Pull to refresh

Comments 66

Я помню как ещё в начале нулевых работал в казначействе и впервые встретился там с ЭЦП. Удостоверяющим центром было головное московское казначейство. А компьютер, на котором производилась подпись платёжек (или что там было — уже не помню), стоял в отдельном кабинете, за бронированной дверью и документы приносились на дискетах.
Интересно, поменялось ли что-то с тех пор? :)
любой клиент-банк использует ЭЦП
К чему был этот комментарий?
Совет тем кто сертифицировать собираеться, сделайте сайт про ЭЦП и по простому все там разжуйте как для детей. Вот это былоб иновационно
Более того, где можно получить эти подписи, а то все центры предлагают их вместе со своим ПО и все это обходится в 40+ тысяч рублей минимум.
Еще забыл добавить, это ПО еще и поставляется частенько со своим ПК, к которому нужен сертифицированный специалист. Ну Вы поняли. В общем сдать отчетность маленькой фирме по интернету нереально без нормальных таких денег.
Лицензия на право пользования СКЗИ КриптоПро CSP на одном рабочем месте — 1800 р.
Стоимость изготовления сертификата ключа подписи пользователя — 3500 р.
Идентификатор eToken Pro 32K — ~1000.

Что за сказки?
Все равно дорого, SSL дешевле выходит.
SSL — это совсем другая песня
Почему совсем? Как минимум это неквалифицированная ЭЦП, которая при некоторых условиях (аккредитация УЦ в частности) может стать квалифицированной.
Совсем-совсем: ru.wikipedia.org/wiki/SSL
SSL — для аутентификации сервера и шифрования соединения, а не для подписи документов.
Разве неизменность (возможность подмены) он не гарантирует?
Документы им не подписывают. SSL — это криптографический протокол.
Документ, отправленный или полученный через https перестаёт быть документом?
SSL подписывает HTTPS, если можно так сказать. Шифрует канал и идентифицирует сервер. Документ, переданный через HTTPS, будет идентифицирован как полученный от определенного лица, указанного в сертификате SSL. Но только получен, не подписан им.
Далее я не вижу смысла в этом споре. Я выразил свое мнение, вы — свое.
Такое ощущение что они собственноручно ключи изготавливают. PGP делает нам их бесплатно, но чтобы они стали «законными», нужно выложить 3500р. странно.
Незабываем про бюрократию, бумажки, оплату труда, поддержки серверов УЦ, затраты на получение лицензий и тд.
PS: сейчас конкуренция и спрос в этом секторе рынка повышается, взозможно стоит ожидать понижения цен.
Если конкуренция будет расти быстрее чем спрос…
Обычно такие лекции сопровождаются иллюстрациями
Электронная подпись: «работает» или нет?

Нет :)
«по умолчанию» электронная копия документа считается идентичной бумажной только в том случае, если она подписана «квалифицированной» подписью, то есть, с помощью сертифицированных программ.


По большому счёту новый закон ничего не изменил получается?

Маразм, какой-то. Какая я разница КАК и ЧЕМ я подписал документ, если подпись проходит валидацию и позволяет и идентифицировать меня, и гарантировать целостность документа? Аналогично с «входящими» — какая разница КАК и ЧЕМ я проверил валидность подписи, идентифицировал контрагента и проверил целостность документа, если в суде проверка сертифицированным ПО покажет тоже самое? А если не покажет — то это мои риски, что я начал совершать какие-то действия на основании анонимного (де-юре) документа, позвольте мне самому управлять своими рисками!
Да но это не мешает вам договориться с другим человеком/юр.лицом обмениваться подписанными документами не сертифицированной программой и это будет валидно.

По поводу второго вашего замечания, я думаю есть риск когда вы можете подделать подпись в свою сторону когда она на самом деле не является таковой, это единственное что мне приходит в голову чем могли руководствоваться когда выбирали между сертифицированным и не забугорным.

Вобще проблема ГОСТовского алгоритма не в том что он плох, а то что его спецификация позволяет создавать как раз в разных программах(сертифицированных в том числе) НЕ СОВПАДАЮЩИЕ хеши на один и тот же контент.
Причем тут ГОСТовсккий алгоритм? Кто-то его упоминал?
Я очень сильно сомневаюсь что сертификацию будут выдавать на софт который использует зарубежные алгоритмы. Поэтому мое предположение основано на том что сертификаця будет требовать использования ГОСТ шифрования. Но я бы хотел верить в чудо.
Вроде как новым законом предусмотрена сертификация и зарубежных УЦ и ПО. Вряд ли эти нормы вводились с расчётом на то, что все перейдут на ГОСТ.

