Началось всё с того, что я запостил инструкцию о том, как зарегистрировать переход права на недвижимость с помощью ЭП. Затем то ли, это совпадение, то ли «не думаю», но появились посты о том, что Мошенники переоформили квартиру в Москве с помощью поддельной цифровой подписи, что электронный ключ, позволяющий переоформить квартиру, можно получить на любого человека, и даже по похожей схеме получилось зарегистировать на граждан юрлица — последний пост даёт неплохой обзор о состоянии законной части вопроса.
И вот, менее чем через год законодатель ответил на вызовы времени — в Госдуме проходит чтения законопроект 747528-7.
Журналисты успели посеять панику, что электронную подпись юрлицам теперь будет выдавать только ФНС, и весь бизнес коммерческих УЦ пойдёт под откос. Не претендуя на большие познания в юриспруденции, но при этом искренне считая себя энтузиастом в этой области, который разбирается в вопросе лучше, чем 95% (а то и 99%) населения, рискну дать беглый обзор того, что законодатель предлагает на текущий момент. А текущий момент такой, что вскоре будет второе чтение — последнее, когда можно вносить правки. Впрочем правок ко второму чтению я ещё не видел, написанное ниже базируется на тексте первого чтения.
Текст законопроекта составляет 75 страниц, но я вынесу только то, что считаю основным и ОЧЕНЬ важным для отрасли. Большинство объема правок посвящено тому, как должна быть организована процедура подписи документа в разных случаях подписантов. Это не интересно. А вот что на мой взгляд главное:
- ФНС будет выдавать подписи только юрлицам. При этом документ будет считаться равнозначным бумажному, если он подписан и подписью ЮЛ, и подписью руководителя, как ФЛ. Таким образом, бизнес коммерческих УЦ пострадает не сильно, т.к. всё равно к ним пойдут за сертификатом физики.
- ФНС будет автоматически отзывать сертификат ЮЛ при смене руководителя.
- Законопроект вносит в юридическое поле метки времени и придаёт юридический статус службе штампов времени (под термином «третья доверенная сторона») — это прямо очень здорово, т.к. этого реально не хватало.
- Сертификаты теперь обязаны выдавать по нотариальной доверенности, если он получается не лично (то, о чем давно говорили большевики) даже юрлицам.
- По-моему, при наличии действующей подписи, возможность выпускать новый сертификат через запрос на сертификат (без личной явки) — это обязательное условие работы УЦ. Помимо удобства это гораздо правильнее. Хотелось бы обязательности возможности такой процедуры (только с личной явкой) при первоначальном выпуске сертификата.
- Очередная попытка обломать рога УЦ и владельцам информационных систем за выпуск сотни разных подписей на разные случаи жизни. Не знаю, поможет ли это в этот раз.
Понятно, что это только первое чтение и возможны поправки. Но если всё это примут, а ФНС будет выдавать ЮЛ сертификаты бесплатно или за более человеческие деньги, чем то, что предлагают сегодня большинство УЦ, то закон крутой.
Upd: Совершенно вылетело из головы: 2 августа 2019 был принят Федеральный закон N 286-ФЗ, изменяющий закон «О госудаственной регистрации недвижимости». Теперь по умолчанию вы не можете производить регистрацию перехода права на недвижимость с помощью ЭП, если сертификат подписи выдан не Росреестром (у Росреестра имеется УЦ). Вы можете снять это ограничение, подав через МФЦ заявление о том, что вы хотите проводить сделки с использованием любой ЭП, аналогично можно вернуть данное ограничение. Такое ограничение можно снимать или устанавливать как в отношении всех своих объектов недвижимости, так и в отношении только конкретных.
Комментарии (62)
alexesDev
12.12.2019 22:42Может кто-то в двух словах сказать чем не зашли вещи вроде pgp? Фатальный недостаток?
dmitrmax Автор
12.12.2019 23:52+2Вы как-то путаете теплое с мягким. PGP на сколько я помню — это реализация способа шифрования и подписи файлов и электронной почты. TLS через PGP сделать невозможно. Для своих целей PGP применяет определенный набор конкретных алгоритмов — хэширования, симметричного шифрования и криптографии с открыты ключем. ЕМНИП эти алгоритмы — MD5, IDEA и RSA/DSA. MD5 уже давно устарел, IDEA вроде бы нет, но даже дядя Сэм решил выбрать AES, RSA/DSA не соответствуют современным «требованиям» криптографов, которые утверждают, что алгоритмы подписи должны базироваться на эллиптических кривых.
Впрочем никто не мешает вам взять любой другой набор таких алгоритмов, называемых ciphersuite и реализовать точно такую же схему как в PGP.
Что касается алгоритмов: одно государство может подозревать другое государство, которое спроектировало тот или иной криптографический алгоритм, в том, что алгоритм содержит закладки, которые известны его автору. Поэтому некоторые государства имеют свои национальные ciphersuite'ы.
