Comments 31
Чтобы начать решать проблему, нужно понять, а какую проблему мы решаем.
Например, зачем простому обывателю нужно проверять валидность pdf в Foxit Reader?
Какую свою проблему он сможет решить, имея такую возможность?
Лично я не могу представить такую ситуацию, при которой бы моя мама открыла бы pdf, увидела бы значок валидности (или невалидности) и после этого сказала бы «ооо, так этот документ валиден, значит я смогу сделать ....».
Т.е. проблема современной криптографии в том, что она понятна узкому кругу сопричастных лиц. Все остальные пролетают мимо.
Например емейлом могло пользоваться небольшое количество людей. А вацапом пользуется большинство обладателей мобилок. Чтобы ЭЦП стал вацапом нужно кардинально пересмотреть принципы его работы. В том виде как есть, у него всегда будет своя ниша, и профессионалы работающие в ней.
Например, зачем простому обывателю нужно проверять валидность pdf в Foxit Reader?
Какую свою проблему он сможет решить, имея такую возможность?
Лично я не могу представить такую ситуацию, при которой бы моя мама открыла бы pdf, увидела бы значок валидности (или невалидности) и после этого сказала бы «ооо, так этот документ валиден, значит я смогу сделать ....».
Т.е. проблема современной криптографии в том, что она понятна узкому кругу сопричастных лиц. Все остальные пролетают мимо.
Например емейлом могло пользоваться небольшое количество людей. А вацапом пользуется большинство обладателей мобилок. Чтобы ЭЦП стал вацапом нужно кардинально пересмотреть принципы его работы. В том виде как есть, у него всегда будет своя ниша, и профессионалы работающие в ней.
Нам для суда Росимущество сделало подписанный PDF. Два судьи не знали как удостовериться, что документы подписаны. Само Росимущество на вопрос как убедиться (и показать иным, что документ именно от них), ответило что «вы видете на первой странице красную полоску — это и значит, что документ подписан»
Совершенно в суде не смешно это говорить
Совершенно в суде не смешно это говорить
По мне так это ломает всю идею внедрения ЭЦП в гос. документооборот. О чем можно говорить если суд не может удостовериться в подлинности документа?
Мы просили в Росимуществе какую утилиту для проверки. Ответ я привел
Разве суд не должен привлекать экспертов, если не может что-тлюо подтвердить сам?
Имеет право, но не обязан. Это решает судья. Может приобщить к доказательствам, может не приобщить, может экспертов вызвать, может поверить на мамой клянусь
Суд это не расследование, как многие считают, это по сути оценка судьей позиций двух сторон.
Плюс судьи заинтересованы не тянуть дело, когда так все ясно (ну скажем ясно, что свидетель или эксперт не явится никогда. Как в этом случае — положено вызвать представителя Росимущества, но тот в суд не пойдет и это известно). И даже иногда из-за этого нарушают процедуры
Суд это не расследование, как многие считают, это по сути оценка судьей позиций двух сторон.
Плюс судьи заинтересованы не тянуть дело, когда так все ясно (ну скажем ясно, что свидетель или эксперт не явится никогда. Как в этом случае — положено вызвать представителя Росимущества, но тот в суд не пойдет и это известно). И даже иногда из-за этого нарушают процедуры
Ну вы же понимаете, что в вашем ответе по сути нет валидной проверки. С таким же успехом суду можно было подсунуть любую утилиту которая хоть мультики будет показывать. Как суд должен удостовериться, что утилита проверки та самая валидная? Опять замкнутый круг получается. По факту у суда нету средств проверки ЭЦП документов.
Именно так. Кто будет проверять, что в малозначимом деле подпись того именно человека, если с момента подписания прошло лет 20? Не, теоретически должны и могут. А могу и не проверять. Зависит от настроения судьи. Могут фигурально пол мордой вымыть, а могут сказать ответчику — мужчина, молчите, вам же лучше будет (реальный случай)
А уж содержание решений суда и записи его хода это вообще слезы
А уж содержание решений суда и записи его хода это вообще слезы
Чтож тогда говорить о гражданах, которым под видом документа можно подсунуть любой электронный документ с картинкой подписи...
