Об ЭП и УЦ
Около 5 тысяч заявлений на отзыв квалифицированных сертификатов было направлено через личный кабинет Госуслуг в 2024 году. Из них 4,8 тыс. по сертификатам от ИИТ, 180 - Такском.
По итогам полугода количество заявлений на отзыв квалифицированных сертификатов, направленных через личный кабинет Госуслуг, составило 6 тыс. К сервису подключился третий УЦ - ТД Перекресток.
Статистика получается следующая:
🔹ИИТ - 5,7 тыс.
🔹Такском - 0,3 тыс.
🔹Перекресток - 14.
Статистика получается следующая:
🔹ИИТ - 5,7 тыс.
🔹Такском - 0,3 тыс.
🔹Перекресток - 14.
Очереди за ЭЦП
С 1 июля 2024 года индивидуальные предприниматели в Республике Беларусь обязаны представлять налоговые декларации только в электронном виде. Результатом данного нововведения стали очереди за сертификатами ЭЦП, поэтому Министерству по налогам и сборам пришлось прокомментировать ситуацию с очередями.
В отличие от нашей страны, где услуга по выдаче сертификата для ЮЛ/ИП является бесплатной, стоимость сертификата для бизнеса в Республике Беларусь составляет в переводе на российские рубли - 1900 руб., а с выдачей ключевого носителя - 4600 руб.
С 1 июля 2024 года индивидуальные предприниматели в Республике Беларусь обязаны представлять налоговые декларации только в электронном виде. Результатом данного нововведения стали очереди за сертификатами ЭЦП, поэтому Министерству по налогам и сборам пришлось прокомментировать ситуацию с очередями.
В отличие от нашей страны, где услуга по выдаче сертификата для ЮЛ/ИП является бесплатной, стоимость сертификата для бизнеса в Республике Беларусь составляет в переводе на российские рубли - 1900 руб., а с выдачей ключевого носителя - 4600 руб.
Электронное голосование в Москве и электронная подпись - что там не так
Решением Мосгоризбиркома утвержден Порядок электронного голосования. Согласно пункту 8.3 список участников электронного голосования заверяется электронными подписями председателя и секретаря. Можно подумать, что имеются в виду квалифицированные подписи (с ними ранее были проблемы - и бюджет и протокол голосования), но в основных понятиях под ЭП подразумевается НЭП.
А мы с вами знаем, что электронный документ, подписанный НЭП (или ПЭП), признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных:
🔹Федеральными законами;
🔹НПА, принимаемыми в соответствии с ФЗ;
🔹НПА Банка России ;
🔹Соглашениями между участниками электронного взаимодействия;
🔹Правилами платежных систем.
Такие НПА и соглашения должны предусматривать порядок проверки электронной подписи.
Является ли Порядок электронного голосования от Мосгоризбиркома нормативным правовым актом - вопрос к юристам. Но даже если является - порядок проверки НЭП данное решение не содержит.
Решением Мосгоризбиркома утвержден Порядок электронного голосования. Согласно пункту 8.3 список участников электронного голосования заверяется электронными подписями председателя и секретаря. Можно подумать, что имеются в виду квалифицированные подписи (с ними ранее были проблемы - и бюджет и протокол голосования), но в основных понятиях под ЭП подразумевается НЭП.
А мы с вами знаем, что электронный документ, подписанный НЭП (или ПЭП), признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных:
🔹Федеральными законами;
🔹НПА, принимаемыми в соответствии с ФЗ;
🔹НПА Банка России ;
🔹Соглашениями между участниками электронного взаимодействия;
🔹Правилами платежных систем.
Такие НПА и соглашения должны предусматривать порядок проверки электронной подписи.
Является ли Порядок электронного голосования от Мосгоризбиркома нормативным правовым актом - вопрос к юристам. Но даже если является - порядок проверки НЭП данное решение не содержит.
Электронная подпись никого НЕ оставляла без квартиры
Пять лет назад новость, что москвич лишился квартиры из-за электронной подписи получила широкое распространение. Началось с поста от 14.05.2019 в тогда ещё незапрещенной социальной сети, затем статья в Коммерсанте и новость в вечернем выпуске 16 мая на 1 канале стали драйверами для активного обсуждения. Отдельный пост был и в нашем канале.
