🔹рост выдачи на 800 тыс. по сравнению с первым кварталом прошлого года.
🔹стабильность топ-10 УЦ.
🔹деятельность по выдаче квалифицированных сертификатов осуществляют 42 из 43 УЦ.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Компания F6 рассказала о новом сценарии мошеннической схемы с обратным звонком.
Злоумышленники с 26 марта от имени федерального ведомства рассылают по электронной почте письма, в которых сообщают об «авторизации в аккаунте с помощью электронной подписи», выгрузке документов и предлагают перезвонить по мобильному номеру. Преступники используют для мошеннических рассылок 32 различные темы. Уловка рассчитана на пользователей, которые применяют электронную подпись для доступа к различным государственным и коммерческим сервисам как в личных, так и в служебных целях.
Входящее письмо - самое начало первой фазы атаки в многоуровневой схеме мошенничества, поэтому важно не поддаваться эмоциям и прекратить любые контакты с мошенниками.
Злоумышленники с 26 марта от имени федерального ведомства рассылают по электронной почте письма, в которых сообщают об «авторизации в аккаунте с помощью электронной подписи», выгрузке документов и предлагают перезвонить по мобильному номеру. Преступники используют для мошеннических рассылок 32 различные темы. Уловка рассчитана на пользователей, которые применяют электронную подпись для доступа к различным государственным и коммерческим сервисам как в личных, так и в служебных целях.
Входящее письмо - самое начало первой фазы атаки в многоуровневой схеме мошенничества, поэтому важно не поддаваться эмоциям и прекратить любые контакты с мошенниками.
Прошло более двух месяцев со дня вступления в силу приказа Минцифры от 05.11.2025 № 1001 об изменениях единых требований к формам МЧД, необходимых для использования квалифицированной электронной подписи. Единый формат версии 003 и схема ещё не актуализированы.
В апреле по плану должно состояться второе заседание Экспертного совета при Минцифры по электронной подписи, но пока нет протокола с первого заседания.
В мае пройдет TAdviser SummIT, главный редактор Tadviser подтвердил, что планируется секция с вопросами/ответами главы Минцифры. Это хороший способ задать свой вопрос. Положительная практика уже есть, так благодаря донесения проблемы до Министра удалось исправить пятилетнюю ошибку в 63-ФЗ, больше до неё никому не было дела.
Какие бы вопросы вы задали Министру по теме PKI? Проблемы ГУЦ и отзыва подчинённых сертификатов, отсутствие института подчиненных УЦ в рамках законопроекта по НУЦ, ошибка в формате электронной подписи, неопределенность со сроками перехода ИС на новый ГОСТ шифрования, противоречивые законы, которые не нашли реализации на практике, отсутствие диалога регулятора и сообщества?
✍️ "Об ЭП и УЦ"
В апреле по плану должно состояться второе заседание Экспертного совета при Минцифры по электронной подписи, но пока нет протокола с первого заседания.
В мае пройдет TAdviser SummIT, главный редактор Tadviser подтвердил, что планируется секция с вопросами/ответами главы Минцифры. Это хороший способ задать свой вопрос. Положительная практика уже есть, так благодаря донесения проблемы до Министра удалось исправить пятилетнюю ошибку в 63-ФЗ, больше до неё никому не было дела.
Какие бы вопросы вы задали Министру по теме PKI? Проблемы ГУЦ и отзыва подчинённых сертификатов, отсутствие института подчиненных УЦ в рамках законопроекта по НУЦ, ошибка в формате электронной подписи, неопределенность со сроками перехода ИС на новый ГОСТ шифрования, противоречивые законы, которые не нашли реализации на практике, отсутствие диалога регулятора и сообщества?
Please open Telegram to view this post
VIEW IN TELEGRAM
Для корректного построения цепочки доверия к сертификатам пользователей, которые будут выданы после перехода, на рабочих местах должны быть установлены:
- корневой сертификат Минцифры России от 2022 года в "Доверенные корневые центры сертификации" (так было раньше);
- промежуточный сертификат УЦ ФНС России от 03.03.2025 в "Промежуточные центры сертификации" (новый подчиненный).
