.2019 22:54И получается интересная тема, как у нас в организации: На подписание документов мне надо в бухгалтерии держать 3(!) системы — одна для СУФД, вторая для эл.бюджета и третья для контура, потому что если их поставить на одну систему — регулярно друг-друга выбивают при обновлении.
Если я подойду к директору и предложу реально подписывать все документы как положено, а еще и проверять их — думаю его это как минимум не обрадует.
Правильная система документооборота должна быть прежде всего оправдана — не всем нужны многоступенчатые схемы подписи.
saipr
24.05.2019 09:36не случайно оставили без присмотра.
Конечно согласен с вами. Но одно должно быть сделано — реальный человек должен сам приходить на УЦ и получать сертификат. И документы приносить реальные. А то ведь это пародокс, что сканы (подчеркиваю СКАНЫ), заверенные электронной подписью заявителя считаются фактически оригиналами. А что и как получены эти сканы — это десятое дело
DGN
25.05.2019 23:55-1Вот сегодня вы потребовали лично прийти за симкартой и ЭЦП, а завтра вам ноги и токен с телефоном трамвай переехал. Действие по доверенности должно быть априори для всех юридических действий, иначе возможны пусть редкие, зато очень неприятные ситуации.
saipr
26.05.2019 00:07За ЭЦП-то ходить зачем? Вы ее нигде не получаете, вы ее сами будете ставить где хотите и когда хотите! И доверенность есть доверенность.
DGN
26.05.2019 01:11-1Ну не за самой ЭЦП, за программно-аппаратным комплексом, позволяющим подписывать свои документы ЭЦП.
saipr
26.05.2019 08:44И за ним (за программно-аппаратным комплексом, позволяющим подписывать свои документы ЭЦП) ходить не обязательно. Если вы имеете в виду СКЗИ, то его можно приобрести у производителя или дилера и на УЦ за ним ходить не надо. УЦ один из продавцов СКЗИ. А на УЦ нужно идти, как и в УФМС за паспортом, за сертификатом ключа проверки электронной одписи. Это его главная задача по запросу после проверки всех документов изготовить и выдать сертификат.
saege5b
24.05.2019 00:30Пусть этим занимается исключительно МВД.
dmitrmax
24.05.2019 02:03тут хабраюзеры не до конца могут понять, что здесь происходит, а вы хотите озадачить этим бедных пентов? ))
DaneSoul
24.05.2019 02:46Не МВД, а МФЦ было б логичней.
Но категорически не коммерческие конторы — это должна быть строго государственная структура и контроль за выпуском электронных подписей должен быть не менее строгий, чем за выпусков паспортов граждан.dmitrmax
24.05.2019 02:55И будет этот выпуск стоит 10000 рублей госпошлины и занимать месяц. И никаких способов через запросы на сертификат. И ключевой носитель выбирает МФЦ, какой
ему больше нравитсякупили через госзакупку с распилом.DaneSoul
24.05.2019 03:13Пусть он лучше 10 000 стоит и месяц выпускается, всё-таки эта штука нужна не каждому и использоваться может многократно потом, чем вот всякие мутные конторы будут позволять мошенникам уводить чужие квартиры!
differentlocal
24.05.2019 03:42Вообще-то, как раз сейчас так и есть, только вместо МФЦ — мутные операторы и коммерческий тариф.
dmitrmax
24.05.2019 10:14У меня ЭП за 500 рублей. Выпущена через запрос на сертификат на токене с неизвлекаемым ключем.
stork_teadfort
24.05.2019 10:47К слову, последние пару лет предпринималось несколько попыток похоронить бизнес коммерческих УЦ, передать выпуск квалифицированных сертификатов госам.
Предыдущая итерация, подразумевавшая выпуск ЭП ЮЛ в ФНС, ЭП госов и муниципалов — в ФК, а ЭП ФЛ — в МФЦ, встретила серьезное сопротивление на общественных слушаниях и до госдумы не дошла.
Модифицированная версия законопроекта буквально на днях прошла через совфед в госдуму на первое чтение.
saege5b
24.05.2019 11:36У МВД небритость — повод вглядеться повнимательней.
А несоответсвие в одну букву, повод затребовать вагон бумажек для разъяснения.
И любой шаг в сторону — не по инструкции.
А МногоФункциональныйЦентр та же мутная организация-прослойка, с никакой ответственностью.
dmitrmax
24.05.2019 01:35+1Автору статьи жирный минус. Скрестил статью о фейке про переоформленную с помощью ЭП квартиру и статью о реальном выпуске сертификата, но на юридическое лицо, и выдал нам заголовок о том, что сертификат (который он по незнанию называет электронным ключом) ключа проверки электронной подписи, можно получить на любого человека (т.е. на физическое лицо).