Спустя 5 лет можно с уверенностью сказать, никакой электронной подписи там не было. Готов об этом поспорить с авторами данных статей, юристами и так называемыми экспертами, которые давали свои комментарии.
Давайте почитаем первоисточник:
Ни 5 лет назад, ни сейчас в личном кабинете Госуслуг нельзя "получить электронную подпись". В личном кабинете физ.лица на сайте ФНС России - можно, это будет неквалифицированный сертификат с использованием которого можно подписывать, например, заявление на предоставление налогового вычета. На Портале Госуслуг 5 лет назад нельзя ничего было получить, сейчас также нельзя (технологию мобильной подписи Госключа не рассматриваем, всё-таки для получения квалифицированного сертификата нужно пройти идентификацию предусмотренную 63-ФЗ).
Если бы электронная подпись действительно была, то Росреестру не составило бы труда предоставить это доказательство в суд, а также сведения о сертификате - когда и главное каким УЦ он был выдан. Но в решении суда нет информации об удостоверяющем центре, а ведь это самое важное в этом деле.
Новость на 1 канале называется "Лишиться квартиры и даже не сразу узнать об этом: афера с электронной подписью или сбой в системе", поэтому если электронной подписи не было, то остаётся второе - сбой в системе, в системе Росреестра.
Пять лет назад новость, что москвич лишился квартиры из-за электронной подписи получила широкое распространение. Началось с поста от 14.05.2019 в тогда ещё незапрещенной социальной сети, затем статья в Коммерсанте и новость в вечернем выпуске 16 мая на 1 канале стали драйверами для активного обсуждения. Отдельный пост был и в нашем канале.
Спустя 5 лет можно с уверенностью сказать, никакой электронной подписи там не было. Готов об этом поспорить с авторами данных статей, юристами и так называемыми экспертами, которые давали свои комментарии.
Давайте почитаем первоисточник:
Вы подписали сделку электронной подписью, полученной через личный кабинет на «госуслугах».
Ни 5 лет назад, ни сейчас в личном кабинете Госуслуг нельзя "получить электронную подпись". В личном кабинете физ.лица на сайте ФНС России - можно, это будет неквалифицированный сертификат с использованием которого можно подписывать, например, заявление на предоставление налогового вычета. На Портале Госуслуг 5 лет назад нельзя ничего было получить, сейчас также нельзя (технологию мобильной подписи Госключа не рассматриваем, всё-таки для получения квалифицированного сертификата нужно пройти идентификацию предусмотренную 63-ФЗ).
23.07 очередное заседание Бабушкинского районного суда продолжалось, примерно, пять минут. Судья констатировала, что @Росреестр так и не прислал затребованные документы (их ждут уже два месяца), что ответчик опять не явился (прислал письменные показания, но судья усомнилась в авторстве, хотя на прошлом заседании сама предложила этот вариант). Росреестр , видимо, совсем не заинтересован в рассмотрении дела, вот и тормозит документы
Если бы электронная подпись действительно была, то Росреестру не составило бы труда предоставить это доказательство в суд, а также сведения о сертификате - когда и главное каким УЦ он был выдан. Но в решении суда нет информации об удостоверяющем центре, а ведь это самое важное в этом деле.
Новость на 1 канале называется "Лишиться квартиры и даже не сразу узнать об этом: афера с электронной подписью или сбой в системе", поэтому если электронной подписи не было, то остаётся второе - сбой в системе, в системе Росреестра.
Об ЭП и УЦ
Спецификация REST API v. 2.0.pdf
reglament_informatsionnogo_vzaimodeistviya_uchastnikov_s_operatorami.pdf
1.8 MB
Минцифры России опубликована новая версия Регламента информационного взаимодействия Участников с Оператором ЕСИА и Оператором эксплуатации инфраструктуры электронного правительства 2.45.
В пунктах 9, 10, 11 Регламента скорректирована информация о целях подключения, также в приложения Г, Д добавлена новая цель подключения - передача или получение сведений об МЧД.
В пунктах 9, 10, 11 Регламента скорректирована информация о целях подключения, также в приложения Г, Д добавлена новая цель подключения - передача или получение сведений об МЧД.