Это касается не только РФ с вечной нашей паранойей, что весь мир против нас.
AlexanderS
13.12.2019 11:06+1Но почему нельзя сделать систему, в которой бы сам пользователь генерил пару ключей — приватный оставлял у себя, а публичный относил в реестр. И всё. Приватный хранится только у тебя и больше нигде. В этом его смысл! Когда государство только озвучивало идею ЭЦП я наивно почему в каком-то подобном направлении думал. Да, вы правы, что «это реализация способа шифрования и подписи файлов и электронной почты». Но большего и не нужно. И по сути это правильно, т.к. любой документооборот с госструктурами должен протоколироваться и сохраняться его история, во избежании чего-то типа: «У нас был сбой в системе...»
dmitrmax Автор
13.12.2019 12:00> Но почему нельзя сделать систему, в которой бы сам пользователь генерил пару ключей — приватный оставлял у себя, а публичный относил в реестр. И всё. Приватный хранится только у тебя и больше нигде.
Я совсем не понимаю, как из этой ветки комментариев вы сумели сделать вывод, что этого нельзя сделать? Более того, это сейчас уже можно сделать, и года 4 как уже я так и делаю.
> Но большего и не нужно.
Наивность этого утвеждения зашкаливает по всем возможным способам измерения наивности. Во-первых, в законе об электронной подписи нет ни слова об алгоритмах, и о том, как они применяются (или как вы бы хотели их применить в виде PGP). Во-вторых, в законе сказано, что все эти вещи утверждает своими приказами ФСБ России. В-третьих, ФСБ не запрещает вам использовать алгоритмы ГОСТ по схеме PGP. В-четвертых, форматы PGP не используют промышленно нигде. Все используют набор стандартов PCKS. Сюда же и привинтили алгоритмы ГОСТ. В-пятых, вы заблуждаетесь в том, что кроме подписи и шифрации электронной почты более ничего не нужно. Как минимум нужен TLS, который бы позволил создавать защищенные соединения, шифрованные ciphersuite'ом ГОСТ. Без TLS не возможно создать ни один нормальный сервис. Устраивать по электронной почте обмен больших объемов машиннообрабатываемых данных никто не будет — это глупость, достойная студенческой поделки года эдак 1995-го.AlexanderS
13.12.2019 18:14Вы немного не правильно поняли, рванув сразу в атаку. Это не наивность — это идеалистичность)
Я совсем не понимаю, как из этой ветки комментариев вы сумели сделать вывод, что этого нельзя сделать? Более того, это сейчас уже можно сделать, и года 4 как уже я так и делаю.
Не знал, что можно. А можно поподробнее? Был бы очень признателен! Я когда разбирался, правда это давно было, так можно было получить простую подпись подпись, с которой толком делать нечего — с госучереждениями взаимодействие не получится, юридическая сила по закону слабая. А для получения квалифицированной подписи нужен УЦ, заявление, свидетельства, токены и прочая бюрократия. И всё это повторять раз в год. Учитывая что это стоит приличных денег — получается как налог) Непонятно — зачем так всё усложнять, навязывать проприетарную криптопро, хранить закрытый ключ в токене.dmitrmax Автор
13.12.2019 18:27> Вы немного не правильно поняли, рванув сразу в атаку. Это не наивность — это идеалистичность)
Я не атакую вас, просто пытаюсь открыть вам глаза и показать, что проблема более широка, чем это видеться обыкновенному наблюдателю.
> Не знал, что можно. А можно поподробнее?
А что тут подробнее? Использование ключевого носителя — дело не обязательное. Можете хранить в файле, но делать это крайне не рекоммендуется. Купите хороший токен. Сделать это надо один раз (ну или пока новые стандарты не появятся).
Лицензия на Крипто-Про — ну да, нужна. Они же несут расходы на разработку и на совсем недешевую процедуру сертификации. Но если вы приобретаете сертификат как физик, то, например, Тензор за 500 рублей вам выпустит сертификат вместе со встроенной в него лицензией на Крипто-Про. Опять же в Тензоре вы можете сделать это по всем канонам безопасности — сгенерировать ключевую пару у себя на рабочем месте, отправить запрос на сертификат в УЦ, а потом поехать в УЦ, чтобы пройти процедуру идентификации и получить сертификат.
