Код в мешке
249 subscribers
9.11K photos
1.6K videos
2.11K files
42.8K links
Код в мешке - про кодинг, и не только...
Это личная записная книжка

https://t.me/joinchat/AAAAAEIy6oGlr8oxqTMS5w
Download Telegram
Forwarded from Об ЭП и УЦ
Действительно, почему в Тензор записали два разных ключа двух разных ООО с разными директорами на один носитель (источник)
Косяки Нарушения Аналитического центра при выдаче сертификатов

Канал Об ЭП и УЦ нашел интересный случай:

"Добрый день, проясните ситуацию: с 01.01.2022 ЭЦП выдает ФНС или уполномоченные представители, тогда почему ООО Тензор выпускает ЭЦП для сдачи отчетов в ФНС в 2022г? На один рутокен должна быть записана подпись одного директора одного ООО или нескольких ООО где он директор - почему в ООО Тензор записали два разных ключа двух разных ООО с разными директорами на один носитель. С 01.01.2022 ЭЦП нельзя скопировать - по факту она чудесно копируется куда угодно (рутокен Сбис Лайт). Это все правомерно?"

Давайте посмотрим, сколько здесь допущено ошибок при выдаче сертификата?

Аналитический центр является доверенным лицом УЦ ФНС и размещает свои точки выдачи в офисах иных аккредитованных УЦ. Предположим, что офис Тензора - это именно такая точка выдача, внесенная во все нужные реестры и т.д. Заявитель не понял, что обслуживает его Аналитический центр. Скорее всего, точка выдачи не была должным образом оформлена, а может там вообще не было представителя Аналитического центра (нарушение №1).

На один носитель были записаны сертификаты разных компаний с разными ген директорами (нарушение №2).

Для записи ключа использовался носитель, предусматривающий возможность извлечения закрытого ключа, что не соответствует подходу ФНС (нарушение №3).

Кто выдавал сертификат (сотрудник Тензора или Аналитического цента) мы не знаем, но ответственность лежит на доверенном лице, а, значит, на Аналитическом центре (именно поэтому в заголовке нет Тензора😁).
Forwarded from Об ЭП и УЦ
Опубликована запись вебинара с участием начальника Управления электронного документооборота ФНС России Новикова Федора Вадимовича - Актуальные вопросы ЭДО: что ждать в 2022 году?
Программа мероприятия:
- Работа с ЭП в переходный период.
- Развитие сервиса по применению машиночитаемой доверенности.
- Эксперимент в сфере транспортных документов.
- Актуальные вопросы развития ЭДО.
Forwarded from Об ЭП и УЦ
Инструкции по настройке доверия к сертификатам подсистем и компонентов Единой государственной информационной системы в сфере здравоохранения, выданных НУЦ

С 06.04.2022 в подсистемах и компонентах ЕГИСЗ применяются TLS/SSL сертификаты, выданные Национальным удостоверяющим центром. Для браузеров (за исключением Яндекс Браузера и браузера Атом) необходимо выполнить инструкции по настройке доверия сертификатам, выпущенным НУЦ, размещенным по ссылке https://portal.egisz.rosminzdrav.ru/news/701

Проверить корректность выполнения инструкция по настройке доверия сертификатам можно по ссылке https://fias.egisz.rosminzdrav.ru/ и убедившись в отсутствии предупреждений.
Forwarded from Об ЭП и УЦ
Обращаем внимание, что авторы статьи https://portal.egisz.rosminzdrav.ru/news/701 не угадали с картинкой НУЦ. Размещенный логотип не имеет никакого отношения к НУЦ Минцифры России
Forwarded from Об ЭП и УЦ
На сайте Минцифры России опубликован Формат формы доверенности в электронной форме в машиночитаемом виде, разработанный ФНС России
Forwarded from Об ЭП и УЦ
О передаче сведений о МЧД в ИС ГУЦ

На конференции РусКрипто Минцифры был задан вопрос: «В чем цель передачи сведений о доверенностях в ИС ГУЦ, если это не обеспечивает ни проверку полномочий, ни проверку актуальности доверенности? Будет ли внесено соответствующее изменение в постановление о порядке предоставления МЧД и орг-тех требования, тем более, что норма появилась в актах без согласования с бизнес-сообществом».
Получен ответ: «Смысл примерно такой же, какой в направлении сведений о выданных сертификатах в ЕСИА. По выданным сертификатам мы отображаем эти сведения в личном кабинете клиентов. Если клиенту не известно о выданном ему сертификате, он может начать процедуру разбирательств. Здесь также, человек будет информирован о выданных доверенностях. После получения соответствующей информации в ГУЦ, данные направляются в ЕПГУ для отображения в личном кабинете».

