Усиленная квалифицированная ЭЦП позволит гражданам и организациям дистанционно оформлять простые сделки. Например, подписывать договоры об услугах связи, заключать сделки на электронных торговых площадках, оформлять договоры купли-продажи недвижимости. Такой вид подписи даёт самые широкие полномочия и является аналогом собственноручной подписи.
Для справки. В России используется три вида цифровой подписи:
- Простая электронная подпись, которая подтверждает факт формирования электронной подписи определённым лицом посредством использования кодов, паролей или иных средств.
- Усиленная неквалифицированная электронная подпись, которая:
- получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
- позволяет определить лицо, подписавшее электронный документ;
- позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
- создаётся с использованием средств электронной подписи.
- получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
- Усиленная квалифицированная электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
- ключ проверки электронной подписи указан в квалифицированном сертификате;
- для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с 63-ФЗ.
- ключ проверки электронной подписи указан в квалифицированном сертификате;
Самые широкие полномочия даёт последняя, так как является аналогом собственноручной подписи и все подписанные ею электронные документы признаются юридически значимыми. В ходе правительственного эксперимента будет использоваться именно она.
В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует Федеральный закон Российской Федерации от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».
Сейчас для получения усиленной квалифицированной ЭЦП необходимо лично обратиться в один из более чем 400 аккредитованных Минкомсвязью удостоверяющих центров, а для использования — установить на компьютер программу для работы с электронной подписью и подключить токен — специальную флешку, на которой хранится секретный ключ.
Если проекту постановления правительства дадут зелёный свет, то получить усиленную квалифицированную ЭЦП можно будет дистанционно, без личного обращения. А для её использования не понадобятся специальный софт и токен. В этой ситуации многие удостоверяющие центры могут лишиться средств к существованию.
Согласно проекту, облачную ЭЦП будут выдавать, например, после авторизации в Единой системе идентификации и аутентификации на портале госуслуг или в Единой биометрической системе, которую в июле 2018 года запустили ЦБ и «Ростелеком».
Как сообщается, в рамках эксперимента гражданам и юрлицам позволят оформлять следующий ряд документов:
- бумаги для регистрации недвижимости и ее купли-продажи с помощью ипотеки;
- договоры об оказании услуг связи;
- документы для регистрации в качестве юрлица или индивидуального предпринимателя;
- документы для получения банковских гарантий и осуществления сделок с аккредитивами;
- сделки на электронных торговых площадках.
В эксперименте примут участие Минфин, Минэкономразвития, ФСБ, Росреестр, Центробанк, ФНС, ФСТЭК и несколько других ведомств, возможно, привлекут ещё банки, операторов связи, электронные торговые площадки и другие юрлица.
Манипуляции с ЭЦП
Новая инициатива правительства вышла на фоне многочисленных случаев мошенничества, когда коммерческие центры сертификации выдавали усиленные квалифицированные ЭЦП через интернет после поверхностной проверки документов. Этим пользовались мошенники, которые продавали чужие квартиры, оформляли ООО на посторонних лиц, отправляли фальшивую отчётность в налоговую инспекцию и т. д.
За те годы, что в России действует законодательство по электронной цифровой подписи, зарегистрировано несколько способов мошенничества:
- Незаконные действия через центры сертификации РФ, в том числе оформление документов без участия гражданина. Выявлены случаи массовой фальсификации ЭЦП путём повторного использования удостоверяющим центром электронной подписи клиента.
- Дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра. В этом случае оформление электронной подписи производится на основании документов заявителя, представленных центру сертификации через интернет. По мнению специалистов правовой системы «Гарант», в этом случае «IT-функции в деятельности УЦ преобладают над его юридической сущностью», а электронная подпись может быть использована недобросовестными третьими лицами.
Если ЭЦП получена, то продать чужую квартиру не составляет особого труда: «При электронной регистрации в Росреестр сдаются документы в отсканированном виде, причём скан не содержит фотографии синей подписи, которая ставится рукой. Сканированный файл выглядит как вордовский файл, просто в PDF. То есть подписи там не видно. При этом в Росреестр отправляется ещё электронная цифровая подпись», — объясняла Мариана Чилиндришвили, руководитель юридического департамента компании «Метриум», в комментарии к истории, когда мошенники переоформили квартиру в Москве без ведома владельца.
