Сегодня Алексей Викторович решил поднять наши ежедневные грешные вопросы насчет СКЗИ🤠
Что обращает на себя внимание в прикрепленной картинке:
🔹для чего-то указана конкретная сборка 5.0.12922, которая никогда не анонсировалась, всегда была в статусе релиз-кандидата (кстати, есть основания полагать, что сертифицированная сборка 5.0 R3 получит номер 5.0.13000)
🔹для всех сборок КриптоПро CSP 5.0 подойдет одна лицензия (серийный номер начинается на 50)
🔹сам по себе серийный номер - набор цифр, единицей поэкземплярного учета СКЗИ не является (здесь меня не переубедить, смотрим 152-ФАПСИ)
P.S. Пиратство - плохо. Приобретайте лицензии у официальных дилеров.
Но куда интереснее кейсы, когда в интернет-магазинах продают настоящее СКЗИ, сертифицированное ФСБ России.
Что обращает на себя внимание в прикрепленной картинке:
🔹для чего-то указана конкретная сборка 5.0.12922, которая никогда не анонсировалась, всегда была в статусе релиз-кандидата (кстати, есть основания полагать, что сертифицированная сборка 5.0 R3 получит номер 5.0.13000)
🔹для всех сборок КриптоПро CSP 5.0 подойдет одна лицензия (серийный номер начинается на 50)
🔹сам по себе серийный номер - набор цифр, единицей поэкземплярного учета СКЗИ не является (здесь меня не переубедить, смотрим 152-ФАПСИ)
P.S. Пиратство - плохо. Приобретайте лицензии у официальных дилеров.
Но куда интереснее кейсы, когда в интернет-магазинах продают настоящее СКЗИ, сертифицированное ФСБ России.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Как проявляется ошибка
🔹при входе в ЛК ЮЛ ошибка - "Неверно установлена категория сертификата при генерации сертификата в удостоверяющем центре. Для исправления категории Вам необходимо обратиться в службу технической поддержки Рутокен", при попытке входа в раздел "Маркировка табака" системы "Честный знак" не отображается для выбора сертификат (при этом, Рутокен подключен, отображается в "Панели управления Рутокен" и работает в других системах, например, в ЕГАИС).
Причина ошибки
🔹при использовании неизвлекаемых ключей (стандарт PKCS#11) на Рутокен ЭЦП 2.0/3.0 функционал данных систем после обновления стал проверять категорию сертификата
Что за категория сертификата
🔹Согласно PKCS#11 в сертификате могут быть установлены следующие категории:
- UNSPECIFIED (не установлена),
- TOKEN_USER (сертификат принадлежит владельцу токена),
- AUTHORITY (сертификат принадлежит центру сертификации),
- OTHER_ENTITY (другое назначение).
Категория устанавливается УЦ в момент создания сертификата. При использовании неизвлекаемых ключей PKCS#11 категория должна быть TOKEN_USER, но УЦ категория устанавливалась некорректно как UNSPECIFIED.
Что нужно сделать, чтобы исправить
🔹самостоятельно поменять категорию в сертификате на TOKEN_USER согласно инструкции.
Please open Telegram to view this post
VIEW IN TELEGRAM
О проекте изменений Технических требований к взаимодействию информационных систем в СМЭВ
Проект соответствующего приказа разработан Минцифры России и вносит изменения в приказ от 23.06.2015 № 210:
🔹Технические требования планируется утвердить в новой редакции.
🔹Входящие электронные сообщения проходят контроль в следующем порядке:
- проверка электронной подписи;
- формально-логическая проверка электронного сообщения.
🔹Проверка ЭП электронного сообщения осуществляется операторами информационных систем, подключенных к СМЭВ.
🔹Проверка ЭП в электронных сообщениях производится на предмет корректности значений ЭП и на предмет действительности соответствующих сертификатов ключей проверки ЭП.
🔹Электронные сообщения, проверка ЭП которых дала положительный результат, подвергаются формально-логической проверке значений реквизитов электронного сообщения.