Комментарии нашего канала.
Норма закона, согласно которой аккредитованный УЦ при выдаче квалифицированного сертификата направляет в ЕСИА сведения о лице, получившем квалифицированный сертификат, была введена в 63-ФЗ (часть 5 статьи 18) Федеральным законом от 12.03.2014 № 33-ФЗ.
Спустя год, 19.03.2015 Минкомсвязь (тогда ещё) опубликовала новость об обеспечении возможности аккредитованным УЦ вносить информацию в ЕСИА о выданных ими квалифицированных сертификатах посредством сервиса в СМЭВ 2.0
Более 4 лет УЦ (не все конечно) передавали сведения о сертификатах в ЕСИА, которые просто накапливались без дальнейшего использования.
Норма, что Правительство РФ устанавливает Требования к порядку предоставления владельцам квалифицированных сертификатов сведений о выданных им квалифицированных сертификатах с использованием ЕПГУ была внесена в 63-ФЗ только в 2019 году, знаменитым Федеральным законом от 27.12.2019 № 476-ФЗ.
Ещё спустя год появились сами Требования, они утверждены постановлением Правительства РФ от 28.12.2020 № 2309. При этом фактически сведения о выданных сертификатах стали доступны до подписания данного постановления, 15 сентября 2020 года об этом сообщил официальный канал Удостоверяющего центра Федерального казначейства и только 5 октября сайт Минцифры России.

К чему проведен этот анализ:
1. Сведения о выданных квалифицированных сертификатах до настоящего времени не учитывают их статус. Пример, на ваше имя выдан сертификат, УЦ его отозвал, информация о прекращении действия сертификата в личном кабинете не отобразится. В чем сложность проверять и отображать статус сертификатов по CRL из XML-представления головного УЦ – непонятно.
2. Сервис предоставления сведений о выданных пользователю квалифицированных сертификатах ЕСИА должен предоставлять наименования аккредитованных УЦ, номера выданных квалифицированных сертификатов, сроки их действия, а также идентификационные номера налогоплательщика владельцев соответствующих квалифицированных сертификатов.
Информация об ИНН отсутствует.
3. В настоящее время отсутствует норма о предоставлении с использованием ЕПГУ сведений о выданных машиночитаемых доверенностях.
4. Предоставление сведений о выданных МЧД без указания их статуса представляется некорректным.
Forwarded from Об ЭП и УЦ
Удостоверяющий центр ФНС России с 12.04.2022 осуществляет выдачу квалифицированных сертификатов со встроенной лицензией на КриптоПро CSP. Лицензия встроена в расширение сертификата "Ограниченная лицензия КРИПТО-ПРО" и предназначена для использования в рамках системы "Обеспечение пользователей УЦ ФНС России средствами электронной подписи". В расширении указано, что полный текст доступен по адресу https://www.nalog.gov.ru/rn77/related_activities/ucfns/distrib/ который в настоящее время открывается с 404 ошибкой.

Напомним, что владельцу квалифицированного сертификата со встроенной ограниченной лицензией предоставляется право на использование КриптоПро CSP на условиях простой неисключительной лицензии без ввода серийного номера. Срок действия такой лицензии ограничивается сроком действия квалифицированного сертификата.
Forwarded from Об ЭП и УЦ
Утвержденная Концепция перехода к предоставлению госуслуг в режиме 24/7 предусматривает до момента полного перехода к предоставлению госуслуг в непрерывном режиме возможность не только пройти в МФЦ регистрацию в ЕСИА и ЕБС, но и получить сертификат ключа проверки ЭП.
Forwarded from Об ЭП и УЦ
Опубликованы презентации конференции «Информационная безопасность банков»
Forwarded from Об ЭП и УЦ
Об идентификации, аутентификации и авторизации

Вчера на конференции в ходе 8 сессии по вопросам идентификации, аутентификации и применении ЭП между представителем одного из банков и одного из вендоров произошел небольшой спор по терминологии - что считать идентификацией и аутентификацией.

Представитель банка говорил об идентификации заявителя в контексте пункта 1 статьи 18 63-ФЗ, а представитель вендора в контексте сущности данных терминов.

Наш канал считает, что термин "идентификация" в 63-ФЗ используется некорректно, т.к. по факту осуществляется аутентификация заявителей.

Небольшая матчасть. В 149-ФЗ термины введены Федеральным законом от 29.12.2020 № 479-ФЗ:
21) идентификация - совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с уникальным обозначением (уникальными обозначениями) сведений о лице, необходимым для определения такого лица (далее - идентификатор);
22) аутентификация - совокупность мероприятий по проверке лица на принадлежность ему идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификатором (идентификаторами) посредством использования аутентифицирующего (аутентифицирующих) признака (признаков) в рамках процедуры аутентификации, в результате чего лицо считается установленным.