Более подробно я тут писал. Не вижу смысла повторять. Останутся вопросы — пишите.
blueboar2
13.12.2019 09:37Я правильно понимаю, что теперь схема, когда фирма на меня выписывает доверенность, а я получаю ЭЦП в Казначействе на директора и главбуха не пройдет? Нужно будет обязательно заверять доверенность нотариально, или отправлять их лично?
dmitrmax Автор
13.12.2019 12:04Что-то типа того, если вы поясните мне каким чертом у вас сертификаты выдает не УЦ, а Казначейство? Вы уверены, что речь идет о квалифицированной электронной подписи? ФНС, например, уже сейчас бесплатно может выдать вам (как физику) сертификат подписи в личном кабинете налогоплательщика, но такая подпись будет работать только с ФНС, то есть она неквалифицированная. Для неквалифицированных подписей закон говорит только то, что контрагенты сами занимаются соглашениями об их выдаче и использовании.
blueboar2
13.12.2019 12:08А, ну тогда еще можно жить. Да, это сертификат специально для работы с их программой.
Komol
13.12.2019 12:27Казначейство вполне себе УЦ и выдает квалифицированные подписи.
dmitrmax Автор
13.12.2019 12:57Очень множет быть. Я ведь не знаю наизусть список из 500 с лишним аккредитованных УЦ. То, что это именно казначейство — информация лишняя, если речь идет о квалифицированной подписи, а вот то, что это УЦ — информация, которой не хватает. Я очень не люблю брать на себя обязанности телепата и вам не советую )
boroda_el
13.12.2019 10:45В статьях за год как раз описывался баг существующих процедур. Приходит левый чел в уц, с фальшивым бланком паспорта. На бланке реальный номер жертвы, фоткв мошенника. Уц не имеет желания, возможностии, полномочий проверить поддельный паспорт. Да и зачем — ответственности никакой. Так этот и не пофиксили.
Neraverin
13.12.2019 11:05-1Так и есть. Или просто преступный сговор, когда договорятся с человеком в региональном отделении ФНС и он выпишет с десяток ЭП на людей с дорогими квартирами :) Ни для кого же не новость, что SIM карты на людей перевыпускают. Плюс лишний инструмент в руках государства, чтобы выписать ЭП на кого надо и подписать ей то, что необходимо.
dmitrmax Автор
13.12.2019 12:07Вы внимательно читали пост? Там же написано, что ФНС выдает только подпись юрлица, а не физлица. Если даже у юрлица есть недвижимость, которую можно отжать, то заявление о переходе права потребует двух подписей — подпись юрлица, которую может выдать сотрудник ФНС, вступив в преступный сговор, и подпись физлица, которую должен выдать УЦ Росрееста.
boroda_el
13.12.2019 17:56Или просто преступный сговор, когда договорятся с человеком в региональном отделении ФНС
это конечно может быть в любом месте. А вот если ФНС будет являться УД для всех юриков, получает у ней будет полный контроль и доминация. Каким-нибудь внутренним письмом минфина получат возможность отзывать ЭП в случае подозрения на что угодно. Сдал не такой отчет — все. Не только счет заблокируют, а вообще выключают фирму одним движением — ни договор подписать, ни в клиент-банк зайти, ни в офис не попасть :)dmitrmax Автор
13.12.2019 18:10У ФНС в общем-то и так это есть. А ещё у ЦБ и у вашего банка. Например, если вы начали электронный документо-оборот с ФНС через одного из операторов ЭДО, то в какой-нибудь помент ФНС может прислать вам уведомление (о чём-нибудь, не важно). Если вы не подтвердите прием, отправив подписанную квитанцию о приеме, в определенный срок, то ФНС имеет право заблокировать вам счёт. Как видно, отзывать для этого сертификат ЭП совсем не нужно.
Банку может показаться, что вы имеете отношение к лицам, нарушающим антиотмывочное законодательство и вам просто даже без объяснения причин заблокируют счёт. А особенно упоротые попросят за вывод остака 15%.
Однако не стоит забывать, что ЭП — это большей частью (пока ещё) не замета, а дополнение ручной подписи документа на бумажном носителе.
dmitrmax Автор
13.12.2019 12:13Вы что-то намешали в кучу. Если у чела есть бланк паспорта, а бланк — это пустой настоящий паспорт, который можно заполнить любыми данным, то для совершения противоправных действий ему совсем не нужно идти в УЦ. Достаточно заполнить его данными жертвы, вклеить своё фото и направляться прямиком в Росреестр отжимать хаты.
В статье был описан случай получения сертификата ЭП путем предоставления скана или ксерокопии паспорта, в которой была отредактирована фоторафия. Это не баг, а грубейшее нарушение работы УЦ — они должны были проверить оригинал паспорта и убедиться в том, что предъявитель паспорта совпадает с владельцем паспорта.