🔹Ответственным за правомерность использования ЭП является участник взаимодействия, отправивший электронное сообщение - НИКАКИХ МЧД.
🔹Условные три вида ЭП:
- ЭП-СМЭВ: электронная подпись, формируемая в системе взаимодействия при обработке электронных сообщений, передаваемых через систему взаимодействия;
- ЭП-ОВ: электронная подпись, формируемая от имени органа власти, участвующего в межведомственном взаимодействии;
- ЭП-СП: электронная подпись, формируемая должностным лицом органа власти, участвующего в межведомственном взаимодействии, или ЭП, формируемая заявителем (индивидуальным предпринимателем или руководителем юридического лица) на едином портале при подаче заявления на получение государственной услуги в электронном виде.
🔹ЭП-СП должна обязательно содержать ОГРН органа власти🤬
Структура сертификата должностного лица, выдаваемого УЦ ФК, не содержит ОГРН органа власти.
Проект соответствующего приказа разработан Минцифры России и вносит изменения в приказ от 23.06.2015 № 210:
🔹Технические требования планируется утвердить в новой редакции.
🔹Входящие электронные сообщения проходят контроль в следующем порядке:
- проверка электронной подписи;
- формально-логическая проверка электронного сообщения.
🔹Проверка ЭП электронного сообщения осуществляется операторами информационных систем, подключенных к СМЭВ.
🔹Проверка ЭП в электронных сообщениях производится на предмет корректности значений ЭП и на предмет действительности соответствующих сертификатов ключей проверки ЭП.
🔹Электронные сообщения, проверка ЭП которых дала положительный результат, подвергаются формально-логической проверке значений реквизитов электронного сообщения.
🔹Ответственным за правомерность использования ЭП является участник взаимодействия, отправивший электронное сообщение - НИКАКИХ МЧД.
🔹Условные три вида ЭП:
- ЭП-СМЭВ: электронная подпись, формируемая в системе взаимодействия при обработке электронных сообщений, передаваемых через систему взаимодействия;
- ЭП-ОВ: электронная подпись, формируемая от имени органа власти, участвующего в межведомственном взаимодействии;
- ЭП-СП: электронная подпись, формируемая должностным лицом органа власти, участвующего в межведомственном взаимодействии, или ЭП, формируемая заявителем (индивидуальным предпринимателем или руководителем юридического лица) на едином портале при подаче заявления на получение государственной услуги в электронном виде.
🔹ЭП-СП должна обязательно содержать ОГРН органа власти
Структура сертификата должностного лица, выдаваемого УЦ ФК, не содержит ОГРН органа власти.
Please open Telegram to view this post
VIEW IN TELEGRAM
Полномочия МЧД, к которым применимы ограничения
Минцифры спустя 2 месяца после создания справочника с ограничениями добавило в него первые 30 записей
Минцифры спустя 2 месяца после создания справочника с ограничениями добавило в него первые 30 записей
Расширение использования НЭП
Правительством обсуждаются предложения по внесению изменений в Федеральный закон № 63-ФЗ, предусматривающих исключение положений, ограничивающих возможность применения ЮЛ и ИП неквалифицированной электронной подписи при обращении за получением госуслуг.
🚀 Об ЭП и УЦ
Правительством обсуждаются предложения по внесению изменений в Федеральный закон № 63-ФЗ, предусматривающих исключение положений, ограничивающих возможность применения ЮЛ и ИП неквалифицированной электронной подписи при обращении за получением госуслуг.
Please open Telegram to view this post
VIEW IN TELEGRAM
Анализ средств УЦ
Анализ используемых аккредитованными УЦ средств УЦ показывает следующее:
🔹для создания квалифицированных сертификатов используются 7 разных средств УЦ;
🔹подавляющее большинство УЦ (78%) использует КриптоПро УЦ, на втором месте ViPNet с 9 %;
🔹4 УЦ используют средства представленные в единичном экземпляре (больше их никто не использует);
🔹2/3 УЦ используют средства класса КС2, 1/3 - КС3.