Для тех, кто не в курсе, но действительно хочет разобраться в том, что происходит — для получения в УЦ сертификата на физлицо по доверке, доверка должна быть строго нотариальная или приравненная к ней. Для получения на юрлицо доверка должна быть просто с печатью организации — этот факт и эксплуатировали журналисты Фонтанки (дочернего издания 47news). При этом сертификат выдается на человека-должностное лицо организации, и он не может быть использован для решения вопросов этого человека-физлица.
Причем для тех, кто вариться в этом, это уже давно не новость, а секрет Полишинеля.
Кроме того, журналисты фонтанки тоже слегка притянули сову на глобус, так как узнать СНИЛС человека не так-то просто. Можно, конечно, оформить сертификат на левый СНИЛС, нарисованный в фотошопе — у УЦ нету возможности его проверить. Но любой документ по такому сертификату не сложно оспорить по понятным причинам.
А вам, автор, надо журнализдом на life news работать, раз у вас такая тяга к искаверканным фактам в степени жареных заголовков.RomanPyr
24.05.2019 02:34Добавлю, что если у человека есть паспортные данные директора и он уже сделал «мокрую» печать организации, то тут и без ЭП можно разных дел наделать. Тем более доверенности он уже научился выписывать ;)
А отчётность за юр. лицо и обычной почтой можно отправить, не имея вообще никаких данных, кроме тех, что есть в ЕГРЮЛ (изготовив опять «мокрую» печать). Зачем для этого делать ЭП непонятно. Разве только, чтобы стать настоящим сварщиком :)dmitrmax
24.05.2019 02:51Помножим это на то, что сейчас ООО (и каким-то ещё ОПФам) разрешили вообще не иметь печати ;-)
shalm
24.05.2019 04:57За последнее время далеко не первая новость, в заголовке которой реальность перевёрнута с ног на голову. Видимо маразм будет крепчать и дальше, пока администрация не пожелает начать бороться с этим явлением.
sav6622
24.05.2019 09:14СНИЛС узнать как раз проще чем паспортные данные, его НЕ берегут, он по сути бумажка, имеется в поликлиннике на карточке и еще куча где мест, на той же работе у бухов…
dmitrmax
24.05.2019 10:52Если плясать от того, что у вас есть чей-то СНИЛС, то да. А вот обратная задача, когда вам нужно узнать СНИЛС конкретного человека, не решается в общем случае. Даже УЦ не могут его никак проверить, кроме очевидного контроля проверочных цифр в самом номере СНИЛСа. Поэтому УЦ обычно требуют предъявлять ламинированную бумажку СНИЛСа, считая, что это чего-нибудь гарантирует, а сейчас тихо матерятся из-за того, что выдачу ламината упразнили.
stork_teadfort
24.05.2019 11:55Нет, не так.
Последние несколько лет УЦ через СМЭВ подтверждают валидность СНИЛС в сервисе ПФР, паспорта — в сервисе МВД и ИНН — в сервисе ФНС.dmitrmax
24.05.2019 14:01сервис МВД и ФНС публичный. Про ПФР мне не известно, чтобы они предоставляли такой сервис организациям, не входящим в структуру органов власти. И зачем бы им тогда кроме номера требовать предъявлять ламинат?
stork_teadfort
24.05.2019 15:27+1Они это делают не через публичный сервис, а через СМЭВ (иначе не считается за проверку и могут быть вопросы на очередной проверке регуляторами). Сервис ПФР там.
Зачем просят оригинал — не знаю. Навскидку — дополнительное доказательство в суде, что сделали все что можно, чтобы не выдать ЭП не тому. Строго говоря, приносить саму картонку СНИЛСа 63-ФЗ не требует:
2. При обращении в аккредитованный удостоверяющий центр заявитель <...> представляет следующие документы либо их надлежащим образом заверенные копии и сведения:
1) основной документ, удостоверяющий личность;
2) номер страхового свидетельства государственного пенсионного страхования заявителя — физического лица;
...
Whuthering
24.05.2019 10:03Скрестил статью о фейке про переоформленную с помощью ЭП квартиру
Дайте ссылку на опровержение или ещё какое-нибудь обоснование того, что там фейк. Это важно.
для получения в УЦ сертификата на физлицо по доверке, доверка должна быть строго нотариальная или приравненная к ней.
В той статье как раз и объяснялось, что проблема в том, что _должно_ быть так-то и так-то, а на практике может быть по-другому, причем и в случае мошеннических действий, так и просто из-за раздолбайства.
так как узнать СНИЛС человека не так-то просто.