Ответственность УЦ в том числе материальная устанавливается законом. Данный законопроект многократно увеличивает лимит финансовой ответственности УЦ и, если мне не изменяет память, добавляет уголовную ответственность для сотрудников УЦ за подобные нарушения.
prihod123
13.12.2019 12:14единственный плюс данного законопроекта это введение нотариальной доверенности, которая хоть как то поможет коммерческим УЦ в противодействии мошенническим схемам, так как наше законодательство позволяет использовать простую рукописную доверенность для наделения кого либо полномочиями.
dmitrmax Автор
13.12.2019 12:15Единственный плюс для человека, который никогда не собирается использовать плоды прогресса — да. Для остальных плюсы выписаны попунктно )
Leskei
13.12.2019 12:15Я правильно понял, что принципиально новым, ГЛОБАЛЬНЫМ изменением, будет возможность выдачи ЭП ЮРЛИЦАМ?
Вы ничего не напутали? Т.е. не «физлицу-представителю юрлица», а именно «юрлицу», как у вас написано?
Т.е. аналог «печати организации», а не «подписи+печати», как сейчас?dmitrmax Автор
13.12.2019 12:22> Т.е. аналог «печати организации», а не «подписи+печати», как сейчас?
И да, и нет. Скорее да, но вы не учитываете тот факт, что с некоторых пор некоторым организациям дозволяется вообще не иметь печати. В этом смысле электронная подпись такой организации будет аналогом печати, которой у неё и не было )
> Вы ничего не напутали? Т.е. не «физлицу-представителю юрлица», а именно «юрлицу», как у вас написано?
Состав информации в таком сертификате определит не закон, а ФСБ дополнительным приказом. Будет ли в нём содержаться данные физлица-представителя юрлица, я знать немогу. Но семантика сертификата такой подписи будет именно такая, что она относится только к юрлицу.
Кстати, и сейчас не запрещено такой сертификат получить, но при условии что сертификат ЭП выдается для автоматизированной обработки данных и подписи их без участия физического лица.
ystr
13.12.2019 12:48Интересная информация из законопроекта, не упомянутая в данной статье.
Уполномоченные УЦ по поручению владельца квалифицированного сертификата осуществляют: хранение ключа электронной подписи, ключ проверки которой содержится в квалифицированном сертификате с обеспечением его защиты от компрометации и (или) несанкционированного использования, в том числе, создание при помощи указанного ключа подписи по поручению владельца квалифицированного сертификата электронной подписи с использованием средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным в соответствии с пунктом 2.1 части 5 статьи 8 настоящего Федерального закона
То есть обращу внимание: закрытый ключ хранится у УЦ, подпись делает УЦ. Ну, конечно, «по поручению».dmitrmax Автор
13.12.2019 12:51Это не более чем попытка узаконить уже дефакто несколько лет оказываемую услугу «облачной электонной подписи». Я согласен, что с точки зрения IT-специалиста за это нужно расстреливать. Но смею вас уверить, что именно по поручению. Во всяком случае пока. Я выпускаю свою ЭП через запрос на сертификат, поэтому моего приватного ключа УЦ не касается даже в теории.
В моей статье с инструкцией по регистрации недвижимости с использованием ЭП, про такую схему указано в самом начале — Сбербанк вместе со своим Дом-Кликом предлагает эту услугу физикам.ystr
13.12.2019 13:10Боюсь, что здесь узаконивается как-раз процесс полной передачи закрытых ключей только на сторону УЦ. Конечно, «по поручению», но вполне вероятно при заполнении документов это «поручение» будет стоять обязательным пунктом.
dmitrmax Автор
13.12.2019 14:19Ну боятся вам никто не запрещает. Идиотов в стране много, но не все. Сделай такое, и все крупнейшие налогоплательщики перестанут использовать эту чушь (в которую превратится ЭП).
Дефакто, этот механизм с маркетинговым названием «облачная подпись» имеется на рынке уже много лет. Ранее он не был прописан в законе и его реализация утрясалась каждым УЦ самостоятельно с соответствующими органами (Минцифра и ФСБ). Теперь это всего лишь превращение де факто в де юре.
Основными потребителями такой услуги являются лица безусловно далекие от основ информационной безопасности — людей, которые думаю, что электронная подпись, это рисунок на документе, изображающий штамп «Подписано усиленной электронной подписью». И в их случае я бы ещё поспорил, что было бы безопаснее — выдать им приватный ключ на ключевом носителе, дефолтный ПИН-код от которого они не догадаются поменять, или же хранить его в таком месте как облачное хранилище, выдавая доступ к ключу по одноразовым кодам в СМСках.
Что касается вопроса неизбежности «поручения» — кто ищет, тот всегда найдет. Одно время приходилось днём с огнем искать УЦ, который работал бы по схеме с запросом на сертификат. Сейчас с этим легче. Ну и заодно расскажу вам, что существуют носители ключевой информации с неизвлекаемым приватными ключами, в которых криптография встроена внутри. Было бы забавно наблюдать, как вы сможете «поручить» УЦ хранить такой ключ. К слову, использование таких (неизвлекаемых) ключей сейчас становится обязательным и уже обязательно при работе с некоторыми ведомствами.