Если ИС подключается для передачи и/или получения сведений реестра о сведений о доверенностях, то необходимо указать - Постановление Правительства Российской Федерации от 21 февраля 2022 г. № 223 «Об утверждении организационно-технических требований к порядку хранения, использования и отмены указанных в статьях 17.2 и 17.3 Федерального закона «Об электронной подписи» доверенностей», также в заявке должен быть указан тип ИС из перечня типов ИС, приведенного в пункте 2 раздела I организационно-технических требований к порядку хранения, использования и отмены указанных в статьях 17.2 и 17.3 Федерального закона «Об электронной подписи» доверенностей
Об ЭП и УЦ
Электронное голосование в Москве и электронная подпись - что там не так Решением Мосгоризбиркома утвержден Порядок электронного голосования. Согласно пункту 8.3 список участников электронного голосования заверяется электронными подписями председателя и секретаря.…
Про НЭП в Личном кабинете налогоплательщика
Сразу несколько человек написали мне вопросы по использованию НЭП в личном кабинете налогоплательщика, поэтому небольшой пост. Почему НЭП в ЛК ФЛ и НЭП от Мосгоризбиркома - разные вещи.
1 июля 2015 года вступили в силу изменения в Налоговый кодекс, внесенные 347-ФЗ. То есть 9 лет назад законодательно было закреплено понятие «личного кабинета налогоплательщика», также нормой закона установлено, что переданные в налоговые органы физическими лицами в электронной форме с использованием «личного кабинета налогоплательщика» и подписанные усиленной неквалифицированной электронной подписью, признаются равнозначными документам на бумажном носителе.
Таким образом, признание НЭП в ЛК ФЛ установлено Федеральным законом, какие тут могут быть вопросы. А с НЭП от Мосгоризбиркома такого уровня нет, указанный в преамбуле решения федеральный закон нормы о равнозначности НЭП документу на бумажном носителе не содержит. Само же решение Мосгоризбиркома НПА не является для установления такой равнозначности.
Сразу несколько человек написали мне вопросы по использованию НЭП в личном кабинете налогоплательщика, поэтому небольшой пост. Почему НЭП в ЛК ФЛ и НЭП от Мосгоризбиркома - разные вещи.
1 июля 2015 года вступили в силу изменения в Налоговый кодекс, внесенные 347-ФЗ. То есть 9 лет назад законодательно было закреплено понятие «личного кабинета налогоплательщика», также нормой закона установлено, что переданные в налоговые органы физическими лицами в электронной форме с использованием «личного кабинета налогоплательщика» и подписанные усиленной неквалифицированной электронной подписью, признаются равнозначными документам на бумажном носителе.
Таким образом, признание НЭП в ЛК ФЛ установлено Федеральным законом, какие тут могут быть вопросы. А с НЭП от Мосгоризбиркома такого уровня нет, указанный в преамбуле решения федеральный закон нормы о равнозначности НЭП документу на бумажном носителе не содержит. Само же решение Мосгоризбиркома НПА не является для установления такой равнозначности.
publication.pravo.gov.ru
Федеральный закон от 04.11.2014 № 347-ФЗ ∙ Официальное опубликование правовых актов
Федеральный закон от 04.11.2014 № 347-ФЗ
"О внесении изменений в части первую и вторую Налогового кодекса Российской Федерации"
"О внесении изменений в части первую и вторую Налогового кодекса Российской Федерации"
Обратил внимание, что в опубликованном 26 июня Реестре сертифицированных ФСБ России средств защиты, указаны учётные номера дисков, на которые записываются сертифицированные дистрибутивы.
Теперь ДИТ Москвы не перепутает, какой диск содержит сертифицированный дистрибутив.
Теперь ДИТ Москвы не перепутает, какой диск содержит сертифицированный дистрибутив.
В Ленте вышла статья "Напрасные слова. Кто говорит правду? Новые подробности захвата «Мастертела»" со следующим текстом:
Понятно, что журналисты не разбираются в технических деталях, но "кража" и "незаконно скопированная" вещи разные. Если использовать токен со встроенной криптографией и неизвлекаемыми ключами, то скопировать нельзя физически. А если украсть токен, то приходим к конфиденциальности пин-кода от носителя.
Что можно сказать собрав информацию из открытых источников и проверив её в реестре сертификатов? Компрометация ключа ЭП была, иначе для чего в июне 2024 перевыпускать сертификат (код отзыва - изменение принадлежности), полученный полгода назад и действующий до марта 2025?
