Об ЭП и УЦ
Сегодня на заседании Правительства Российской Федерации будет рассмотрен проект федерального закона «О внесении изменений в Федеральный закон “Об электронной подписи„» Законопроект направлен на обеспечение возможности выдачи квалифицированного сертификата…
🔹22 страницы изменений
🔹6 приказов к изменению (3 Минцифры, по одному у ФСБ, Минфина и ФНС)
🔹0 руб. бюджетных расходов
Please open Telegram to view this post
VIEW IN TELEGRAM
sozd.duma.gov.ru
№1182063-8 Законопроект :: Система обеспечения законодательной деятельности
Информационный ресурс Государственной Думы. Здесь собрана информация о рассмотрении законопроектов и проектов постановлений Государственной Думы
🔐 Google Chrome готовится к квантовому будущему: про TLS-сертификаты нового поколения
Команда Chrome Security объявила о новой программе, которая полностью изменит подход к HTTPS-ным сертификатам, чтобы защитить их от взлома с помощью квантовых компьютеров.
Квантовоустойчивая криптография требует применения "тяжелых" сертификатов. Если использовать X.509, это сильно замедлит Интернет и съест трафик.
💡Chrome делает ставку на новую технологию - MTC (сертификаты дерева Меркла). Вместо того чтобы передавать всю цепочку сертификатов, сервер будет отправлять браузеру лишь легковесное "доказательство" того, что сертификат есть в общем публичном дереве, подписанном корневым центром сертификации.
Что это даёт:
🔹экономия, соединения остаются быстрыми, даже с мощной криптографией.
🔹прозрачность по умолчанию, нельзя создать сертификат тайно - он сразу попадает в публичный лог (как сегодняшний Certificate Transparency, но без лишних накладных расходов).
🔹Гибкость, размер данных больше не привязан к стойкости шифрования.
🗓 Сформирован план внедрения:
🔹Фаза 1 (уже идет): эксперименты с Cloudflare. MTC работают параллельно с обычными сертификатами (для подстраховки).
🔹Фаза 2 (1 кв. 2027): Подключение операторов CT-логов для создания публичных MTC.
🔹Фаза 3 (3 кв. 2027): Запуск нового "Квантовоустойчивого хранилища корневых сертификатов Chrome" (CQRS), которое будет поддерживать только MTC.
Chrome продолжит поддерживать текущие сертификаты, но параллельно строит создаёт технологию пост-квантового Интернет.
А что у нас?
Минцифры планирует к 2030 году получить квантовый процессор на 300 кубитов!
✍️ "Об ЭП и УЦ"
Команда Chrome Security объявила о новой программе, которая полностью изменит подход к HTTPS-ным сертификатам, чтобы защитить их от взлома с помощью квантовых компьютеров.
Квантовоустойчивая криптография требует применения "тяжелых" сертификатов. Если использовать X.509, это сильно замедлит Интернет и съест трафик.
💡Chrome делает ставку на новую технологию - MTC (сертификаты дерева Меркла). Вместо того чтобы передавать всю цепочку сертификатов, сервер будет отправлять браузеру лишь легковесное "доказательство" того, что сертификат есть в общем публичном дереве, подписанном корневым центром сертификации.
Что это даёт:
🔹экономия, соединения остаются быстрыми, даже с мощной криптографией.
🔹прозрачность по умолчанию, нельзя создать сертификат тайно - он сразу попадает в публичный лог (как сегодняшний Certificate Transparency, но без лишних накладных расходов).
🔹Гибкость, размер данных больше не привязан к стойкости шифрования.
🗓 Сформирован план внедрения:
🔹Фаза 1 (уже идет): эксперименты с Cloudflare. MTC работают параллельно с обычными сертификатами (для подстраховки).
🔹Фаза 2 (1 кв. 2027): Подключение операторов CT-логов для создания публичных MTC.
🔹Фаза 3 (3 кв. 2027): Запуск нового "Квантовоустойчивого хранилища корневых сертификатов Chrome" (CQRS), которое будет поддерживать только MTC.
Chrome продолжит поддерживать текущие сертификаты, но параллельно строит создаёт технологию пост-квантового Интернет.
А что у нас?