По российскому законодательству, «использование электронной подписи другими лицами без ведома номинального владельца не освобождает его от ответственности за неблагоприятные последствия, наступившие в результате такого использования» (постановление Пятого арбитражного апелляционного суда от 14 марта 2016 г. № 05АП-1119/16; постановление Пятнадцатого арбитражного апелляционного суда от 1 марта 2016 г. № 15АП-1132/16; постановление Ленинского районного суда г. Владивостока Приморского края от 8 декабря 2014 г. по делу № 5-1087/2014).
Как показал эксперимент, получить электронный ключ на другого человека в России действительно несложно. По нынешнему законодательству удостоверяющие центры РФ сами устанавливают регламент своей работы, поэтому имеют полное право проверять личность человека через интернет.
Хабраюзер PaulZi в статье «Мошенники и ЭЦП — всё очень плохо» рассказывал о собственном опыте, где он с супругой без их ведома стали директорами нескольких ООО. Автор рекомендует воспользоваться так называемой «38-й формой», то есть формой 38001. Её нужно заполнить и лично отвезти в регистрирующий орган (в Москве это 46 налоговая). Она запрещает регистрацию юридических лиц без личного присутствия (возможно, только в Москве).
Чтобы уберечься от сделок с недвижимостью, Росреестр рекомендует гражданам принести заявление о невозможности проведения сделок с их недвижимостью без личного участия. После получения такого заявления в ЕГРН вносится специальная запись. Эта запись — основание для возврата без рассмотрения заявления с просьбой зарегистрировать недвижимость на другого человека, даже если у него на руках имеется нотариально заверенная доверенность.
Такое заявление можно подать в электронном виде в личном кабинете Росреестра. Обратиться с заявлением также можно лично в офисы МФЦ на всей территории России. И если квартира в одном регионе, а гражданин находится в другом, то сейчас это не проблема, так как ведомство работает экстерриториально. Услуга предоставляется Росреестром бесплатно. Срок внесения записи в ЕГРН — не более пяти дней.
Новая облачная ЭЦП
«Преимущество облачной цифровой подписи заключается в том, что пользователю не надо устанавливать на свой компьютер никакого специального ПО и не надо беспокоиться о том, как электронную подпись, хранящуюся на флэшке, воткнуть, например, в iPhone. Она просто хранится на защищенном сервере в облаке, и именно туда отправляются на подписание нужные пользователю документы», — объяснил консультант по информационной безопасности Cisco Systems Алексей Лукацкий.
Автоматизированную систему для выдачи и использования облачной электронной подписи должны создать «Ростелеком» и подведомственный Минкомсвязи НИИ «Восход». Кроме того, «Ростелеком» должен проработать «модель угроз информационной безопасности», которая будет учитываться при создании системы.
По словам информированного источника, по итогам эксперимента «Ростелеком» может быть назначен оператором единой системы по выдаче и использованию облачных электронных цифровых подписей в России: «Такой вариант развития событий обсуждался, и он вполне вероятен. Ростелеком уже является оператором Единой биометрической системы, Единой информационной системы в сфере закупок. Здесь, вероятно, тоже будет создана единая система», — сказал он.
По оценке игроков рынка, в России используется более 5 млн квалифицированных ЭЦП. Объём рынка составляет 15?20 млрд руб. в год.
Если эксперимент окажется удачным, то облачная ЭЦП может заменить привычные USB-токены. Но специалисты отмечают естественное ослабление безопасности в таком случае: «Представьте, готовы ли вы отдать третьим лицам гипотетическую возможность переписать все ваше имущество, закрыть или переписать ваш бизнес и любые другие активы? В настоящий момент обычная электронная подпись ещё не стала массовой, не говоря об облачной. Поэтому для частных лиц проблема не является сильно актуальной. Однако она куда более близка организациям, где сделки совершаются ежедневно и электронная подпись является критически важным элементом бизнеса», — говорит руководитель Центра мониторинга и реагирования на инциденты информационной безопасности Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев.