Другое дело, что доказать ФСБ (вроде они сертифицируют), что md5 не хуже гостовского может быть проблематично.
Собственно об этом и речь, сертификационный орган может выбрать себе любимчиков и не важно что существуют другие алгоритмы на элептических кривых а не только ГОСТ.
Ну как бы чтобы отказать в сертификации, то им нужно показать практическую возможность вычисления закрытого ключа из подписи или из открытого. И даже не обязательно на эллиптических кривых.

Но что интересно, даже возможности коллизий не рассматривается, не говоря об их вероятности.
Получаеться они все же сертифицируют алогоритм, а не софт.

Не совсем понял про коллизии.
Ну, видимо, сначала исследуют алгоритм, а потом исследуют софт, что он действительно этот алгоритм реализует :)

Что у двух разных документов может быть одна подпись. Хотя это я загнул
позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;


Но вроде ни один алгоритм на основе «свёртки» этого не гарантирует.
Если мне не изменяет память, то для md5 лет пять назад были найдены «коллижены» — реально созданы два разных документа, имеющие одинаковое значение хэша.

Так что md5, хотя бы поэтому, хуже гостовского алгоритма для создание ЭЦП. Хотя, конечно, добавление к документу случайной строки до подписывания позволяет избежать подписывания документа с «двойником».
md5 я для примера привёл, сознательно не самый лучший вариант, чтобы показать, что у ФСБ есть объективные поводы не сертифицировать всё подряд.
По старому закону это тоже, если не ошибаюсь, было валидно.

С таким же успехом я могу подделать подпись на «живом» документе. Но доказать её поддельность будет проще как раз в случае электронного.

Так вроде новый закон не обязывает использовать ГОСТовский алгоритм, требования описаны чётко «обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки.»
Очень надеялся, что новый закон упростит использование ЭЦП, выданных зарубежными центрами сертификации, например Verisign или Thawte. Увы, ничего не изменилось. Если только эти центры не пройдут аккредитацию у нас. Но оно им надо?
Всё же изменилось — появилась такая возможность.
Хотите сказать, что иностранная ЭЦП будет равна собственноручной подписи? Это вряд ли.
недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.
Это верно. Но, блин, как в том анекдоте про Петьку и Василия Ивановича — «есть один нюанс». Читаем внимательнее:
Статья 7. Признание электронных подписей, созданных в соответствии с нормами иностранного права и международными стандартами

1. Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, в Российской Федерации признаются электронными подписями того вида, признакам которого они соответствуют на основании настоящего Федерального закона.
2. Электронная подпись и подписанный ею электронный документ не могут считаться не имеющими юридической силы только на том основании, что сертификат ключа проверки электронной подписи выдан в соответствии с нормами иностранного права.

Статья 6. Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью

1. Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.
2. Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия.

Статья 11. Признание квалифицированной электронной подписи

Квалифицированная электронная подпись признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий:
1) квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата;
2) квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;
3) имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений, внесенных в этот документ после его подписания. При этом проверка осуществляется с использованием средств электронной подписи, получивших подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом, и с использованием квалифицированного сертификата лица, подписавшего электронный документ;
4) квалифицированная электронная подпись используется с учетом ограничений, содержащихся в квалифицированном сертификате лица, подписывающего электронный документ (если такие ограничения установлены).

Статья 16. Аккредитация удостоверяющего центра

1. Аккредитация удостоверяющих центров осуществляется уполномоченным федеральным органом в отношении удостоверяющих центров, являющихся российскими или иностранными юридическими лицами.
2. Аккредитация удостоверяющего центра осуществляется на добровольной основе. Аккредитация удостоверяющего центра осуществляется на срок пять лет, если более короткий срок не указан в заявлении удостоверяющего центра.
3. Аккредитация удостоверяющего центра осуществляется при условии выполнения им следующих требований:
1) стоимость чистых активов удостоверяющего центра составляет не менее чем один миллион рублей;
2) наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким удостоверяющим центром, или информации, содержащейся в реестре сертификатов, который ведет такой удостоверяющий центр, в сумме не менее чем полтора миллиона рублей;
3) наличие средств электронной подписи и средств удостоверяющего центра, получивших подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;
4) наличие в штате удостоверяющего центра не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее профессиональное образование в области информационных технологий или информационной безопасности либо высшее или среднее профессиональное образование с последующим прохождением переподготовки или повышения квалификации по вопросам использования электронной подписи.


