✍️Исторический пост - "Электронную цифровую подпись зашьют в сим-карту"

Пять лет назад Ведомости опубликовали данную статью:

Минцифры сформировало рабочую группу для перехода на массовое использование россиянами технологии применения усиленной квалифицированной электронной подписи (УКЭП) на базе сим-карты.

Итоги работы данной группы не известны. Тема SIM-карт с криптографией периодически появляется, но также быстро пропадает.

Так почему не взлетела криптография на SIM-картах? Дороговизна производства, несовершенство технологии, развитие альтернативных решений - мобильная подпись и NFC-токены? Ваше мнение, уважаемые подписчики.

В России ежедневно выдаётся около 50 тыс. квалифицированных сертификатов

С 2020 года в России выдано более 85 млн. квалифицированных сертификатов:
🔹2020 - 9,6 млн.
🔹2021 - 13,5 млн.
🔹2022 - 12,1 млн.
🔹2023 - 16,3 млн.
🔹2024* - 16,5 млн.
🔹2025 - 18,3 млн.
* - откорректированные данные.

С учётом срока действия многих сертификатов 15 мес., а не 12 мес. - можно говорить о 20 млн действующих сертификатов по итогам 2025 года.

🚀Об ЭП и УЦ

📝Аккредитация УЦ 2026

В 2026 году аккредитация предстоит 13 УЦ:
🔹1 кв. - 5 УЦ
🔹2 кв. - нет
🔹3 кв. - 1 УЦ
🔹4 кв. - 7 УЦ

У четырёх УЦ до окончания текущей аккредитации осталось менее месяца, истекает 22 февраля. Минимум по двум в ближайшее время ожидаются протоколы Правкомиссии.

Согласно Административному регламенту предоставления Минцифры госуслуги по аккредитации удостоверяющих центров аккредитованные - подать заявление на продление аккредитации могут удостоверяющие центры, срок действия аккредитации которых заканчивается не раньше, чем за шесть месяцев до даты подачи нового заявления.

Достаточно ли полгода для продления аккредитации? История показывает, что не всегда. Нужно ли увеличить данный срок хотя бы до 9 месяцев?

🚀Об ЭП и УЦ

Европол совместно с отраслевыми партнерами выпустил руководство, которое предлагает финансовым организациям конкретный метод определения приоритетов миграции на пост-квантовую криптографию (2 года они уже публиковали исследование по квантовым рискам). Европейцы исходят из предположения, что старые криптографические протоколы, лежащие в основе современных платежей, аутентификации и веб-защиты, будут уязвимы перед квантовыми компьютерами в будущем, но и обновить их все сразу нельзя. Поэтому авторы предлагают простой и рабочий инструмент – двухфакторную модель оценки, которая помогает командам ИБ решить, какие средства шифрования мигрировать в первую очередь.

Quantum Risk Score. Это метрика, оценивающая, насколько велик риск конкретной системы перед квантовой угрозой. Она складывается из трех компонентов:
➡️ Shelf life – насколько долго данные остаются чувствительными (например, финансовые записи или пароли/секреты могут быть актуальны годами).
➡️ Exposure – насколько легко злоумышленнику получить доступ к данным (доступность через интернет, физический доступ).
➡️ Severity – какие будут последствия компрометации (финансовые потери, регуляторные риски).
Каждому параметру присваивается балл от 1 до 3, а затем считается средний Quantum Risk Score.

Migration Time Score. Оценка сложности и длительности миграции:
➡️ Solution availability – насколько доступны пост-квантовые решения для конкретного случая.
➡️ Execution cost & time – сколько ресурсов и времени потребуется на реализацию (обновление ПО/оборудования).
➡️ External dependencies – наличие зависимостей от вендоров, стандартов, партнеров, контрагентов.
Такие же баллы от 1 до 3 дают итоговый Migration Time Score.

Два получившихся показателя комбинируются в матрицу приоритетов:
➡️ Высокий приоритет – высокая квантовая уязвимость и либо ясный путь миграции, либо длинная цепочка зависимостей (что требует раннего планирования).
➡️ Средний – умеренные риски и/или такие случаи удобны для включения в обычные циклы обновления.
➡️ Низкий – низкий риск и небольшая срочность.
Важно, что сам процесс инвентаризации криптографических зависимостей уже полезен: он выявляет, какие системы используют какие алгоритмы, какие данные зависят от них и где слабые места – это укрепляет базовое управление криптографией.

Два примера, приведенные в тексте, хорошо иллюстрируют модель:
➡️ POS-терминалы для платежей: эти системы широко распространены, ключи у них живут долго, и инфраструктура обновляется редко. Quantum Risk Score оказывается средним, Migration Time Score – высоким. По модели такие системы должны быть включены в стратегический план миграции заблаговременно.
➡️ Публичные веб-сайты: здесь риск тоже значимый, т.к. данные клиентов в открытом доступе, но средства миграции через гибридный PQC/TLS уже доступны в браузерах и сетевых платформах. Это делает TLS-защиту логичным первоочередным кандидатом для начала миграции.

