Доклад президента РОСЭУ Ю.В. Малинина "Дорожная карта внедрения МЧД. Предложения бизнес- сообщества и взаимодействие с ОГВ"
Forwarded from Сергей Кирюшкин
А.А.Тютрюмов (Минцифры России): "Минцифры планирует, что формат МЧД, утвержденный Минцифры (разработанный ФНС с некоторыми доработками) будет единым универсальным форматом МЧД для ключевых органов государственной власти и b2b-отношений" #pkiforum
Зарубежный опыт построения PKI (материал от нашего подписчика)
Часть 1
Эстония имеет довольно развитую PKI. В данной стране существуют тысячи государственных и коммерческих электронных сервисов. Например, с 2005 года, впервые в мире, в Эстонии проходит электронное голосование через Интернет. Для работы этих сервисов развернута инфраструктура электронной идентификации личности и электронной подписи.
Проведем краткий обзор как это все работает. Сразу уточним, что обзор не претендует на полноту и рассматривает положение на настоящий момент с точки зрения простого гражданина Эстонии.
Вместо внутреннего паспорта в Эстонии используются удостоверение личности или ID-карта (Isikutunnistus или ID-kaart), которое обязаны иметь все граждане ЭР или ЕС, проживающие в Эстонии.
Помимо стандартных для таких документов свойств, таких как личные данные и фотография на самой карте, в ней также установлен чип, содержащий личные данные и две пары криптографических ключей, которые используются для идентификации и создания электронной подписи. ID-карта соответствует стандарту ISO 7816, также как, например, банковские карты Visa, Master Card, МИР. Начиная с 2021 года в ID-карте также предусмотрен интерфейс NFC.
Часть 1
Эстония имеет довольно развитую PKI. В данной стране существуют тысячи государственных и коммерческих электронных сервисов. Например, с 2005 года, впервые в мире, в Эстонии проходит электронное голосование через Интернет. Для работы этих сервисов развернута инфраструктура электронной идентификации личности и электронной подписи.
Проведем краткий обзор как это все работает. Сразу уточним, что обзор не претендует на полноту и рассматривает положение на настоящий момент с точки зрения простого гражданина Эстонии.
Вместо внутреннего паспорта в Эстонии используются удостоверение личности или ID-карта (Isikutunnistus или ID-kaart), которое обязаны иметь все граждане ЭР или ЕС, проживающие в Эстонии.
Помимо стандартных для таких документов свойств, таких как личные данные и фотография на самой карте, в ней также установлен чип, содержащий личные данные и две пары криптографических ключей, которые используются для идентификации и создания электронной подписи. ID-карта соответствует стандарту ISO 7816, также как, например, банковские карты Visa, Master Card, МИР. Начиная с 2021 года в ID-карте также предусмотрен интерфейс NFC.
Часть 2.
Сертификаты идентификации личности и электронной подписи выдаются государственным удостоверяющим центром сроком на 5 лет и уже записаны на ID-карту при выдаче.
Для работы с ID-картой на компьютере, необходимо иметь считыватель смарт-карт и установленное ПО RIA DigiDoc4 Client. Поддерживаются ОС Microsoft Windows, OS X и GNU/Linux, браузеры Microsoft Edge, Google Chrome и Mozilla Firefox.
RIA DigiDoc4 Client является свободным ПО, принадлежащим Департаменту государственной инфосистемы Эстонии (Riigi Infosüstemi Amet, RIA) и распространяемым по лицензии GNU LGPL 2.1.
С помощью RIA DigiDoc4 Client можно просматривать данные на ID-карте, менять PIN-коды, подписывать электронные документы, проверять ЭП и шифровать файлы.
Для работы в браузере в комплекте с RIA DigiDoc Client также поставляются плагины для поддерживаемых браузеров.
Есть также мобильная версия RIA DigiDoc4 Client для операционных систем Android и iOS, однако, для использования ID-карты к устройству необходимо подключить считыватель смарт-карт по USB OTG, использовать NFC не получится.
