Comments 90
Надеюсь, что в конечном итоге государство окончательно перейдёт к единому УЦ. Закон интересный, однако ФНС, как мне кажется, будет сильно сопротивляться.
Также надеюсь, что служба штампов времени будет единая и бесплатная. Но похоже именно на «электронном нотариусе» и будут теперь делать основные деньги.
нотариусы тут вообще мимо, служба времени вряд ли будет бесплатной, на чем-то же она должна содержаться, а кроме того она несет материальную ответственность за возможные нарушения. Есть возможная ответственность — есть риски. Есть риски и нет прибыли — такого не бывает.
Под «электронным нотариусом» я понимал службу штампов времени. Материальная ответственность может возникнуть только если будет принят соответствующий закон. Пока такового нет. Да и в случае со службой штампов времени создать некорректный штамп достаточно сложно, в отличие от работы с обычным нотариусом. И регулируется всё это соответствующими политиками безопасности.
По поводу ФНС. Идея выдачи сертификатов юрлицам прямо при получении документов лежит на поверхности и обсуждается уже много лет. Однако существует перечень «доводов против». Ведение УЦ явно выходит за рамки компетенции этой службы. Так что УЦ будет вести кто-то другой. А вот что достанется ФНС так это упрощённые функции RA (Registration Authority). Причём выполнять эти функции ФНС будет, по сути, бесплатно, просто в нагрузку к существующим процессам. Конечно, выдачу сертификатов заложат в соответствующие сборы, вот только, как мне кажется, ФНС будет перепадать основной геморрой от общения с клиентами и очень мало денежек. Так что ещё раз — ФНС, как мне кажется, будет сильно сопротивляться.
По поводу ФНС. Идея выдачи сертификатов юрлицам прямо при получении документов лежит на поверхности и обсуждается уже много лет. Однако существует перечень «доводов против». Ведение УЦ явно выходит за рамки компетенции этой службы. Так что УЦ будет вести кто-то другой. А вот что достанется ФНС так это упрощённые функции RA (Registration Authority). Причём выполнять эти функции ФНС будет, по сути, бесплатно, просто в нагрузку к существующим процессам. Конечно, выдачу сертификатов заложат в соответствующие сборы, вот только, как мне кажется, ФНС будет перепадать основной геморрой от общения с клиентами и очень мало денежек. Так что ещё раз — ФНС, как мне кажется, будет сильно сопротивляться.
> Под «электронным нотариусом» я понимал службу штампов времени.
Вам же в статье написано, что это служба называется «доверенное третье лицо»? Для чего вы пытаетесь переиначить на свой лад? Закон об электронном нотариате — это совсем другое, и он в данный момент прошел уже два чтения в ГД.
> Идея выдачи сертификатов юрлицам прямо при получении документов
У вас поверхность неполная. Кроме того, что выдавать можно или нужно при получении документов, возникает неизбежный вопрос о ежегодном перевыпуске сертификата, который не привязан ни к какой сдаче документов.
> Ведение УЦ явно выходит за рамки компетенции этой службы.
В законопроекте явно написано, что ведение УЦ будет входить в рамки компетенции ФНС. Или вы считаете, что вам лучше знать? )))
> Так что ещё раз — ФНС, как мне кажется, будет сильно сопротивляться.
Как и за всеми законами, у этого есть некая кулуарная часть. Так вот, согласно этой кулуарной части, хотите верьте, хотите не верьте, но ФНС уже несколько лет тянуло к этому руки.
Вам же в статье написано, что это служба называется «доверенное третье лицо»? Для чего вы пытаетесь переиначить на свой лад? Закон об электронном нотариате — это совсем другое, и он в данный момент прошел уже два чтения в ГД.
> Идея выдачи сертификатов юрлицам прямо при получении документов
У вас поверхность неполная. Кроме того, что выдавать можно или нужно при получении документов, возникает неизбежный вопрос о ежегодном перевыпуске сертификата, который не привязан ни к какой сдаче документов.
> Ведение УЦ явно выходит за рамки компетенции этой службы.
В законопроекте явно написано, что ведение УЦ будет входить в рамки компетенции ФНС. Или вы считаете, что вам лучше знать? )))
> Так что ещё раз — ФНС, как мне кажется, будет сильно сопротивляться.
Как и за всеми законами, у этого есть некая кулуарная часть. Так вот, согласно этой кулуарной части, хотите верьте, хотите не верьте, но ФНС уже несколько лет тянуло к этому руки.
Моя ошибка — поверил «на слово» статье. А надо было почитать самому. Ну да лучше поздно, чем никогда.
Вам же в статье написано, что это служба называется «доверенное третье лицо»?Мне безразлично что назвали вы в статье, я разъяснил употреблённый мною термин. А вот что действительно означает термин «доверенная третья сторона» (цитата непосредственно из законопроекта):
доверенная третья сторона – юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документамиНа самом деле это определение не имеет отношения к службе штампов времени. Речь здесь идёт о проверке подписи в определённый момент времени. То есть кто-то (или что-то вроде стороннего сервиса) проверит подпись целиком и скажет, была ли она корректная в какой-то конкретный момент времени. Служба штампов времени же просто подписывает хэш сообщения, без какой-то проверки подписи.
У вас поверхность неполнаяОткуда вам известно полная она у меня или нет? Я вот считаю что она, поверхность эта, у меня достаточно упитанная, так сказать :)
Или вы считаете, что вам лучше знать?А приведите-ка цитату из законопроекта, где хоть что-то говориться о ФНС. Может я что-то пропустил.
… но при этом искренне считая себя энтузиастом в этой области, который разбирается в вопросе лучше, чем 95% (а то и 99%) населения...Так случилось, что я вхожу в этот 1% населения, который разбирается в этом вопросе лучше вас.
> Так случилось, что я вхожу в этот 1% населения, который разбирается в этом вопросе лучше вас.
Давайте выясним, действительно ли это так.
> А вот что действительно означает термин «доверенная третья сторона» (цитата непосредственно из законопроекта)
Так, законопроект вы не прочитали. Открыли и поиском нашли первое упоминание доверенной третьей стороны и на этом закончили читать. Если бы вы прочитали хотя бы ещё два абзаца, то увидели бы следующее:
Хотя тут сказано, что создавать её может не только довернная третья сторона, но и УЦ и оператор ИС, де факто в РФ уже сложилась ситуация, когда этим занимают не УЦ и не ИС, а именно третьи лица. Они же делают OCSP, о котором по сути написал вы.
Кроме того, можно проскролить до п.16 ст. 1 этого законопроекта и почитать предлагаемую этим пунктом ст. 18.1 в закон об ЭП.
> А приведите-ка цитату из законопроекта, где хоть что-то говориться о ФНС. Может я что-то пропустил.
Пожалуйста: страница 27 — п. 1 ч.1 ст. 17.2:
Оставлю вам в качестве домашнего задания поиск НПА, который назначает ФНС ФИОВом, уполномоченным на осуществление государственной регистрации юридических лиц.
> Откуда вам известно полная она у меня или нет? Я вот считаю что она, поверхность эта, у меня достаточно упитанная, так сказать :)
Я же вам написал, почему она у вас неполная. Вы знаете вопрос только в теории, и вам не приходит в голову, что сертификат нужно ежегодно перевыпускать, в то время как обязанности перерегистрировать юрлицо ежегодно нет. Поэтому особенного толку от того, что ФНС будет выдавать сертификат ЭП именно при получении документов, нет. Это всё равно должно быть отдельным бизнес-процессом.
Давайте выясним, действительно ли это так.
> А вот что действительно означает термин «доверенная третья сторона» (цитата непосредственно из законопроекта)
Так, законопроект вы не прочитали. Открыли и поиском нашли первое упоминание доверенной третьей стороны и на этом закончили читать. Если бы вы прочитали хотя бы ещё два абзаца, то увидели бы следующее:
19) метка доверенного времени – достоверная информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, удостоверяющим центром или оператором информационной системы и полученная в момент подписания электронного документа электронной подписью в установленном уполномоченным федеральным органом порядке с использованием программных и (или) аппаратных средств, прошедших процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.»;
Хотя тут сказано, что создавать её может не только довернная третья сторона, но и УЦ и оператор ИС, де факто в РФ уже сложилась ситуация, когда этим занимают не УЦ и не ИС, а именно третьи лица. Они же делают OCSP, о котором по сути написал вы.