Авторы отчета обращают внимание и на криптографические "антипаттерны", которые усложняют переход: вручную управляемые сертификаты, жестко зашитые пароли и секреты, устаревшие конфигурации TLS. Их устранение не только снижает риск квантового взлома в будущем, но и укрепляет текущую безопасность и облегчает будущие миграции.

Не знаю, насколько эти рекомендации актуальны для нас, так как по словам ФСБ наши текущие алгоритмы вполне себе надежны. Банк России на грядущем меньше чем через месяц Уральском форуме (опять в параллель с конференцией ФСТЭК) тему постквантовой криптографии вообще не поднимает, судя по программе. Хотя и ряд других тем про инновационные технологии в финтехе (IoT, ИИ, DLT, беспилотный транспорт, роботизация и гиперавтоматизация) на Урале не будут рассматриваться; из всех "модных" тем там только биометрия, цифровой рубль и OpenAPI. На всякий случай просто напомню про свою презентацию про риски современным технологиям в финансовой сфере.

#криптография #pqc #framework

⚡️⚡️⚡️Новый корневой сертификат Головного удостоверяющего центра - https://e-trust.gosuslugi.ru/registry/cert/34933

Срок действия с 17.12.2025 по 17.12.2043

🚀Об ЭП и УЦ

Новые правила для карт, идентификации и борьбы с мошенниками

Комитет Госдумы по финрынку стал соисполнителем законопроекта по Антифроду 2.0, поддержал его принятие в первом чтении.

В заключении Комитета отмечается:
🔐 Усиленная идентификация: для открытия счета в банке или получения электронного средства платежа для всех физлиц станет обязательной идентификация по ИНН. Это коснется и иностранных граждан, для которых планируют создавать особые условия.

💳 Лимит на банковские карты: одному клиенту-физлицу смогут выдать не более 5 платежных карт в одном банке и не более 20 во всей банковской системе. Исключения и сроки действия карт будет определять Совет директоров Банка России.
❗️Важный нюанс: обсуждается, как быть с "семейными" или дополнительными картами, которые де-факто используют члены семьи владельца счета.

🌐 Единый реестр карт: Банк России назначит оператора Единой системы учета всех платежных карт физлиц. Банки будут обязаны передавать туда данные, чтобы контролировать лимиты.

📱 Ответственность операторов связи: если мошенники спишут деньги со счета из-за недостаточных мер безопасности как со стороны банка, так и оператора связи, то возмещать ущерб клиенту должны будут оба. Сейчас такая обязанность у операторов связи прописана только для переводов с лицевого счета у самого оператора.

🏛️ Национальный удостоверяющий центр. Отдельный абзац в заключении про НУЦ, в котором отмечается закрепление его особого статуса для безопасности российского Интернета. Получатели сертификатов НУЦ (операторы, владельцы сайтов, разработчики) будут нести установленные законом обязанности.

Уточнение многих деталей, включая определение "платежной карты", которое в законах пока отсутствует, будет осуществлено ко второму чтению.

📣Первая аккредитация УЦ в 2026 году

В соответствии с решением Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров (протокол от 20.01.2026 № 1пр), продлена аккредитация УЦ РЕСО-Гарантия.

В 2025 году данный УЦ выдал около 26 тыс. квалифицированных сертификатов.

✍️Мошенничество и электронные подписи

В издании "Юридический справочник руководителя", 2025, N 11 вышла статья "Мошенничество и электронные подписи" (полная версия из Консультанта, в первом комментарии).

По нашей сфере в принципе пишут мало, тем более настоящие юристы. Не хочется в очередной раз занимать сторону критика, но ведь автор статьи не понимает самую базу нашей сферы - ключи, сертификаты, электронные подписи, всё перемешано. Ссылки на дела десятилетней давности на нарушения произошли ещё во времена 1-ФЗ "Об ЭЦП" также вызывает вопросы, есть более свежая судебная практика.

📝Пару лет назад по просьбе издания БИТ подготовил небольшую статью "Практика использования электронной подписи в компаниях", в которой постарался простыми, но правильными словами, рассказать о нашей сфере.

✍️Отдел статистики операторов связи Минцифры продолжает жить в рамках 1-ФЗ, но и в нём не видит особого смысла

⚡️⚡️⚡️ Минцифры вносит изменения в формат электронной подписи, обязательный для реализации всеми средствами электронной подписи

Проект приказа сегодня размещен для общественного обсуждения.

В настоящее время отсутствует нормативное закрепление возможности реализовывать в структуре ЭП в качестве неподписываемого атрибута информации о метке доверенного времени. Вместе с тем, указанный атрибут предусмотрен приказом Минцифры России от 6 ноября 2020 г. № 580 «Об утверждении порядка создания и проверки метки доверенного времени», а также Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
Кроме того, актуализация формата ЭП необходима ввиду его устаревания и применения участниками правоотношений более современных технологий, содержащих иные формулировки.

Все пять лет 472 приказ был нерабочим, наконец-то ошибка с oid RFC6488 будет устранена.

🚀Об ЭП и УЦ