На текущей неделе истекла аккредитация УЦ Модум, 23.11.2023, как сообщают подписчики - голосование Правкомисии по нему проходило, но информация о протоколе на сайте Минцифры ещё не опубликована.
Чем интересен данный УЦ - на ноябрь 2023 им было выдано около 1,1 млн. сертификатов (прим. @ep_uc - срок действия сертификата 15 лет) для карт тахографов. Обязательность наличия квалифицированного сертификата в картах тахографа и блоках СКЗИ регламентируется приказом Минтранса от 28.10.2020 № 440. Карта водителя обеспечивает формирование в автоматическом режиме квалифицированной электронной подписи владельца карты для подписания информации, регистрируемой тахографами, перед передачей этой информации в информационную систему "Тахографический контроль" (вопросы при изготовлении карты тахографа с СКЗИ).
Также обращает внимание используемое средство УЦ, на которое истек срок действия сертификата соответствия ФСБ России, нового сертификата соответствия в реестре СЗИ нет.
Согласно части 5 ст. 17 63-ФЗ
Чем интересен данный УЦ - на ноябрь 2023 им было выдано около 1,1 млн. сертификатов (прим. @ep_uc - срок действия сертификата 15 лет) для карт тахографов. Обязательность наличия квалифицированного сертификата в картах тахографа и блоках СКЗИ регламентируется приказом Минтранса от 28.10.2020 № 440. Карта водителя обеспечивает формирование в автоматическом режиме квалифицированной электронной подписи владельца карты для подписания информации, регистрируемой тахографами, перед передачей этой информации в информационную систему "Тахографический контроль" (вопросы при изготовлении карты тахографа с СКЗИ).
Также обращает внимание используемое средство УЦ, на которое истек срок действия сертификата соответствия ФСБ России, нового сертификата соответствия в реестре СЗИ нет.
Согласно части 5 ст. 17 63-ФЗ
в случае аннулирования или досрочного прекращения действия квалифицированного сертификата, выданного аккредитованному удостоверяющему центру, выдавшему квалифицированный сертификат заявителю, либо в случае досрочного прекращения или истечения срока аккредитации удостоверяющего центра квалифицированный сертификат, выданный аккредитованным удостоверяющим центром заявителю, прекращает свое действие.
Судебная практика - если признать сертификат недействительным, то займ можно не платить
Очередное судебное решение, связанное с попыткой признать недействительной электронную подпись и квалифицированный сертификат.
Иск направлен на оспаривание электронной подписи под конкретным документом – договором займа. Ключ ЭП был созданной по технологии мобильной подписи.
23.12.2022 года в 16:30:59 УЦ был выдан квалифицированный сертификат. Сертификат установлен на мобильном устройстве с операционной системой «Андроид», зарегистрированное в системе с названием «Xiaomivayu_ru»
Несмотря на то, что ответчик даже подучил суд терминологии
- в решении всё равно ЭЦП.
Итог - в иске было отказано, на решение суда подана апелляционная жалоба.
Очередное судебное решение, связанное с попыткой признать недействительной электронную подпись и квалифицированный сертификат.
Истец осенью 2022 года в сети «Интернет» изучала информацию, касающуюся приобретения акций АО «Газпром». После этого ей на телефон через приложение «Ватсап» поступил звонок от неизвестного лица, представившегося брокером. С октября 2022 года она вступила в переписку с данным лицом, с его помощью приобрела несколько акций, получала доход. В дальнейшем это лицо предложило приобрести ещё акции, она согласилась, взяла кредиты в банках, денежные средства перечислила брокеру. Тот регулярно писал, предлагал вложить ещё больше, но поскольку достаточной суммы у неё у неё не было, брокер предложил ей получить займ у физического лица под залог дома. Она согласилась, получила от мужа доверенность для того, чтобы заложить дом. Через приложение «Ватсап» она получила какие-то документы, которые подписала, не читая, так как на тот момент плохо себя чувствовала. При этом истец не отрицала, что подписала заявление на изготовление сертификата ключа проверки электронной подписи с целью получения денежных средств под залог имущества.
Иск направлен на оспаривание электронной подписи под конкретным документом – договором займа. Ключ ЭП был созданной по технологии мобильной подписи.
23.12.2022 года в 16:30:59 УЦ был выдан квалифицированный сертификат. Сертификат установлен на мобильном устройстве с операционной системой «Андроид», зарегистрированное в системе с названием «Xiaomivayu_ru»
Несмотря на то, что ответчик даже подучил суд терминологии
Представитель ответчика возражал против удовлетворения исковых требований, объяснил, что УЦ не создавало и не могло создать электронную цифровую подпись на имя истца, поскольку электронная подпись формируется самим пользователем при подписании конкретного документа, а не изготавливается удостоверяющим центром на определённый период времени для последующего использования владельцем сертификата ключа проверки электронной подписи
- в решении всё равно ЭЦП.