Кроме того, можно проскролить до п.16 ст. 1 этого законопроекта и почитать предлагаемую этим пунктом ст. 18.1 в закон об ЭП.
> А приведите-ка цитату из законопроекта, где хоть что-то говориться о ФНС. Может я что-то пропустил.
Пожалуйста: страница 27 — п. 1 ч.1 ст. 17.2:
применяется квалифицированная электронная подпись юридического лица, квалифицированный сертификат которой выдается удостоверяющим центром федерального органа исполнительной власти, уполномоченного на осуществление государственной регистрации юридических лиц, в установленном уполномоченным федеральным органом порядке
Оставлю вам в качестве домашнего задания поиск НПА, который назначает ФНС ФИОВом, уполномоченным на осуществление государственной регистрации юридических лиц.
> Откуда вам известно полная она у меня или нет? Я вот считаю что она, поверхность эта, у меня достаточно упитанная, так сказать :)
Я же вам написал, почему она у вас неполная. Вы знаете вопрос только в теории, и вам не приходит в голову, что сертификат нужно ежегодно перевыпускать, в то время как обязанности перерегистрировать юрлицо ежегодно нет. Поэтому особенного толку от того, что ФНС будет выдавать сертификат ЭП именно при получении документов, нет. Это всё равно должно быть отдельным бизнес-процессом.
метка доверенного времени – достоверная информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей сторонойЭто не корректная формулировка, и надеюсь она в конечно счёте будет исправлена, так как такие как вы могут её как-раз неправильно трактовать. Здесь подразумевается, что метка времени просто проверяется доверенной третьей стороной. И ещё раз — термин «доверенная третья сторона» не имеет никакого отношения к службе штампов времени.
Они же делают OCSP, о котором по сути написал выТоварищ «энтузиаст», OCSP — это сервис проверки «не отозванности» сертификата в данный момент. Он не проверяет никакой подписи.
Вы знаете вопрос только в теорииВы бы хоть посмотрели, кто я такой, прежде чем это всё писать. Я программист с 16-ти летним стажем в информационной безопасности. Я ведь не «энтузиаст», я этим зарабатываю.
Это не корректная формулировка, и надеюсь она в конечно счёте будет исправлена, так как такие как вы могут её как-раз неправильно трактовать. Здесь подразумевается, что метка времени просто проверяется доверенной третьей стороной.Похоже таки именно Вы имеете неверное представление о штампе времени. Советую прочитать о том, что это такое хотя бы на вики.
Я сам создал рабочий сервис службы штампов времени. Похоже, вы просто не прочитали контекст предыдущих обсуждений. Моё замечание по не корректности относилось к разделению понятий «создание метки доверенного времени» и «доверенная третья сторона». В контексте данного законопроекта термин «доверенная третья сторона» должен быть использован только для проверки метки доверенного времени, к созданию таких меток он отношения иметь не должен.
> Вы бы хоть посмотрели, кто я такой, прежде чем это всё писать. Я программист с 16-ти летним стажем в информационной безопасности. Я ведь не «энтузиаст», я этим зарабатываю.
Мне, честно говоря, абсолютно фиолетово кто вы. Я тоже программист с 17-ти летним стажем. А «энтузиаст» я лишь в области юридическизначимого использования электронной подписи на территории РФ. Поэтому прекратите тут давить вашим несуществующим авторитетом и вернитесь в поле аргументированной дискуссии. Два раза «ку» вам тут никто не будет делать при любом раскладе.
Вашу компетенцию, как программиста, я тут не обсуждаю. Мы тут говорим исключительно о вопросах использования ГОСТовой криптографии в реальной жизни. Все эти механизмы как электронная подпись, служба штампов времени, OCSP и т.д. были придуманы давно и не в Госдуме, и то как они работают обсуждать весьма себе скучно. А вот как это всё, придуманное когда-то кем-то, врывается в нашу жизнь и затрагивает тех, кто от этого всегда был далек и даже не понимает как это хотя бы приблизительно работает под капотом, и является предметом обсуждения в данной статье. И вот здесь-то вы в каждом комментарии «блещете» тем, что далеки от этого. То вы в конце 2019 года открыли для себя «облачную подпись» через чтение законопроекта, то у вас ФНС будет сопротивляться своей мечте.
OCSP — это сервис проверки «не отозванности» сертификата в данный момент.
В курсе.
> Он не проверяет никакой подписи.
Как раз вот это обстоятельство, что третье доверенная сторона провереяет не сертификат на данный момент, а подпись, склоняет меня к тому, что тут законодатель ошибается, имея ввиду как раз OCSP.
Рассудите сами — зачем вообще иначе эта доверенная третья сторона? Проверить валидность подписи в любой момент может любой участник электронного документооборота, используя СКЗИ, сертифицированные ФСБ. Предлагаю вам всё-таки почитать предлагаемую ст. 18.1. Возможно, вам отроется её смысл так же как вижу его я.
> Здесь подразумевается, что метка времени просто проверяется доверенной третьей стороной.
Вот ещё раз. Задайте себе тогда вопрос: а нафига эта третья сторона вообще нужна и попробуйте на него себе и нам ответить. Принимая во внимание, что просто так никто не будет писать в законе такое количество символов в отношении бессмысленной сущности.
Я допускаю, что я могу ошибаться в том, как я это истрактовал, но пока что ваша контраргументация ни к чёрту.
Мне, честно говоря, абсолютно фиолетово кто вы. Я тоже программист с 17-ти летним стажем. А «энтузиаст» я лишь в области юридическизначимого использования электронной подписи на территории РФ. Поэтому прекратите тут давить вашим несуществующим авторитетом и вернитесь в поле аргументированной дискуссии. Два раза «ку» вам тут никто не будет делать при любом раскладе.
Вашу компетенцию, как программиста, я тут не обсуждаю. Мы тут говорим исключительно о вопросах использования ГОСТовой криптографии в реальной жизни. Все эти механизмы как электронная подпись, служба штампов времени, OCSP и т.д. были придуманы давно и не в Госдуме, и то как они работают обсуждать весьма себе скучно. А вот как это всё, придуманное когда-то кем-то, врывается в нашу жизнь и затрагивает тех, кто от этого всегда был далек и даже не понимает как это хотя бы приблизительно работает под капотом, и является предметом обсуждения в данной статье. И вот здесь-то вы в каждом комментарии «блещете» тем, что далеки от этого. То вы в конце 2019 года открыли для себя «облачную подпись» через чтение законопроекта, то у вас ФНС будет сопротивляться своей мечте.
OCSP — это сервис проверки «не отозванности» сертификата в данный момент.
В курсе.
> Он не проверяет никакой подписи.
Как раз вот это обстоятельство, что третье доверенная сторона провереяет не сертификат на данный момент, а подпись, склоняет меня к тому, что тут законодатель ошибается, имея ввиду как раз OCSP.
Рассудите сами — зачем вообще иначе эта доверенная третья сторона? Проверить валидность подписи в любой момент может любой участник электронного документооборота, используя СКЗИ, сертифицированные ФСБ. Предлагаю вам всё-таки почитать предлагаемую ст. 18.1. Возможно, вам отроется её смысл так же как вижу его я.
> Здесь подразумевается, что метка времени просто проверяется доверенной третьей стороной.
Вот ещё раз. Задайте себе тогда вопрос: а нафига эта третья сторона вообще нужна и попробуйте на него себе и нам ответить. Принимая во внимание, что просто так никто не будет писать в законе такое количество символов в отношении бессмысленной сущности.
Я допускаю, что я могу ошибаться в том, как я это истрактовал, но пока что ваша контраргументация ни к чёрту.
Я тоже программист с 17-ти летним стажемНе-не, я сказал что я «с 16-ти летним стажем в области информационной безопасности». Общий у меня 22 года.
прекратите тут давить вашим несуществующим авторитетомОн очень даже существующий. А чего-то «давить» сами начали: никто ничего не знает, только в теории, я лучше 99% населения. П**здец профи.
и вернитесь в поле аргументированной дискуссииСобственно вся эта «дискуссия» вышла из-за того, что вы как-то связали понятия «доверенная третья сторона» и «служба штампов времени». Я вам показал прямо определение, прямо из законопроекта, на что вы придумали какую-то ерунду и пытаетесь что-то доказывать. Даже в дополнении к пункту 18.1, на который вы что-то часто напираете, ничего нет про выполнение доверенной третьей стороной функции служба штампов времени. Там только про проверку подписи. Почитайте.
