УЦ Федерального казначейства сегодня пройдена отметка в 2 млн. действующих сертификатов
Об ЭП и УЦ
Несмотря на то, что знаменитой "розовой" Инструкции 152-ФАПСИ более 20 лет и морально она уже устарела - это действующий НПА нашей сферы. Каждый год появляется информация о необходимости её актуализации/замены (даже есть проекты), но юридические нюансы не…
Опубликована запись вебинара "Особенности реализации требований приказа ФАПСИ №152 по учёту СКЗИ"
Доклад президента РОСЭУ Ю.В. Малинина "Дорожная карта внедрения МЧД. Предложения бизнес- сообщества и взаимодействие с ОГВ"
Forwarded from Сергей Кирюшкин
А.А.Тютрюмов (Минцифры России): "Минцифры планирует, что формат МЧД, утвержденный Минцифры (разработанный ФНС с некоторыми доработками) будет единым универсальным форматом МЧД для ключевых органов государственной власти и b2b-отношений" #pkiforum
Зарубежный опыт построения PKI (материал от нашего подписчика)
Часть 1
Эстония имеет довольно развитую PKI. В данной стране существуют тысячи государственных и коммерческих электронных сервисов. Например, с 2005 года, впервые в мире, в Эстонии проходит электронное голосование через Интернет. Для работы этих сервисов развернута инфраструктура электронной идентификации личности и электронной подписи.
Проведем краткий обзор как это все работает. Сразу уточним, что обзор не претендует на полноту и рассматривает положение на настоящий момент с точки зрения простого гражданина Эстонии.
Вместо внутреннего паспорта в Эстонии используются удостоверение личности или ID-карта (Isikutunnistus или ID-kaart), которое обязаны иметь все граждане ЭР или ЕС, проживающие в Эстонии.
Помимо стандартных для таких документов свойств, таких как личные данные и фотография на самой карте, в ней также установлен чип, содержащий личные данные и две пары криптографических ключей, которые используются для идентификации и создания электронной подписи. ID-карта соответствует стандарту ISO 7816, также как, например, банковские карты Visa, Master Card, МИР. Начиная с 2021 года в ID-карте также предусмотрен интерфейс NFC.
Часть 1
Эстония имеет довольно развитую PKI. В данной стране существуют тысячи государственных и коммерческих электронных сервисов. Например, с 2005 года, впервые в мире, в Эстонии проходит электронное голосование через Интернет. Для работы этих сервисов развернута инфраструктура электронной идентификации личности и электронной подписи.
Проведем краткий обзор как это все работает. Сразу уточним, что обзор не претендует на полноту и рассматривает положение на настоящий момент с точки зрения простого гражданина Эстонии.
Вместо внутреннего паспорта в Эстонии используются удостоверение личности или ID-карта (Isikutunnistus или ID-kaart), которое обязаны иметь все граждане ЭР или ЕС, проживающие в Эстонии.
Помимо стандартных для таких документов свойств, таких как личные данные и фотография на самой карте, в ней также установлен чип, содержащий личные данные и две пары криптографических ключей, которые используются для идентификации и создания электронной подписи. ID-карта соответствует стандарту ISO 7816, также как, например, банковские карты Visa, Master Card, МИР. Начиная с 2021 года в ID-карте также предусмотрен интерфейс NFC.
Часть 2.
Сертификаты идентификации личности и электронной подписи выдаются государственным удостоверяющим центром сроком на 5 лет и уже записаны на ID-карту при выдаче.
Для работы с ID-картой на компьютере, необходимо иметь считыватель смарт-карт и установленное ПО RIA DigiDoc4 Client. Поддерживаются ОС Microsoft Windows, OS X и GNU/Linux, браузеры Microsoft Edge, Google Chrome и Mozilla Firefox.
RIA DigiDoc4 Client является свободным ПО, принадлежащим Департаменту государственной инфосистемы Эстонии (Riigi Infosüstemi Amet, RIA) и распространяемым по лицензии GNU LGPL 2.1.
С помощью RIA DigiDoc4 Client можно просматривать данные на ID-карте, менять PIN-коды, подписывать электронные документы, проверять ЭП и шифровать файлы.
Для работы в браузере в комплекте с RIA DigiDoc Client также поставляются плагины для поддерживаемых браузеров.