Минцифры планирует к 2030 году получить квантовый процессор на 300 кубитов!
План роста мощности квантового процессора в кубитах:
🔹2025 год: Создать процессор мощностью 70 кубитов.
🔹2026 год: 100 кубитов.
🔹2027 год: 140 кубитов.
🔹2028 год: 200 кубитов.
🔹2029 год: 230 кубитов.
🔹2030 год: 300 кубитов.
💰 Инвестиции (млрд. руб.) на разработку перспективных квантовых и телекоммуникационных решений. Общий объем инвестиций за 6 лет должен составить 141,3 млрд. рублей с пиком в 2030 году.
🔹2025: 4,1 млрд руб.
🔹2026: 9,9 млрд руб.
🔹2027: 14,9 млрд руб.
🔹2028: 20 млрд руб.
🔹2029: 25 млрд руб.
🔹2030: 67,4 млрд руб.
Please open Telegram to view this post
VIEW IN TELEGRAM
Каждый второй использует Госключ - через 5 лет
Согласно Плану-графику мероприятий по реализации документов стратегического планирования, являющемуся приложением к Плану деятельности Минцифры России на период 2025–2030 годов
К концу 2030 года 45% пользователей ЕПГУ, являющихся гражданами России и имеющих подтверждённую учётную запись в ЕСИА, используют бесплатно полученные сертификаты усиленной электронной подписи по технологии «Госключ» (т.е. НЭП и КЭП) в мобильном приложении «Госключ» и приложении «Госключ ПК» (ещё не вышло).
Также из Плана Минцифры можно узнать, что в 2025 был Создан национальный удостоверяющий центр для обеспечения устойчивости взаимодействия устройств в российском сегменте сети «Интернет» и обеспечено его развитие:
1. Выполнены работы по созданию, выпуску и прекращению действия сертификатов безопасности (TLS-сертификатов) с поддержкой зарубежных криптографических алгоритмов (RSA) и российских криптографических алгоритмов (ГОСТ).
2. Обеспечено развитие и функционирование НУЦ, в том числе инженерной инфраструктуры и вычислительных ресурсов НУЦ.
3. Обеспечено функционирование подсистемы информационной безопасности НУЦ.
Почему наш НУЦ - НУЦ Шрёдингера, он есть, но его как бы нет. Отсутствуя в нормативной базе (законопроект, который вводит нормы прошел ещё первое чтение) пятый год осуществляет выдачу сертификатов.
✍️ "Об ЭП и УЦ"
Согласно Плану-графику мероприятий по реализации документов стратегического планирования, являющемуся приложением к Плану деятельности Минцифры России на период 2025–2030 годов
К концу 2030 года 45% пользователей ЕПГУ, являющихся гражданами России и имеющих подтверждённую учётную запись в ЕСИА, используют бесплатно полученные сертификаты усиленной электронной подписи по технологии «Госключ» (т.е. НЭП и КЭП) в мобильном приложении «Госключ» и приложении «Госключ ПК» (ещё не вышло).
Также из Плана Минцифры можно узнать, что в 2025 был Создан национальный удостоверяющий центр для обеспечения устойчивости взаимодействия устройств в российском сегменте сети «Интернет» и обеспечено его развитие:
1. Выполнены работы по созданию, выпуску и прекращению действия сертификатов безопасности (TLS-сертификатов) с поддержкой зарубежных криптографических алгоритмов (RSA) и российских криптографических алгоритмов (ГОСТ).
2. Обеспечено развитие и функционирование НУЦ, в том числе инженерной инфраструктуры и вычислительных ресурсов НУЦ.
3. Обеспечено функционирование подсистемы информационной безопасности НУЦ.
Почему наш НУЦ - НУЦ Шрёдингера, он есть, но его как бы нет. Отсутствуя в нормативной базе (законопроект, который вводит нормы прошел ещё первое чтение) пятый год осуществляет выдачу сертификатов.
Please open Telegram to view this post
VIEW IN TELEGRAM
Очередной миф в действии. Данный вопрос отражает уровень цифровой грамотности населения (который ещё и снижается, интересно, почему?), для которых электронная подпись это картинка в документе.
"Универсальный код речей"- это популярная с 1956 года сатирическая таблица, позволяющая создать бесконечную бессмысленную, но пафосную речь.