🚀 Об ЭП и УЦ
Анализ используемых аккредитованными УЦ средств УЦ показывает следующее:
🔹для создания квалифицированных сертификатов используются 7 разных средств УЦ;
🔹подавляющее большинство УЦ (78%) использует КриптоПро УЦ, на втором месте ViPNet с 9 %;
🔹4 УЦ используют средства представленные в единичном экземпляре (больше их никто не использует);
🔹2/3 УЦ используют средства класса КС2, 1/3 - КС3.
Please open Telegram to view this post
VIEW IN TELEGRAM
История новая, судебная практика старая
Самое интересное, что к ИП, который передал свой ключ ЭП вопросов нет. Юристы скажут, что удостоверяющий центр виноват (а может и доверенное лицо, через которое было получен данный сертификат)
Установлено, что осужденная с мая 2021 года по июнь прошлого года работала бухгалтером у индивидуального предпринимателя. С помощью USB-ключей электронной подписи она незаконно подавала в банк электронные ведомости о выплатах. Таким образом она получила 800 тысяч рублей.
Самое интересное, что к ИП, который передал свой ключ ЭП вопросов нет. Юристы скажут, что удостоверяющий центр виноват (а может и доверенное лицо, через которое было получен данный сертификат)
Минцифры в 2017 году -
Минцифры в 2020 году -
А что изменилось для УЦ, ведь ни в 2017 году ни в мае 2020 действующей нормы 63-ФЗ ещё не было? Как по логике регулятора функционал онлайн смены сертификатов должен был появиться, если был под запретом? Последние годы получаю квалифицированные сертификаты только в онлайн режиме, в 2023 году сложно представить УЦ, который не предоставляет для своих клиентов такой функционал.
Установление личности дистанционно в настоящее время, на наш взгляд, не представляется возможным и требует значительной проработки.
Минцифры в 2020 году -
Рекомендуем аккредитованным удостоверяющим центрам использовать способы идентификации клиентов, которые позволят выдавать электронную подпись удаленно.
А что изменилось для УЦ, ведь ни в 2017 году ни в мае 2020 действующей нормы 63-ФЗ ещё не было? Как по логике регулятора функционал онлайн смены сертификатов должен был появиться, если был под запретом? Последние годы получаю квалифицированные сертификаты только в онлайн режиме, в 2023 году сложно представить УЦ, который не предоставляет для своих клиентов такой функционал.
Росреестр и ошибка при загрузке архивов с электронной подписью
Росреестр сообщает об ошибке при загрузке в ФГИС ЕГРН обращений в виде файла-архива, содержащего внутри себя еще один файл архива и файл электронной подписи этого архива. Ошибка преимущественно встречается в обращениях, содержащих технический или межевой план.
Росреестр сообщает об ошибке при загрузке в ФГИС ЕГРН обращений в виде файла-архива, содержащего внутри себя еще один файл архива и файл электронной подписи этого архива. Ошибка преимущественно встречается в обращениях, содержащих технический или межевой план.
Please open Telegram to view this post
VIEW IN TELEGRAM
О взаимном признании электронной подписи государствами ЕАЭС
На уходящей неделе Советом Федерации был одобрен законопроект "О ратификации Протокола о внесении изменений в Договор о Евразийском экономическом союзе от 29 мая 2014 года", устанавливающий для участия в закупках взаимное признание электронных подписей, созданных в соответствии с законодательством одного из государств. Правила взаимного признания определяются Советом ЕЭК.
На уходящей неделе Советом Федерации был одобрен законопроект "О ратификации Протокола о внесении изменений в Договор о Евразийском экономическом союзе от 29 мая 2014 года", устанавливающий для участия в закупках взаимное признание электронных подписей, созданных в соответствии с законодательством одного из государств. Правила взаимного признания определяются Советом ЕЭК.
Forwarded from ГИС ЕИС ЗАКУПКИ
Как сформировать машиночитаемую доверенность в ГИС ЕИС ЗАКУПКИ?