Итог - в иске было отказано, на решение суда подана апелляционная жалоба.
Об ЭП и УЦ
ARB-letter-A23-01-5-501 27.10.2023.pdf
Внедрение МЧД в Росфинмониторинге (часть 3)
Круг замкнулся.
Письмо Банка России от 24.08.2023 № 46-4-4/3170:
Письмо Росфинмониторинга от 17.11.2023 № 01-01-39/28763:
Также из ответа Росфинмониторинга можно узнать, что данное ведомство:
🔹принимает МЧД, сформированные по Единой форме доверенности в версии формата 003 с актуальными полномочиями
🔹действующий перечень полномочий ведомства опубликован в Единой системе нормативной справочной информации. К использованию рекомендуются полномочия с кодами 1_RFM01, 1_RFM04, 1_RFM05, 1_RFM06, 1_RFM14
🔹формализованные электронные сообщения могут быть подписаны КЭП кредитной организации (прим. @ep_uc - автоподпись?), ее руководителя или работника, уполномоченного направлять сведения, у которого сертификат выдан на юрлицо с указанием физлица (до окончания срока его действия, но не позднее 31 августа 2024 г.)
🚀 Об ЭП и УЦ
Круг замкнулся.
Письмо Банка России от 24.08.2023 № 46-4-4/3170:
В связи с вышеизложенным по вопросам оформления МЧД для целей взаимодействия с информационными ресурсами Росфинмониторинга, включаю возможность использования формы Единого формата МЧД и срок публикации в классификаторе полномочий справочника полномочий для взаимодействия с Росфинмониторингом, необходимо обратиться в Росфинмониторинг.
Письмо Росфинмониторинга от 17.11.2023 № 01-01-39/28763:
В соответствии с пунктом 2 части 2 статьи 17.2 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» порядок представления машиночитаемой доверенности, подтверждающей полномочия физического лица действовать от имени кредитной организации, устанавливается Банком России.
На основании изложенного считаем, что вопросы порядка применения машиночитаемой доверенности при представлении сообщений находится в компетенции Банка России.
Также из ответа Росфинмониторинга можно узнать, что данное ведомство:
🔹принимает МЧД, сформированные по Единой форме доверенности в версии формата 003 с актуальными полномочиями
🔹действующий перечень полномочий ведомства опубликован в Единой системе нормативной справочной информации. К использованию рекомендуются полномочия с кодами 1_RFM01, 1_RFM04, 1_RFM05, 1_RFM06, 1_RFM14
🔹формализованные электронные сообщения могут быть подписаны КЭП кредитной организации (прим. @ep_uc - автоподпись?), ее руководителя или работника, уполномоченного направлять сведения, у которого сертификат выдан на юрлицо с указанием физлица (до окончания срока его действия, но не позднее 31 августа 2024 г.)
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Минцифры в 2017 году - Установление личности дистанционно в настоящее время, на наш взгляд, не представляется возможным и требует значительной проработки. Минцифры в 2020 году - Рекомендуем аккредитованным удостоверяющим центрам использовать способы идентификации…
Онлайн смена сертификатов
Продолжаем обсуждение темы онлайн смены сертификатов. Как по логике Минцифры (тогда ещё Минкомсвязи) функционал онлайн смены сертификатов должен был появиться, если был под запретом?
Минюстом России 17.12.2018 № 53026 был зарегистрирован приказ Минкомсвязи от 13.08.2018 № 397 "Об утверждении требований к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей", в котором появляется норма, что
397 приказ разделяет смену ключа ЭП и смену сертификата, предполагая разные заявления (63-ФЗ такого разделения не делает).
История подписания 397 приказа непростая т.к. проект его появился ещё в мае 2016 года. Сейчас данный приказ недействующий, утратил силу согласно постановлению Правительства от 04.08.2020 № 1169, в настоящее время действует 584 приказ.
Продолжаем обсуждение темы онлайн смены сертификатов. Как по логике Минцифры (тогда ещё Минкомсвязи) функционал онлайн смены сертификатов должен был появиться, если был под запретом?