Комментарии (75)
alexxisr
18.10.2019 08:59+3Она просто хранится на защищенном сервере в облаке, и именно туда отправляются на подписание нужные пользователю документы
— какая же это тогда МОЯ подпись? если я её никак не контролируюCaracat
18.10.2019 09:36-4Такая же ВАША, как и ВАШИ счета в банке, которые контролирует банк, хочет даст, а захочет и не даст ))
PaulZi
18.10.2019 09:15+2Тем временем, только спустя почти год с помощью двух судов я доказал что я не верблюд, и что ЭП выпустил не я. Сейчас будет ещё суд на компенсации.
Даже не знаю как воспринимать эту новость, с одной стороны если изымут функции выпуска ЭП от >400 УЦ, то возможно это даже хорошо, т. к. сотрудников которые это могут сделать будет меньше, а значит меньше желающих помошенничать. С другой стороны тут уже надо надеяться на нерушимость системы безопасности этого облака, учитывая как пишут софт на распилах, это очень сомнительно.Sabubu
18.10.2019 10:15Проблема не в наличии 400 УЦ, а в отсутствии ответственности сотрудника и самого УЦ за последствия нарушений при выпуске подписи. Перенос в "облако" тут ничего не поменяет, кроме того, что теперь государству будет проще совершать "сделки" от имени оппозиционно настроенных граждан.
jetcar
18.10.2019 13:31все сделки и так на уровне государства, можно подумать бумажки гарантируют что-то, их как-раз таки подделать проще всего, но нафига это нужно если есть другие законные способы отобрать всё и они отлично применяются, проблема скорее с некоторыми группами граждан которые могут действовать как бы от государства, но бороться с ними уровнем бумажек тоже сомнительная идея, зато при использовании ЭЦП упрощается жизнь дохера количества человек и оптимизируется вся эта бюрократия
remzalp
18.10.2019 10:22Налоговая уже использует такой механизм. В итоге всё подтверждение — разово появиться на приеме, дальше логин/пароль от личного кабинета и кнопочка «подписать».
Как минимум угону логин с паролем уже подвержены.PaulZi
18.10.2019 10:31Сейчас вроде даже появляться на приём не надо, можно войти через госуслуги.
Только в ЛК налоговой облачная ЭП защищена другим паролем. Но то что двуфакторной авторизации не хватает, это да.
zhenyab
18.10.2019 09:16+1Страшно представить, какие последствия могут быть, если/когда данные из этого облака утекут в народ, так сказать.
CDCrom
18.10.2019 11:15Нууу облачное ЭЦП подразумевает использование HSM, по сути токен, только для большего количества ключей. Ну и по существующим технологиям ключи ни при каких условиях HSM не покидают, так как ключи они генерируются и процессе подписания тоже происходит внутри, а наружу выходит только значение подписи.
Использование такого рода ЭЦП это мировая практика. Южная Корея давно применяет данный механизм, и как было где то на Хабре написано в Латвии так.
Зачем поднимать панику?ne_kotin
18.10.2019 12:01Затем, что ЭЦП должна выполняться локально токеном с предъявлением оному пин-кода
e_fail
18.10.2019 13:22Тут дело не только в утечке.
Они ж собрались всем ЭП через «Госулуги» раздать.
Учётку в госуслугах можно подтвердить в почтовом отделении, там запаренная тётенька даже паспорт мой толком не смотрела. Не говоря уже о том, что ответственности у них в любом случае никакой.
Получай на кого хочешь ЭП, и вперёд.Sly_tom_cat
18.10.2019 19:10Мне по учетке подтвержденной на почте в ЛК ФНС было не попасть — пишут нужно подтвержденный через МФЦ акаунт. Пришел с паспортом в МФЦ — там тетка говорит: у вас уже подтвержденная я не понимаю что делать, ну говорю запустите подтверждение еще раз, уговорил — запустила, к ее удивлению все прошло успешно без ошибок. После этого смог заходит в ФНС-ный ЛК.
Так что на гос. услугах есть подтвержденные на почте и в МФЦ и они, как оказалось, разные по уровню доверия.e_fail
18.10.2019 21:42У меня другой опыт — с учёткой от Госуслуг захожу в ЛК ФНС, плачу налоги, оформляю вычеты. Личность подтверждал на почте. Правда, это было несколько лет назад. Сейчас посмотрел на сайте, где можно подтвердить — того почтового отделения уже нет в списке. Так что, возможно, что-то поменялось с тех пор.