а дыра, когда можно было поменять дату на компе, подписать документ той датой, и он считался валидным еще не закрыта? Приносишь в суд PDF, от 1800 года, что Вы владелец и учредитель, скажем Сбербанка. Подпись валидна? Значит доказательства в руках!
А как судья выясняет, подписывал ли бумажный документ конкретный человек или нет?
Судья, очевидно, не может оценить совпадение подписей.
Судья привлекает эксперта, эксперт проводит экспертизу, судья на основе данного экспертного мнения выносит свое решение.
Равно тоже самое и с электронной подписью.
Никакое ПО на ноуте судьи не должно использоваться для принятия решения.
Для этого есть ноут эксперта.
Судья, очевидно, не может оценить совпадение подписей.
Судья привлекает эксперта, эксперт проводит экспертизу, судья на основе данного экспертного мнения выносит свое решение.
Равно тоже самое и с электронной подписью.
Никакое ПО на ноуте судьи не должно использоваться для принятия решения.
Для этого есть ноут эксперта.
Foxit Reader появился в статье, т.к. он был моим стандартным просмотрщиком документов и стал отправной точкой в этом небольшом исследовании вопроса. Признаю, что его может не быть у большинства пользователей.
Покупка электронных услуг становится всё проще и уже многие люди с ними взаимодействуют, но если не учиться компьютерной грамотности, этим могут воспользоваться мошенники. Раньше мы говорили менее грамотным пользователям: не открывай все файлы сразу, без проверки, не отправляй смс на непонятные номера, не слушайся друзей, внезапно требующих большие суммы в личных сообщениях. Теперь к этому нужно добавлять: проверяй подлинность полученных электронных договоров ДО их оплаты, а не после, когда деньги уже ушли непонятно кому.
Да, приведённый способ получен чисто интуитивным путём, уже внизу подсказали онлайн сервис для проверки документов от госуслуг (который у меня, к сожалению, так и не заработал), хотя и к нему есть вопросы.
В целом статья и призвана придать огласке эту тему, заставить задуматься о новом векторе угроз и способам противодействия им.
Покупка электронных услуг становится всё проще и уже многие люди с ними взаимодействуют, но если не учиться компьютерной грамотности, этим могут воспользоваться мошенники. Раньше мы говорили менее грамотным пользователям: не открывай все файлы сразу, без проверки, не отправляй смс на непонятные номера, не слушайся друзей, внезапно требующих большие суммы в личных сообщениях. Теперь к этому нужно добавлять: проверяй подлинность полученных электронных договоров ДО их оплаты, а не после, когда деньги уже ушли непонятно кому.
Да, приведённый способ получен чисто интуитивным путём, уже внизу подсказали онлайн сервис для проверки документов от госуслуг (который у меня, к сожалению, так и не заработал), хотя и к нему есть вопросы.
В целом статья и призвана придать огласке эту тему, заставить задуматься о новом векторе угроз и способам противодействия им.
Одна из проблем:
— есть подпись файла (рядом будет файл подписи).Проверяется кучей утилит и даже OpenSSL'ом (знающим про ГОСТ), на смартфоне — КриптоАРМ ГОСТ (правда платный). Красивые PDFки с отчетом может сделать КриптоАРМ и Контур.Крипто (вебсайт) и госуслугами. Формат файл не важен.
— есть подпись использующая средства конкретного формата. PDF или там MS Office. В статье — пример как раз такой подписи. Нужны «драйверы» форматов (для MS Office — Office Signature, от, вы угадали — КриптоПРО, платный без исключений, для всяких Libre/OnlyOffice — поддержки тупо нет вообще насколько понимаю). Ну или нужно чтобы разработчики клиентского ПО сами добавили поддержку.
— есть подпись файла (рядом будет файл подписи).Проверяется кучей утилит и даже OpenSSL'ом (знающим про ГОСТ), на смартфоне — КриптоАРМ ГОСТ (правда платный). Красивые PDFки с отчетом может сделать КриптоАРМ и Контур.Крипто (вебсайт) и госуслугами. Формат файл не важен.