Минюстом России 17.12.2018 № 53026 был зарегистрирован приказ Минкомсвязи от 13.08.2018 № 397 "Об утверждении требований к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей", в котором появляется норма, что
заявление на смену ключа электронной подписи владельца квалифицированного сертификата может быть создано в форме электронного документа, подписанного усиленной квалифицированной электронной подписью владельца квалифицированного сертификата, при этом в случае, если смена ключа электронной подписи владельца квалифицированного сертификата связана с нарушением его конфиденциальности или угрозой нарушения конфиденциальности, соответствующее заявление должно быть подписано иной усиленной квалифицированной электронной подписью владельца квалифицированного сертификатаи что
заявление на создание и выдачу квалифицированного сертификата может быть оформлено как на бумажном носителе, так и в форме электронного документа, подписанного усиленной квалифицированной электронной подписью(к слову, именно в 2018 году УЦ ФК предоставил своим клиентам такой функционал).
397 приказ разделяет смену ключа ЭП и смену сертификата, предполагая разные заявления (63-ФЗ такого разделения не делает).
История подписания 397 приказа непростая т.к. проект его появился ещё в мае 2016 года. Сейчас данный приказ недействующий, утратил силу согласно постановлению Правительства от 04.08.2020 № 1169, в настоящее время действует 584 приказ.
Услуга по выдаче сертификатов УЦ ФНС России в инспекциях или у доверенных лиц является бесплатной. Вам могут предложить купить дополнительно лицензию, ключевой носитель, но заявитель имеет полное право отказаться и обратиться со своим токеном.
Портал "Мой бизнес 33" считает по-другому, потому что бездумно копипастит из иного ресурса: свидетельство о постановке на учёт не требуется, на втором шаге откуда-то берется личный сертификат, только к третьему шагу вопросов нет - остальные написаны неправильно.
Портал "Мой бизнес 33" считает по-другому, потому что бездумно копипастит из иного ресурса: свидетельство о постановке на учёт не требуется, на втором шаге откуда-то берется личный сертификат, только к третьему шагу вопросов нет - остальные написаны неправильно.
Ряд госорганов столкнулись с проблемой, когда Минфин не согласовывает выделение дополнительных средств для развития своих информационных систем в части поддержки машиночитаемых доверенностей и иных доработок. Ответ Минфина простой - финансово-экономическое обоснование закона (476-ФЗ) не предполагало выделение дополнительных средств.
Госдума и Правительство перейдут на электронный документооборот
Проекты федеральных законов будут поступать от Правительства только в электронном виде (на дворе окончание 2023 года)
МЧД не забудут прикрепить, какие сейчас в классификаторе полномочия для внесения в Госдуму федеральных законов?
🤔💭
Проекты федеральных законов будут поступать от Правительства только в электронном виде (на дворе окончание 2023 года)
МЧД не забудут прикрепить, какие сейчас в классификаторе полномочия для внесения в Госдуму федеральных законов?
🤔💭
Государственная Дума
Государственная Дума и Правительство РФ перейдут на электронный документооборот
Новости. Государственная Дума и Правительство РФ перейдут на электронный документооборот.
Forwarded from УЦ ФК
Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации в соответствии с частью 5.1 статьи 16 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» для членов Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров, подготовлены материалы для рассмотрения вопроса об аккредитации удостоверяющего центра публично-правовой компании «Роскадастр».
Изменения в Положение о порядке ведения службой обеспечения деятельности финансового уполномоченного личного кабинета финансовой организации и личного кабинета потребителя финансовых услуг (утв. решением Совета Службы финансового уполномоченного от 21 сентября 2023 г. , протокол № 28):
🔹Если электронный документ подписан КЭП представителя финансовой организации по доверенности, то одновременно нужно представить доверенность в электронной форме в машиночитаемом виде и файл КЭП лица, подписавшего доверенность.
🔹МЧД должна содержать наименование полномочия "Направление электронного документа финансовому уполномоченному либо в АНО "СОДФУ" и не должна быть отозвана на момент подписания.
🔹До 31.08.2024 допустимо подписание электронного документа КЭП представителя финансовой организации с использованием сертификата ЮЛ без представления МЧД.
🔹Если электронный документ подписан КЭП представителя финансовой организации по доверенности, то одновременно нужно представить доверенность в электронной форме в машиночитаемом виде и файл КЭП лица, подписавшего доверенность.
🔹МЧД должна содержать наименование полномочия "Направление электронного документа финансовому уполномоченному либо в АНО "СОДФУ" и не должна быть отозвана на момент подписания.
🔹До 31.08.2024 допустимо подписание электронного документа КЭП представителя финансовой организации с использованием сертификата ЮЛ без представления МЧД.
Об ЭП и УЦ
Минцифры 3 ноября сообщило о запуске на Госуслугах сервиса проверки паспортов, может ли анонсированный сервис быть альтернативой сервису проверки по списку недействительных паспортов, который ранее был доступен на сайте МВД России? Да, сервис на сайте МВД…
Письмо Минцифры с напоминанием об альтернативах сервису МВД СМЭВ2 SID0003418 в СМЭВ4.