Подписанные при помощи RIA DigiDoc4 Client файлы помещаются в контейнер ASiC-E (Associated Signature Container - Extended), представляющий из себя zip-архив с собственно подписанным документом, его метаданными и xml-файлом, включающим в себя сертификат подписанта, значение подписи и метку доверенного времени. Проверка действительности сертификата происходит при помощи OCSP.
ASiC-E стандартизирован Европейским институтом по стандартизации в области телекоммуникаций (ETSI) и его использование предусмотрено регламентом Европейского союза eIDAS (electronic IDentification, Authentication and trust Services). Таким образом, эстонские электронные подписи признаются на всей территории ЕС.
Сертификаты на ID-карте являются квалифицированными (QES), а сама ID-карта является квалифицированным устройством для создания подписи (QSCD). Созданная с её помощью электронная подпись имеет юридическую значимость и приравнивается к подписи от руки, т.е. является аналогом российской УКЭП физического лица.
Примечательно, что количество запросов к сервисам меток доверенного времени и OCSP ограничено для "личного использования". Допустимое количество запросов не называется, но указано, что оно привязано к IP-адресу. Для увеличения количества запросов, например для коммерческого использования, необходимо заключить договор с оператором этих сервисов SK ID Solutions. Для доступа в государственные информационные системы ограничение не применяется.
Помимо ID-карты имеется возможность также использовать сервисы Smart-ID и Mobiil-ID.
Сертификаты идентификации личности и электронной подписи выдаются государственным удостоверяющим центром сроком на 5 лет и уже записаны на ID-карту при выдаче.
Для работы с ID-картой на компьютере, необходимо иметь считыватель смарт-карт и установленное ПО RIA DigiDoc4 Client. Поддерживаются ОС Microsoft Windows, OS X и GNU/Linux, браузеры Microsoft Edge, Google Chrome и Mozilla Firefox.
RIA DigiDoc4 Client является свободным ПО, принадлежащим Департаменту государственной инфосистемы Эстонии (Riigi Infosüstemi Amet, RIA) и распространяемым по лицензии GNU LGPL 2.1.
С помощью RIA DigiDoc4 Client можно просматривать данные на ID-карте, менять PIN-коды, подписывать электронные документы, проверять ЭП и шифровать файлы.
Для работы в браузере в комплекте с RIA DigiDoc Client также поставляются плагины для поддерживаемых браузеров.
Есть также мобильная версия RIA DigiDoc4 Client для операционных систем Android и iOS, однако, для использования ID-карты к устройству необходимо подключить считыватель смарт-карт по USB OTG, использовать NFC не получится.
Подписанные при помощи RIA DigiDoc4 Client файлы помещаются в контейнер ASiC-E (Associated Signature Container - Extended), представляющий из себя zip-архив с собственно подписанным документом, его метаданными и xml-файлом, включающим в себя сертификат подписанта, значение подписи и метку доверенного времени. Проверка действительности сертификата происходит при помощи OCSP.
ASiC-E стандартизирован Европейским институтом по стандартизации в области телекоммуникаций (ETSI) и его использование предусмотрено регламентом Европейского союза eIDAS (electronic IDentification, Authentication and trust Services). Таким образом, эстонские электронные подписи признаются на всей территории ЕС.
Сертификаты на ID-карте являются квалифицированными (QES), а сама ID-карта является квалифицированным устройством для создания подписи (QSCD). Созданная с её помощью электронная подпись имеет юридическую значимость и приравнивается к подписи от руки, т.е. является аналогом российской УКЭП физического лица.
Примечательно, что количество запросов к сервисам меток доверенного времени и OCSP ограничено для "личного использования". Допустимое количество запросов не называется, но указано, что оно привязано к IP-адресу. Для увеличения количества запросов, например для коммерческого использования, необходимо заключить договор с оператором этих сервисов SK ID Solutions. Для доступа в государственные информационные системы ограничение не применяется.
Помимо ID-карты имеется возможность также использовать сервисы Smart-ID и Mobiil-ID.
Часть 3.