То вы в конца 2019 года открыли для себя «облачную подпись» через чтение законопроектаПрекратите делать какие-то предположения по поводу что мне известно, а что нет. Я сам писал такие сервисы несколько лет назад, и они даже работали :)
Как раз вот это обстоятельство, что третье доверенная сторона провереяет не сертификат на данный момент, а подпись, склоняет меня к тому, что тут законодатель ошибается, имея ввиду как раз OCSPЧего? Вы считаете, что надо сертификат на данный момент проверять и всё? Скажу вам, что процесс проверки подписи, особенно «advanced» (CAdES) включает в себя очень доскональную проверку сертификата, однако это достаточно маленький этап всей проверки. OCSP вообще тут упоминать «ни к селу, ни к городу», это просто сервис, его ответ просто встраивается в подпись, если нужно.
Рассудите сами — зачем вообще иначе эта доверенная третья сторона?Почитайте дополнения к пункту 18.1 в законопроекте, там написано. Вводят сущность, которой поручаются функции доверенной проверки подписей и выдачи квитанций о данной проверке. Ничего более.
> Он очень даже существующий.
Не подтверждается пока.
> А чего-то «давить» сами начали: никто ничего не знает, только в теории, я лучше 99% населения. П**здец профи.
Я на вас не давил. Я написал, что беру на себя ответственность и рискую дать свою обозрительную трактовку, не запрещая никому обсуждать мою правоту. Вы же по сути предлагаете мне свернуть любую аргументированную дискуссию с вами только на том основании, что вы что-то там писали. И даже если вы написали КриптоАРМ, то это не означает, что вы лично когда-либо использовали его как субъект юридическизначимых отношений в электронной форме. И уж тем более я не говорил, что я лучше чем 99% населения.
> Я сам писал такие сервисы несколько лет назад, и они даже работали :)
Вы вполне могли и писать их. Однако из всего получается, что на тот момент у вас не возникало никакого вопроса о том, как это может работать без хранения приватного ключа пользователя, и что об этом будет думать сам пользователь )) А сейчас вы как бы нырнули в эту тему с другой стороны и переоткрыли её для себя, и повесили тут же к ней ярлык «кговавой гебни», которая хочет контролировать всё на свете )
> Чего? Вы считаете, что надо сертификат на данный момент проверять и всё?
Где я это написал? Я считаю, что если у меня есть документ, подписанный всеми сторонами, метка времени, подписанная третьей стороной, а также информация о том, что на момент времени, указанный в метке, сертификаты сторон действовали и не были отозванными, то всего этого мне достаточно, чтобы с увернностью ужасно близкой к 100% говорить о том, что документ подписан (и не был изменен после этого) всеми сторонами в указанное время, действительными сертификатами. Это и есть главная гарантия неотрекаемости.
> Вводят сущность, которой поручаются функции доверенной проверки подписей и выдачи квитанций о данной проверке.
Ещё раз. Для чего эта сущность применима на практике? Если вы посмотрите предлагаемую ст. 18.1, то эта квитанция тоже должна быть подписана электронной подписью. Получается, что нужно опять привлекать доверенное третье лицо для проверки квитанции, чтобы получить квитанцию о проверке квитанции ) Это же рекурсия и бред.
Моё мнение, что самым важным является пункт а, части 1, ст. 18.1.
Если этот момент времени описать в терминах метки доверенного времени, то и получится то, о чем я пишу выше.
Не подтверждается пока.
> А чего-то «давить» сами начали: никто ничего не знает, только в теории, я лучше 99% населения. П**здец профи.
Я на вас не давил. Я написал, что беру на себя ответственность и рискую дать свою обозрительную трактовку, не запрещая никому обсуждать мою правоту. Вы же по сути предлагаете мне свернуть любую аргументированную дискуссию с вами только на том основании, что вы что-то там писали. И даже если вы написали КриптоАРМ, то это не означает, что вы лично когда-либо использовали его как субъект юридическизначимых отношений в электронной форме. И уж тем более я не говорил, что я лучше чем 99% населения.
> Я сам писал такие сервисы несколько лет назад, и они даже работали :)
Вы вполне могли и писать их. Однако из всего получается, что на тот момент у вас не возникало никакого вопроса о том, как это может работать без хранения приватного ключа пользователя, и что об этом будет думать сам пользователь )) А сейчас вы как бы нырнули в эту тему с другой стороны и переоткрыли её для себя, и повесили тут же к ней ярлык «кговавой гебни», которая хочет контролировать всё на свете )
> Чего? Вы считаете, что надо сертификат на данный момент проверять и всё?
Где я это написал? Я считаю, что если у меня есть документ, подписанный всеми сторонами, метка времени, подписанная третьей стороной, а также информация о том, что на момент времени, указанный в метке, сертификаты сторон действовали и не были отозванными, то всего этого мне достаточно, чтобы с увернностью ужасно близкой к 100% говорить о том, что документ подписан (и не был изменен после этого) всеми сторонами в указанное время, действительными сертификатами. Это и есть главная гарантия неотрекаемости.
> Вводят сущность, которой поручаются функции доверенной проверки подписей и выдачи квитанций о данной проверке.
Ещё раз. Для чего эта сущность применима на практике? Если вы посмотрите предлагаемую ст. 18.1, то эта квитанция тоже должна быть подписана электронной подписью. Получается, что нужно опять привлекать доверенное третье лицо для проверки квитанции, чтобы получить квитанцию о проверке квитанции ) Это же рекурсия и бред.
Моё мнение, что самым важным является пункт а, части 1, ст. 18.1.
Доверенная третья сторона оказывает услуги:
а) по подтверждению действительности электронных подписей, задействованных при подписании электронного документа, в том числе установление фактов того, что соответствующие сертификаты были действительны на определенный момент времени
Если этот момент времени описать в терминах метки доверенного времени, то и получится то, о чем я пишу выше.
Вы же по сути предлагаете мне свернуть любую аргументированную дискуссиюКак это видится с моей стороны. Я пишу цитаты из законопроекта. Вы мне пишите другие цитаты, но с каким-то дополнительным трактованием, понятным лишь для вас. Вы каждый раз пытаетесь как-то меня «уколоть» типа я чего-то не знаю да не умею. Я вам каждый раз отвечаю, что и то, и это я знаю, и даже делал сам. Вы продолжайте дискуссию, я только «за». Прерывать не надо :)
Как раз вот это обстоятельство, что третье доверенная сторона провереяет не сертификат на данный момент, а подпись, склоняет меня к тому, что тут законодатель ошибается, имея ввиду как раз OCSP
Доверенная третья сторона оказывает услуги:
а) по подтверждению действительности электронных подписей, задействованных при подписании электронного документа, в том числе установление фактов того, что соответствующие сертификаты были действительны на определенный момент времени
Если этот момент времени описать в терминах метки доверенного времени, то и получится то, о чем я пишу выше.
У меня уже голова кругом от ваших ответов. Вы что имели в виду, когда писали про OCSP? Вас в последней цитате смущает факт, что кроме проверки подписей доверенная сторона ещё и действительность сертификата проверяет или что? Как это «момент времени описать в терминах метки доверенного времени»?
Я имел ввиду, что результатом работы OCSP является утверждение третьей стороны о том, что в момент обращения к сервису сертификаты не были отозваны. Это утверждение должно иметь соответствующий формат и подписываться подписью доверенной третьей стороны. Но как этот момент определить? Моё предположение, что служба штампов времени выдаёт аналогично подписанный timestamp.
Повторяю — проверка третьей стороной подписей (а не сертификатов) — занятие бессмысленное в любой момент времени. Любой СКЗИ сертифицированный ФСБ (а другими пользоваться нельзя) в состоянии это проверить. Это глупое занятие даже для суда — суд самостоятельно может верифицировать подписи. А если ему прислать квитанцию о проверке довренной третьей стороны, то суду придется проверять электронную подпись доверенной третьей стороны под квитанцией.
Повторяю — проверка третьей стороной подписей (а не сертификатов) — занятие бессмысленное в любой момент времени. Любой СКЗИ сертифицированный ФСБ (а другими пользоваться нельзя) в состоянии это проверить. Это глупое занятие даже для суда — суд самостоятельно может верифицировать подписи. А если ему прислать квитанцию о проверке довренной третьей стороны, то суду придется проверять электронную подпись доверенной третьей стороны под квитанцией.