Резюмирую. Никаких страхов на этот счёт испытывать не стоит.ystr
13.12.2019 14:56Статья 15 63-ФЗ, которая дополняется подпунктом 2.2, цитату из которого я и привёл, отражает все требования к аккредитованным удостоверяющим центрам. Собственно, сам пункт 2 вот такой:
2. Аккредитованный удостоверяющий центр должен хранить информацию, указанную в части 1 настоящей статьи, в течение срока его деятельности, если более короткий срок не предусмотрен нормативными правовыми актами Российской Федерации. Хранение информации должно осуществляться в форме, позволяющей проверить ее целостность и достоверность
Тут не про «что может делать УЦ», а про что он делать обязан и как хранить. Так вот этот пункт дополняют подпунктом, где говорится, что УЦ должен хранить закрытые ключи пользователей.
Было бы забавно наблюдать, как вы сможете «поручить» УЦ хранить такой ключ
УЦ отзывает существующий сертификат и выдаёт новый, с хранением закрытого ключа в УЦ. Вот и весь процесс. И, кстати, внутри УЦ тоже используется HSM, который тоже типа «с неизвлекаемыми ключами».dmitrmax Автор
13.12.2019 15:14Вы перепутали пунты, статьи и части закона, от этого у вас каша получалась. Вернем всё на круги своя.
Статья 15 63-ФЗ (а не пункт) — мы говорим о ней. В ней есть часть 1, которая состоит из трёх пунктов, которые перечисляют, что обязан хранить УЦ. Там нет ни слова у ключах. Далее идёт часть 2, которую вы назвали «пунктом 2» и процитировали выше. Ну ок. УЦ обязан хранить информацию по трём пунктам части 1, грубо говоря, пожизненно.
А вот часть 2.2 (которую вы называете статьей), которой предлагается дополнить ст. 15, никак не относится ни к части 1, ни к части 2. Часть 2.2 говорит о том, что УЦ по поручению владельца (и только в этом случае — прим. моё) осуществляет хранение ключа электронной подписи.
И, кстати, говоря, на действие ч. 2.2 не распространяется требование ч. 2, то есть УЦ не обязан хранить ключ пожизненно. Это значит, что если открым ключем юзера кто-то зашифровал ему документ, то если УЦ удалит приватнуй ключ юзера, то он не сможет его больше дешифровать и посмотреть. Что в общем печально для пользователя.ystr
13.12.2019 15:19Каждый останется при своём мнении. Надеюсь, что в конечном итоге победит здравый смысл, и желание тотального контроля государство по-умерит.
dmitrmax Автор
13.12.2019 15:23Я думаю, что время нас рассудит. И касательно третьей доверенной стороны — поскольку ст. 18.2 (если она попадет в финальный закон) предполагает аккредитацию этой самой стороны, то придет день и мы с вами с лёгкостью откроем реестр аккредитованных третьих доверенных сторон и посмотрим, чем же они там занимаются )
dim3shturm
13.12.2019 15:14" Таким образом, бизнес коммерческих УЦ пострадает не сильно, т.к. всё равно к ним пойдут за сертификатом физики."
Сильно. Ведь в законе говориться о том что цена на такие сертификаты для физиков будет определяться Правительством РФ. Не уверен что цена так и останется на уровне 1000 — 1200. Скорее всего упадёт до 300-400.
Правда учитывая что по закону аккредитацию пройдут не более 20 УЦ то вероятно на их век денег хватит. Будем посмотреть.dmitrmax Автор
13.12.2019 15:17Я не претендую на то, что прочитал каждую букву указанного законопроекта, поэтому не могли вы привести цитаты из законопроекта (номера страниц или пункты статей закона), где говорилось бы (или хотя бы намекалось) о том, что:
1) цена на такие сертификаты определяется правительством
2) аккредитацию пройдут не более 20 УЦ
Если это действительно так, то это важное изменение, и я добавлю его в спискок и исключу от туда мнение, что бизнес УЦ не пострадает.
dim3shturm
13.12.2019 15:51"По-моему, при наличии действующей подписи, возможность выпускать новый сертификат через запрос на сертификат (без личной явки) — это обязательное условие работы УЦ. Помимо удобства это гораздо правильнее. Хотелось бы обязательности возможности такой процедуры (только с личной явкой) при первоначальном выпуске сертификата"
Да закон вводит три варианта удалённой идентификации
- по квал. серту
- по биометрии!
- с использованием Электронного паспорта NEW!)))
dmitrmax Автор
13.12.2019 16:42не просто по биометрии, а по биометрии из ЕСИА.