Данный кейс может стать примером для топ-менеджмента в части обеспечения конфиденциальности своего ключевого носителя с ключом ЭП т.к. последствия для бизнеса в случае компрометации могут быть самые печальные.
Новыми сюжетными линиями в «деле Мастертела» стали кража электронной цифровой подписи (ЭЦП) генерального директора АО «Мастертел» Виталия Езопова
Как стало известно «Ленте.ру», бывшие сотрудники АО «Мастертел», в том числе пользуясь незаконно скопированной личной ЭЦП Виталия Езопова, расторгали договора с клиентами АО «Мастертел» и переводили клиентов на подконтрольные Белову компании: АО «Марафон» и ООО «Пегас Нэт»
Понятно, что журналисты не разбираются в технических деталях, но "кража" и "незаконно скопированная" вещи разные. Если использовать токен со встроенной криптографией и неизвлекаемыми ключами, то скопировать нельзя физически. А если украсть токен, то приходим к конфиденциальности пин-кода от носителя.
Что можно сказать собрав информацию из открытых источников и проверив её в реестре сертификатов? Компрометация ключа ЭП была, иначе для чего в июне 2024 перевыпускать сертификат (код отзыва - изменение принадлежности), полученный полгода назад и действующий до марта 2025?
Данный кейс может стать примером для топ-менеджмента в части обеспечения конфиденциальности своего ключевого носителя с ключом ЭП т.к. последствия для бизнеса в случае компрометации могут быть самые печальные.
Наш канал поздравляет Смышляева Станислава Витальевича с назначением на должность генерального директора компании КРИПТО-ПРО!👍
Станислав Витальевич более 15 лет работает в отрасли криптографической защиты информации, доктор физико-математических наук. В компании КРИПТО-ПРО работает с 2009 года, прошел путь от инженера-аналитика до генерального директора. Более двух лет подписчик канала, я лично очень благодарен за обратную связь, которую Станислав Витальевич направляет.
Смышляев С.В. хорошо известен PKI-сообществу, он автор более 40 публикаций по тематике криптографической защиты информации, 6 международных стандартов и спецификаций RFC, 10 Рекомендаций по стандартизации Росстандарта, Руководитель исследовательской группы CFRG IETF/IRTF, Эксперт ISO/IEC JTC1 SC27, Руководитель рабочей группы 2.1 Технического комитета «Криптографическая защита информации» (ТК 26).
Желаю Станиславу Витальевичу на новой должности реализации всех замыслов и воплощения самых смелых планов!
Станислав Витальевич более 15 лет работает в отрасли криптографической защиты информации, доктор физико-математических наук. В компании КРИПТО-ПРО работает с 2009 года, прошел путь от инженера-аналитика до генерального директора. Более двух лет подписчик канала, я лично очень благодарен за обратную связь, которую Станислав Витальевич направляет.
Смышляев С.В. хорошо известен PKI-сообществу, он автор более 40 публикаций по тематике криптографической защиты информации, 6 международных стандартов и спецификаций RFC, 10 Рекомендаций по стандартизации Росстандарта, Руководитель исследовательской группы CFRG IETF/IRTF, Эксперт ISO/IEC JTC1 SC27, Руководитель рабочей группы 2.1 Технического комитета «Криптографическая защита информации» (ТК 26).
Желаю Станиславу Витальевичу на новой должности реализации всех замыслов и воплощения самых смелых планов!
Прошел срок приведения федеральных законов и иных НПА в соответствие с 572-ФЗ (ЕБС)
Частью 15 статьи 26 572-ФЗ установлено, что используемая в действующих федеральных законах и иных правовых актах ГИС ЕБС (длинное название) должна быть преобразована в «единую биометрическую систему» не позднее 1 июля 2024 г. Данный срок прошел, законопроект, вносящий соответствующие изменения, был внесен в Госдуму 22.02.2024.
Корректировка ссылок на законодательство, регулирующее обработку биометрических персональных данных, и наименования единой биометрической системы, должно быть внесено в:
🔹Федеральный закон «О банках и банковской деятельности»;
🔹Закон Российской Федерации № 4015-I «Об организации страхового дела в Российской Федерации»;
🔹Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (уже внесены Федеральным законом от 11.03.2024 № 45-ФЗ);
🔹Федеральный закон «О Центральном банке Российской Федерации (Банке России)»;
🔹Федеральный закон «Об электронной подписи» и другие.