Понятно. Так вот в ответе OCSP уже содержится подписанный штамп времени. То есть содержится время, в которое был выдан OCSP response, которое подписывается сертификатом OCSP сервера.
Насчёт проверки «средствами сертифицированными ФСБ». Скорее всего здесь идёт речь о создании некой отдельной структуры, которая будет дополнительно собирать деньги с пользователей. Также это может быть ещё одним шагом к тотальному контролю за использованием криптографии: представим, что ключи хранятся только в УЦ, подписи делает только сервис УЦ, подписи проверяет только «доверенная третья сторона». Так что подразумевается только один дополнительный шаг — запрет использования локальных программ создания/проверки подписи. И, кстати, «средства сертифицированные ФСБ» не обязательно должны обладать расширенными средствами проверки подписей. Сертификация предполагает лишь проверку корректности встраивания криптографических средств, не более того.
BasicOCSPResponse ::= SEQUENCE {
tbsResponseData ResponseData,
signatureAlgorithm AlgorithmIdentifier,
signature BIT STRING,
certs [0] EXPLICIT SEQUENCE OF Certificate OPTIONAL }
ResponseData ::= SEQUENCE {
version [0] EXPLICIT Version DEFAULT v1,
responderID ResponderID,
producedAt GeneralizedTime,
responses SEQUENCE OF SingleResponse,
responseExtensions [1] EXPLICIT Extensions OPTIONAL }
Насчёт проверки «средствами сертифицированными ФСБ». Скорее всего здесь идёт речь о создании некой отдельной структуры, которая будет дополнительно собирать деньги с пользователей. Также это может быть ещё одним шагом к тотальному контролю за использованием криптографии: представим, что ключи хранятся только в УЦ, подписи делает только сервис УЦ, подписи проверяет только «доверенная третья сторона». Так что подразумевается только один дополнительный шаг — запрет использования локальных программ создания/проверки подписи. И, кстати, «средства сертифицированные ФСБ» не обязательно должны обладать расширенными средствами проверки подписей. Сертификация предполагает лишь проверку корректности встраивания криптографических средств, не более того.
Эй, «энтузиаст», ответьте на мои вопросы. Мне интересно что за каша у вас там в голове.
ФНС об этом уже несколько лет мечтает!
Когда физикам начнут выдавать электронные паспорта, там возможно придут к единому УЦ, но не на базе ФНС. А возможно нет.
Еще одна госмонополия? Спасибо, не надо
Вопрос на самом деле не такой простой. С одной стороны да. С другой стороны — вас же, наверное, не смущает, что у государства есть монополия на выдачу паспортов, водительских удостоверений и других документов. С третьей стороны, в каком-то виде госмонополия уже есть. Наверное, стоило бы добавить в пост (сейчас добавлю), что ещё в августе был принят закон, согласно которому совершать сделки с использованием ЭП по дефолту можно только, если сертификат ключа выдан УЦ Росреестра.
Может кто-то в двух словах сказать чем не зашли вещи вроде pgp? Фатальный недостаток?
Хотят двигать ГОСТы. В чём фатальный недостаток с глобальным Интернетом?
Вы как-то путаете теплое с мягким. PGP на сколько я помню — это реализация способа шифрования и подписи файлов и электронной почты. TLS через PGP сделать невозможно. Для своих целей PGP применяет определенный набор конкретных алгоритмов — хэширования, симметричного шифрования и криптографии с открыты ключем. ЕМНИП эти алгоритмы — MD5, IDEA и RSA/DSA. MD5 уже давно устарел, IDEA вроде бы нет, но даже дядя Сэм решил выбрать AES, RSA/DSA не соответствуют современным «требованиям» криптографов, которые утверждают, что алгоритмы подписи должны базироваться на эллиптических кривых.
Впрочем никто не мешает вам взять любой другой набор таких алгоритмов, называемых ciphersuite и реализовать точно такую же схему как в PGP.
Что касается алгоритмов: одно государство может подозревать другое государство, которое спроектировало тот или иной криптографический алгоритм, в том, что алгоритм содержит закладки, которые известны его автору. Поэтому некоторые государства имеют свои национальные ciphersuite'ы.
Это касается не только РФ с вечной нашей паранойей, что весь мир против нас.
Впрочем никто не мешает вам взять любой другой набор таких алгоритмов, называемых ciphersuite и реализовать точно такую же схему как в PGP.
Что касается алгоритмов: одно государство может подозревать другое государство, которое спроектировало тот или иной криптографический алгоритм, в том, что алгоритм содержит закладки, которые известны его автору. Поэтому некоторые государства имеют свои национальные ciphersuite'ы.
Это касается не только РФ с вечной нашей паранойей, что весь мир против нас.
Но почему нельзя сделать систему, в которой бы сам пользователь генерил пару ключей — приватный оставлял у себя, а публичный относил в реестр. И всё. Приватный хранится только у тебя и больше нигде. В этом его смысл! Когда государство только озвучивало идею ЭЦП я наивно почему в каком-то подобном направлении думал. Да, вы правы, что «это реализация способа шифрования и подписи файлов и электронной почты». Но большего и не нужно. И по сути это правильно, т.к. любой документооборот с госструктурами должен протоколироваться и сохраняться его история, во избежании чего-то типа: «У нас был сбой в системе...»
> Но почему нельзя сделать систему, в которой бы сам пользователь генерил пару ключей — приватный оставлял у себя, а публичный относил в реестр. И всё. Приватный хранится только у тебя и больше нигде.
Я совсем не понимаю, как из этой ветки комментариев вы сумели сделать вывод, что этого нельзя сделать? Более того, это сейчас уже можно сделать, и года 4 как уже я так и делаю.
> Но большего и не нужно.
Наивность этого утвеждения зашкаливает по всем возможным способам измерения наивности. Во-первых, в законе об электронной подписи нет ни слова об алгоритмах, и о том, как они применяются (или как вы бы хотели их применить в виде PGP). Во-вторых, в законе сказано, что все эти вещи утверждает своими приказами ФСБ России. В-третьих, ФСБ не запрещает вам использовать алгоритмы ГОСТ по схеме PGP. В-четвертых, форматы PGP не используют промышленно нигде. Все используют набор стандартов PCKS. Сюда же и привинтили алгоритмы ГОСТ. В-пятых, вы заблуждаетесь в том, что кроме подписи и шифрации электронной почты более ничего не нужно. Как минимум нужен TLS, который бы позволил создавать защищенные соединения, шифрованные ciphersuite'ом ГОСТ. Без TLS не возможно создать ни один нормальный сервис. Устраивать по электронной почте обмен больших объемов машиннообрабатываемых данных никто не будет — это глупость, достойная студенческой поделки года эдак 1995-го.
Я совсем не понимаю, как из этой ветки комментариев вы сумели сделать вывод, что этого нельзя сделать? Более того, это сейчас уже можно сделать, и года 4 как уже я так и делаю.
> Но большего и не нужно.
Наивность этого утвеждения зашкаливает по всем возможным способам измерения наивности. Во-первых, в законе об электронной подписи нет ни слова об алгоритмах, и о том, как они применяются (или как вы бы хотели их применить в виде PGP). Во-вторых, в законе сказано, что все эти вещи утверждает своими приказами ФСБ России. В-третьих, ФСБ не запрещает вам использовать алгоритмы ГОСТ по схеме PGP. В-четвертых, форматы PGP не используют промышленно нигде. Все используют набор стандартов PCKS. Сюда же и привинтили алгоритмы ГОСТ. В-пятых, вы заблуждаетесь в том, что кроме подписи и шифрации электронной почты более ничего не нужно. Как минимум нужен TLS, который бы позволил создавать защищенные соединения, шифрованные ciphersuite'ом ГОСТ. Без TLS не возможно создать ни один нормальный сервис. Устраивать по электронной почте обмен больших объемов машиннообрабатываемых данных никто не будет — это глупость, достойная студенческой поделки года эдак 1995-го.
Вы немного не правильно поняли, рванув сразу в атаку. Это не наивность — это идеалистичность)
Не знал, что можно. А можно поподробнее? Был бы очень признателен! Я когда разбирался, правда это давно было, так можно было получить простую подпись подпись, с которой толком делать нечего — с госучереждениями взаимодействие не получится, юридическая сила по закону слабая. А для получения квалифицированной подписи нужен УЦ, заявление, свидетельства, токены и прочая бюрократия. И всё это повторять раз в год. Учитывая что это стоит приличных денег — получается как налог) Непонятно — зачем так всё усложнять, навязывать проприетарную криптопро, хранить закрытый ключ в токене.