Smart-ID - это сервис облачной электронной подписи, аккаунт которого привязывается к мобильному устройству при помощи приложения.
Сертификат Smart-ID выдается онлайн на основании ID-карты. Срок действия сертификата - 3 года. При проведении операции, в приложение приходит push-уведомление с кодом подтверждения. Список доступных по Smart-ID электронных услуг довольно обширен, например, возможен доступ в онлайн-банкинг. Также имеется возможность использовать Smart-ID в приложении RIA DigiDoc4 Client, как в десктопной, так и в мобильной версии. Smart-ID так же как ID-карта является квалифицированным устройством для создания подписи (QSCD), а сертификаты квалифицированными (QES). Smart-ID работает также в Латвии и Литве. Аналогом Smart-ID в России является приложение Госключ.
Mobiil-ID - это услуга операторов мобильной связи Эстонии, при которой криптографические ключи записываются на SIM-карту. Для получения Mobiil-ID необходимо обратиться к оператору связи и физически получить SIM-карту. Также как с ID-картой, используется пара сертификатов для идентификации личности и электронной подписи. Срок действия сертификатов - 5 лет. Допустимо использовании только одной SIM-карты с Mobiil-ID на человека. При выпуске новой SIM-карты, при смене оператора, старые сертификаты отзываются. Доступ к ключам осуществляет мобильная версия RIA DigiDoc4 Client, ключи защищены PIN-кодами, а криптографические операции происходят прямо на устройстве. При проведении операции на другом устройстве, в приложение RIA DigiDoc4 Client приходит push-уведомление с наименованием услуги и кодом подтверждения.
По состоянию на 13.09.2022 в Эстонии действуют 1560499 ID-карты, 246297 mobiil-ID и 664577 Smart-ID.
Существенным отличием эстонской системы PKI от российской является то, что "входной точкой" является ID-карта, она же удостоверение личности и внутренний паспорт, а также наличие единого государственного удостоверяющего центра и применение единой политики по использованию криптографии. Пользователю психологически проще ассоциировать свою электронную подпись и выполняемые с ней действия с собой лично, из-за чего значительно повышается чувство ответственности за сохранность своих криптографических ключей. Государству и бизнесу при этом намного проще развивать и предоставлять электронные услуги.
Smart-ID - это сервис облачной электронной подписи, аккаунт которого привязывается к мобильному устройству при помощи приложения.
Сертификат Smart-ID выдается онлайн на основании ID-карты. Срок действия сертификата - 3 года. При проведении операции, в приложение приходит push-уведомление с кодом подтверждения. Список доступных по Smart-ID электронных услуг довольно обширен, например, возможен доступ в онлайн-банкинг. Также имеется возможность использовать Smart-ID в приложении RIA DigiDoc4 Client, как в десктопной, так и в мобильной версии. Smart-ID так же как ID-карта является квалифицированным устройством для создания подписи (QSCD), а сертификаты квалифицированными (QES). Smart-ID работает также в Латвии и Литве. Аналогом Smart-ID в России является приложение Госключ.
Mobiil-ID - это услуга операторов мобильной связи Эстонии, при которой криптографические ключи записываются на SIM-карту. Для получения Mobiil-ID необходимо обратиться к оператору связи и физически получить SIM-карту. Также как с ID-картой, используется пара сертификатов для идентификации личности и электронной подписи. Срок действия сертификатов - 5 лет. Допустимо использовании только одной SIM-карты с Mobiil-ID на человека. При выпуске новой SIM-карты, при смене оператора, старые сертификаты отзываются. Доступ к ключам осуществляет мобильная версия RIA DigiDoc4 Client, ключи защищены PIN-кодами, а криптографические операции происходят прямо на устройстве. При проведении операции на другом устройстве, в приложение RIA DigiDoc4 Client приходит push-уведомление с наименованием услуги и кодом подтверждения.
По состоянию на 13.09.2022 в Эстонии действуют 1560499 ID-карты, 246297 mobiil-ID и 664577 Smart-ID.
