За полтора месяца до окончания года остаются непринятыми 5 НПА для реализации норм Федерального закона от 27 декабря 2019 г. № 476-ФЗ:
- 4 постановления Правительства РФ;
- 1 приказ ФСБ России (проект приказа для общественного обсуждения ещё не выкладывался).

Менее месяца остается до окончания срока по исполнению Минцифры России поручения протокола совещания у Заместителя Председателя Правительства РФ от 11.10.2021, законопроект о внесении изменений до настоящего времени в Государственную Думу не внесен.

#эп #госдума #фз63 #ауц #всёпроэдо
(@edob2b)

Совещание в Думе по электронной подписи

Сегодня состоялось совещание в Думе с представителями органов власти и бизнеса по проблемам, связанным с применением электронных подписей.

Краткие итоги:

✔️Мнцифры подготовлен текст законопроекта, который все очень ждут. Напомним, там про перенос сроков и установление переходного периода для применения МЧД (с возможностью выдачи подписей на сотрудников компаний с указанием ИНН организациями аккредитованными удостоверяющими центрами до конца 2022 года), возможность передоверия и еще ряд нужных и важных уточнений. Сейчас проходят консультации по порядку внесения законопроекта в Думу. Учитывая очень сжатые сроки, единственный способ успеть принять изменения до конца года – внести в качестве поправок к уже рассматриваемому законопроекту.

✔️Бизнес в лице крупнейших банков (Сбер, ВТБ, Тинькофф) крайне заинтересован в расширении способов идентификации заявителей для получения неквалифицированных сертификатов подписей. После вступления в силу 476-ФЗ перечень способов идентификации будет серьезно ограничен. Особенно просят добавить возможность идентификации по действующему неквалифицированному сертификату и на основании документов, заверенных нотариусом. Минцифры при поддержке ФСБ отказывается рассматривать эти предложения, мотивируя тем, что ранее они обсуждались и отрицательное решение было принято.

✔️От Тинькофф прозвучало предложение уравнять в правах НЭП от банков (в случае, когда для получения сертификатов применяется ЕСИА) и НЭП «Госключа». Ожидаемо, это предложение поддержки от Минцифры не получило.

✔️По словам ФСБ, требования, необходимые для сертификации решений по работе с «облачной» электронной подписью, сейчас обсуждаются с широким кругом представителей специализированного бизнеса и скоро обязательно будут выпущены. Конкретных сроков названо не было.

Актуализировано руководство пользователя к сервису МВД в СМЭВ 3.0 "Сведения о действительности паспорта гражданина Российской Федерации, предъявленного на определённое имя".
Информация об изменениях не указана.

В контактных данных представителей разработчика формата вида сведений для обращения пользователей в случае возникновения вопросов указаны сведения о сотрудниках МВД России, которые уволились более года назад.

Как ранее писали - руководство пользователя к сервису МВД в СМЭВ 3.0 "Сведения о действительности паспорта гражданина Российской Федерации, предъявленного на определённое имя" в качестве потребителей рассматривает только ФОИВ, РОИВ и внебюджетные фонды, что не позволяет иным аккредитованным УЦ подключиться к данному сервису.

АО "РТ ЛАБС" - не является ФОИВ, РОИВ или внебюджетным фондом, но согласно справочной информации Ситуационного центра - доступ к данному сервису для указанного АО был предоставлен.

На PKI-Форуме 2021 рассматривались вопросы применения не только квалифицированной, но и неквалифицированной ЭП, например в рамках приложения "Госключ".
Если сфера использования КЭП (одних только подзаконников более 3 десятков) в стране в целом урегулирована, но про НЭП так не скажешь. Нет никакого учета и системы аккредитации УЦ, которые выдают неквалифицированные сертификаты, нет требований к неквалифицированному сертификату (например, как приказ 795-ФСБ для квалифицированных сертификатов), ввод в эксплуатацию сервиса СМЭВ "Проверка усиленной неквалифицированной электронной подписи" вызывает только вопросы. Как централизованно проверять НЭП, если нет единой цепочки проверки сертификатов? Каждый УЦ, который выдаёт неквалифицированные сертификаты, осуществляет это с использованием самоподписанного (корневого) неквалифицированного сертификата, а системы учета (по аналогии с https://e-trust.gosuslugi.ru/) таких сертификатов просто нет. Кроме того, согласно ч. 5 ст. 5 63-ФЗ при использовании НЭП сертификат может вообще не создаваться, если соответствие ЭП признакам НЭП может быть обеспечено без использования сертификата.

Вернемся к Госключу. Приложение "Госключ" позволяет получить неквалифицированный сертификат от неквалифицированного самоподписанного сертификата, в котором заполнено только два атрибута имени поля «subject»:
CN = Госуслуги. Неквалифицированная электронная подпись
C = RU.
Всё.

Т.к. Требования к форме неквалифицированного сертификата в виде подзаконного акта отсутствуют - должна применяться норма статьи 14 63-ФЗ, согласно которой сертификат ключа проверки электронной подписи должен содержать следующую информацию:
1) уникальный номер, даты начала и окончания срока действия такого сертификата;
2) фамилия, имя и отчество (если имеется) - для физических лиц, наименование и место нахождения - для юридических лиц или иная информация, позволяющая идентифицировать владельца сертификата ключа проверки электронной подписи;
3) уникальный ключ проверки электронной подписи;
4) наименование используемого средства электронной подписи и (или) стандарты, требованиям которых соответствуют ключ электронной подписи и ключ проверки электронной подписи;
5) наименование удостоверяющего центра, который выдал сертификат ключа проверки электронной подписи.