Формирование машиночитаемой доверенности (далее - МЧД) в ГИС ЕИС ЗАКУПКИ доступно пользователям с полномочиями: «Руководитель» и «Лицо, уполномоченное руководителем на определение лиц и действий, осуществляемых такими лицами от имени организации в ЕИС и на ЭТП (Администратор организации)» с правом передоверия.
Для этого необходимо:
Особенности формирования МЧД в ГИС ЕИС ЗАКУПКИ различаются в зависимости от личного кабинета, в котором такая МЧД формируется.
#ЧЗВ #МЧД
@gis_eiszakupki
Please open Telegram to view this post
VIEW IN TELEGRAM
На текущей неделе истекла аккредитация УЦ Модум, 23.11.2023, как сообщают подписчики - голосование Правкомисии по нему проходило, но информация о протоколе на сайте Минцифры ещё не опубликована.
Чем интересен данный УЦ - на ноябрь 2023 им было выдано около 1,1 млн. сертификатов (прим. @ep_uc - срок действия сертификата 15 лет) для карт тахографов. Обязательность наличия квалифицированного сертификата в картах тахографа и блоках СКЗИ регламентируется приказом Минтранса от 28.10.2020 № 440. Карта водителя обеспечивает формирование в автоматическом режиме квалифицированной электронной подписи владельца карты для подписания информации, регистрируемой тахографами, перед передачей этой информации в информационную систему "Тахографический контроль" (вопросы при изготовлении карты тахографа с СКЗИ).
Также обращает внимание используемое средство УЦ, на которое истек срок действия сертификата соответствия ФСБ России, нового сертификата соответствия в реестре СЗИ нет.
Согласно части 5 ст. 17 63-ФЗ
Чем интересен данный УЦ - на ноябрь 2023 им было выдано около 1,1 млн. сертификатов (прим. @ep_uc - срок действия сертификата 15 лет) для карт тахографов. Обязательность наличия квалифицированного сертификата в картах тахографа и блоках СКЗИ регламентируется приказом Минтранса от 28.10.2020 № 440. Карта водителя обеспечивает формирование в автоматическом режиме квалифицированной электронной подписи владельца карты для подписания информации, регистрируемой тахографами, перед передачей этой информации в информационную систему "Тахографический контроль" (вопросы при изготовлении карты тахографа с СКЗИ).
Также обращает внимание используемое средство УЦ, на которое истек срок действия сертификата соответствия ФСБ России, нового сертификата соответствия в реестре СЗИ нет.
Согласно части 5 ст. 17 63-ФЗ
в случае аннулирования или досрочного прекращения действия квалифицированного сертификата, выданного аккредитованному удостоверяющему центру, выдавшему квалифицированный сертификат заявителю, либо в случае досрочного прекращения или истечения срока аккредитации удостоверяющего центра квалифицированный сертификат, выданный аккредитованным удостоверяющим центром заявителю, прекращает свое действие.
Судебная практика - если признать сертификат недействительным, то займ можно не платить
Очередное судебное решение, связанное с попыткой признать недействительной электронную подпись и квалифицированный сертификат.
Иск направлен на оспаривание электронной подписи под конкретным документом – договором займа. Ключ ЭП был созданной по технологии мобильной подписи.
23.12.2022 года в 16:30:59 УЦ был выдан квалифицированный сертификат. Сертификат установлен на мобильном устройстве с операционной системой «Андроид», зарегистрированное в системе с названием «Xiaomivayu_ru»
Несмотря на то, что ответчик даже подучил суд терминологии
- в решении всё равно ЭЦП.
Итог - в иске было отказано, на решение суда подана апелляционная жалоба.
Очередное судебное решение, связанное с попыткой признать недействительной электронную подпись и квалифицированный сертификат.