Я совсем не понимаю, как из этой ветки комментариев вы сумели сделать вывод, что этого нельзя сделать? Более того, это сейчас уже можно сделать, и года 4 как уже я так и делаю.
Не знал, что можно. А можно поподробнее? Был бы очень признателен! Я когда разбирался, правда это давно было, так можно было получить простую подпись подпись, с которой толком делать нечего — с госучереждениями взаимодействие не получится, юридическая сила по закону слабая. А для получения квалифицированной подписи нужен УЦ, заявление, свидетельства, токены и прочая бюрократия. И всё это повторять раз в год. Учитывая что это стоит приличных денег — получается как налог) Непонятно — зачем так всё усложнять, навязывать проприетарную криптопро, хранить закрытый ключ в токене.
> Вы немного не правильно поняли, рванув сразу в атаку. Это не наивность — это идеалистичность)
Я не атакую вас, просто пытаюсь открыть вам глаза и показать, что проблема более широка, чем это видеться обыкновенному наблюдателю.
> Не знал, что можно. А можно поподробнее?
А что тут подробнее? Использование ключевого носителя — дело не обязательное. Можете хранить в файле, но делать это крайне не рекоммендуется. Купите хороший токен. Сделать это надо один раз (ну или пока новые стандарты не появятся).
Лицензия на Крипто-Про — ну да, нужна. Они же несут расходы на разработку и на совсем недешевую процедуру сертификации. Но если вы приобретаете сертификат как физик, то, например, Тензор за 500 рублей вам выпустит сертификат вместе со встроенной в него лицензией на Крипто-Про. Опять же в Тензоре вы можете сделать это по всем канонам безопасности — сгенерировать ключевую пару у себя на рабочем месте, отправить запрос на сертификат в УЦ, а потом поехать в УЦ, чтобы пройти процедуру идентификации и получить сертификат.
Более подробно я тут писал. Не вижу смысла повторять. Останутся вопросы — пишите.
Я не атакую вас, просто пытаюсь открыть вам глаза и показать, что проблема более широка, чем это видеться обыкновенному наблюдателю.
> Не знал, что можно. А можно поподробнее?
А что тут подробнее? Использование ключевого носителя — дело не обязательное. Можете хранить в файле, но делать это крайне не рекоммендуется. Купите хороший токен. Сделать это надо один раз (ну или пока новые стандарты не появятся).
Лицензия на Крипто-Про — ну да, нужна. Они же несут расходы на разработку и на совсем недешевую процедуру сертификации. Но если вы приобретаете сертификат как физик, то, например, Тензор за 500 рублей вам выпустит сертификат вместе со встроенной в него лицензией на Крипто-Про. Опять же в Тензоре вы можете сделать это по всем канонам безопасности — сгенерировать ключевую пару у себя на рабочем месте, отправить запрос на сертификат в УЦ, а потом поехать в УЦ, чтобы пройти процедуру идентификации и получить сертификат.
Более подробно я тут писал. Не вижу смысла повторять. Останутся вопросы — пишите.
Я правильно понимаю, что теперь схема, когда фирма на меня выписывает доверенность, а я получаю ЭЦП в Казначействе на директора и главбуха не пройдет? Нужно будет обязательно заверять доверенность нотариально, или отправлять их лично?
Что-то типа того, если вы поясните мне каким чертом у вас сертификаты выдает не УЦ, а Казначейство? Вы уверены, что речь идет о квалифицированной электронной подписи? ФНС, например, уже сейчас бесплатно может выдать вам (как физику) сертификат подписи в личном кабинете налогоплательщика, но такая подпись будет работать только с ФНС, то есть она неквалифицированная. Для неквалифицированных подписей закон говорит только то, что контрагенты сами занимаются соглашениями об их выдаче и использовании.
А, ну тогда еще можно жить. Да, это сертификат специально для работы с их программой.
Казначейство вполне себе УЦ и выдает квалифицированные подписи.
Очень множет быть. Я ведь не знаю наизусть список из 500 с лишним аккредитованных УЦ. То, что это именно казначейство — информация лишняя, если речь идет о квалифицированной подписи, а вот то, что это УЦ — информация, которой не хватает. Я очень не люблю брать на себя обязанности телепата и вам не советую )
В статьях за год как раз описывался баг существующих процедур. Приходит левый чел в уц, с фальшивым бланком паспорта. На бланке реальный номер жертвы, фоткв мошенника. Уц не имеет желания, возможностии, полномочий проверить поддельный паспорт. Да и зачем — ответственности никакой. Так этот и не пофиксили.
Так и есть. Или просто преступный сговор, когда договорятся с человеком в региональном отделении ФНС и он выпишет с десяток ЭП на людей с дорогими квартирами :) Ни для кого же не новость, что SIM карты на людей перевыпускают. Плюс лишний инструмент в руках государства, чтобы выписать ЭП на кого надо и подписать ей то, что необходимо.
Вы внимательно читали пост? Там же написано, что ФНС выдает только подпись юрлица, а не физлица. Если даже у юрлица есть недвижимость, которую можно отжать, то заявление о переходе права потребует двух подписей — подпись юрлица, которую может выдать сотрудник ФНС, вступив в преступный сговор, и подпись физлица, которую должен выдать УЦ Росрееста.
Или просто преступный сговор, когда договорятся с человеком в региональном отделении ФНСэто конечно может быть в любом месте. А вот если ФНС будет являться УД для всех юриков, получает у ней будет полный контроль и доминация. Каким-нибудь внутренним письмом минфина получат возможность отзывать ЭП в случае подозрения на что угодно. Сдал не такой отчет — все. Не только счет заблокируют, а вообще выключают фирму одним движением — ни договор подписать, ни в клиент-банк зайти, ни в офис не попасть :)
У ФНС в общем-то и так это есть. А ещё у ЦБ и у вашего банка. Например, если вы начали электронный документо-оборот с ФНС через одного из операторов ЭДО, то в какой-нибудь помент ФНС может прислать вам уведомление (о чём-нибудь, не важно). Если вы не подтвердите прием, отправив подписанную квитанцию о приеме, в определенный срок, то ФНС имеет право заблокировать вам счёт. Как видно, отзывать для этого сертификат ЭП совсем не нужно.
Банку может показаться, что вы имеете отношение к лицам, нарушающим антиотмывочное законодательство и вам просто даже без объяснения причин заблокируют счёт. А особенно упоротые попросят за вывод остака 15%.
Однако не стоит забывать, что ЭП — это большей частью (пока ещё) не замета, а дополнение ручной подписи документа на бумажном носителе.
Банку может показаться, что вы имеете отношение к лицам, нарушающим антиотмывочное законодательство и вам просто даже без объяснения причин заблокируют счёт. А особенно упоротые попросят за вывод остака 15%.
Однако не стоит забывать, что ЭП — это большей частью (пока ещё) не замета, а дополнение ручной подписи документа на бумажном носителе.
Вы что-то намешали в кучу. Если у чела есть бланк паспорта, а бланк — это пустой настоящий паспорт, который можно заполнить любыми данным, то для совершения противоправных действий ему совсем не нужно идти в УЦ. Достаточно заполнить его данными жертвы, вклеить своё фото и направляться прямиком в Росреестр отжимать хаты.
В статье был описан случай получения сертификата ЭП путем предоставления скана или ксерокопии паспорта, в которой была отредактирована фоторафия. Это не баг, а грубейшее нарушение работы УЦ — они должны были проверить оригинал паспорта и убедиться в том, что предъявитель паспорта совпадает с владельцем паспорта.
Ответственность УЦ в том числе материальная устанавливается законом. Данный законопроект многократно увеличивает лимит финансовой ответственности УЦ и, если мне не изменяет память, добавляет уголовную ответственность для сотрудников УЦ за подобные нарушения.
В статье был описан случай получения сертификата ЭП путем предоставления скана или ксерокопии паспорта, в которой была отредактирована фоторафия. Это не баг, а грубейшее нарушение работы УЦ — они должны были проверить оригинал паспорта и убедиться в том, что предъявитель паспорта совпадает с владельцем паспорта.