— есть подпись использующая средства конкретного формата. PDF или там MS Office. В статье — пример как раз такой подписи. Нужны «драйверы» форматов (для MS Office — Office Signature, от, вы угадали — КриптоПРО, платный без исключений, для всяких Libre/OnlyOffice — поддержки тупо нет вообще насколько понимаю). Ну или нужно чтобы разработчики клиентского ПО сами добавили поддержку.
Сейчас как вспомню, как для ректора универа поучил ЭЦП в 200х (моей лабе нужно было на торгах учавствовать) аж в дрож бросает… Я даже самого ректора не видел, документы собрал, через концелярию подписал, ЭЦП (флэшку) олучил сам и сдал в бухгалтерию… Ректора… универа из кучи институтов… бррр… Корочу ЭЦП для человека — это еще та шляпа, пока УЦ не будут нормально относится к безопасности...
Мне кажется, для обывателя, по сути, важно знать всего одну ссылку — www.gosuslugi.ru/pgu/eds. Никаких шаманств с установкой сертификатов в клиентскую систему не понадобится.
Спасибо, очень интересный сервис. Жаль про него информации сразу не попалось, проверю через него свои документы.
Я обыватель. Я пытался пользоваться этой ссылкой www.gosuslugi.ru/pgu/eds. Безысходность и тлен.
У меня есть договор, он подписан отсоединенной электронной подписью. По инструкции зашел на этот сайт, приложил pdf-файл для проверки (12 Мб) и подпись. Нажал отправить. Получил необработанный ответ от web-сервера «413 Request Entity Too Large».
Ну хорошо. Я начал шаманить с проверкой по значению хэш-функции на этом же сайте. Все сделал по инструкции. Их сервис данные сертификатов определил, но выдал, что подпись недействительна. В итоге мне удалось проверить подпись на другом негосударственном сайте.
Вообще странная ситуация для меня, обывателя. Сделка зарегистрирована в росреестре. У меня есть подписанные ЭЦП выписки из росреестра, которые проверяются. И подписанный договор, который тоже проверяется (но не на государственных сайтах). И мне что-то как-то тревожно. Достаточно ли этого? Я ходил в «Мои документы» узнать, могу ли я еще какие-то гарантии получить о том, что со сделкой все в порядке. Мне сказали, что не могут помочь.
Как тяжко жить в эпоху перемен.
У меня есть договор, он подписан отсоединенной электронной подписью. По инструкции зашел на этот сайт, приложил pdf-файл для проверки (12 Мб) и подпись. Нажал отправить. Получил необработанный ответ от web-сервера «413 Request Entity Too Large».
Ну хорошо. Я начал шаманить с проверкой по значению хэш-функции на этом же сайте. Все сделал по инструкции. Их сервис данные сертификатов определил, но выдал, что подпись недействительна. В итоге мне удалось проверить подпись на другом негосударственном сайте.
Вообще странная ситуация для меня, обывателя. Сделка зарегистрирована в росреестре. У меня есть подписанные ЭЦП выписки из росреестра, которые проверяются. И подписанный договор, который тоже проверяется (но не на государственных сайтах). И мне что-то как-то тревожно. Достаточно ли этого? Я ходил в «Мои документы» узнать, могу ли я еще какие-то гарантии получить о том, что со сделкой все в порядке. Мне сказали, что не могут помочь.
Как тяжко жить в эпоху перемен.
Хм, загрузил оба подписанных документа из статьи, получил сообщение:
Также в глаза бросается то, что на сервер уходит весь мой подписанный документ (а не его хэш, например), а на странице нет информации о порядке обработке персональных дынных, содержащихся в таких документах и нет явно выраженного согласия на их обработку.
Внутренняя ошибкаПробовал 3 разных браузера. Возможно сайту не нравятся конкретно эти PDF документы или что-то ещё не так.
Подлинность документа НЕ ПОДТВЕРЖДЕНА
Также в глаза бросается то, что на сервер уходит весь мой подписанный документ (а не его хэш, например), а на странице нет информации о порядке обработке персональных дынных, содержащихся в таких документах и нет явно выраженного согласия на их обработку.