Есть также мобильная версия RIA DigiDoc4 Client для операционных систем Android и iOS, однако, для использования ID-карты к устройству необходимо подключить считыватель смарт-карт по USB OTG, использовать NFC не получится.
Подписанные при помощи RIA DigiDoc4 Client файлы помещаются в контейнер ASiC-E (Associated Signature Container - Extended), представляющий из себя zip-архив с собственно подписанным документом, его метаданными и xml-файлом, включающим в себя сертификат подписанта, значение подписи и метку доверенного времени. Проверка действительности сертификата происходит при помощи OCSP.
ASiC-E стандартизирован Европейским институтом по стандартизации в области телекоммуникаций (ETSI) и его использование предусмотрено регламентом Европейского союза eIDAS (electronic IDentification, Authentication and trust Services). Таким образом, эстонские электронные подписи признаются на всей территории ЕС.
Сертификаты на ID-карте являются квалифицированными (QES), а сама ID-карта является квалифицированным устройством для создания подписи (QSCD). Созданная с её помощью электронная подпись имеет юридическую значимость и приравнивается к подписи от руки, т.е. является аналогом российской УКЭП физического лица.
Примечательно, что количество запросов к сервисам меток доверенного времени и OCSP ограничено для "личного использования". Допустимое количество запросов не называется, но указано, что оно привязано к IP-адресу. Для увеличения количества запросов, например для коммерческого использования, необходимо заключить договор с оператором этих сервисов SK ID Solutions. Для доступа в государственные информационные системы ограничение не применяется.
Помимо ID-карты имеется возможность также использовать сервисы Smart-ID и Mobiil-ID.
Сертификаты идентификации личности и электронной подписи выдаются государственным удостоверяющим центром сроком на 5 лет и уже записаны на ID-карту при выдаче.
Для работы с ID-картой на компьютере, необходимо иметь считыватель смарт-карт и установленное ПО RIA DigiDoc4 Client. Поддерживаются ОС Microsoft Windows, OS X и GNU/Linux, браузеры Microsoft Edge, Google Chrome и Mozilla Firefox.
RIA DigiDoc4 Client является свободным ПО, принадлежащим Департаменту государственной инфосистемы Эстонии (Riigi Infosüstemi Amet, RIA) и распространяемым по лицензии GNU LGPL 2.1.
С помощью RIA DigiDoc4 Client можно просматривать данные на ID-карте, менять PIN-коды, подписывать электронные документы, проверять ЭП и шифровать файлы.
Для работы в браузере в комплекте с RIA DigiDoc Client также поставляются плагины для поддерживаемых браузеров.
Есть также мобильная версия RIA DigiDoc4 Client для операционных систем Android и iOS, однако, для использования ID-карты к устройству необходимо подключить считыватель смарт-карт по USB OTG, использовать NFC не получится.
Подписанные при помощи RIA DigiDoc4 Client файлы помещаются в контейнер ASiC-E (Associated Signature Container - Extended), представляющий из себя zip-архив с собственно подписанным документом, его метаданными и xml-файлом, включающим в себя сертификат подписанта, значение подписи и метку доверенного времени. Проверка действительности сертификата происходит при помощи OCSP.
ASiC-E стандартизирован Европейским институтом по стандартизации в области телекоммуникаций (ETSI) и его использование предусмотрено регламентом Европейского союза eIDAS (electronic IDentification, Authentication and trust Services). Таким образом, эстонские электронные подписи признаются на всей территории ЕС.
Сертификаты на ID-карте являются квалифицированными (QES), а сама ID-карта является квалифицированным устройством для создания подписи (QSCD). Созданная с её помощью электронная подпись имеет юридическую значимость и приравнивается к подписи от руки, т.е. является аналогом российской УКЭП физического лица.
Примечательно, что количество запросов к сервисам меток доверенного времени и OCSP ограничено для "личного использования". Допустимое количество запросов не называется, но указано, что оно привязано к IP-адресу. Для увеличения количества запросов, например для коммерческого использования, необходимо заключить договор с оператором этих сервисов SK ID Solutions. Для доступа в государственные информационные системы ограничение не применяется.
Помимо ID-карты имеется возможность также использовать сервисы Smart-ID и Mobiil-ID.