Например, "Сведения о действительности паспорта гражданина Российской Федерации, предъявленного на определённое имя"
Например, "Сведения о действительности паспорта гражданина Российской Федерации, предъявленного на определённое имя"
Forwarded from Пост Лукацкого
И потом не говорите, что это была недокументированная возможность 😎 Вас же заранее предупредили 🛠
ЗЫ. Спасибо подписчику, что обратил внимание
ЗЫ. Спасибо подписчику, что обратил внимание
Please open Telegram to view this post
VIEW IN TELEGRAM
Пост Лукацкого
И потом не говорите, что это была недокументированная возможность 😎 Вас же заранее предупредили 🛠 ЗЫ. Спасибо подписчику, что обратил внимание
А ведь это заразно... Обратите внимание на срок действия TLS-сертификата сайта. А когда ему ещё истечь, как не в Международный день защиты информации😜
Губернатор Петербурга рассказал о введении электронной подписи на выборах
На выборах в Петербурге в 2024 году будет впервые использована технология электронной подписи для избирателей, а также внедрены электронные списки избирателей. Об этом губернатор Александр Беглов рассказал в Таврическом дворце в ходе научно-практической конференции, посвященной 30-летию современной избирательной системы России.
Что тут можно сказать - стилусом в планшете будут расписываться? Какая будет значимость у этих наборов пикселей? Это не креатив, это называется другим словом.
На выборах в Петербурге в 2024 году будет впервые использована технология электронной подписи для избирателей, а также внедрены электронные списки избирателей. Об этом губернатор Александр Беглов рассказал в Таврическом дворце в ходе научно-практической конференции, посвященной 30-летию современной избирательной системы России.
«Мы впервые в Санкт-Петербурге вводим электронную подпись. Это тоже очень важно. Информационную систему, списки избирателей. Чтобы не ходить там по книжкам, а избиратель пришел, нашел себя, электронно подписал документ. Все комфортно. Как для пожилых людей, так и для молодежи. Она любит какие-то креативные вещи — и мы всячески предоставим»
Что тут можно сказать - стилусом в планшете будут расписываться? Какая будет значимость у этих наборов пикселей? Это не креатив, это называется другим словом.
Сенаторы предложили резко поднять штрафы в сфере безопасности переводов (РБК)
Их не устраивает, что банки ограничиваются кодами в СМС и push-уведомлениях.
Согласно указанию Банка России от 18 февраля 2022 года (6071-У), которое вносит изменение в положение ЦБ о требованиях в целях защиты информации для борьбы с денежными переводами без согласия клиента, банки должны обеспечить целостность онлайн-операций и подтвердить их составление клиентом с помощью средств криптографической защиты либо усиленной квалифицированной или неквалифицированной подписи.
Получаем 3 варианта - СКЗИ с имитозащитой, НЭП и КЭП. Про имитозащиту ранее была информация - см. 1, 2.
НЭП - может быть "облачная", мобильная, сертификат может быть выдан банком в мобильном приложении, проще КЭП.
КЭП - здесь сложнее, "облаков" быть не может, поэтому либо мобильная, либо токен (c NFC). Но далеко не каждый банк является АУЦ (в стране 324 банка на 01.11.2023, аккредитованными УЦ являются 9), поэтому не сможет выдать своему клиенту квалифицированный сертификатов.
Кажется предпочтительной именно "облачная" НЭП по примеру реализации, как в личном кабинете налогоплательщика. Мнение автора канала может не совпадать с мнением сенаторов или банков😄
Их не устраивает, что банки ограничиваются кодами в СМС и push-уведомлениях.
Согласно указанию Банка России от 18 февраля 2022 года (6071-У), которое вносит изменение в положение ЦБ о требованиях в целях защиты информации для борьбы с денежными переводами без согласия клиента, банки должны обеспечить целостность онлайн-операций и подтвердить их составление клиентом с помощью средств криптографической защиты либо усиленной квалифицированной или неквалифицированной подписи.
Получаем 3 варианта - СКЗИ с имитозащитой, НЭП и КЭП. Про имитозащиту ранее была информация - см. 1, 2.
НЭП - может быть "облачная", мобильная, сертификат может быть выдан банком в мобильном приложении, проще КЭП.
КЭП - здесь сложнее, "облаков" быть не может, поэтому либо мобильная, либо токен (c NFC). Но далеко не каждый банк является АУЦ (в стране 324 банка на 01.11.2023, аккредитованными УЦ являются 9), поэтому не сможет выдать своему клиенту квалифицированный сертификатов.