Ответственность УЦ в том числе материальная устанавливается законом. Данный законопроект многократно увеличивает лимит финансовой ответственности УЦ и, если мне не изменяет память, добавляет уголовную ответственность для сотрудников УЦ за подобные нарушения.
единственный плюс данного законопроекта это введение нотариальной доверенности, которая хоть как то поможет коммерческим УЦ в противодействии мошенническим схемам, так как наше законодательство позволяет использовать простую рукописную доверенность для наделения кого либо полномочиями.
Я правильно понял, что принципиально новым, ГЛОБАЛЬНЫМ изменением, будет возможность выдачи ЭП ЮРЛИЦАМ?
Вы ничего не напутали? Т.е. не «физлицу-представителю юрлица», а именно «юрлицу», как у вас написано?
Т.е. аналог «печати организации», а не «подписи+печати», как сейчас?
Вы ничего не напутали? Т.е. не «физлицу-представителю юрлица», а именно «юрлицу», как у вас написано?
Т.е. аналог «печати организации», а не «подписи+печати», как сейчас?
> Т.е. аналог «печати организации», а не «подписи+печати», как сейчас?
И да, и нет. Скорее да, но вы не учитываете тот факт, что с некоторых пор некоторым организациям дозволяется вообще не иметь печати. В этом смысле электронная подпись такой организации будет аналогом печати, которой у неё и не было )
> Вы ничего не напутали? Т.е. не «физлицу-представителю юрлица», а именно «юрлицу», как у вас написано?
Состав информации в таком сертификате определит не закон, а ФСБ дополнительным приказом. Будет ли в нём содержаться данные физлица-представителя юрлица, я знать немогу. Но семантика сертификата такой подписи будет именно такая, что она относится только к юрлицу.
Кстати, и сейчас не запрещено такой сертификат получить, но при условии что сертификат ЭП выдается для автоматизированной обработки данных и подписи их без участия физического лица.
И да, и нет. Скорее да, но вы не учитываете тот факт, что с некоторых пор некоторым организациям дозволяется вообще не иметь печати. В этом смысле электронная подпись такой организации будет аналогом печати, которой у неё и не было )
> Вы ничего не напутали? Т.е. не «физлицу-представителю юрлица», а именно «юрлицу», как у вас написано?
Состав информации в таком сертификате определит не закон, а ФСБ дополнительным приказом. Будет ли в нём содержаться данные физлица-представителя юрлица, я знать немогу. Но семантика сертификата такой подписи будет именно такая, что она относится только к юрлицу.
Кстати, и сейчас не запрещено такой сертификат получить, но при условии что сертификат ЭП выдается для автоматизированной обработки данных и подписи их без участия физического лица.
не туда написал
Интересная информация из законопроекта, не упомянутая в данной статье.
Уполномоченные УЦ по поручению владельца квалифицированного сертификата осуществляют: хранение ключа электронной подписи, ключ проверки которой содержится в квалифицированном сертификате с обеспечением его защиты от компрометации и (или) несанкционированного использования, в том числе, создание при помощи указанного ключа подписи по поручению владельца квалифицированного сертификата электронной подписи с использованием средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным в соответствии с пунктом 2.1 части 5 статьи 8 настоящего Федерального законаТо есть обращу внимание: закрытый ключ хранится у УЦ, подпись делает УЦ. Ну, конечно, «по поручению».
Это не более чем попытка узаконить уже дефакто несколько лет оказываемую услугу «облачной электонной подписи». Я согласен, что с точки зрения IT-специалиста за это нужно расстреливать. Но смею вас уверить, что именно по поручению. Во всяком случае пока. Я выпускаю свою ЭП через запрос на сертификат, поэтому моего приватного ключа УЦ не касается даже в теории.
В моей статье с инструкцией по регистрации недвижимости с использованием ЭП, про такую схему указано в самом начале — Сбербанк вместе со своим Дом-Кликом предлагает эту услугу физикам.
В моей статье с инструкцией по регистрации недвижимости с использованием ЭП, про такую схему указано в самом начале — Сбербанк вместе со своим Дом-Кликом предлагает эту услугу физикам.
Боюсь, что здесь узаконивается как-раз процесс полной передачи закрытых ключей только на сторону УЦ. Конечно, «по поручению», но вполне вероятно при заполнении документов это «поручение» будет стоять обязательным пунктом.
Ну боятся вам никто не запрещает. Идиотов в стране много, но не все. Сделай такое, и все крупнейшие налогоплательщики перестанут использовать эту чушь (в которую превратится ЭП).
Дефакто, этот механизм с маркетинговым названием «облачная подпись» имеется на рынке уже много лет. Ранее он не был прописан в законе и его реализация утрясалась каждым УЦ самостоятельно с соответствующими органами (Минцифра и ФСБ). Теперь это всего лишь превращение де факто в де юре.
Основными потребителями такой услуги являются лица безусловно далекие от основ информационной безопасности — людей, которые думаю, что электронная подпись, это рисунок на документе, изображающий штамп «Подписано усиленной электронной подписью». И в их случае я бы ещё поспорил, что было бы безопаснее — выдать им приватный ключ на ключевом носителе, дефолтный ПИН-код от которого они не догадаются поменять, или же хранить его в таком месте как облачное хранилище, выдавая доступ к ключу по одноразовым кодам в СМСках.
Что касается вопроса неизбежности «поручения» — кто ищет, тот всегда найдет. Одно время приходилось днём с огнем искать УЦ, который работал бы по схеме с запросом на сертификат. Сейчас с этим легче. Ну и заодно расскажу вам, что существуют носители ключевой информации с неизвлекаемым приватными ключами, в которых криптография встроена внутри. Было бы забавно наблюдать, как вы сможете «поручить» УЦ хранить такой ключ. К слову, использование таких (неизвлекаемых) ключей сейчас становится обязательным и уже обязательно при работе с некоторыми ведомствами.
Резюмирую. Никаких страхов на этот счёт испытывать не стоит.
Дефакто, этот механизм с маркетинговым названием «облачная подпись» имеется на рынке уже много лет. Ранее он не был прописан в законе и его реализация утрясалась каждым УЦ самостоятельно с соответствующими органами (Минцифра и ФСБ). Теперь это всего лишь превращение де факто в де юре.
Основными потребителями такой услуги являются лица безусловно далекие от основ информационной безопасности — людей, которые думаю, что электронная подпись, это рисунок на документе, изображающий штамп «Подписано усиленной электронной подписью». И в их случае я бы ещё поспорил, что было бы безопаснее — выдать им приватный ключ на ключевом носителе, дефолтный ПИН-код от которого они не догадаются поменять, или же хранить его в таком месте как облачное хранилище, выдавая доступ к ключу по одноразовым кодам в СМСках.
Что касается вопроса неизбежности «поручения» — кто ищет, тот всегда найдет. Одно время приходилось днём с огнем искать УЦ, который работал бы по схеме с запросом на сертификат. Сейчас с этим легче. Ну и заодно расскажу вам, что существуют носители ключевой информации с неизвлекаемым приватными ключами, в которых криптография встроена внутри. Было бы забавно наблюдать, как вы сможете «поручить» УЦ хранить такой ключ. К слову, использование таких (неизвлекаемых) ключей сейчас становится обязательным и уже обязательно при работе с некоторыми ведомствами.
Резюмирую. Никаких страхов на этот счёт испытывать не стоит.
Статья 15 63-ФЗ, которая дополняется подпунктом 2.2, цитату из которого я и привёл, отражает все требования к аккредитованным удостоверяющим центрам. Собственно, сам пункт 2 вот такой:
2. Аккредитованный удостоверяющий центр должен хранить информацию, указанную в части 1 настоящей статьи, в течение срока его деятельности, если более короткий срок не предусмотрен нормативными правовыми актами Российской Федерации. Хранение информации должно осуществляться в форме, позволяющей проверить ее целостность и достоверностьТут не про «что может делать УЦ», а про что он делать обязан и как хранить. Так вот этот пункт дополняют подпунктом, где говорится, что УЦ должен хранить закрытые ключи пользователей.
Было бы забавно наблюдать, как вы сможете «поручить» УЦ хранить такой ключУЦ отзывает существующий сертификат и выдаёт новый, с хранением закрытого ключа в УЦ. Вот и весь процесс. И, кстати, внутри УЦ тоже используется HSM, который тоже типа «с неизвлекаемыми ключами».
Вы перепутали пунты, статьи и части закона, от этого у вас каша получалась. Вернем всё на круги своя.