На сайте ФНС России промежуточный сертификат размещен по ссылке: http://pki.tax.gov.ru/crt/CA_FNS_Russia_2025_01.crt, CRL - http://pki.tax.gov.ru/cdp/aeec619ebfcd5254b7ebb5c5b2842e161bb21f4c.crl
Please open Telegram to view this post
VIEW IN TELEGRAM
В конце декабря прошлого года наш канал писал про законопроект об инструктаже по охране труда в электронном виде, против которого выступали профсоюзы.
Прошло почти полгода, законопроект прошел первое чтение и против его норм высказались операторы кадрового ЭДО, об этом пишет Forbes в статье "Жизнь бьет «Госключом»: бизнес просит пересмотреть нововведения в Трудовой кодекс".
Что же не устраивает рынок?
Два способа подписания журналов прохождения инструктажей по охране труда - НЭП Госключа либо КЭП, оставляя за бортом НЭП, которая применяется в самом КЭДО и неквалифицированные сертификаты для которой выдаются неаккредитованными УЦ самих операторов КЭДО.
Кроме того, применение «Госключа» имеет, например, следующие ограничения, говорится в документе:
🔹подписание возможно только с использованием конкретного мобильного устройства работника;
🔹нет десктопной или браузерной версии;
🔹при ошибках авторизации пользователь блокируется на 72 часа.
Будем следить за продолжением данной истории.
Прошло почти полгода, законопроект прошел первое чтение и против его норм высказались операторы кадрового ЭДО, об этом пишет Forbes в статье "Жизнь бьет «Госключом»: бизнес просит пересмотреть нововведения в Трудовой кодекс".
Что же не устраивает рынок?
Два способа подписания журналов прохождения инструктажей по охране труда - НЭП Госключа либо КЭП, оставляя за бортом НЭП, которая применяется в самом КЭДО и неквалифицированные сертификаты для которой выдаются неаккредитованными УЦ самих операторов КЭДО.
Многие работодатели уже интегрировали подписание документов в собственные HR-системы и системы КЭДО посредством API. Сценарий глубокой интеграции с «Госключом» на текущий момент требует значительных доработок как со стороны вендоров, так и со стороны работодателей. При использовании «Госключа» работодатель не контролирует сроки действия сертификата, не управляет процедурой его выдачи или перевыпуска и зависит от технических условий или ограничений на стороне сотрудника- говорят авторы письма, направленного в адрес Госдумы.
Кроме того, применение «Госключа» имеет, например, следующие ограничения, говорится в документе:
🔹подписание возможно только с использованием конкретного мобильного устройства работника;
🔹нет десктопной или браузерной версии;
🔹при ошибках авторизации пользователь блокируется на 72 часа.
Будем следить за продолжением данной истории.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Вчера не только Forbes, но и Коммерсантъ опубликовал статью Документооборот откроют «Госключом». Пойдет ли на пользу бизнесу переход на новую систему кадрового учета.
В статье приводится ссылка на Forbes и письмо Ассоциации больших данных.
Письмо в адрес Председателя Комитета по труду Госдумы от 2 апреля о позиции в отношении законопроекта 1103297-8 подписали генеральные директора "Директум", "Инновации в управлении кадрами", "Тензор", "СКБ Контур" и президент АБД. В Forbes информация из письма передана корректно, чего не скажешь про комментарий о технических особенностях, на которые указал директор направления разработки информационных систем ITFB Group. Лучше бы ничего не указывал. Подпись это всегда зашифрованный хэш документа, но на подписание должен направляться и визуализироваться сам документ, а не его хэш (так делают Госзакупки, но это неправильно).
Насчёт техподдержки правильно написано, чат в телеграм и
Онлайн поддержки нет.