Истец осенью 2022 года в сети «Интернет» изучала информацию, касающуюся приобретения акций АО «Газпром». После этого ей на телефон через приложение «Ватсап» поступил звонок от неизвестного лица, представившегося брокером. С октября 2022 года она вступила в переписку с данным лицом, с его помощью приобрела несколько акций, получала доход. В дальнейшем это лицо предложило приобрести ещё акции, она согласилась, взяла кредиты в банках, денежные средства перечислила брокеру. Тот регулярно писал, предлагал вложить ещё больше, но поскольку достаточной суммы у неё у неё не было, брокер предложил ей получить займ у физического лица под залог дома. Она согласилась, получила от мужа доверенность для того, чтобы заложить дом. Через приложение «Ватсап» она получила какие-то документы, которые подписала, не читая, так как на тот момент плохо себя чувствовала. При этом истец не отрицала, что подписала заявление на изготовление сертификата ключа проверки электронной подписи с целью получения денежных средств под залог имущества.
Иск направлен на оспаривание электронной подписи под конкретным документом – договором займа. Ключ ЭП был созданной по технологии мобильной подписи.
23.12.2022 года в 16:30:59 УЦ был выдан квалифицированный сертификат. Сертификат установлен на мобильном устройстве с операционной системой «Андроид», зарегистрированное в системе с названием «Xiaomivayu_ru»
Несмотря на то, что ответчик даже подучил суд терминологии
Представитель ответчика возражал против удовлетворения исковых требований, объяснил, что УЦ не создавало и не могло создать электронную цифровую подпись на имя истца, поскольку электронная подпись формируется самим пользователем при подписании конкретного документа, а не изготавливается удостоверяющим центром на определённый период времени для последующего использования владельцем сертификата ключа проверки электронной подписи
- в решении всё равно ЭЦП.
Итог - в иске было отказано, на решение суда подана апелляционная жалоба.
Об ЭП и УЦ
ARB-letter-A23-01-5-501 27.10.2023.pdf
Внедрение МЧД в Росфинмониторинге (часть 3)
Круг замкнулся.
Письмо Банка России от 24.08.2023 № 46-4-4/3170:
Письмо Росфинмониторинга от 17.11.2023 № 01-01-39/28763:
Также из ответа Росфинмониторинга можно узнать, что данное ведомство:
🔹принимает МЧД, сформированные по Единой форме доверенности в версии формата 003 с актуальными полномочиями
🔹действующий перечень полномочий ведомства опубликован в Единой системе нормативной справочной информации. К использованию рекомендуются полномочия с кодами 1_RFM01, 1_RFM04, 1_RFM05, 1_RFM06, 1_RFM14
🔹формализованные электронные сообщения могут быть подписаны КЭП кредитной организации (прим. @ep_uc - автоподпись?), ее руководителя или работника, уполномоченного направлять сведения, у которого сертификат выдан на юрлицо с указанием физлица (до окончания срока его действия, но не позднее 31 августа 2024 г.)
🚀 Об ЭП и УЦ
Круг замкнулся.
Письмо Банка России от 24.08.2023 № 46-4-4/3170:
В связи с вышеизложенным по вопросам оформления МЧД для целей взаимодействия с информационными ресурсами Росфинмониторинга, включаю возможность использования формы Единого формата МЧД и срок публикации в классификаторе полномочий справочника полномочий для взаимодействия с Росфинмониторингом, необходимо обратиться в Росфинмониторинг.
Письмо Росфинмониторинга от 17.11.2023 № 01-01-39/28763:
В соответствии с пунктом 2 части 2 статьи 17.2 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» порядок представления машиночитаемой доверенности, подтверждающей полномочия физического лица действовать от имени кредитной организации, устанавливается Банком России.
На основании изложенного считаем, что вопросы порядка применения машиночитаемой доверенности при представлении сообщений находится в компетенции Банка России.
Также из ответа Росфинмониторинга можно узнать, что данное ведомство:
🔹принимает МЧД, сформированные по Единой форме доверенности в версии формата 003 с актуальными полномочиями
🔹действующий перечень полномочий ведомства опубликован в Единой системе нормативной справочной информации. К использованию рекомендуются полномочия с кодами 1_RFM01, 1_RFM04, 1_RFM05, 1_RFM06, 1_RFM14
🔹формализованные электронные сообщения могут быть подписаны КЭП кредитной организации (прим. @ep_uc - автоподпись?), ее руководителя или работника, уполномоченного направлять сведения, у которого сертификат выдан на юрлицо с указанием физлица (до окончания срока его действия, но не позднее 31 августа 2024 г.)