Тем не менее, там ещё есть вариант «выслать код подтверждения заказным письмом на почту», который по сути сводится к проверке паспорта сотрудником почты.Sly_tom_cat
18.10.2019 23:37Видимо имеет значение когда была подтверждение через почту, я свое на почте получал уже много лет назад.
Ну или они там одним почтам больше доверяют, другим — меньше.
Но факт остается фактом имея подтвержденную на почте учетку в ЛК ФНС меня не пускали пока я не пере-подтвердил ее с паспортом через МФЦ.
Andrey_Rogovsky
18.10.2019 09:20+3Всё что можно сделать максимально плохо — так и будет сделано
Должно быть действительно место проклятоеCaracat
18.10.2019 09:43Так боролись же — объявляли врагами народа и расхитителями социалистической собственности с конфискацией имущества и отправкой в лагеря. Но хорошую идею скомпрометировали, когда стали просто неугодных так же.
Valerij56
21.10.2019 05:30Вы считаете, что объявить врагом народа достаточно? Тогда я объявляю вас врагом народа.
Для того и придуман независимый суд, разделение властей, свободные СМИ и весь комплекс сдержек и противовесов, чтобы стало невозможно объявлять врагом народа неугодных.
Gurturok
18.10.2019 09:42В смысле облачная? Закрытый ключ будет на «облаке» росгосуслуг хранится? Не надо нам такого счастья. Куда написать отказ от подобного «балага» чтобы никто по сливу данных не смог оформить и квартиру мою перепродать.
Popadanec
18.10.2019 19:22А вы уверены что её уже не продали?
Судя по комментам выше это прям массовое событие было.
TonyLorencio
18.10.2019 09:54Люди, далекие от IT, с этим будут согласны, потому что это удобно — не нужно никаких ключей, токенов и вот этого всего.
Удобно до первого слива облака.
Anderson
18.10.2019 09:57Удобно до первого слива облака.
Или перевыпуска sim-карты и продажи квартиры какого-нибудь счастливчика
prihod123
18.10.2019 10:29-1Не все так просто, все ЭП шифруются аппаратным СКЗИ так называемый HSM, даже если забрать весь сервер облака без железяки HSM с ключами от этого облака это просто набор данных.
bonv
18.10.2019 11:26А можно слить бэкап с HSM и ключи от него. Было бы желание
A1054
18.10.2019 20:23+1не думаю. что это так просто.
Тут другое непонятно. Аутентификация-то как будет проходить?bonv
18.10.2019 23:11не думаю. что это так просто.
Все зависит исключительно от организационных мер.
Для этого нужно 3 ключа из 5.
Если все эти ключи могут попасть в руки одного человека (ну зачем всем троим ходить делать бэкап, пускай админ один там что-то сделает), то все просто.
Приходилось проделывать подобную процедуру.
Тут другое непонятно. Аутентификация-то как будет проходить?
Скорей всего что-то вроде этого
www.cryptopro.ru/products/mydssne_kotin
18.10.2019 23:38Если все эти ключи могут попасть в руки одного человека (ну зачем всем троим ходить делать бэкап, пускай админ один там что-то сделает), то все просто.
Приходилось проделывать подобную процедуру.
А руки у вас длиной в несколько метров? Просто пин-пады для кворумной аутентификации должны находиться на расстоянии, превышающем размах рук, как в бункере РВСН. Иначе это залет.bonv
19.10.2019 00:00Не фантазируйте, сертифицированные HSM имеют стандартный размер, чтобы можно было вставить в обычный серверный шкаф.
Предполагают последовательный ввод 3-х ключей. Просто подходят носители ключей по очереди, прикладывают смарт-карту и вводят пин.
ZlobniyShurik
18.10.2019 10:11Нафиг, нафиг…
Только физический токен, полученный только при моём личном присутствии, с внесением в единый реестр и автоматическим уведомлением о выдаче оного на те же госуслуги.