Что не написано - проблема с доступом к документам уволенных сотрудников:
Лично мне НЭП Госключа неудобно было бы использовать для подписания кадровых документов. Сейчас зашёл в HR-систему, просмотрел документ и нажал кнопку подписания, пару секунд и всё готово - "облачный" НЭП. Если клиентский путь изменится, то нужно брать телефон, чтобы интернет обязательно работал, заходить в приложение, вводить пароль, подтверждать подписание. Долго и неудобно, проще подписать КЭП с помощью токена.
А получить формуляр Госключа - непроходимый квест. Сколько думаете часов на это требуется? Варианты в комментариях.
Документооборотзакроют «Госключом»
В статье приводится ссылка на Forbes и письмо Ассоциации больших данных.
Такое усложнение скорее затормозит развитие электронного документооборота в России, чем будет ему способствовать. Мы надеемся, что наши аргументы будут услышаны, поскольку речь идет о гражданах, которые непосредственно работают с этими процессами
Письмо в адрес Председателя Комитета по труду Госдумы от 2 апреля о позиции в отношении законопроекта 1103297-8 подписали генеральные директора "Директум", "Инновации в управлении кадрами", "Тензор", "СКБ Контур" и президент АБД. В Forbes информация из письма передана корректно, чего не скажешь про комментарий о технических особенностях, на которые указал директор направления разработки информационных систем ITFB Group. Лучше бы ничего не указывал. Подпись это всегда зашифрованный хэш документа, но на подписание должен направляться и визуализироваться сам документ, а не его хэш (так делают Госзакупки, но это неправильно).
Затраты на электронную подпись сотрудников не сравнимы с бюджетом на обеспечение техподдержки, говорит партнер и руководитель технологической практики компании Comply.
Бесплатен ли "Госключ"? На самом деле нет. Учтите расходы на поддержку и настройку, перестройку процессов — это далеко не бесплатно. Неквалифицированные подписи в КЭДО стоят 400-800 руб. на сотрудника в год, а "Госключ" обходится в несколько раз дороже
Насчёт техподдержки правильно написано, чат в телеграм и
Техническая поддержка ПОЛЬЗОВАТЕЛЕЙ с регистрацией обращений осуществляется по адресу goskey@gosuslugi.ru
Онлайн поддержки нет.
Что не написано - проблема с доступом к документам уволенных сотрудников:
Функциональность последующего удаления ранее подписанных документов из мобильного приложения "Госключ" в связи с прекращением трудовых отношений не предусмотрена и не планируется к реализации- ранее отвечало Минцифры.
Лично мне НЭП Госключа неудобно было бы использовать для подписания кадровых документов. Сейчас зашёл в HR-систему, просмотрел документ и нажал кнопку подписания, пару секунд и всё готово - "облачный" НЭП. Если клиентский путь изменится, то нужно брать телефон, чтобы интернет обязательно работал, заходить в приложение, вводить пароль, подтверждать подписание. Долго и неудобно, проще подписать КЭП с помощью токена.
А получить формуляр Госключа - непроходимый квест. Сколько думаете часов на это требуется? Варианты в комментариях.
Документооборот
Об ЭП и УЦ
⚡️Розыгрыш для участников Рутокен Day! Компания «Актив» подготовила 3 классных приза👍 для участников Рутокен Day: 🔹Футболка и Рутокен ЭЦП 3.0 NFC 3100 Tag 🔹Футболка и Смарт-карта Рутокен ЭЦП 3.0 + NFC-считыватель 🔹Футболка Для выбора победителей наш канал…
1. Vlad (@barnard813)
2. Вероника (@veronikakerber)
3. Paul (@paulpleshkov)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔹Программные решения
🔹Программно-аппаратные решения
🔹Решения для клиентов
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
В ComNews вышла статья "ИИ спрямил дорогу к ЭДО". Такой многообещающий заголовок, а по содержанию анализ рукописных полномочий в МЧД... Сама новость от МЧД уходит к вопросам деятельности удостоверяющих центров, но эти фразы: Эти сертификаты выпускают …
"Страшно далеки они от народа"
Нейросети. Сейчас активно используются для консультаций по самым простым вопросам и только фраза "Этот ответ подготовлен с помощью ИИ и может содержать неточности" - "спасает" дело. Только там не неточности, там всё неправильно. Не существует никаких приказов, доверенностей о передаче носителя с ключом электронной подписи другому лицу, чтобы он его использовал.