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Минцифры в 2017 году - Установление личности дистанционно в настоящее время, на наш взгляд, не представляется возможным и требует значительной проработки. Минцифры в 2020 году - Рекомендуем аккредитованным удостоверяющим центрам использовать способы идентификации…
Онлайн смена сертификатов
Продолжаем обсуждение темы онлайн смены сертификатов. Как по логике Минцифры (тогда ещё Минкомсвязи) функционал онлайн смены сертификатов должен был появиться, если был под запретом?
Минюстом России 17.12.2018 № 53026 был зарегистрирован приказ Минкомсвязи от 13.08.2018 № 397 "Об утверждении требований к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей", в котором появляется норма, что
397 приказ разделяет смену ключа ЭП и смену сертификата, предполагая разные заявления (63-ФЗ такого разделения не делает).
История подписания 397 приказа непростая т.к. проект его появился ещё в мае 2016 года. Сейчас данный приказ недействующий, утратил силу согласно постановлению Правительства от 04.08.2020 № 1169, в настоящее время действует 584 приказ.
Продолжаем обсуждение темы онлайн смены сертификатов. Как по логике Минцифры (тогда ещё Минкомсвязи) функционал онлайн смены сертификатов должен был появиться, если был под запретом?
Минюстом России 17.12.2018 № 53026 был зарегистрирован приказ Минкомсвязи от 13.08.2018 № 397 "Об утверждении требований к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей", в котором появляется норма, что
заявление на смену ключа электронной подписи владельца квалифицированного сертификата может быть создано в форме электронного документа, подписанного усиленной квалифицированной электронной подписью владельца квалифицированного сертификата, при этом в случае, если смена ключа электронной подписи владельца квалифицированного сертификата связана с нарушением его конфиденциальности или угрозой нарушения конфиденциальности, соответствующее заявление должно быть подписано иной усиленной квалифицированной электронной подписью владельца квалифицированного сертификатаи что
заявление на создание и выдачу квалифицированного сертификата может быть оформлено как на бумажном носителе, так и в форме электронного документа, подписанного усиленной квалифицированной электронной подписью(к слову, именно в 2018 году УЦ ФК предоставил своим клиентам такой функционал).
397 приказ разделяет смену ключа ЭП и смену сертификата, предполагая разные заявления (63-ФЗ такого разделения не делает).
История подписания 397 приказа непростая т.к. проект его появился ещё в мае 2016 года. Сейчас данный приказ недействующий, утратил силу согласно постановлению Правительства от 04.08.2020 № 1169, в настоящее время действует 584 приказ.
Услуга по выдаче сертификатов УЦ ФНС России в инспекциях или у доверенных лиц является бесплатной. Вам могут предложить купить дополнительно лицензию, ключевой носитель, но заявитель имеет полное право отказаться и обратиться со своим токеном.
Портал "Мой бизнес 33" считает по-другому, потому что бездумно копипастит из иного ресурса: свидетельство о постановке на учёт не требуется, на втором шаге откуда-то берется личный сертификат, только к третьему шагу вопросов нет - остальные написаны неправильно.
Портал "Мой бизнес 33" считает по-другому, потому что бездумно копипастит из иного ресурса: свидетельство о постановке на учёт не требуется, на втором шаге откуда-то берется личный сертификат, только к третьему шагу вопросов нет - остальные написаны неправильно.
Ряд госорганов столкнулись с проблемой, когда Минфин не согласовывает выделение дополнительных средств для развития своих информационных систем в части поддержки машиночитаемых доверенностей и иных доработок. Ответ Минфина простой - финансово-экономическое обоснование закона (476-ФЗ) не предполагало выделение дополнительных средств.