Взяв за основу логику советской таблицы был подготовлен первый универсальный код речей об ЭП и УЦ, не судите строго, постарался, чтобы он не был бессмысленным.
✍️ Тезисы своего апрельского выступления на Территории безопасности написаны уже давно, там никакой Код речей не поможет😁 слишком индивидуально🔐
Взяв за основу логику советской таблицы был подготовлен первый универсальный код речей об ЭП и УЦ, не судите строго, постарался, чтобы он не был бессмысленным.
Please open Telegram to view this post
VIEW IN TELEGRAM
Пишет друг:
и присылает скрин при попытке зайти на сайт журнала Российской археологии. Порекомендовал ему добавить сайт в исключения Каспера, добавил, помогло, но ненадолго.
Пошел сам смотреть сайт и что увидел - к доменному имени ra.iaran.ru (которое кстати доступно без шифрования по http) прикручен сертификат хостинга hosting.reg.ru от GlobalSign, на что антивирус и ругается. Единственный способ исправить ситуацию - админы сайта должны получить и прикрутить к сайту сертификат с корректным доменным именем хотя бы от тех же GlobalSign или Let's Encrypt. НУЦ гуманитариям не предлагать.
Слушай, а как для сайта починить вот эту штуку?
и присылает скрин при попытке зайти на сайт журнала Российской археологии. Порекомендовал ему добавить сайт в исключения Каспера, добавил, помогло, но ненадолго.
Пошел сам смотреть сайт и что увидел - к доменному имени ra.iaran.ru (которое кстати доступно без шифрования по http) прикручен сертификат хостинга hosting.reg.ru от GlobalSign, на что антивирус и ругается. Единственный способ исправить ситуацию - админы сайта должны получить и прикрутить к сайту сертификат с корректным доменным именем хотя бы от тех же GlobalSign или Let's Encrypt. НУЦ гуманитариям не предлагать.
Об ЭП и УЦ
Пишет друг: Слушай, а как для сайта починить вот эту штуку? и присылает скрин при попытке зайти на сайт журнала Российской археологии. Порекомендовал ему добавить сайт в исключения Каспера, добавил, помогло, но ненадолго. Пошел сам смотреть сайт и что увидел…
Посмотрел тем временем новую Политику сертификатов от GlobalSign, версия 7.9:
🔹Для сертификатов подписи кода после 1 марта 2026 года - 460 дней, ранее было 39 месяцев
🔹Для TLS-сертификатов после 15 марта 2026 года - 200 дней, ранее было 398 дней. Это изменение было внесено в соответствии с требованием CA/Browser Forum SC-081 (SC-081v3, pdf), а ещё ранее до 27.02.2026 срок составлял 825 дней.
Для корневых сертификатов срок 25 лет, срок использования закрытого ключа не установлен, а вот для TMP Корневых сертификатов (Trusted Platform Module) 30 лет для закрытых ключей и 41 год на сертификат.
А что наш Национальный УЦ?
🔹Корневой RSA сертификат "Russian Trusted Root CA" от 2022 г. - 10 лет.
🔹Подчиненный RSA сертификат "Russian Trusted Sub CA" от 2022 г. - 5 лет (меньше года ему осталось).
🔹ГОСТовый "НУЦ России" (от 2021 и 2022 гг.) - 15 лет.
🔹ГОСТовый "Минцифры России НУЦ корневой" от 2025 г. - 15 лет.
🔹ГОСТовый "Минцифры России НУЦ подчиненный" от 2025 г. - 5 лет.
Но нет ни одного документа, в котором бы данные сроки были прописаны, это только предстоит ещё сделать.
✍️ "Об ЭП и УЦ"
🔹Для сертификатов подписи кода после 1 марта 2026 года - 460 дней, ранее было 39 месяцев
🔹Для TLS-сертификатов после 15 марта 2026 года - 200 дней, ранее было 398 дней. Это изменение было внесено в соответствии с требованием CA/Browser Forum SC-081 (SC-081v3, pdf), а ещё ранее до 27.02.2026 срок составлял 825 дней.