Так-то в наше время СНИЛС засвечивается чуть ли не а большем числе мест, чем паспорт. И к защите своих данных СНИЛС люди не относятся так же серьезно, как и к паспортным данным.dmitrmax
24.05.2019 11:04-1Дайте ссылку на опровержение или ещё какое-нибудь обоснование того, что там фейк. Это важно.
Ссылки у меня нету. И вряд ли она будет, потому невозможно разыскать якобы какого-то Романа из Москвы, про которого больше вообще ничего не известно, нельзя.
Фейком это признано людьми, которые с темой выдачи ЭП хорошо знакомы (при этом они не имеют отношения к УЦ) по совокупности фактов:
1) В статье не указан УЦ, выдавший сертификат, которым была подписана
2) В статье не указано, каким образом, произошла выдача сертификата не владельцу: ошибка УЦ, подделанная нотариальная доверенность и т.д.
3) Мошенничество с продажей квартиры довольно легко раскрывается, т.к. в нём очевидна сторона-бенефициар
4) Всё это случилось аккуратно в тот момент, когда Ростех объявил о запуске своего УЦ.
5) Параллельно с этим во околовластных кругах с новой силой начались тёрки за то, что все УЦ нужно позакрывать, а и родить очередную монополию в лице угадайте кого? А тут такой повод!
dmitrmax
24.05.2019 15:59А вот, кстати, не фейк: habr.com/ru/news/t/452292/#comment_20172916
Прочитайте весь тред с этим товарищем.
unwrecker
24.05.2019 10:03Секундочку, но ведь сделки по ЭП с недвижимостью физлиц запрещены уже лет 5 как.
jacksparrow
25.05.2019 14:31Интересно скоро ли будет история, что какая нибудь пенсионерка при помощи электронной подписи подарила квартиру, о чем стало известно после ее смерти. И дальше семья покойной не смогла доказать, что квартиру продала не она, потому что узнали об этом через пару лет.
dmitrmax
25.05.2019 19:20Историю-то можно написать хотя завтра )
u_235
26.05.2019 12:46Судя по смайлику — это должно быть смешно?
Сбербанк при оформлении электронной ипотечной сделки с помощью сервиса ДомКлик выпускает на ваше имя полноценную электронную подпись. Ужас в том, что вам даже не выдают ключевой носитель, а ключи (как открытый, так и закрытый) остаются у Сбербанка. Это равносильно тому, что вы оставляете ему пачку чистых листов А4 с вашей подписью внизу — далее можно оформлять что угодно от вашего имени. Кредит на миллиард? Пожалуйста! Это, конечно, полный ужас. То, что до сих пор не случилось чего-то подобного, означает, что всё ещё впереди. Но если вас угораздило вляпаться в эту историю, то не забудьте, после завершения сделки, хотя бы сделать отзыв вашего сертификата электронной подписи в удостоверяющем центре, выдавшим вам сертификат.
KonkovVladimir
26.05.2019 05:10История уже есть, но про пенсионера и он еще не умер, но замысел преступления был именно такой как вы и описали.
ylian_demakova
27.05.2019 09:10+1СКБ Контур уже озвучивал свою позицию. Как редактор блога компании, могу повторить официальный ответ Контура: «Сотрудники СМИ действительно обращались в представительство нашего удостоверяющего центра, чтобы получить сертификат квалифицированной электронной подписи. Но процедура выдачи сертификата не была завершена, т.к. заявитель представил заведомо поддельные документы. Мы отказали ООО «47 НОВОСТЕЙ» в получении сертификата, оплаченные по заявке деньги будут возвращены.
Несмотря на то что система безопасности по проверке заявок на сертификат в нашем УЦ сработала и сертификат по поддельным документам получить не удалось, мы понимаем, что при тех возможностях, которые сегодня дает квалифицированная электронная подпись, нужно усиливать требования к заявителям, в частности, законодательно закрепить, что доверенность на уполномоченное лицо может быть представлена только в нотариальной форме. Совместно с регулятором в этой отрасли, Министерством цифрового развития, массовых коммуникаций и связи, мы ведем работу по совершенствованию законодательства в этой сфере. Также мы планируем поднять вопрос об установлении ответственности заявителя за предоставление в удостоверяющий центр заведомо поддельных документов, вплоть до уголовной.»
green_hippo
27.05.2019 09:26+1Я тоже из Контура, и вот моя неофициальная интерпретация нашего «официального ответа»:
- Журналисты в своей статье достаточно вольно относятся к фактам. В частности, мы не выдали им ключ электронной подписи.
- Журналисты рассказали в статье, что фотошопили документы и подделывали подпись. Не надо так делать, от этого пахнет уголовкой.
- УЦ работают так, как требует закон, а закон не идеален. Мы в курсе, общаемся об этом с Минкомсвязью.
begemot_sun
Этого следовало ожидать.