Статья 15 63-ФЗ (а не пункт) — мы говорим о ней. В ней есть часть 1, которая состоит из трёх пунктов, которые перечисляют, что обязан хранить УЦ. Там нет ни слова у ключах. Далее идёт часть 2, которую вы назвали «пунктом 2» и процитировали выше. Ну ок. УЦ обязан хранить информацию по трём пунктам части 1, грубо говоря, пожизненно.
А вот часть 2.2 (которую вы называете статьей), которой предлагается дополнить ст. 15, никак не относится ни к части 1, ни к части 2. Часть 2.2 говорит о том, что УЦ по поручению владельца (и только в этом случае — прим. моё) осуществляет хранение ключа электронной подписи.
И, кстати, говоря, на действие ч. 2.2 не распространяется требование ч. 2, то есть УЦ не обязан хранить ключ пожизненно. Это значит, что если открым ключем юзера кто-то зашифровал ему документ, то если УЦ удалит приватнуй ключ юзера, то он не сможет его больше дешифровать и посмотреть. Что в общем печально для пользователя.
Статья 15 63-ФЗ (а не пункт) — мы говорим о ней. В ней есть часть 1, которая состоит из трёх пунктов, которые перечисляют, что обязан хранить УЦ. Там нет ни слова у ключах. Далее идёт часть 2, которую вы назвали «пунктом 2» и процитировали выше. Ну ок. УЦ обязан хранить информацию по трём пунктам части 1, грубо говоря, пожизненно.
А вот часть 2.2 (которую вы называете статьей), которой предлагается дополнить ст. 15, никак не относится ни к части 1, ни к части 2. Часть 2.2 говорит о том, что УЦ по поручению владельца (и только в этом случае — прим. моё) осуществляет хранение ключа электронной подписи.
И, кстати, говоря, на действие ч. 2.2 не распространяется требование ч. 2, то есть УЦ не обязан хранить ключ пожизненно. Это значит, что если открым ключем юзера кто-то зашифровал ему документ, то если УЦ удалит приватнуй ключ юзера, то он не сможет его больше дешифровать и посмотреть. Что в общем печально для пользователя.
Каждый останется при своём мнении. Надеюсь, что в конечном итоге победит здравый смысл, и желание тотального контроля государство по-умерит.
Я думаю, что время нас рассудит. И касательно третьей доверенной стороны — поскольку ст. 18.2 (если она попадет в финальный закон) предполагает аккредитацию этой самой стороны, то придет день и мы с вами с лёгкостью откроем реестр аккредитованных третьих доверенных сторон и посмотрим, чем же они там занимаются )
Удалено. опять не туда написал
" Таким образом, бизнес коммерческих УЦ пострадает не сильно, т.к. всё равно к ним пойдут за сертификатом физики."
Сильно. Ведь в законе говориться о том что цена на такие сертификаты для физиков будет определяться Правительством РФ. Не уверен что цена так и останется на уровне 1000 — 1200. Скорее всего упадёт до 300-400.
Правда учитывая что по закону аккредитацию пройдут не более 20 УЦ то вероятно на их век денег хватит. Будем посмотреть.
Я не претендую на то, что прочитал каждую букву указанного законопроекта, поэтому не могли вы привести цитаты из законопроекта (номера страниц или пункты статей закона), где говорилось бы (или хотя бы намекалось) о том, что:
1) цена на такие сертификаты определяется правительством
2) аккредитацию пройдут не более 20 УЦ
Если это действительно так, то это важное изменение, и я добавлю его в спискок и исключу от туда мнение, что бизнес УЦ не пострадает.
1) цена на такие сертификаты определяется правительством
2) аккредитацию пройдут не более 20 УЦ
Если это действительно так, то это важное изменение, и я добавлю его в спискок и исключу от туда мнение, что бизнес УЦ не пострадает.
"По-моему, при наличии действующей подписи, возможность выпускать новый сертификат через запрос на сертификат (без личной явки) — это обязательное условие работы УЦ. Помимо удобства это гораздо правильнее. Хотелось бы обязательности возможности такой процедуры (только с личной явкой) при первоначальном выпуске сертификата"
Да закон вводит три варианта удалённой идентификации
- по квал. серту
- по биометрии!
- с использованием Электронного паспорта NEW!)))
Сегодня кстати второе чтение.
Я не нашел текст обновленный ко второму чтению, но есть слух что "две подписи" убрали из законопроекта. Если то так то это вероятно добьёт надежды небольших УЦ укрупниться, объединиться и остаться на рынке.
Да… кто-то проталкивает закон максимально быстро...
Законопроект приняли во втором чтении.
Из нового:
- Для лиц действующих от имени организации без доверенности достаточно будет подписать сертификатом на Юр лицо. Остальным подпись ставить придётся сертификатом физ лица.
- ФНС может наделить правом приёма документов точно, и возможно правом выпуска сертификатов (совсем не точно) коммерческие УЦ. ПРавил отбора таких УЦ пока нет.
- Ооочень странно заявление о том что для Юр лиц подпись будет бесплатная от человека презентовавшего закон.
3. Ооочень странно заявление о том что для Юр лиц подпись будет бесплатная от человека презентовавшего закон.
Как принято говорить — если вы ни за что не платите, значит вы и есть товар.
Для лиц действующих от имени организации без доверенности достаточно будет подписать сертификатом на Юр лицо. Остальным подпись ставить придётся сертификатом физ лица.
Ничего не понял. Точнее понял, что для гендира ничего не изменится. А что изменится для представителя? Он подписывает своей подписью и подписью юрлица? А как устанавливается связь, что он имеет какое-то отношение к юрлицу?
Натянутый пример выдуманный в голове: гендир подписывает электронный документ по которому предъявитель получает товар. Документ каким-то образом попадает в руки к третьему лицу, лицо ставит свою подпись в дополнение к подписи гендира и получает товар. Как-то бредово.
Ооочень странно заявление о том что для Юр лиц подпись будет бесплатная от человека презентовавшего закон.
Слушайте, ну вообще издание сертификатов — это деньги из воздуха практически. Особенно при дистанционном выпуске при наличии действующей подписи — процесс абсолютно автоматизируемый на стороне издателя. В масштабах государства — себестоимость не о чем. Зато платность этой подписи для многих мелких и средних предпринимателей является барьером (более принципиальным, чем финансовым) для её использования.
Если это будет бесплатно, то это как бы заодно пропаганда цифровизации экономики. Это правильно я считаю, учитывая выбранный курс и «болезнь» президента )
А что изменится для представителя? Он подписывает своей подписью и подписью юрлица?Если я понял правильно, представитель подписывает документ своей подписью физлица и прикладывает в электронном виде доверенность подписанную электронной подписью юрлица, уполномочившего его действовать от своего имени.
Почитаю позже, но если это так, то:
1)Тогда бизнес по продаже сертификатов у коммерческих УЦ под существенной угрозой. Обойтись бесплатным сертификатом налоговой будет легко и этим будет пользоваться большинство тех, кто сейчас пользуется ЭП. Впрочем особо не жалко эти сотни сомнительных УЦ. А серьезные конторы имеет УЦ в качестве побочного бизнеса (типа операторов отчетности).
2) Это довольно хреновая затея, если у доверенности не будет какого-то универсального машиночитаемого формата. Придется садить человека, который будет проверять это глазами.
1)Тогда бизнес по продаже сертификатов у коммерческих УЦ под существенной угрозой. Обойтись бесплатным сертификатом налоговой будет легко и этим будет пользоваться большинство тех, кто сейчас пользуется ЭП. Впрочем особо не жалко эти сотни сомнительных УЦ. А серьезные конторы имеет УЦ в качестве побочного бизнеса (типа операторов отчетности).
2) Это довольно хреновая затея, если у доверенности не будет какого-то универсального машиночитаемого формата. Придется садить человека, который будет проверять это глазами.
Большинство коммерческих УЦ судя по всему не переживут этих изменений в законодательстве. А по поводу доверенностей, если вспомнить, что их, как и сертификаты, можно отзывать…
Я ж говорил 15-20 УЦ останется… И то хорошо если так.
Останутся те у кого куча сервисов, отчетность, кассы-ОФД, эл. счета-фактуры.
Остальным даже укрупняться\объединяться смысла нет ибо рынка ЭП почти не будет.