Кажется предпочтительной именно "облачная" НЭП по примеру реализации, как в личном кабинете налогоплательщика. Мнение автора канала может не совпадать с мнением сенаторов или банков😄
Об ЭП и УЦ
Мобильная электронная подпись Хочется напомнить, что 1 декабря в 11.00 состоится онлайн-конференция на тему мобильной электронной подписи. Спикеры определены, общение обещает быть интересным. Участие бесплатное, регистрация по ссылке
Мобильная электронная подпись
📣 Ссылка на сегодняшнюю трансляцию https://live.anti-malware.ru/transliatsii/lkopo90/
Please open Telegram to view this post
VIEW IN TELEGRAM
AM Live
Мобильная электронная подпись - AM Live
Previous Next
Бюджет Москвы подписан неквалифицированным сертификатом
Акцент на электронной подписи сделан такой, будто всех москвичей обеспечили квалифицированными сертификатами.
Файл с электронной подписью не мог пройти мимо проверки нашим каналом. По факту подписей там две - CAdES-BES с кодировкой Base64, присоединенная
и встроенная PAdES.
Для подписания использован сертификат автоподписи информационный системы, выданный на ДИТ Москвы (это отдельное ЮЛ)
Что только в этот сертификат не включили...
Но вопрос не к сертификату, а к ключу ЭП, который при созданием запроса был сформирован с использованием несертифицированной промежуточной сборки КриптоПро 5.0 R3
Самой новой сертифицированной сборкой на данный момент является 5.0 R2 с номером 5.0.12000, для R3 сертифицированной сборки ещё нет (предположительно это будет 5.0.13000)
▫️подписан закон о бюджете Москвы на 2024 год и плановый период 2025-2026 годов. Документ, подписанный электронной подписью, опубликован на
официальном сайте мэра и правительства города
Акцент на электронной подписи сделан такой, будто всех москвичей обеспечили квалифицированными сертификатами.
Файл с электронной подписью не мог пройти мимо проверки нашим каналом. По факту подписей там две - CAdES-BES с кодировкой Base64, присоединенная
и встроенная PAdES.
Для подписания использован сертификат автоподписи информационный системы, выданный на ДИТ Москвы (это отдельное ЮЛ)
CN = ДЕПАРТАМЕНТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ГОРОДА МОСКВЫ
E =
lagodenkoay@it.mos.ru
ИНН ЮЛ = 7710878000
ОГРН = 1107746943347
O = ДЕПАРТАМЕНТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ГОРОДА МОСКВЫ
L = Москва
STREET = 1-Красногвардейский проезд, д. 21, стр. 1
S = г. Москва
C = RU
Что только в этот сертификат не включили...
Проверка подлинности сервера (1.3.6.1.5.5.7.3.1)
Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
Подписывание кода (1.3.6.1.5.5.7.3.3)
Установка отметки времени (1.3.6.1.5.5.7.3.8)
Неизвестное использование ключа (1.2.643.3.251.5.1)
Но вопрос не к сертификату, а к ключу ЭП, который при созданием запроса был сформирован с использованием несертифицированной промежуточной сборки КриптоПро 5.0 R3
Средство электронной подписи: КриптоПро CSP (5.0.12330)
Самой новой сертифицированной сборкой на данный момент является 5.0 R2 с номером 5.0.12000, для R3 сертифицированной сборки ещё нет (предположительно это будет 5.0.13000)
За Токен "Да"
Немного юмора, а то прошлый пост оказался слишком серьёзным.
Со своими ключами ЭП
Делаю что хочу
Нужно отправить отчетность
С токена извлечу
Кто Госключ не любит
Я вас не слышу
Решаю проблемы сама
И в чат не пишу
Этот телефон мне муж купил,
этот загран мне муж купил,
учетку Госуслуг мне муж купил,
муж купил и Госключ установил
Я сертификат не получу,
но за токен да
Я счёт не открою, но за токен да
Я подумаю про Госключ и скажу токену да
За токен да, за токен да, за токен да
Немного юмора, а то прошлый пост оказался слишком серьёзным.
Со своими ключами ЭП
Делаю что хочу
Нужно отправить отчетность
С токена извлечу
Кто Госключ не любит
Я вас не слышу
Решаю проблемы сама
И в чат не пишу
Этот телефон мне муж купил,
этот загран мне муж купил,
учетку Госуслуг мне муж купил,
муж купил и Госключ установил
Я сертификат не получу,
но за токен да
Я счёт не открою, но за токен да
Я подумаю про Госключ и скажу токену да
За токен да, за токен да, за токен да