В настоящий момент данные изменения в 63-ФЗ являются единственными, которые внесены в Госдуму. Предлагаемая дата рассмотрения законопроекта в первом чтении - 23.07.2024. С учетом давно назревших изменений в 63-ФЗ вполне вероятно, что их могут включить ко второму чтению.
Через три недели, с 05.08.2024 ст. 11 63-ФЗ дополняется новым условием признания КЭП:
Если читать буквально, то проверка КЭП после окончания срока действия ключа ЭП при ещё действующем сертификате будет невозможна без использования меток доверенного времени. Очевидно, что в данной норме перепутали закрытый ключ (ключ ЭП) и открытый ключ.
Напомню, что изменения в 795 приказ ФСБ России, которые ввели дополнительное поле квалифицированного сертификата, содержащее информацию о сроке действия ключа электронной подписи, вступают в силу с 01.09.2024.
Частью 15 статьи 26 572-ФЗ установлено, что используемая в действующих федеральных законах и иных правовых актах ГИС ЕБС (длинное название) должна быть преобразована в «единую биометрическую систему» не позднее 1 июля 2024 г. Данный срок прошел, законопроект, вносящий соответствующие изменения, был внесен в Госдуму 22.02.2024.
Корректировка ссылок на законодательство, регулирующее обработку биометрических персональных данных, и наименования единой биометрической системы, должно быть внесено в:
🔹Федеральный закон «О банках и банковской деятельности»;
🔹Закон Российской Федерации № 4015-I «Об организации страхового дела в Российской Федерации»;
🔹Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (уже внесены Федеральным законом от 11.03.2024 № 45-ФЗ);
🔹Федеральный закон «О Центральном банке Российской Федерации (Банке России)»;
🔹Федеральный закон «Об электронной подписи» и другие.
В настоящий момент данные изменения в 63-ФЗ являются единственными, которые внесены в Госдуму. Предлагаемая дата рассмотрения законопроекта в первом чтении - 23.07.2024. С учетом давно назревших изменений в 63-ФЗ вполне вероятно, что их могут включить ко второму чтению.
Через три недели, с 05.08.2024 ст. 11 63-ФЗ дополняется новым условием признания КЭП:
2.1) срок действия ключа электронной подписи, указанный в квалифицированном сертификате в соответствии с пунктом 9 части 2 статьи 17 настоящего Федерального закона, не истек на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки квалифицированной электронной подписи, созданной с использованием данного ключа электронной подписи, если момент подписания электронного документа не определен
Если читать буквально, то проверка КЭП после окончания срока действия ключа ЭП при ещё действующем сертификате будет невозможна без использования меток доверенного времени. Очевидно, что в данной норме перепутали закрытый ключ (ключ ЭП) и открытый ключ.
Напомню, что изменения в 795 приказ ФСБ России, которые ввели дополнительное поле квалифицированного сертификата, содержащее информацию о сроке действия ключа электронной подписи, вступают в силу с 01.09.2024.
Небольшая брошюрка "Мобильная электронная подпись. Переиздание" - в которой нет ни слова про Госключ.
Литрес
Мобильная электронная подпись. Переиздание — Антон Анатольевич Шадура | Литрес
В издании представлена информационная технология — мобильная электронная подпись. В книге показаны теоретические и правовые аспекты технологии мобильной электронной подписи, также показаны сферы прим…
Пара свежих статей по теме:
🔹Статья в «Газете.Ru» - Россиян предупредили о продажах квартир мошенниками через «Госуслуги».
Мошенники могут провести сделку по продаже квартиры через «Госуслуги», завладев электронной цифровой подписью жертвы. Об этом рассказала юрист в сфере недвижимости.
Лучше бы юристы в сфере недвижимости изучали матчасть, а не распространяли мифы.
🔹Известия: Хакеры крадут данные российских компаний под предлогом проведения «уроков ИБ»
99% отделов делопроизводства "проверяют" действительность электронной подписи по наличию штампа.
🔹Статья в «Газете.Ru» - Россиян предупредили о продажах квартир мошенниками через «Госуслуги».