И, быть может, еще и с защитным периодом дней в несколько, чтобы заработало не сразу по получении (на случай получения подписи по подложным документам злоумышленниками).
В качестве дополнительной защитной меры (но не факт, что поможет) — активация ЭП в едином реестре, как валидной, только после установки соответствующей галки на госуслугах.
UPD. По идее, если ЭП фактически равноценна в сделках бумажному паспорту, то и выдавать её должны с предосторожностями соответствующими.EgorZanuda
18.10.2019 12:29Такие ЭЦП должны выдаваться и переоформляться только в паспортных столах. Это ведь цифровая копия паспорта, да там тоже люди и тоже может быть утечка информации, но все-же это МВД, а не контора рога и копыта.
Scratch
18.10.2019 10:20Ни слова про HSM, походу реально всё будет через одно место
stork_teadfort
18.10.2019 11:52Будет там HSM, очевидно, просто нет особого смысла его компрометировать. Гораздо проще угнать учетные данные от портала (скорее всего, там учетка Госуслуг будет). Если есть подтверждение по SMS — перевыпустить SIM.
Сейчас симки перевыпускают ради сотни тысяч рублей на счету или чтобы угнать не сильно дорогие домены, а уж ради квартир и подавно будут это делать.
Almet
18.10.2019 10:25Только наше правительство может додуматься до такого — хранить все эцп в одном доступном месте, несмотря на сливы персональной информации
EEElice
18.10.2019 11:16Если для этого эксперимента поставят условие со следующей формулировкой:
«Договор может быть немедленно расторгнут в течение дней с момента подписания путем письменного обращения одного из субъектов договора с условием возврата имущества/средств в том состоянии, в котором он его получил, с учетом нормального износа или в состоянии, обусловленном договором, или возместить субъекту при расторжении договора материальные расходы, связанные с инфляцией/ненормальным износом».
Тут довольно широкий простор для манипуляций может быть и кому-то нужно будет с этим разбираться. Но есть государство, которое будет осуществлять мониторинг и контроль. насколько качественно оно будет реализовано — уже следующий вопрос.
vvsvic
18.10.2019 12:12Следующим шагом будет принудительная выдача этой «подписи» всем зарегистрированным на Госуслугах, а затем и законы подгонят «О необходимости применения...» и «Невозможности совершения действий без использования...»
ЭЦП должна генерироваться и храниться в железке, которую я лично контролирую. Все остальное от лукавого.
GamePad64
18.10.2019 12:14Эта идея фактически равносильна пачке чистых листов бумаги с вашей подписью.
Ключи, которые генерируются и хранятся не локально — заранее скомпрометированы.
loki82
18.10.2019 12:50Теперь еще к данным из БКИ будет прилагаться электронный паспорт. Удобно. Все в одном месте.
bromium
18.10.2019 12:57+1В общем, это феерично, особенно на фоне утечек персональных данных билайна и сбербанка.
Даже сейчас я никогда не даю выдавать мне готовый токен с подписью. А то выходит в УЦ некий Вася и вручает «флэшку» с подписью (тут выше кто-то отписался про это).
Всегда генерирую закрытую часть сам. И всем рекомендую. Потому что потом этот Вася может со всеми ключами уволиться и дальше делать, что хочет. И нарушений при выдаче никаких нет — человеку выдали подпись в его присутствии.
Ни слова, естественно, не сказано про то, как будет произведена защита от перехвата ПИН-кодов (паролей) к подписи.
Что, мало случаев мошенничества с этим? Пин-коды от карточек перехватывают разными способами (вирусы, соц. инженерия).
Как обычно, деньги пилить на эксперименты уже начали, не решив при этом глобальных, прежде всего, организационных проблем.
dupidu
18.10.2019 14:38Если в случае с токеном, ты хоть понимаешь что ЭП у тебя и подпись никак не скомпрометирована, то в случае с облаком ты просто по факту узнаешь, что за тебя кто-то что-то сделал!
Почему все сразу вспоминают об «удобстве» воткнуть что-то в iphone, но забывают об безопасности, да и насколько часто вообще кто-то будет втыкать токен в iphone при совершении операции по которым хотят разрешить использование ЭП? (Хотя и для iphone найдутся различны токены!)