касательно электронного паспорта — скорее всего это равносильно п. 1.dim3shturm
13.12.2019 17:05Да скорее всего так.
dmitrmax Автор
13.12.2019 18:11Если не трудно, ответьте на другой тред, который вы начали выше. Если вы узнали это не из законопроект, а в каком-то журналистком очерке, то я бы тоже хотел его почитать — либо поржать, либо удивиться.
ystr
Надеюсь, что в конечном итоге государство окончательно перейдёт к единому УЦ. Закон интересный, однако ФНС, как мне кажется, будет сильно сопротивляться.
ystr
Также надеюсь, что служба штампов времени будет единая и бесплатная. Но похоже именно на «электронном нотариусе» и будут теперь делать основные деньги.
dmitrmax Автор
нотариусы тут вообще мимо, служба времени вряд ли будет бесплатной, на чем-то же она должна содержаться, а кроме того она несет материальную ответственность за возможные нарушения. Есть возможная ответственность — есть риски. Есть риски и нет прибыли — такого не бывает.
ystr
Под «электронным нотариусом» я понимал службу штампов времени. Материальная ответственность может возникнуть только если будет принят соответствующий закон. Пока такового нет. Да и в случае со службой штампов времени создать некорректный штамп достаточно сложно, в отличие от работы с обычным нотариусом. И регулируется всё это соответствующими политиками безопасности.
По поводу ФНС. Идея выдачи сертификатов юрлицам прямо при получении документов лежит на поверхности и обсуждается уже много лет. Однако существует перечень «доводов против». Ведение УЦ явно выходит за рамки компетенции этой службы. Так что УЦ будет вести кто-то другой. А вот что достанется ФНС так это упрощённые функции RA (Registration Authority). Причём выполнять эти функции ФНС будет, по сути, бесплатно, просто в нагрузку к существующим процессам. Конечно, выдачу сертификатов заложат в соответствующие сборы, вот только, как мне кажется, ФНС будет перепадать основной геморрой от общения с клиентами и очень мало денежек. Так что ещё раз — ФНС, как мне кажется, будет сильно сопротивляться.
dmitrmax Автор
> Под «электронным нотариусом» я понимал службу штампов времени.
Вам же в статье написано, что это служба называется «доверенное третье лицо»? Для чего вы пытаетесь переиначить на свой лад? Закон об электронном нотариате — это совсем другое, и он в данный момент прошел уже два чтения в ГД.
> Идея выдачи сертификатов юрлицам прямо при получении документов
У вас поверхность неполная. Кроме того, что выдавать можно или нужно при получении документов, возникает неизбежный вопрос о ежегодном перевыпуске сертификата, который не привязан ни к какой сдаче документов.
> Ведение УЦ явно выходит за рамки компетенции этой службы.
В законопроекте явно написано, что ведение УЦ будет входить в рамки компетенции ФНС. Или вы считаете, что вам лучше знать? )))
> Так что ещё раз — ФНС, как мне кажется, будет сильно сопротивляться.
Как и за всеми законами, у этого есть некая кулуарная часть. Так вот, согласно этой кулуарной части, хотите верьте, хотите не верьте, но ФНС уже несколько лет тянуло к этому руки.
ystr
Моя ошибка — поверил «на слово» статье. А надо было почитать самому. Ну да лучше поздно, чем никогда.
Мне безразлично что назвали вы в статье, я разъяснил употреблённый мною термин. А вот что действительно означает термин «доверенная третья сторона» (цитата непосредственно из законопроекта):На самом деле это определение не имеет отношения к службе штампов времени. Речь здесь идёт о проверке подписи в определённый момент времени. То есть кто-то (или что-то вроде стороннего сервиса) проверит подпись целиком и скажет, была ли она корректная в какой-то конкретный момент времени. Служба штампов времени же просто подписывает хэш сообщения, без какой-то проверки подписи.
Откуда вам известно полная она у меня или нет? Я вот считаю что она, поверхность эта, у меня достаточно упитанная, так сказать :)
А приведите-ка цитату из законопроекта, где хоть что-то говориться о ФНС. Может я что-то пропустил.
Так случилось, что я вхожу в этот 1% населения, который разбирается в этом вопросе лучше вас.
dmitrmax Автор
> Так случилось, что я вхожу в этот 1% населения, который разбирается в этом вопросе лучше вас.
Давайте выясним, действительно ли это так.
> А вот что действительно означает термин «доверенная третья сторона» (цитата непосредственно из законопроекта)
Так, законопроект вы не прочитали. Открыли и поиском нашли первое упоминание доверенной третьей стороны и на этом закончили читать. Если бы вы прочитали хотя бы ещё два абзаца, то увидели бы следующее:
Хотя тут сказано, что создавать её может не только довернная третья сторона, но и УЦ и оператор ИС, де факто в РФ уже сложилась ситуация, когда этим занимают не УЦ и не ИС, а именно третьи лица. Они же делают OCSP, о котором по сути написал вы.