А в 63-ФЗ термин идентификации введен на год раньше - Федеральным законом от 27.12.2019 № 476-ФЗ.
Далее обратимся к ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения":
Идентификация: Действия по присвоению субъектам и объектам доступа идентификаторов и/или по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Аутентификация: Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации.

Таким образом, идентификацией можно считать предположение о том, кем является заявитель, а аутентификация позволяет понять является ли истинной данное предположение.

Примеры из жизни, когда вы прикладываете свою банковскую карту к терминалу, вы как бы утверждаете, что являетесь тем человеком, чьё имя указано на карте (проходите идентификацию). Аутентификация же будет пройдена после ввода запрошенного системой pin-кода, этим вы доказываете, что являетесь действительно тем человеком, чьё имя указано на карте.

Когда в жизни мы показываем паспорт для проверки личности (например, когда едем в поезде) мы как-бы говорим, что паспорт подлинный и данные в нём верны. Контролер просто не может аутентифицировать документ не имея доступа к системам, позволяющим проверить его подлинность (УЦ такой доступ имеют, посредством сервиса МВД в СМЭВ). Для прохождения аутентификации (проверки истинности заявления об идентичности) всегда требуется предоставить фактор аутентификации - pin-код (что вы знаете), биометрию (кем вы являетесь), ключ электронной подписи (что у вас есть). Ещё аутентификацию называют многофакторной, если используется два и более факторов (например, биометрия и пароль от ЕСИА).

Аутентификация не определяет, что разрешено делать прошедшему её пользователю, за это отвечает - авторизация (санкционирование доступа): Предоставление субъекту доступа прав доступа, а также предоставление доступа в соответствии с установленными правилами управления доступом.
Forwarded from Об ЭП и УЦ
Согласно информации с сайта Минцифры России аккредитация удостоверяющего центра ФГБУ «Информационно-аналитический центр поддержки ГАС «Правосудие» (ФГБУ ИАЦ Судебного департамента) закончилась около года назад - 26.11.2020 (строка 106).
При этом данная организация в 2021 году осуществляла выдачу сертификатов ЭП судьям (1, 2).
Согласно Закону об электронной подписи - электронная подпись, сертификат которой выдан неаккредитованным удостоверяющим центром, не может считаться квалифицированной.
Forwarded from Об ЭП и УЦ
Некоторые судьи и в 2022 году продолжает использовать сертификаты [1, 2]:
а) выданные в 2021 году удостоверяющим центром без аккредитации;
б) даже если бы УЦ ФГБУ ИАЦ Судебного департамента в 2021 году имел аккредитацию, то сертификаты действовали до 01.01.2022 в силу в силу изменений, внесенных 476-ФЗ (квалифицированные сертификаты, выданные аккредитованными до дня вступления в силу настоящего Федерального закона (01.07.2020) удостоверяющими центрами, действуют до истечения срока, на который они выданы, но не более срока действия аккредитации выдавших их удостоверяющих центров либо не более чем до 1 января 2022 года).
Forwarded from Об ЭП и УЦ
Письмо ФНС России от 4 апреля 2022 г. N ЕА-3-26/3068@ с ответами на вопросы о порядке представления документов в налоговый орган, хранении документов бухгалтерского учета и применении электронной подписи
Forwarded from Об ЭП и УЦ
Удостоверяющий центр ФНС России с 12.04.2022 осуществляет выдачу квалифицированных сертификатов со встроенной лицензией на КриптоПро CSP. Лицензия встроена в расширение сертификата "Ограниченная лицензия КРИПТО-ПРО" и предназначена для использования в рамках системы "Обеспечение пользователей УЦ ФНС России средствами электронной подписи". В расширении указано, что полный текст доступен по адресу https://www.nalog.gov.ru/rn77/related_activities/ucfns/distrib/ который в настоящее время открывается с 404 ошибкой.

Напомним, что владельцу квалифицированного сертификата со встроенной ограниченной лицензией предоставляется право на использование КриптоПро CSP на условиях простой неисключительной лицензии без ввода серийного номера. Срок действия такой лицензии ограничивается сроком действия квалифицированного сертификата.
Forwarded from 𝚆𝚘𝚘𝚏𝚎𝚛
Доброго времени суток. Не знаю, помогут ли тут, но попытка не пытка. После обновления телеграм, не могу убрать эти кнопки. Занимают большой обьём экрана. Это у меня так, или у всех? И, если возможно, как это убрать?
P.S. Такое во всех ботах
Forwarded from Oleg
Админыыы срочно нужен тест драйв люблю критику @Subportbot