И тут еще основной вопрос, что с аутентификацией? Ничего надежнее пока того же токена или u2f не придумали, логин/пароли для таких вещей не актуальны и не безопасны от слова «совсем», или их надо будет делать очень сложным и длинным, а в наше время это уже 20+ символов или это прямой путь попрощаться со своей ЭП:) при чем опять же узнать об этом только потом! Вот будет такой сюрприз:)
А если все-таки доступ по токену или u2f то зачем тогда хранить ЭП в облаке, если надежнее как раз на токене…
P.S. Решение не безопасное, не продуманное и бестолковое!A1054
18.10.2019 20:42Ну, чисто теоретически 20+ символов необязательно, все зависит от реализации. Можно на вычисление ключа по паролю такие вычисления навесить, что и 6 символов хватит.
Но в принципе вы правы. Безусловно.
Тем более, что
1. Никто не знает, как это там реализована. Практика (например, э-голосование в Москве) показывает, что скорее всего реализовано будет неграмотно и с дырами. Для серьезных систем нужен как минимум общественный аудит.
2. ЭП фактически всем навязывается, в том числе людям, которые не готовы следить за ее безопасностью, держать в тайне пароль и т.д. Нет бы еще выдавали ее только желающим с тщательной проверкой личности.
Tufed
18.10.2019 18:24«… не надо устанавливать на свой компьютер никакого специального ПО и не надо беспокоиться о том, как электронную подпись, хранящуюся на флэшке, воткнуть, например, в iPhone. Она просто хранится на защищенном сервере в облаке, и именно туда отправляются на подписание нужные пользователю документы...»
И не надо вообще ни о чем беспокоится. За вас всё подпишут и отправят. Все нужное. Все важное. Вам даже делать ничего не нужно. Вам даже знать ничего не нужно. Всё чисто и безопасно. Мы гарантируем.
Зы: а теперь представьте что эта облачная база целиком кем то сольется и продастся сотнями и тысячами копий в сеть. А рано или поздно это случится. А современное отношение к безопасности и нарушениям безопасности в нашей стране показывает, что это случится очень даже рано.
hssergey
18.10.2019 18:25Чтобы уберечься от сделок с недвижимостью, Росреестр рекомендует гражданам принести заявление о невозможности проведения сделок с их недвижимостью без личного участия. После получения такого заявления в ЕГРН вносится специальная запись.
А была же недавно статья habr.com/en/news/t/470539 где сказано, что это уже пофиксили:
После разбирательств с участием чиновников президент РФ Владимир Путин подписал 2 августа закон, согласно которому операции для сделок с недвижимостью должны сопровождаться использованием усиленной квалифицированной электронной подписи. Новый законопроект добавил поправки в закон «О государственной регистрации недвижимости».
С 13 августа закон вступил в силу, после чего удаленные операции с недвижимостью были отключены по дефолту — для их использования нужно подать заявление, причем в письменном виде. Подавать документ должен владелец недвижимости.
Процедура не такая и простая — собственник квартиры или дома должен подать в регистрационный орган заявление на бумаге, выражая согласие на применение электронной подписи при проведении сделок с его недвижимостью, что подразумевает переход права собственности к другому лицу.
Другое дело, что кроме сделок с недвижимостью, существует еще много других сделок, которые можно сделать через ЭЦП. Например, зарегистрировать ООО и отмывать через него деньги…
Sly_tom_cat
18.10.2019 18:40+1Не ну его нафиг.
Когда мой секретный ключ лежит в государевом облаке и им можно подписать любую бумагу от моего имение — я что-то с этим не согласен…
Доступ через ЕСИиА — ну круто, а мимо ЕСИиА сколько человек имеют туда доступ?
Что должно быть в облаке — государев реестр электронных подписей граждан и организаций — так что бы одно лицо — один ключ. И уведомление при регистрации ключа когда его раньше не было. Но в реестре только публичная часть ключа. Приватная должна быть только у меня.Akon32
18.10.2019 19:19При правильной реализации ключ лежит в зашифрованном виде, а пароль от него — только у вас. Расшифровка ключа и подписывание им документов должны осуществляться на аппаратном и программном обеспечении, которое контролирует владелец ключа.
