Петиция за дружбу удостоверяющих центров. Часть 2

Information SecurityLegislation in IT

Привет, хабровчане!

Хочу поделиться ещё одной зашкварной историей, связанной с ЭЦП. В главных ролях крупные удостоверяющие центры - Контур и Тензор.

Прошлая проблема, которая возникла в мае, в общем-то решилась - когда я подавал инициативу на РОИ, я не знал что с 1 июля 2020 вступают в силу поправки в 63-ФЗ «Об электронной подписи», согласно которым возможность удостоверять личность действующим сертификатом аккредитованного УЦ теперь закреплена законодательно.

Но технически с применением этого закона есть большие ограничения, о которых ничего не сказано в законе.

В частности, если у тебя сертификат электронной подписи на носителе - ты легко можешь воспользоваться новой редакцией ФЗ-63 и получить ЭЦП удалённо, у крупных удостоверяющих УЦ есть автоматизированные сервисы для этой задачи. А вот если действующий сертификат облачный - начинаются проблемы.

Сегодня мне нужно было получить новый сертификат в УЦ Тензора на юрлицо для работы со СБИС. Действующий сертификат есть только от УЦ Контур. Он квалифицированный, но не на отдельном ключе, а облачный, по технологии КриптоПРО DSS.

У меня подтвержденный положительный тест на COVID, сижу дома на самоизоляции до повторных отрицательных тестов. Т.е. даже возможности лично приехать в УЦ и удостоверить личность по закону нет и остаётся вариант только удалённого выпуска.

Техподдержка Тензора сказала что единственная техническая возможность удостоверить личность облачным сертификатом - настроить работу с облачным хранилищем в КриптоПРО 5.0 Для этого нужно знать адрес Сервера авторизации и DSS серверов.

Техподдержка Контура же отказалась сообщить эти url потому что:

"Это закрытая информация"

"Мы не предоставляем доступ к ним для использования на стороннем портале. DSS сертификаты используются только для работы с сервисами нашей компании через внутренний авторизованный доступ."

"Такая политика относительно серверов DSS связана с текущими недоработками в данной технологии." (Эта отмазка вообще прекрасна. Если технология недоработана, почему её сертифицировала ФСБ?)

(цитаты из чатов с разными операторами техподдержки, номер обращения 28323177)

Просмотрев QR-код, который Контур выдаёт для настройки мобильного приложения myDSS, я нашёл адрес DSS сервера: https://mydss.kontur-ca.ru/MyDssServerExternal/InteractionService.svc. Но адреса сервера авторизации там не было. А стандартные url не работали. Короче, реверс-инжиниринг не удался.

На всякий случай написал в поддержку КриптоПРО, вот что они ответили:

У нас нет и не может быть адресов облачных сервисов на базе КриптоПро DSS, развернутых сторонними компаниями. Мы лишь предоставляем ПО, которые наши заказчики вправе использовать по своему усмотрению. (Обращение №33489)

Тензор тоже "хорош". Предложил им альтернативный способ идентификации на существующих сервисах - я отправляю в адрес компании через систему электронного документооборота (Контур.Диадок) подписанную облачной подписью заявку на выпуск ЭЦП и все необходимые документы (паспорт, СНИЛС). На основании которых подпись выпускается как новая. Ну и предложил созвониться по видеосвязи если они очень хотят понаблюдать моё лицо (знаю что такую идентификацию использовали некоторые банки при открытии расчётных счетов юрлицам во время "первой волны" пандемии) . Мне было отказано:

Делегировать получение ЭЦП я тоже не могу, согласно новым поправкам ЭЦП можно получить только лично.

На мой взгляд, оба удостоверяющих центра своими действиями нарушили 63-ФЗ и собственные же договора и регламенты.

В частности, у Контура в договоре есть такие пункты насчёт прав пользователя:

6.5.1. Круглосуточно получать доступ к серверу Удостоверяющего центра за исключением времени проведения профилактических работ и воспроизводить графическую часть (рабочий интерфейс) на экране персонального компьютера;

6.5.2. использовать все функциональные возможности ПО

Кроме того, согласно п 3.1.4 ГОСТ Р 34.10-2012, которому якобы соответствует КриптоПРО DSS, "параметр схемы ЭЦП (domain parameter): Элемент данных, общий для всех субъектов схемы цифровой подписи, известный или доступный всем этим субъектам". Т.е. по ГОСТУ Контур не имеет права делать эту информацию закрытой.

А у Тензора в регламенте есть такая обязанность:

3.1.19. Идентификация заявителя проводится при его личном присутствии или посредством идентификации заявителя без его личного присутствия с использованием КЭП при наличии действующего квалифицированного сертификата.

В самом регламенте нет подробной процедуры как именно происходит идентификация при помощи КЭП. А п.1 ст 18 ФЗ-63 говорит о том что удостоверяющий центр ОБЯЗАН "осуществлять идентификацию заявителя без его личного присутствия с использованием квалифицированной электронной подписи при наличии действующего квалифицированного сертификата". Конечно, есть принцип "Закон не заботиться о мелочах", но по букве закона и логике вещей подписание заявки на получение ЭП и отправку её через СЭД Тензор обязан засчитать за идентификацию.

Короче говоря, из-за бездействия удостоверяющих центров сегодня я не смог выпустить электронную подпись и как минимум просрочил отчёт РСВ по ООО за 9 месяцев (сегодня крайний день сдачи), в результате чего попал на штраф минимум в 1000 рублей. Я, конечно, отправил обращение в ФНС по данной ситуации, но штрафы там выписывают автоматически и мне видимо придётся их отменять через суд, что само-собой влечёт потери времени. Чтоб их компенсировать планирую обратиться в суд с встречным иском к Контуру и Тензору. Как думаете, какие шансы?

Еще слышал новость о том что с 1 января 2022 года УЦ не смогут выдавать сертификаты электронной подписи юрлицам — эти полномочия перейдут к Удостоверяющему центру ФНС. Тот факт что УЦ сейчас забивают на клиентский сервис и техническое развитие выглядит вполне логичным. Но не до такой же степени чтоб нарушать ФЗ.

Напишите пожалуйста в комментариях всё что вы думаете по описанной проблеме. Особенно хотелось бы увидеть здесь комментарии представителей Контура, Тензора, КриптоПРО, Минкомсвязи и ФСБ :) И юристов, которые специализируются на вопросах электронной подписи.


Tags:КонтурТензорэцпзаконидентификация личностикриптопроdssгост 34.10-2012
Hubs: Information Security Legislation in IT
+24
3.4k 14
Comments 27
IT recruiter middle
to 1,300 $Mad DevsRemote job
IT-рекрутер
from 45,000 to 70,000 ₽ITSummaRemote job
Ведущий IT рекрутер
from 130,000 to 160,000 ₽Манго ТелекомМосква
ИТ Рекрутер / IT Recruiter
from 48,000 to 100,000 ₽ГрандстаффЯрославль
HR-менеджер / IT-рекрутер
from 100,000 ₽Российский квантовый центрRemote job