Все это цитаты из нового закона об электронных подписях. Иными словами ЭЦП, выданная Verisign, будет соответствовать только признакам неквалифицированной электронной подписи, потому что один из признаков квалифицированной подписи — аккредитация выдавшего ее УЦ. Неквалифицированная же подпись признается аналогичной собственноручной только в случаях, предусмотренных соглашением сторон или законом. Законом таких случаев не установлено.
Я к тому, что в старом законе, если мне память не изменяет, вообще не было возможности использовать иностранные УЦ. Сейчас такая возможность есть, если:
— есть аккредитация
— или есть соглашения сторон

Что все известные иностранные УЦ бросятся аккредитироваться конечно надеяться не стоит (хотя не исключено), но вот соглашение сторон, да ещё в виде публичной оферты, открывает более широкие возможности чем были.
По соглашению сторон и раньше можно было все, что угодно, в виде подписи использовать. И сейчас можно. Просто раньше то, что сейчас назвали простой подписью и неквалифицированной, было аналогом собственноручной подписи, который используется по соглашению сторон.
И начнут сами генерировать ключи для клиентов и собирать их?
По вопросу юридической силы «бумажного» документа и его электронной копии закон устанавливает следующие правила: «по умолчанию» электронная копия документа считается идентичной бумажной только в том случае, если она подписана «квалифицированной» подписью, то есть, с помощью сертифицированных программ. Если же программа не имеет сертификата или используется «простая» подпись, электронный документ считается соответствующим «бумажному» только если это прямо указано в законе либо установлено соглашением сторон.

Вот если бы правила по умолчанию приравнивали бы электронную подпись выше чем бумажную, хотя бы туже самую квалифицированную, тогда бы можно было бы увидеть расвет электронных подписей более быстрый.

Но вобще динамика реально положительная. Понравилось последнее предложение получается, 2 юр.лица могу использовать то что им удобно (слава богу).

Посмотрел кстати весь закон, если я его правильно понял, опять же те 2 юр.лица между собой могут использовать любые алгоритмы RSA или PGP, а эстеты ГОСТ, если смогут договориться об этом.
Повторюсь насчёт RSA или PGP
обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки.


То есть как-только алгоритм будет хоть раз скомпроментирован, то использовать нельзя уже, даже если договориться. Так получается.
Ну ключи RSA вычисляют потихоньку и находят коллизии в том числе. Это не мешает нам передоговариваться и использовать RSA-1024, RSA-2048 и т.д… Я по крайне мере себе так это представляю.
В этом отношении, если не ошибаюсь, старый закон был либеральней — договорились хоть пробел в конце добавлять и нормально. Ваши риски!
Ну понятно вобщем все очень скользко, хотя мне показалось это один из редких законов, которые написаны для людей, а не просто так, хотя и не без изъянов конечно.
Мне тоже так показалось. К тому же не так часто у наших законов выходят «мажорные» релизы :)
Внезапно bit.ly/jELNug можно отзывать всякие криптопро и их аналоги после публикации атаки :)
>если бы правила по умолчанию приравнивали бы электронную подпись выше чем бумажную

Как это «выше»??? Подпись либо есть, либо нет. «Мой шворц длиннее твоего»? :) Моя подпись электронная и кроет твою бумажную как козырный туз простую шестёрку?
Я не знаю как это сейчас обыграть, но мой посыл заключается в том чтобы лоббировать использование электронной подписи а не бумажной.
Полноценно внедрить электронный документооборот в госструктуры и смежные с ними? По сути в подавляющем числе случаев я подписываю документы (да ещё от руки что-то заполняю), подпись в которых требует от меня и моего контрагента государство.