Кроме того, можно проскролить до п.16 ст. 1 этого законопроекта и почитать предлагаемую этим пунктом ст. 18.1 в закон об ЭП.
> А приведите-ка цитату из законопроекта, где хоть что-то говориться о ФНС. Может я что-то пропустил.
Пожалуйста: страница 27 — п. 1 ч.1 ст. 17.2:
Оставлю вам в качестве домашнего задания поиск НПА, который назначает ФНС ФИОВом, уполномоченным на осуществление государственной регистрации юридических лиц.
> Откуда вам известно полная она у меня или нет? Я вот считаю что она, поверхность эта, у меня достаточно упитанная, так сказать :)
Я же вам написал, почему она у вас неполная. Вы знаете вопрос только в теории, и вам не приходит в голову, что сертификат нужно ежегодно перевыпускать, в то время как обязанности перерегистрировать юрлицо ежегодно нет. Поэтому особенного толку от того, что ФНС будет выдавать сертификат ЭП именно при получении документов, нет. Это всё равно должно быть отдельным бизнес-процессом.
ystr
Товарищ «энтузиаст», OCSP — это сервис проверки «не отозванности» сертификата в данный момент. Он не проверяет никакой подписи.
Вы бы хоть посмотрели, кто я такой, прежде чем это всё писать. Я программист с 16-ти летним стажем в информационной безопасности. Я ведь не «энтузиаст», я этим зарабатываю.
amphasis
ystr
Я сам создал рабочий сервис службы штампов времени. Похоже, вы просто не прочитали контекст предыдущих обсуждений. Моё замечание по не корректности относилось к разделению понятий «создание метки доверенного времени» и «доверенная третья сторона». В контексте данного законопроекта термин «доверенная третья сторона» должен быть использован только для проверки метки доверенного времени, к созданию таких меток он отношения иметь не должен.
amphasis
Что-ж, теперь я понял, что имеется ввиду. Но, думаю своими комментариями Вы запутали не меня одного.
dmitrmax Автор
Я, как мне кажется, отслеживаю его мысль. Но в его трактовке «третья доверенная сторона» тогда первращается в бессмысленную сущность, которой законодатель посвятил полностью две статьи в законе и кучу ссылок на это в других статьях. Так не бывает.
dmitrmax Автор
> Вы бы хоть посмотрели, кто я такой, прежде чем это всё писать. Я программист с 16-ти летним стажем в информационной безопасности. Я ведь не «энтузиаст», я этим зарабатываю.
Мне, честно говоря, абсолютно фиолетово кто вы. Я тоже программист с 17-ти летним стажем. А «энтузиаст» я лишь в области юридическизначимого использования электронной подписи на территории РФ. Поэтому прекратите тут давить вашим несуществующим авторитетом и вернитесь в поле аргументированной дискуссии. Два раза «ку» вам тут никто не будет делать при любом раскладе.
Вашу компетенцию, как программиста, я тут не обсуждаю. Мы тут говорим исключительно о вопросах использования ГОСТовой криптографии в реальной жизни. Все эти механизмы как электронная подпись, служба штампов времени, OCSP и т.д. были придуманы давно и не в Госдуме, и то как они работают обсуждать весьма себе скучно. А вот как это всё, придуманное когда-то кем-то, врывается в нашу жизнь и затрагивает тех, кто от этого всегда был далек и даже не понимает как это хотя бы приблизительно работает под капотом, и является предметом обсуждения в данной статье. И вот здесь-то вы в каждом комментарии «блещете» тем, что далеки от этого. То вы в конце 2019 года открыли для себя «облачную подпись» через чтение законопроекта, то у вас ФНС будет сопротивляться своей мечте.
OCSP — это сервис проверки «не отозванности» сертификата в данный момент.
В курсе.
> Он не проверяет никакой подписи.
Как раз вот это обстоятельство, что третье доверенная сторона провереяет не сертификат на данный момент, а подпись, склоняет меня к тому, что тут законодатель ошибается, имея ввиду как раз OCSP.
Рассудите сами — зачем вообще иначе эта доверенная третья сторона? Проверить валидность подписи в любой момент может любой участник электронного документооборота, используя СКЗИ, сертифицированные ФСБ. Предлагаю вам всё-таки почитать предлагаемую ст. 18.1. Возможно, вам отроется её смысл так же как вижу его я.
> Здесь подразумевается, что метка времени просто проверяется доверенной третьей стороной.
Вот ещё раз. Задайте себе тогда вопрос: а нафига эта третья сторона вообще нужна и попробуйте на него себе и нам ответить. Принимая во внимание, что просто так никто не будет писать в законе такое количество символов в отношении бессмысленной сущности.
Я допускаю, что я могу ошибаться в том, как я это истрактовал, но пока что ваша контраргументация ни к чёрту.
ystr
Он очень даже существующий. А чего-то «давить» сами начали: никто ничего не знает, только в теории, я лучше 99% населения. П**здец профи.