В таком виде, в принципе, всё довольно надёжно. Но: 1) неудобно; 2) стойкость равна минимуму из стойкости пароля и стойкости ключа; 3) есть сомнения, что реализуют именно так, а не образом, подобным вставке картинки подписи в документ.A1054
18.10.2019 20:29ну как надежно — получается, что на уровне надежности пароля.
Только зачем тогда вся эта супернадежная надстройка над паролем?
Sly_tom_cat
18.10.2019 23:42Неудобно доказывать что ты не дарил квартиру и не являлся владельцем компании с кучей долгов по налогам.
А то что по нормальному не реализуют — это я почему-то не сомневаюсь.
Methos
18.10.2019 19:37ЭЦП должна оформляться ТОЛЬКО при личном присутствии.
Это как-бы процесс перевода подписи на бумаге в подпись внутри цифровой памяти.
И первичным источником подписи может служить только собственная подпись настоящего живого человека, сделанная сразу же перед преобразованием.
Всё остальное неправильно, ибо там полно дыр и всё это легко подделать.Akon32
20.10.2019 21:57Ваша позиция слегка наивна. Требование личного присутствия не равно реальному личному присутствованию. Нужны дополнительные подтверждения — отпечатки пальцев, видеозапись процесса и т.п., чтобы при необходимости можно было рассмотреть спорный случай.
A1054
18.10.2019 20:36Слушайте, а кто в русском разбирается, облачная ЭП — это не оксюморон?
Как аутентификация-то будет происходить? по паролю? Ну тогда секретность — это секретность пароля. И при чем тут ЭП? Это скорее система централизованной проверки подлинности паролей.
Интересно, одновременное появление виртуального голосования и неконтролируемых ЭП — это что? синхронный распил или что-то большее.ne_kotin
18.10.2019 22:48И при чем тут ЭП?
при том, что паролем разблокируется закрытый ключ внутри HSM-а, которым подписывается входной документ (тем же HSM-ом).Sly_tom_cat
18.10.2019 23:49Вы знаете какая пропускная способность у промышленных дорогущих HSM?
Это слезы.
HSM в облачных решениях используется в каскадной схеме, и в нем ничего пользовательского не подписывается.ne_kotin
19.10.2019 00:56Это какие-то неправильные HSM (:
Sly_tom_cat
19.10.2019 12:30Нет, они правильные, просто схема использования HSM в облаке не совсем такая как многие считают.
Там строится каскад где HSM — основание перевернутой пирамиды формирования секретов. И клиенты облачных крипто-сервисов работают с верхним (широким) уровнем. Там где можно поднять кучу инстансов и обслуживать «толстые» потоки данных. Т.е. ни один клиентский документ непосредственно в HSM не подписывается.
bonv
18.10.2019 23:19Думаю схема работы будет выглядеть приблизительно так (решение от КриптоПро)
Подробностиjuray
19.10.2019 13:02Тут присутствует «устройство пользователя с КриптоПро CSP 5.0», а в статье сказано «пользователю не надо устанавливать на свой компьютер никакого специального ПО».
Хотя, конечно, вопрос в трактовке слова «специальный».bonv
19.10.2019 20:10Если считать, что «устройство пользователя с КриптоПро CSP 5.0» установлено на сервере, то все норм. В случае с облачной ЭП обычно так и есть. Пользователю здесь только приложение на телефоне для подтверждения операций с закрытым ключом.
juray
19.10.2019 20:29Как это — «устройство установлено на сервере»? Это как «Лондон — столица Парижа».
Ну и судя по картинке, под устройством пользователя понимается ПК, ноутбук или мобильный девайс.
И это самое КриптоПро CSP 5.0 надо скачивать (там ссылка есть) и устанавливать.bonv
19.10.2019 21:10Как это — «устройство установлено на сервере»?
Сервис на сервере обращается к КриптоПро CSP 5.0 и выполняет криптооперации.
КриптоПро CSP 5.0 может использовать КриптоПро DSS в качестве криптопровайдера доступного системе. Это удобно, когда нужно использовать какое-то существующее ПО, которое может работать c CryptoAPI.