УЦ - "Госуслуги. Неквалифицированная электронная подпись"? Нет конечно.
Наименование и место нахождения - для юридических лиц: значение отсутствует. Таким образом, неквалифицированный сертификат Госключа не соответствует требованиям 63-ФЗ.

Корневой сертификат Госключа.

Получить неквалифицированный сертификат на основании заявления, подписанного НЭП, правильная идея. Иначе получаем коллизию - документы НЭП можно подписывать и они в соответствии с соглашениями будут приравнены к собственноручной подписи, а вот заявление для проведения плановой смены неквалифицированного сертификата - нельзя. Неправильно, когда для НЭП предъявляются требования, как к КЭП, поэтому способы удаленной идентификации при выпуске заявителям НЭП должны быть расширены. Но это же не "ковидные" сертификаты на 3 месяца выпускать.

Росреестр представил для общественного обсуждения проект федерального закона «О внесении изменений в Федеральный закон «О государственной регистрации недвижимости» и отдельные законодательные акты Российской Федерации», регламентирующий переход на электронный формат взаимодействия с МФЦ.

Согласно законопроекту планируется, что при подаче в МФЦ документы на бумажных носителях будут переводиться в электронную форму, подписываться КЭП и затем направляться в территориальные органы Росреестра уже в электронном виде по защищенным каналам. Бумажные документы будут возвращаться заявителю.

Госдума приняла закон об электронных кадровых документах

Электронный документооборот вошел в перечень инициатив социально-экономического развития Российской Федерации до 2030 года, утвержденный распоряжением Правительства РФ от 06.10.2021 № 2816-р.

Также в раздел "Цифровая трансформация" вошли инициативы: Доступ в Интернет, Цифровой профиль гражданина, Госуслуги онлайн и Подготовка кадров для ИТ. Минцифры России является уполномоченным органом, ответственным за реализацию данных инициатив.

Работникам УЦ или просто пользователям, которые до сих пор ищут отозванный сертификат в CRL через парсинг CRL в txt и последующему поиску проверяемого сертификата по серийному номеру, хочется подсказать использовать CryptExpert. Хорошо помню, когда ещё в 2018 в тематическом чате УЦ её автор представил первые версии программы-предшественника "ViewCRL" с единственным функционалом проверки CRL.

Более чем за 3 года написанная с энтузиазмом утилита превратилась в программу с широким функционалом для работы с электронной подписью (оценки влияния пока нет, но планируется), получила регистрацию в Едином Реестре российских программ.

В телеграм также есть группа с вопросами/предложениями к автору данной программы @cryptexpert

Кстати, указанная в посте проверка была выполнена с помощью CryptExpert

Кстати, сертификат, выданный ГУЦ для КГКУ "ИТЦ Приморского края", не соответствует требованиям 795 приказа ФСБ России с учётом вступивших с 01.09.2021 изменений.
Ни oid со способом идентификации, ни INNLE из 10 символов.

На официальном сайте Федерального казначейства размещены презентации, состоявшегося 9 ноября 2021 года совещания в формате ВКС. С ними можно ознакомиться по ссылке.

МВД России прорабатывается вопрос с Минцифры России о возможности продолжения функционирования электронных сервисов МВД России в СМЭВ версии 2 до второго квартала 2022 года.

На Портале ГУЦ реализован новый сервис - "Проверка неквалифицированной электронной подписи и сертификата", который позволяет проверить только НЭП, созданную в рамках эксперимента при предоставлении услуг и осуществлении иных действий с использованием ЕСИА (постановление Правительства РФ от 15.07.2021 № 1207), проще говоря НЭП, созданную в приложении "Госключ".

Таким образом, размещенный в прошлом месяце в СМЭВ 3 вид сведений "Проверка усиленной неквалифицированной электронной подписи" также будет проверять только НЭП "Госключа" ГОСТ Р 34.11-2012, но тестовые сценарии и эталонные по-прежнему некорректно описаны с использованием хэш-функции ГОСТ Р 34.11-94.

Про приложение "Госключ" и несоответствующую 63-ФЗ структуру корневого сертификата НЭП ранее было написано.

Пока одни ФОИВ прорабатывают возможность продолжения использования сервисов в СМЭВ 2, другие уже выводят из эксплуатации старые версии сервисов из СМЭВ 3.

ФНС России продлен срок функционирования старых видов сведений из ЕГРЮЛ и ЕГРИП до 01.04.2022 (после 01.04.2022 указанные виды сведений будут выведены из эксплуатации СМЭВ 3).
Пользователям данных видов сведений для подключения к новым видам сведений из ЕГРИП и ЕГРИЛ необходимо обеспечить своевременную доработку своих информационных систем.

Ещё одно наблюдение - отчет о проверке НЭП подписан с использованием КЭП, сертификат которой с неструктурированным именем "Модуль «Сервис проверки ЭП» ESV (Отчёты)" ‎19.05.‎2021 выдан ГУЦ.
Также имеется метка доверенного времени, сертификат которой "Сервис фиксации даты и времени ИС ГУЦ (TSA-02)" ‎05.03.‎2020 также выдан ГУЦ - при этом срок сертификата TSP всего 5 лет, как показывает практика для TSP стараются создавать сертификаты сроком действия не менее 15 лет.