Нужно как в Казахстане - штраф за использование чужого ключа ЭП, в двойном размере владельцу сертификата - за то, что передал свой носитель, а потом уже лицу, которое использует чужой ключ. Модельный Закон об электронной подписи данные нормы содержит. Полная аналогия со штрафом за непристегнутый ремень безопасности - за езду без ремня или перевозку непристегнутых пассажиров штрафуют водителя (1500 руб.), а потом и самих пассажиров без ремня безопасности (уже на 500 руб.).
Нейросети. Сейчас активно используются для консультаций по самым простым вопросам и только фраза "Этот ответ подготовлен с помощью ИИ и может содержать неточности" - "спасает" дело. Только там не неточности, там всё неправильно. Не существует никаких приказов, доверенностей о передаче носителя с ключом электронной подписи другому лицу, чтобы он его использовал.
Нужно как в Казахстане - штраф за использование чужого ключа ЭП, в двойном размере владельцу сертификата - за то, что передал свой носитель, а потом уже лицу, которое использует чужой ключ. Модельный Закон об электронной подписи данные нормы содержит. Полная аналогия со штрафом за непристегнутый ремень безопасности - за езду без ремня или перевозку непристегнутых пассажиров штрафуют водителя (1500 руб.), а потом и самих пассажиров без ремня безопасности (уже на 500 руб.).
📣Защита связи с Луной и Марсом 🛰
Для обычных пользователей защита связи - это HTTPS в браузере и зелёный замочек. Но как защитить данные, когда сигнал идёт с задержкой в несколько секунд, а перезагрузить "сервер" физически невозможно? NASA представило архитектуру AerLock v2 и Security Manager для cFS - это новый стандарт того, как будет работать защищённая связь в программах "Луна-Марс". Документ выложен в открытом доступе на сайте NASA✍️
Как же будет обеспечиваться защиты связи в межпланетных космических полетах?
🔹Одной контрольной суммы больше недостаточно
Раньше ПО полагалось на контрольные суммы, технология AerLock v1 закрывает этот пробел за счет аутентификации каждого сообщения на прикладном уровне. Каждое сообщение внутри cFS подписывается цифровой подписью, и получатель проверяет не только то, что данные не повреждены (это делала и контрольная сумма), но и кто именно их отправил, а также не было ли сообщение перехвачено и воспроизведено повторно (Anti-replay protection).
🔹Конфиденциальность без потери производительности
Космос - не место для тяжёлых криптографических библиотек. В AerLock v2 защита реализована через стандарт AES-GCM, который одновременно и шифрует данные (т.е. обеспечивает конфиденциальность), и проверяет их целостность (аутентификация).
Главная особенность - расширенные контексты HKDF. Криптография жёстко привязывается к конкретному каналу связи и конкретному получателю. То есть, даже если злоумышленник каким-то чудом узнает ключ для связи с научным прибором, он не сможет использовать его, чтобы отдать команду двигательной установке. Ключи работают в строго очерченном периметре.
🔹Защита в условиях разрыва связи
Главная боль дальней космической связи - огромные задержки и обрывы (расстояние до Луны около 400 тыс. км, а Марса при минимальном сближении - 55 млн. км.). AerLock v2 использует окна приёма для защиты от повторного воспроизведения (Replay Attack).
🔹Оркестрация через Security Manager
Шифровать и подписывать мало. Нужно управлять тем, кто с кем и как имеет право общаться. Для этого NASA вводит Security Manager (SM) - отдельное сервисное приложение, которое определяет, какая полезная нагрузка имеет право общаться с системой навигации, распределяет ключи шифрования, активирует или отключает каналы связи, собирает структурированную телеметрию о состоянии безопасности для оператора.