Останутся те у кого куча сервисов, отчетность, кассы-ОФД, эл. счета-фактуры.
Остальным даже укрупняться\объединяться смысла нет ибо рынка ЭП почти не будет.
Отзыв нотариальной доверенности дело не сложное, благо есть единый реестр доверенностей. Отзыв доверенности юрлица — это довольно странный процесс.
Что касается большинства УЦ — я уверен, что стране не нужно 500 УЦ. Это по 6 УЦ на каждый регион не считая филиалов крупных УЦ. Их тяжело контролировать. Они будут чудить как в случаях в приведенных поставх. Зачем это нам? Зачем это государству?
Вообще сам по себе бизнес — только УЦ в отрыве от иной деятельности, это довольно странная вещь.
Что касается большинства УЦ — я уверен, что стране не нужно 500 УЦ. Это по 6 УЦ на каждый регион не считая филиалов крупных УЦ. Их тяжело контролировать. Они будут чудить как в случаях в приведенных поставх. Зачем это нам? Зачем это государству?
Вообще сам по себе бизнес — только УЦ в отрыве от иной деятельности, это довольно странная вещь.
Отзыв доверенности юрлица — это довольно странный процессТем не менее, он предусмотрен законодательно, иначе как по-другому отозвать полномочия раньше срока окончания действия доверенности. Возникает вопрос, как учитывать этот момент при автоматизированной проверке подписи такого лица под документом. Единый реестр электронных доверенностей? Но это не было учтено в поправках, более того, эти доверенности появились внезапно перед вторым чтением.
Это можно было бы осуществить, если ЮЛ выступал как промежуточный удостоверяющий центр, выпускающий сертификаты для своих доверяемых. Или не выпускающий сертификаты, а дополнительно подписывающий сертификаты, выданные аккредитованными УЦ.
Впрочем даже если эту задачу решить технически, есть другая, не менее важная задача — это полномочия, которые даются доверенностью. Как их формализовать — не знаю.
Впрочем даже если эту задачу решить технически, есть другая, не менее важная задача — это полномочия, которые даются доверенностью. Как их формализовать — не знаю.
Ооочень странно заявление о том что для Юр лиц подпись будет бесплатная от человека презентовавшего закон.
Тут никаких сюрпризов, я думаю, пока не предвидется. ФНС — это не ООО «рога и копыта», прайса у них своего нет. Все пошлины, которые они принимают от граждан и организаций, прописаны в Налоговом Кодексе. Так что любое желание ФНС взымать за это плату должно сопровождаться изменениями в НК РФ, а как мы видим данный законопроект вносит изменения только в два ФЗ, среди которых нету НК РФ.
Однако это не исключает, что в ближайшие полгода (до даты вступления положений закона в силу), такие изменения будут произведены. Посмотрим.
На удивление быстро приняли в отношении недвижимости и в отношении юрлиц на удивление быстро собрались принять.
Вангую:
Потому что для принимающих законы это крайне важно. Ведь как раз у них же куча недвижимости и предприятий.
Вангую:
Потому что для принимающих законы это крайне важно. Ведь как раз у них же куча недвижимости и предприятий.
По традиции и неписанному правилу такие законы подписываются президентом 29-30 декабря (под новый год) либо под 1-е июля. Всё просто к этому гонят. Ещё же третье чтение и совет федераций.
Да кому то надо его продвинуть. Пока не совсем ясно кому.
Есть предположение что банкам а точнее СБеру который хочет в лезть и в сбор биометрии и в пилот по выдаче Эл. паспортов, которые кстати могут содержать в себе ключик эл. подписи физ лица… Потому может такая битва за устранение конкурентов в виде УЦ.
Есть предположение что банкам а точнее СБеру который хочет в лезть и в сбор биометрии и в пилот по выдаче Эл. паспортов, которые кстати могут содержать в себе ключик эл. подписи физ лица… Потому может такая битва за устранение конкурентов в виде УЦ.
То есть то, что законодатель просто увидел косяки применения ЭП на практике и поспешил их исправить, вы даже не допускаете как мысль? Только сui prodest? )))
Так в биометрию Сбер уже влез.
Собирают. Три раза сдавался.
В результате по данным Сбера биометрия на меня есть. Под данным ЕПГУ — нет.
Куда подевалась — разобраться никто не может:)
Собирают. Три раза сдавался.
В результате по данным Сбера биометрия на меня есть. Под данным ЕПГУ — нет.
Куда подевалась — разобраться никто не может:)
Я вам помогу разобраться — Сбер не использует биометрию ЕСИА. Об этом говорил Греф.
Я так понял, что это из-за того, что если банк использует биометрию ЕСИА, то ЕСИА же должна принимать решение по запросу банка о том авторизует она или не авторизует того или иного клиента. Достоверность этого говна не 100%. Вот Греф и спрашивает — а то будет отвечать за эти 2% ошибок? Если биометрия Сбера, то отвечает Сбер.
Я так понял, что это из-за того, что если банк использует биометрию ЕСИА, то ЕСИА же должна принимать решение по запросу банка о том авторизует она или не авторизует того или иного клиента. Достоверность этого говна не 100%. Вот Греф и спрашивает — а то будет отвечать за эти 2% ошибок? Если биометрия Сбера, то отвечает Сбер.
По мнению Партии и Правительства биометрия должна быть привязана к ЕСИА.
Нафиг мне чисто Сберовская? Я ее и делал, чтобы через ЕСИА все видеть и контролировать.
Нафиг мне чисто Сберовская? Я ее и делал, чтобы через ЕСИА все видеть и контролировать.
По мнению Партии и Правительства во всех системообразующих банках должна быть внедрена Система Быстрых Платежей. А в сбере нет. И? )))
> Я ее и делал, чтобы через ЕСИА все видеть и контролировать.
Блин, люди, зачем вы пользуетесь вообще Сбером? Это банк-геморрой. Практически любой другой банк спасёт отца русской демократии )
> Я ее и делал, чтобы через ЕСИА все видеть и контролировать.
Блин, люди, зачем вы пользуетесь вообще Сбером? Это банк-геморрой. Практически любой другой банк спасёт отца русской демократии )
Слушайте, ну вообще издание сертификатов — это деньги из воздуха практически. Особенно при дистанционном выпуске при наличии действующей подписи — процесс абсолютно автоматизируемый на стороне издателя. В масштабах государства — себестоимость не о чем. Зато платность этой подписи для многих мелких и средних предпринимателей является барьером (более принципиальным, чем финансовым) для её использования.
Ну во первых мне как работнику УЦ обидно это слышать. На самом деле тут дел много.
В масштабах страны конечно стоимость будет ниже.
Но этот ведь процесс не только технический но и организационно правовой. Потому затраты будут большие.
А по цене конечно для бизнеса хотелось бы дешевле или бесплатно, тут я соглашусь. Вот например ЕГАИС. ключи сейчас на рутокенах-етокенах на каждую кассу и в каждой свой сертификат. Куда это годится? Но доходы с этих всех продаж худо-бедно двигали отрасль вперед.
Надо еще сказать что потеряют денежки много кто еще.
Конторы которые аккредитовывали рабочие места, учебные заведения по переподготовки специалистов в сфере инф безопасности.
Партнёры УЦ. Вот с ними реально не ясно что. Кассовики раньше брали сертификаты у УЦ сейчас как они будут с ФНС сотрудничать не ясно.
Много всяких вопросов.
Ну во первых мне как работнику УЦ обидно это слышать. На самом деле тут дел много.
Мне не хотелось бы кого-то явным образом обижать, но то, что вы или ваши коллеги устроили из продажи сертификатов — не лезет ни в какие рамки. Это касается истории по продаже, например, сертификатов к торговым площадкам. Что там? OID лишний поставить — это не из воздуха деньги? Я уже не говорю про прямой законодательный запрет требовать какого-то особенного сертификата для доступа в публичную информационную систему. Не знаю каким образом вам удаётся в этом вопросе проходить сквозь жерла законного возмездия, но рано или поздно этому придет конец.
Хрен с ним с торговыми площадками, которые мне не нужны. Но многие УЦ умудряются продавать один и тот же сертификат за разные деньги. Например, сертификат для регистрации онлайн-касс — 1000 рублей, а для отправки отчетности в госорганы — 3600 рублей. Надо ли говорить, что они ничем не отличаются? Короче содомия полная.
не туда ответ
Sign up to leave a comment.
Законопроект об изменениях в электронной подписи