Проект единой карты, кстати, предусматривает, что она может использоваться как носитель ключа ЭЦП.
С госструктурами это самый логичный ход, но надо чтобы это было реализованно так чтобы было удобно а не так как сейчас с бумажкой. Иначе сменим геморой один на другой (вокруг софта для шифрования и отправки).

Да Единую карту уже жду и имею даже карт-ридер для таких целей, хочу ее в 2012 году заказать, т.к. обещали с 2012.
Ваш закрытый ключ не должен знать никто, а по российскому закону об ЭЦП этот ключ генерировался «удостоверяющим центром», то есть, совершенно посторонними людьми. Поэтому столь малое количество выданных подписей вполне объяснимо. Закон требовал от удостоверяющего центра свято хранить тайну ключа, но вот элементарные представления о предосторожности требовали вообще никому этот ключ не доверять. Предосторожность, как правило, побеждала.

Нонсенс. УЦ может по просьбе клиента сгенерировать ему пару ключей. Но если клиент хочет сгенерировать ключевую пару самостоятельно, то никто ему не мешает — УЦ всего лишь заверит его открытый ключ, а закрытый останется известным только клиенту.
Спасибо Pravo.ru за информацию.
Вот убрали бы своё «интерактивное» представление законов с собственным контекстным меню — было бы вообще замечательно :)
В чем неудобство такого представления?
Выделяешь мышью для цитаты, пытаешься скопировать через контекстное меню — а нет такого варианта. Ладно, нажму Ctrl+C и получаю в буфере
Статья 19.
Заключительные положения
Добавить комментарий0
1.Сертификаты ключей подписей, выданные в соответствии с Федеральным законом от 10 января 2002 года N 1-ФЗ «Об электронной цифровой подписи», признаются квалифицированными сертификатами в соответствии с настоящим Федеральным законом.
2.Электронный документ, подписанный электронной цифровой подписью до даты признания утратившим силу Федерального закона от 10 января 2002 года N 1-ФЗ «Об электронной цифровой подписи», признается электронным документом, подписанным квалифицированной электронной подписью в соответствии с настоящим Федеральным законом.
Статья 20.
Вступление в силу настоящего Федерального закона
Добавить комментарий0
1.Настоящий Федеральный закон вступает в силу со дня его официального опубликования.
2.Федеральный закон от 10 января 2002 года N 1-ФЗ «Об электронной цифровой подписи» признать утратившим силу с 1 июля 2012 года.
(выделено мною)

Динамическая подгрузка статей закона мешает сразу перейти в конец документа через скролбар — тащишь ползунок вроде в конец, а получаешь через несколько секунд что он где-то посередине. Кстати, индексации поисковиками это не мешает? Не припомню чтоб гугл выдавал ссылки на ваш сайт, обычно консультант или гарант в на первых местах, когда ищешь по названию закона.

Кстати, сравнил сейчас две редакции Конституции РФ — немного удивился количеству отличий. Потом присмотрелся — действительно типографика в официальном тексте изменилась или просто разные операторы вводили?

Но вообще основной недостаток первый — нельзя нормально скопировать
Динамическая подгрузка я считаю это нормально, упрощает жизнь людям которые часто открывают документы а они большие, а скорость интернета не ахти. Я еще правда не видел документов на право, в которых есть приложения, которые предлагают примеры форм для заполнения.
:) Если есть какие-то темы для статей, предлагайте.
152-ФЗ для интернет-магазина

152-ФЗ для социальной сети

использование в организациях ПО, бесплатно распространяемых под не GPL-лицензиями

использование в организациях ПО, приобретенного на физ.лиц

чтение/запись электронной почты сотрудников службой безопасности предприятия (с предупреждением при приеме на работу), то же — про телефонные разговоры

раскрытие информации силовым ведомствам по их запросу не операторами связи (форумами, Интернет-магазинами)

— Большая просьба: раскрывайте поглубже, а не просто для легкого PR-а?
Прошу прощения, Хабралюди, там первое апреля по ссылке.
Да и не о том законе речь ;) А так спасибо, улыбнуло.
для подписи теперь можно использовать не только сертифицированные программы.

А что, сама подпись содержит какую-то информацию о том, с помощью какого софта она была изготовлена? Или здесь перепутаны софт и алгоритм шифрования?
UFO just landed and posted this here
Sign up to leave a comment.