В статье, скорей всего, предполагается немного другой вариант. Когда документы формируются на сервере и на сервере с использованием КриптоПро CSP 5.0 (или каким-то другим сертифицированным криптопровайдером) подписываются. А пользователь просто выполняет подтверждение, в схеме это приложение на телефоне myDSS, которое выполняет визуализацию подписываемого документа. И которое взаимодействует с сервером, используя криптографию по ГОСТ.
NoRegrets
19.10.2019 19:00+1А почему нельзя просто сделать стандартно — я генерирую приватный ключ и посылаю в госуслуги запрос на генерацию сертификата (CSR), а они мне присылают готовый сертификат? Ну отработанная же сто лет схема?!? Ну какого черта?!?
ne_kotin
19.10.2019 20:53+1Вы что! Нельзя доверять пользователю всякие там ключи! Он же не квалифицированный специалист!
(где-то тут табличка «сарказм» отвалилась)
Akon32
20.10.2019 22:04Для этого нужно, чтобы пользователь отличал приватный ключ от публичного и цифровую подпись от скана в формате jpeg, т.е. должны быть какие-то минимальные знания математики (почему это всё работает и как не испортить всё) и компьютерной грамотности (какую кнопку жать, чтобы отправить подпись, а не приватный ключ).
Наверно, пора бы уже объяснять эти вещи в начальной школе, 21й век всё-таки.bromium
21.10.2019 12:59Тут даже знания математики, по большому счету, не нужны (для того, чтобы поставить смартфон на зарядку не обязательно знать закон Ома).
Как я писал выше, многие сотрудники УЦ даже не понимают, как это все работает — они как обезьянки нажимают на нужные кнопки, как им сказали, и все. Поэтому на заявление, что закрытый ключ буду генерить сам — круглые глаза и поиск Васи, который в этом хоть что-то понимает.
bromium
21.10.2019 12:57Ну сейчас так и происходит (я выше писал — не всегда соблюдается просто). Вопрос в том — где хранить закрытый ключ.
alepron
20.10.2019 09:46Очень интересно, почему же тогда СКБ "Контур" с этого года отказалась от практики выдачи облачных ЭП? (рожа "упоротого" негритенка)
Landgraph
Нет уж, спасибо.
Самое прелестное, что теперь, при наличии эцп, необходимо всюду распихать бумажки, что, при наличии эцп, все действия совершать только в личном присутствии держателя эцп.
Это великолепно! Что за дивный новый мир!
EvGenius1900
уже оформил бумагу «о невозможности регистрации перехода права без личного присутствия» на квартиру в МФЦ. Сотрудница говорит, что в день до 5 человек приходят с тем что отработали квартиру в тихую (даже если сами владельцы эцп не открывали)
Whuthering
В комментариях к одной из статей на эту тему здесь была прямая цитата кого-то из Росреестра, что такая бумага в подобных случаях вообще не поможет. Она запрещает проводить сделки по доверенности от вашего лица, а в случае с ЭЦП это всё считается как исходящее непосредственно от вас.
sohmstyle
А могли бы Вы привести эту цитату, если возможно?
Я обеспокоился этим вопросом и внимательно изучив это утверждение с сайта Россреестра — вижу только упоминание термина "личное участие".
Личное участие это однозначно лично присутствие в офисе или лишь подтверждение личности (через ЭЦП)?
Чёткого ответа на этот вопрос я нигде не нашёл, а как будет трактовать этот термин суд я не знаю. Я спрашивал в Росреестре про этот термин — они уверяли меня, что это означает присутствие в офисе. Но меня что-то терзают сомнения.
arbalet42
Коллега Whuthering прав, однако Вам теперь можно не беспокоится по другой причине — с 13 августа с.г. вступили в силу поправки в российское законодательство, согласно которым в отношении недвижимости сделки по ЭЦП по умолчанию совершать нельзя. Чтобы стало можно, необходимо подать заявление — лично и на бумаге.
oleg7814
Государство фактически сделало себя и распорядителем всего имущества граждан, и судьей при спорах.
Фактически гражданин стал более виртуальным, и не имеет значения его присутствие или согласие во время самого процесса.
Но именно это было противовесом и сдерживанием от мошенников,
именно бумажный носитель сдерживал легкий отжим всего.