Для обычных пользователей защита связи - это HTTPS в браузере и зелёный замочек. Но как защитить данные, когда сигнал идёт с задержкой в несколько секунд, а перезагрузить "сервер" физически невозможно? NASA представило архитектуру AerLock v2 и Security Manager для cFS - это новый стандарт того, как будет работать защищённая связь в программах "Луна-Марс". Документ выложен в открытом доступе на сайте NASA
Как же будет обеспечиваться защиты связи в межпланетных космических полетах?
🔹Одной контрольной суммы больше недостаточно
Раньше ПО полагалось на контрольные суммы, технология AerLock v1 закрывает этот пробел за счет аутентификации каждого сообщения на прикладном уровне. Каждое сообщение внутри cFS подписывается цифровой подписью, и получатель проверяет не только то, что данные не повреждены (это делала и контрольная сумма), но и кто именно их отправил, а также не было ли сообщение перехвачено и воспроизведено повторно (Anti-replay protection).
🔹Конфиденциальность без потери производительности
Космос - не место для тяжёлых криптографических библиотек. В AerLock v2 защита реализована через стандарт AES-GCM, который одновременно и шифрует данные (т.е. обеспечивает конфиденциальность), и проверяет их целостность (аутентификация).
Главная особенность - расширенные контексты HKDF. Криптография жёстко привязывается к конкретному каналу связи и конкретному получателю. То есть, даже если злоумышленник каким-то чудом узнает ключ для связи с научным прибором, он не сможет использовать его, чтобы отдать команду двигательной установке. Ключи работают в строго очерченном периметре.
🔹Защита в условиях разрыва связи
Главная боль дальней космической связи - огромные задержки и обрывы (расстояние до Луны около 400 тыс. км, а Марса при минимальном сближении - 55 млн. км.). AerLock v2 использует окна приёма для защиты от повторного воспроизведения (Replay Attack).
🔹Оркестрация через Security Manager
Шифровать и подписывать мало. Нужно управлять тем, кто с кем и как имеет право общаться. Для этого NASA вводит Security Manager (SM) - отдельное сервисное приложение, которое определяет, какая полезная нагрузка имеет право общаться с системой навигации, распределяет ключи шифрования, активирует или отключает каналы связи, собирает структурированную телеметрию о состоянии безопасности для оператора.
Please open Telegram to view this post
VIEW IN TELEGRAM
До Луны проще слетать, чем корневой Минцифры установить
Именно так думают подписчики канала, которые сообщают, что Госзакупки до сих пор не установили новые корневые сертификаты Головного удостоверяющего центра:
А тем временем уже 6 АУЦ получили новые подчиненные сертификаты и их количество будет расти.
Up. 10.04.2026 корневые сертификаты были торжественно установлены
Именно так думают подписчики канала, которые сообщают, что Госзакупки до сих пор не установили новые корневые сертификаты Головного удостоверяющего центра:
Просто до тп zakupki.gov.ru достучаться невозможно, чтобы они новый корень минцифры установили
А тем временем уже 6 АУЦ получили новые подчиненные сертификаты и их количество будет расти.
Up. 10.04.2026 корневые сертификаты были торжественно установлены
🔥 CISO FORUM 2026: 392 участника из 330 топовых компаний уже в списке!
Это не просто форум - это ваша возможность выйти на прямой диалог с лидерами кибербезопасности России. 28 апреля 2026 года в Центре международной торговли (Москва) соберётся более 1000 специалистов: CISO, CIO, архитекторы ИБ и руководители SOC.
Что внутри:
🔹4 трека: стратегия, атаки, защита данных, практики;
🔹кейсы от топ‑25 российских CISO 2025;
🔹нет маркетинга - только живые обсуждения и решения.
Зачем вам это:
🔹Найти партнёров для пилотных проектов.
🔹Презентовать свои продукты ИТ‑ и ИБ‑руководителям.
🔹Узнать, как строить защиту в эпоху, когда атака - вопрос времени.
Ваш шаг: скачайте PDF со списком компаний‑участников, чтобы оценить масштаб аудитории. Потом выбирайте формат участия - и будьте там, где принимаются ключевые решения.
Организатор: компания Р-Конф.