Собственно вся эта «дискуссия» вышла из-за того, что вы как-то связали понятия «доверенная третья сторона» и «служба штампов времени». Я вам показал прямо определение, прямо из законопроекта, на что вы придумали какую-то ерунду и пытаетесь что-то доказывать. Даже в дополнении к пункту 18.1, на который вы что-то часто напираете, ничего нет про выполнение доверенной третьей стороной функции служба штампов времени. Там только про проверку подписи. Почитайте.
Прекратите делать какие-то предположения по поводу что мне известно, а что нет. Я сам писал такие сервисы несколько лет назад, и они даже работали :)
Чего? Вы считаете, что надо сертификат на данный момент проверять и всё? Скажу вам, что процесс проверки подписи, особенно «advanced» (CAdES) включает в себя очень доскональную проверку сертификата, однако это достаточно маленький этап всей проверки. OCSP вообще тут упоминать «ни к селу, ни к городу», это просто сервис, его ответ просто встраивается в подпись, если нужно.
Почитайте дополнения к пункту 18.1 в законопроекте, там написано. Вводят сущность, которой поручаются функции доверенной проверки подписей и выдачи квитанций о данной проверке. Ничего более.
dmitrmax Автор
> Он очень даже существующий.
Не подтверждается пока.
> А чего-то «давить» сами начали: никто ничего не знает, только в теории, я лучше 99% населения. П**здец профи.
Я на вас не давил. Я написал, что беру на себя ответственность и рискую дать свою обозрительную трактовку, не запрещая никому обсуждать мою правоту. Вы же по сути предлагаете мне свернуть любую аргументированную дискуссию с вами только на том основании, что вы что-то там писали. И даже если вы написали КриптоАРМ, то это не означает, что вы лично когда-либо использовали его как субъект юридическизначимых отношений в электронной форме. И уж тем более я не говорил, что я лучше чем 99% населения.
> Я сам писал такие сервисы несколько лет назад, и они даже работали :)
Вы вполне могли и писать их. Однако из всего получается, что на тот момент у вас не возникало никакого вопроса о том, как это может работать без хранения приватного ключа пользователя, и что об этом будет думать сам пользователь )) А сейчас вы как бы нырнули в эту тему с другой стороны и переоткрыли её для себя, и повесили тут же к ней ярлык «кговавой гебни», которая хочет контролировать всё на свете )
> Чего? Вы считаете, что надо сертификат на данный момент проверять и всё?
Где я это написал? Я считаю, что если у меня есть документ, подписанный всеми сторонами, метка времени, подписанная третьей стороной, а также информация о том, что на момент времени, указанный в метке, сертификаты сторон действовали и не были отозванными, то всего этого мне достаточно, чтобы с увернностью ужасно близкой к 100% говорить о том, что документ подписан (и не был изменен после этого) всеми сторонами в указанное время, действительными сертификатами. Это и есть главная гарантия неотрекаемости.
> Вводят сущность, которой поручаются функции доверенной проверки подписей и выдачи квитанций о данной проверке.
Ещё раз. Для чего эта сущность применима на практике? Если вы посмотрите предлагаемую ст. 18.1, а то эта квитанция тоже должна быть подписана электронной подписью. Получается, что нужно опять привлекать доверенное третье лицо для проверки квитанции, чтобы получить квитанцию о проверки квитанции ) Это же рекурсия и бред.
Моё мнение, что самым важным является пункт а, части 1, ст. 18.1.
Если этот момент времени описать в терминах метки доверенного времени, то и получится то, о чем я пишу выше.
ystr
У меня уже голова кругом от ваших ответов. Вы что имели в виду, когда писали про OCSP? Вас в последней цитате смущает факт, что кроме проверки подписей доверенная сторона ещё и действительность сертификата проверяет или что? Как это «момент времени описать в терминах метки доверенного времени»?
ystr
Эй, «энтузиаст», ответьте на мои вопросы. Мне интересно что за каша у вас там в голове.
dmitrmax Автор
ФНС об этом уже несколько лет мечтает!
dmitrmax Автор
Когда физикам начнут выдавать электронные паспорта, там возможно придут к единому УЦ, но не на базе ФНС. А возможно нет.
playerro
Еще одна госмонополия? Спасибо, не надо
dmitrmax Автор
Вопрос на самом деле не такой простой. С одной стороны да. С другой стороны — вас же, наверное, не смущает, что у государства есть монополия на выдачу паспортов, водительских удостоверений и других документов. С третьей стороны, в каком-то виде госмонополия уже есть. Наверное, стоило бы добавить в пост (сейчас добавлю), что ещё в августе был принят закон, согласно которому совершать сделки с использованием ЭП по дефолту можно только, если сертификат ключа выдан УЦ Росреестра.