Мошенники могут провести сделку по продаже квартиры через «Госуслуги», завладев электронной цифровой подписью жертвы. Об этом рассказала юрист в сфере недвижимости.
Как правило, цифровой подписью удается завладеть при помощи методов социальной инженерии, когда владелец недвижимости сам открывает доступ к данным кому-то или оставляет их где-то — отметила юрист
Лучше бы юристы в сфере недвижимости изучали матчасть, а не распространяли мифы.
🔹Известия: Хакеры крадут данные российских компаний под предлогом проведения «уроков ИБ»
3. При получении в адрес организации письма от имени органов госвласти без электронной подписи следует обратиться в подразделение делопроизводства данного органа для уточнения достоверности сведений.
99% отделов делопроизводства "проверяют" действительность электронной подписи по наличию штампа.
Статистика средств электронной подписи
Когда на форумах или конференциях поднимают вопросы по использованию на рынке средств электронной подписи, то статистику не приводят.
Изучение выборки из более 5 тыс. сертификатов от разных УЦ с использованием CryptExpert показало следующий результат:
🔹КриптоПро CSP - 99,13 %
🔹VPN-Key-TLS (исп. 2) - 0,38%
🔹Рутокен ЭЦП - 0,21 %
🔹ViPNet CSP - 0,14 %
🔹Рутокен TLS - 0,11 %
🔹ViPNet PKI Client - 0,03%
Эта статистика средств ЭП, с использованием которых были сформированы ключи ЭП, но это не значит, что данные средства ЭП используются пользователями для подписания документов, поэтому показатели КриптоПро ещё больше стремятся к 100 %.
Когда на форумах или конференциях поднимают вопросы по использованию на рынке средств электронной подписи, то статистику не приводят.
Изучение выборки из более 5 тыс. сертификатов от разных УЦ с использованием CryptExpert показало следующий результат:
🔹КриптоПро CSP - 99,13 %
🔹VPN-Key-TLS (исп. 2) - 0,38%
🔹Рутокен ЭЦП - 0,21 %
🔹ViPNet CSP - 0,14 %
🔹Рутокен TLS - 0,11 %
🔹ViPNet PKI Client - 0,03%
Эта статистика средств ЭП, с использованием которых были сформированы ключи ЭП, но это не значит, что данные средства ЭП используются пользователями для подписания документов, поэтому показатели КриптоПро ещё больше стремятся к 100 %.
Forwarded from Минцифры России
Новость о том, что мошенники могут завладеть чужой квартирой на Госуслугах, — фейк. На портале нет функционала, позволяющего купить или продать недвижимость. Можно только подать заявление в Росреестр на регистрацию права собственности. Заявление подписывается в приложении «Госключ». Решение о регистрации недвижимости принимает Росреестр после тщательной проверки оснований.
Подделать электронную подпись в приложении «Госключ» или воспользоваться чужой подписью невозможно. Чтобы выпустить сертификат, на каждом новом устройстве нужно ввести логин, пароль от Госуслуг и подтвердить вход вторым фактором аутентификации. Затем нужно дополнительно подтвердить номер телефона, придумать сложный 8-значный пароль и обязательно подтвердить личность с помощью загранпаспорта, биометрии или очно.
Воспользоваться «Госключом» может только владелец электронной подписи на своём устройстве. При каждом запуске приложения нужно вводить 8-значный пароль. Восстановить или изменить его невозможно без удаления сертификата. В таком случае нужно будет заново выпустить сертификат электронной подписи и подтвердить личность. Поэтому, даже если злоумышленники завладели вашим телефоном, подписать документы в «Госключе» они не смогут.
На Госуслугах можно подать заявление в Росреестр о запрете на регистрационные действия с недвижимостью без личного присутствия собственника. Это позволяет дополнительно обезопасить себя и своё имущество. Сделки по доверенности будут невозможны.
@mintsifry #цифровая_экономика #госуслуги
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Пара свежих статей по теме: 🔹Статья в «Газете.Ru» - Россиян предупредили о продажах квартир мошенниками через «Госуслуги». Мошенники могут провести сделку по продаже квартиры через «Госуслуги», завладев электронной цифровой подписью жертвы. Об этом рассказала…
Статья в «Газете.Ru», что мошенники могут провести сделку по продаже квартиры через «Госуслуги», завладев электронной цифровой подписью жертвы, получила широкое распространение в СМИ и каналах (даже издание ComNews , которое должно разбираться в таких вещах, в рубрике "№Информационная безопасность" копирует статью из Газеты).