Существенным отличием эстонской системы PKI от российской является то, что "входной точкой" является ID-карта, она же удостоверение личности и внутренний паспорт, а также наличие единого государственного удостоверяющего центра и применение единой политики по использованию криптографии. Пользователю психологически проще ассоциировать свою электронную подпись и выполняемые с ней действия с собой лично, из-за чего значительно повышается чувство ответственности за сохранность своих криптографических ключей. Государству и бизнесу при этом намного проще развивать и предоставлять электронные услуги.
Работа PKI-Форума в заключительный день начнётся в 9.30 с сессии "Острые аспекты обеспечения PKI в 2022 году, проблемы, поиск путей решения"
Forwarded from Телеком-ревью
Сбер переходит на российские TLS-сертификаты
В ближайшее время на них будет переведен главный сайт. Также на российские сертификаты перейдут и остальные сайты, ресурсы и системы Сбера.
- "Это гарантирует бесперебойный и безопасный доступ наших клиентов к сервисам банка, обеспечивая их независимость от иностранных решений".
https://digital.gov.ru/ru/events/41983/
В ближайшее время на них будет переведен главный сайт. Также на российские сертификаты перейдут и остальные сайты, ресурсы и системы Сбера.
- "Это гарантирует бесперебойный и безопасный доступ наших клиентов к сервисам банка, обеспечивая их независимость от иностранных решений".
https://digital.gov.ru/ru/events/41983/
Forwarded from Минцифры России
📣 Максут Шадаев о переходе на российские TLS-сертификаты:
«Мы приветствуем решение Сбера перевести свои онлайн-сервисы на отечественные сертификаты удостоверяющих центров. Перевод ресурсов крупнейшего банка и одной из ведущих технологических компаний страны на наши сертификаты будет хорошим примером для всего российского рынка и станет стимулом к снижению зависимости от зарубежных компаний. Сервис по выдаче сертификатов безопасности работает с марта 2022 года на портале Госуслуг. Сертификаты выдаются бесплатно».
@mintsifry
«Мы приветствуем решение Сбера перевести свои онлайн-сервисы на отечественные сертификаты удостоверяющих центров. Перевод ресурсов крупнейшего банка и одной из ведущих технологических компаний страны на наши сертификаты будет хорошим примером для всего российского рынка и станет стимулом к снижению зависимости от зарубежных компаний. Сервис по выдаче сертификатов безопасности работает с марта 2022 года на портале Госуслуг. Сертификаты выдаются бесплатно».
@mintsifry
Об ЭП и УЦ
Участвовали Вы в PKI-Форуме?
79 наших подписчиков приняли участие в PKI-Форуме (21 из них - первый раз). Свои предложения в итоговую декларацию PKI-Форум Россия 2022 вы можете направить по ссылке https://pki-forum.ru/offers
Весной 2022 года НИИ «Восход» на базе Национального удостоверяющего центра (НУЦ) реализовал технологию выдачи сертификатов безопасности (TLS-сертификатов). Кроме обеспечения выдачи самих сертификатов технология дополнительно обеспечивает их публикацию в три независимых лога – один государственный и два частных (это Яндекс и Mail.Ru). При взаимодействии с сайтом браузеры направляют запросы в эти логи и проверяют, действительно ли был выдан сертификат данному сайту.
В мае 2022 года реализована выдача TLS-сертификатов для сайтов с поддержкой технологии прозрачности (certificate transparency). Реализация данной технологии использует специализированные криптографические методы и основана на том, что все сертификаты от НУЦ, записываются в независимые журналы (логи), из которых нельзя удалить сведения после записи.
В мае 2022 года реализована выдача TLS-сертификатов для сайтов с поддержкой технологии прозрачности (certificate transparency). Реализация данной технологии использует специализированные криптографические методы и основана на том, что все сертификаты от НУЦ, записываются в независимые журналы (логи), из которых нельзя удалить сведения после записи.