Для корневых сертификатов срок 25 лет, срок использования закрытого ключа не установлен, а вот для TMP Корневых сертификатов (Trusted Platform Module) 30 лет для закрытых ключей и 41 год на сертификат.
А что наш Национальный УЦ?
🔹Корневой RSA сертификат "Russian Trusted Root CA" от 2022 г. - 10 лет.
🔹Подчиненный RSA сертификат "Russian Trusted Sub CA" от 2022 г. - 5 лет (меньше года ему осталось).
🔹ГОСТовый "НУЦ России" (от 2021 и 2022 гг.) - 15 лет.
🔹ГОСТовый "Минцифры России НУЦ корневой" от 2025 г. - 15 лет.
🔹ГОСТовый "Минцифры России НУЦ подчиненный" от 2025 г. - 5 лет.
Но нет ни одного документа, в котором бы данные сроки были прописаны, это только предстоит ещё сделать.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Госключ и все-все-все
В соответствии с законом, квалифицированная подпись, момент создания которой достоверно определен, проходит проверку при условии (в том числе), что сертификат ключа проверки ЭП действует и срок действия ключа ЭП не истек на момент подписания. Ключи ЭП в Госключе…
Период плановой смены (6 месяцев) ключа электронной подписи службы меток доверенного времени, используемой в технологии квалифицированной электронной подписи Госключа, просрочен на 1 месяц.
Болезнь неквалифицированных сертификатов
Если по содержанию квалифицированных сертификатов есть 795 приказ ФСБ, то для неквалифицированных только общие нормы части 2 статьи 14 63-ФЗ, которые настолько общие, что указание неактуальных реквизитов сертификатов соответствия стало уже нормой.
Неактуальная версия сертификата соответствия ФСБ России средства электронной подписи в составе средства Корневого удостоверяющего центра платформы Цифрового рубля. Для средства электронной подписи АПК "Сигнатура-клиент L" версия 6 (исполнение 3) указан сертификат соответствия ФСБ России - СФ/114-4002 от 04.02.2021, который истек 04.02.2024.
Тоже самое с подчинённым Неквалифицированным сертификатом Госключа "Госуслуги. Неквалифицированная электронная подпись" от 30.10.2024, в котором для СКЗИ ViPNet CSP 4.4 (Версия 4.4.2) (исполнение 3) указан сертификат соответствия № СФ/124-4103 от 10.08.2021, который истек 10.08.2024. С квалом, в котором точно такое же средство ЭП, поступили квалифицировано, указав Заключение № 149/7/6/446 от 29.12.2021.
Если по содержанию квалифицированных сертификатов есть 795 приказ ФСБ, то для неквалифицированных только общие нормы части 2 статьи 14 63-ФЗ, которые настолько общие, что указание неактуальных реквизитов сертификатов соответствия стало уже нормой.
Неактуальная версия сертификата соответствия ФСБ России средства электронной подписи в составе средства Корневого удостоверяющего центра платформы Цифрового рубля. Для средства электронной подписи АПК "Сигнатура-клиент L" версия 6 (исполнение 3) указан сертификат соответствия ФСБ России - СФ/114-4002 от 04.02.2021, который истек 04.02.2024.
Тоже самое с подчинённым Неквалифицированным сертификатом Госключа "Госуслуги. Неквалифицированная электронная подпись" от 30.10.2024, в котором для СКЗИ ViPNet CSP 4.4 (Версия 4.4.2) (исполнение 3) указан сертификат соответствия № СФ/124-4103 от 10.08.2021, который истек 10.08.2024. С квалом, в котором точно такое же средство ЭП, поступили квалифицировано, указав Заключение № 149/7/6/446 от 29.12.2021.
Бухгалтеры и операторы ЭДО поднимают волну своими безграмотными постами в запретограмме, они никогда не понимали и не поймут, что ГОСТ шифрования и ГОСТ электронной подписи - разные сущности.
Поэтому чего точно не нужно делать руководителям ЮЛ/ИП - менять сертификаты. Единственно, что нужно - проверить версию КриптоПро и если сборка ниже 5.0.12000, то обновить (сертифицированные сборки 12000,13000,13003), это быстро и без затрат. Приобретать лицензию КриптоПро не требуется, т.к. она уже встроена в сертификат. КриптоПро это не только средство электронной подписи, но и СКЗИ, отвечающее за построение зашифрованного канала, был алгоритм 1.2.643.2.2.21 (ГОСТ 28147-89), а станет 1.2.643.7.1.1.5.2.1 (ГОСТ Р 34.12-2015 Кузнечик CTR-ACPKM).