Что делает Газета.Ru, вместо опровержения они находят нового юриста и пишут статью "Юрист рассказал, как не допустить продажи квартиры мошенниками через «Госуслуги»", вообще не читают, что пишет Минцифры - На портале [Госуслуг] нет функционала, позволяющего купить или продать недвижимость.
❓Будет ли опровергнута новость 5-летней давности в Коммерсанте "Электронная подпись оставила без квартиры" т.к. там тоже была "электронная подпись на госуслугах" -
Вы подписали сделку электронной подписью, полученной через личный кабинет на «госуслугах».
сейчас Коммерсант пишет "Минцифры: мошенники не могут приобрести чужую недвижимость через «Госуслуги»", а 5 лет назад по логике журналистов это было возможно.
Please open Telegram to view this post
VIEW IN TELEGRAM
В соответствии с протоколом Правкомиссии от 11.07.2024 № 9пр аккредитован УЦ МТС
Мифы об электронной подписи
Миф 12. Все средства электронной подписи реализуют обязательный формат электронной подписи, установленный приказом Минцифры
Как обычно, предыстория. В июле 2016 года вступила в силу норма 63-ФЗ, введенная Федеральным законом от 30.12.2015 № 445-ФЗ, согласно которой:
Формат ЭП был утвержден приказом Минцифры от 14.09.2020 № 472, зарегистрирован Минюстом 29.10.2020 № 60631). Проект данного приказа был разработан в 2017 году, уже на этапе проекта в пункты 6.1 и 6.2 закралась ошибка:
❗️ Должно быть (RFC 6488):
contentType 1.2.840.113549.1.9️⃣.3
messageDigest 1.2.840.113549.1.9️⃣.4
Все средства электронной подписи реализуют oid из RFC, а не приказа Минцифры. Если бы разработчики реализовали oid из приказа Минцифры, то получили неработоспособные средства ЭП. При этом все разработчики средств ЭП в курсе данной ошибки.
За 4 года прошло много форумов, конференций, на которых принимали участие разработчики, вендоры и регуляторы, но вопрос об исправлении приказа не поднимался, поэтому утверждение, что Все средства электронной подписи реализуют обязательный формат электронной подписи, установленный приказом Минцифры - миф, нет ни одного средства ЭП, которое бы реализовало требование данного приказа.
Миф 12. Все средства электронной подписи реализуют обязательный формат электронной подписи, установленный приказом Минцифры
Как обычно, предыстория. В июле 2016 года вступила в силу норма 63-ФЗ, введенная Федеральным законом от 30.12.2015 № 445-ФЗ, согласно которой:
Минцифры устанавливает формат электронной подписи, обязательный для реализации всеми средствами электронной подписи, по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности
Формат ЭП был утвержден приказом Минцифры от 14.09.2020 № 472, зарегистрирован Минюстом 29.10.2020 № 60631). Проект данного приказа был разработан в 2017 году, уже на этапе проекта в пункты 6.1 и 6.2 закралась ошибка:
п. 6.1: Тип содержимого(Content-type). Должен быть добавлен в атрибут id-contentType с объектным идентификатором вида: 1.2.840.113549.1.3
п. 6.2: id-messageDigest с объектным идентификатором вида: 1.2.840.113549.1.4
contentType 1.2.840.113549.1.9️⃣.3
messageDigest 1.2.840.113549.1.9️⃣.4
Все средства электронной подписи реализуют oid из RFC, а не приказа Минцифры. Если бы разработчики реализовали oid из приказа Минцифры, то получили неработоспособные средства ЭП. При этом все разработчики средств ЭП в курсе данной ошибки.
За 4 года прошло много форумов, конференций, на которых принимали участие разработчики, вендоры и регуляторы, но вопрос об исправлении приказа не поднимался, поэтому утверждение, что Все средства электронной подписи реализуют обязательный формат электронной подписи, установленный приказом Минцифры - миф, нет ни одного средства ЭП, которое бы реализовало требование данного приказа.
Please open Telegram to view this post
VIEW IN TELEGRAM