⚠️ Места ограничены! Регистрируйтесь, пока есть слоты.
✍️ Телеграм-канал "Об ЭП и УЦ" - информационный партнер CISO FORUM 2026
Это не просто форум - это ваша возможность выйти на прямой диалог с лидерами кибербезопасности России. 28 апреля 2026 года в Центре международной торговли (Москва) соберётся более 1000 специалистов: CISO, CIO, архитекторы ИБ и руководители SOC.
Что внутри:
🔹4 трека: стратегия, атаки, защита данных, практики;
🔹кейсы от топ‑25 российских CISO 2025;
🔹нет маркетинга - только живые обсуждения и решения.
Зачем вам это:
🔹Найти партнёров для пилотных проектов.
🔹Презентовать свои продукты ИТ‑ и ИБ‑руководителям.
🔹Узнать, как строить защиту в эпоху, когда атака - вопрос времени.
Ваш шаг: скачайте PDF со списком компаний‑участников, чтобы оценить масштаб аудитории. Потом выбирайте формат участия - и будьте там, где принимаются ключевые решения.
Организатор: компания Р-Конф.
⚠️ Места ограничены! Регистрируйтесь, пока есть слоты.
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Территория безопасности
Не ГОСТом единым или что не так с отечественным PKI
Редко получается откликнуться на приглашение выступить с презентацией, но в данном случае на вопрос от @alukatsky "А ты выступаешь на мероприятиях?" отказаться не смог.
Изучив повестку и поняв, как логически продолжить выступление предыдущего спикера (оно первое в секции, посмотрите обязательно), стал готовиться к выступлению 2 апреля на Территории безопасности, чтобы разбавить ИБ-шную повестку нашей сферой. РусКрипто к этому времени уже прошел, а проблемные вопросы озвучены далеко не все.
В рамках своего выступления поднял проблематики больше, чем на последних РусКрипто и PKI-Форуме вместе взятых. Если о проблемах не говорить они никогда не решатся, а их игнорирование приведет к появлению новых. На удивление в зале даже оказался подписчик канала, спасибо ему за вопрос✍️
🚀 Об ЭП и УЦ
Не ГОСТом единым или что не так с отечественным PKI
Редко получается откликнуться на приглашение выступить с презентацией, но в данном случае на вопрос от @alukatsky "А ты выступаешь на мероприятиях?" отказаться не смог.
Изучив повестку и поняв, как логически продолжить выступление предыдущего спикера (оно первое в секции, посмотрите обязательно), стал готовиться к выступлению 2 апреля на Территории безопасности, чтобы разбавить ИБ-шную повестку нашей сферой. РусКрипто к этому времени уже прошел, а проблемные вопросы озвучены далеко не все.
В рамках своего выступления поднял проблематики больше, чем на последних РусКрипто и PKI-Форуме вместе взятых. Если о проблемах не говорить они никогда не решатся, а их игнорирование приведет к появлению новых. На удивление в зале даже оказался подписчик канала, спасибо ему за вопрос
Please open Telegram to view this post
VIEW IN TELEGRAM
Долго не мог понять, откуда берутся перлы про "невидимую подпись", про "состав УКЭП, включающего закрытый ключ", пока не попался мне Научно-практический комментарий к Федеральному закону от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи", подготовленный авторским коллективом.
Комментарий писали настоящие юристы, практикующие, только не в нашей сфере, иначе открыли бы перечень аккредитованных УЦ, на который ссылаются, и поискали там УЦ Рособрнадзора, ФСО, Почты России и др. среди аккредитованных.
Страшно за юристов, учебники у них такого же уровня. Они закон напишут, только как по нему жить - непонятно.
Комментарий писали настоящие юристы, практикующие, только не в нашей сфере, иначе открыли бы перечень аккредитованных УЦ, на который ссылаются, и поискали там УЦ Рособрнадзора, ФСО, Почты России и др. среди аккредитованных.
Страшно за юристов, учебники у них такого же уровня. Они закон напишут, только как по нему жить - непонятно.