Какие смешные встречаются рекомендации:
✔️ старые версии (4.0 R2, R3, R4) с 1 апреля работать не будут.
Да, не будут, но данные сборки перестали быть сертифицированными ещё 15.01.2026, бизнес их вообще не использует, если где и встречаются, то в бюджете.
✔️устаревший «Рутокен ЭЦП 2.0» нужно заменить на «Рутокен ЭЦП 3.0».Это также давно нужно было сделать, так как сертификат соответствия на 2.0 истёк 01.06.2024. Но если по какой-то причине до сих пор используется этот носитель с записанным действующим сертификатом и ключом ЭП, то можно продолжить его использование, но обязательно с КриптоПро 5.0.
Для корректной работы с сервисом ФНС НЕ требуется токен, поддерживающий новых ГОСТ шифрования. Использование только аппаратной криптографии токена без программного криптопровайдера, которым является КриптоПро, невиданная экзотика для рядового пользователя.
Итого:
✅ КриптоПро при необходимости обновляем
❌ Сертификат не менять
❌ Токен не менять
Please open Telegram to view this post
VIEW IN TELEGRAM
Т-Мобайл, как ни странно (спасибо чату), но очередной номинант премии Профанация года.
Нет никакой связи между наличием профиля на Госуслугах и проверкой сведений с использованием видов сведений СМЭВ, которое и должны осуществлять операторы связи. Можете представить, чтобы УЦ отказал в выдаче сертификата и сослался на отсутствие профиля на Госуслугах?Госключ не предлагать. Видов сведений, которые используют УЦ, побольше, чем используют операторы связи.
Некомпететная поддержка Т-Мобайл для получения ответа по существу просит писать бумажные письма. 21 век. Расскажем им про электронную подпись или не стоит?
Нет никакой связи между наличием профиля на Госуслугах и проверкой сведений с использованием видов сведений СМЭВ, которое и должны осуществлять операторы связи. Можете представить, чтобы УЦ отказал в выдаче сертификата и сослался на отсутствие профиля на Госуслугах?
Некомпететная поддержка Т-Мобайл для получения ответа по существу просит писать бумажные письма. 21 век. Расскажем им про электронную подпись или не стоит?
Мифы об электронной подписи и 1 апреля. Миф 20 "С 1 апреля меняются требования к электронной подписи"
Или более "страшное" - "Ваша электронная подпись исчезнет 1 апреля". Некоторые бухгалтеры даже решили заработать на 1 апреле, и это не шутка, инструкции "написали" и продают за 249 руб.
Они никогда не понимали и не поймут, что КриптоПро CSP 5.0 совершенно без разницы на какой носитель записан ваш ключ электронной подписи - токен, реестр, директория, да хоть флешка.
Поэтому единственное, что нужно сделать - прочитать вчерашний пост и проверить версию установленной сборки криптопровайдера. Токены не превратится в тыкву, тот же Рутокен ЭЦП 2.0 (кто их использует) более надёжное средство хранение ключа, чем флешки и реестры. Рутокен lite - аналогично, решение сертифицированное и непонятно почему возникают вопросы по их замене.
Или более "страшное" - "Ваша электронная подпись исчезнет 1 апреля". Некоторые бухгалтеры даже решили заработать на 1 апреле, и это не шутка, инструкции "написали" и продают за 249 руб.
Они никогда не понимали и не поймут, что КриптоПро CSP 5.0 совершенно без разницы на какой носитель записан ваш ключ электронной подписи - токен, реестр, директория, да хоть флешка.
Поэтому единственное, что нужно сделать - прочитать вчерашний пост и проверить версию установленной сборки криптопровайдера. Токены не превратится в тыкву, тот же Рутокен ЭЦП 2.0 (кто их использует) более надёжное средство хранение ключа, чем флешки и реестры. Рутокен lite - аналогично, решение сертифицированное и непонятно почему возникают вопросы по их замене.