Как вариант, есть более новая версия портала — www.gosuslugi.ru/eds. У меня генерируемые в нашем внутреннем сервисе документы, которые мы подписываем, проходят и там и там валидацию. К сожалению, пока не протестировать с альтернативными документами.
Касательно ПД, я думаю это интересный вопрос, стоит в поддержку ГУ написать.
Касательно ПД, я думаю это интересный вопрос, стоит в поддержку ГУ написать.
К сожалению новый вариант проверят только отсоединённую подпись, что не подходит в моём случае.
Написал в поддержку госуслуг, полчил формальную отписку:
Сервис «Проверка электронной подписи электронного документа» позволяет убедиться в подлинности сертификата электронного ключа проверки, а также убедиться, что сертификат выдан аккредитованным удостоверяющим центром.
Дополнительно сообщаем, что с информацией «О защите персональных данных» можно ознакомиться, перейдя по ссылке: www.gosuslugi.ru/help/personal
Порекомендую сайт контура.
Выбираем сверху «Сменить тип установки» (если выбрано не ЭТП и гос. порталы)
Делаем довольно простую процедуру установки Диагностического плагина, делаем диганостику, чего нам не хватает, потом необходимо выбрать «компоненты для установки»(сейчас серая неподсвеченная ссылка, ранее они давали явную ссылку на ручную установку.
Пункт 4, возможно 15ый пригодится.
4. Установка сертификатов УЦ (511 КБ)
15. Регистрация OID сертификатов для УЦ (113 КБ)
У меня отработало вот так:
Установка 47 сертификат(ов) в хранилище Root…
Поиск и удаление 73 старых ненужных сертификат(ов) из хранилища Root…
Установка 114 сертификат(ов) в хранилище CA…
Поиск и удаление 18 старых ненужных сертификат(ов) из хранилища CA…
Установка 15 сертификат(ов) в хранилище TrustedPublisher…
Установка 2 сертификат(ов) в хранилище AddressBook…
Поиск и удаление 8 старых ненужных сертификат(ов) из хранилища AddressBook…
Выбираем сверху «Сменить тип установки» (если выбрано не ЭТП и гос. порталы)
Делаем довольно простую процедуру установки Диагностического плагина, делаем диганостику, чего нам не хватает, потом необходимо выбрать «компоненты для установки»(сейчас серая неподсвеченная ссылка, ранее они давали явную ссылку на ручную установку.
Пункт 4, возможно 15ый пригодится.
4. Установка сертификатов УЦ (511 КБ)
15. Регистрация OID сертификатов для УЦ (113 КБ)
У меня отработало вот так:
Установка 47 сертификат(ов) в хранилище Root…
Поиск и удаление 73 старых ненужных сертификат(ов) из хранилища Root…
Установка 114 сертификат(ов) в хранилище CA…
Поиск и удаление 18 старых ненужных сертификат(ов) из хранилища CA…
Установка 15 сертификат(ов) в хранилище TrustedPublisher…
Установка 2 сертификат(ов) в хранилище AddressBook…
Поиск и удаление 8 старых ненужных сертификат(ов) из хранилища AddressBook…
Мне вот кажется говорить и рассуждать про серьезные юридические вещи и при этом употреблять термин ЭЦП, как-то совсем не серьезно, как-то сразу мысль закрадывается, что про все это рассуждает человек далекий от законодательства.
аналоги КриптоПро, особенно opensource инструменты для создания и проверки ЭЦП;
имхо в контексте, что вся тема производства и эксплуатации средств ЭП находится под курированием ФСБ с довольно «интересными» к ним требованиями, у ЭП для рядовых физических лиц нет никаких перспектив, и для малого бизнеса тоже, а может быть даже и особенно. Похоже, что в качестве майнстрима принято направление валидации через госуслуги.
Ну, по идее, можно было бы средства для проверки подписи делать общедоступными, по аналоги с утилитой unrar для RAR-архивов.
Посмотрите утилиту cryptoarmpkcs.
аналоги КриптоПро, особенно opensource инструменты для создания и проверки ЭП
Посмотрите утилиту cryptoarmpkcs.
Sign up to leave a comment.
Российские ЭП для самых маленьких