Департамент информационной безопасности Банка России поддержал позицию Национального совета финансового рынка о возможности в соответствии с п. 5.1 Положения Банка России № 683-П использования при подписании электронных сообщений аналогов собственноручной подписи, кодов, паролей и других средств, в том числе простой электронной подписи, при условии использования средств криптографической защиты информации, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения
Письмо НСФР
Ответ Банка России
Письмо НСФР
Ответ Банка России
1️⃣год назад с данного поста началась история нашего канала. Создавая тематический канал о сфере электронной подписи важно было с самого начала задать нужный вектор.
За прошедшее время опубликовано более тысячи постов, канал приобрел свои фирменные черты, количество подписчиков превысило 4 тыс., создан чат. Канал дважды становился информационным партнёров форумов по ЭДО. Даже Алексей Лукацкий, который "у себя про ЭП не пишет совсем" сделал 5 репостов)
Спасибо всем подписчикам👏! Собралась очень внушительная аудитория. Продолжаю второй год рассказывать об электронной подписи и удостоверяющих центрах.
За прошедшее время опубликовано более тысячи постов, канал приобрел свои фирменные черты, количество подписчиков превысило 4 тыс., создан чат. Канал дважды становился информационным партнёров форумов по ЭДО. Даже Алексей Лукацкий, который "у себя про ЭП не пишет совсем" сделал 5 репостов)
Спасибо всем подписчикам👏! Собралась очень внушительная аудитория. Продолжаю второй год рассказывать об электронной подписи и удостоверяющих центрах.
А у Вас есть сертификат ключа проверки ЭП (выбор нескольких вариантов)?
Anonymous Poll
68%
Есть квалифицированный сертификат
16%
Есть неквалифиированный сертификат (Госключ)
26%
Есть неквалифицированный сертификат (ЛК ФНС и др.)
14%
Хватает простой ЭП (ЕСИА и др.)
11%
Почему ЭП, а не ЭЦП?
Каждой компании важно иметь качественные продукты для оптимизации и адаптации ключевых бизнес-процессов к новой реальности.
Но с чего начать цифровую оптимизацию?
📌 19 сентября — 30 сентября 2022 СберКорус приглашает на «Неделю ЭДО», в рамках которой обсудит следующие вопросы:
🔹 Сколько миллионов в год может сэкономить компания, внедрив цифровые продукты?
🔹 Как цифровизация компании позволяет ей нанимать лучших сотрудников на рынке?
🔹 Какие законы открывают бизнесу новые возможности, и как ими пользоваться?
🔹 Предубеждения, мешающие компаниям получать выгоду от цифровизации, — разбираем на практике.
🔹 Где найти отправную точку для цифровизации ключевых бизнес-процессов?
Неделя ЭДО в СберКорус — это:
🔸 5 вебинаров на актуальные темы;
🔸 более 10 экспертов, которые ответят на ваши вопросы в прямом эфире;
🔸 5 спецпредложений для бизнеса, которыми можно начать пользоваться уже сейчас;
🔸 8 бесплатных материалов, которые пригодятся на старте.
Участие бесплатное, предварительная регистрация обязательна: https://clck.ru/325WGU
Но с чего начать цифровую оптимизацию?
📌 19 сентября — 30 сентября 2022 СберКорус приглашает на «Неделю ЭДО», в рамках которой обсудит следующие вопросы:
🔹 Сколько миллионов в год может сэкономить компания, внедрив цифровые продукты?
🔹 Как цифровизация компании позволяет ей нанимать лучших сотрудников на рынке?
🔹 Какие законы открывают бизнесу новые возможности, и как ими пользоваться?
🔹 Предубеждения, мешающие компаниям получать выгоду от цифровизации, — разбираем на практике.
🔹 Где найти отправную точку для цифровизации ключевых бизнес-процессов?
Неделя ЭДО в СберКорус — это:
🔸 5 вебинаров на актуальные темы;
🔸 более 10 экспертов, которые ответят на ваши вопросы в прямом эфире;
🔸 5 спецпредложений для бизнеса, которыми можно начать пользоваться уже сейчас;
🔸 8 бесплатных материалов, которые пригодятся на старте.
Участие бесплатное, предварительная регистрация обязательна: https://clck.ru/325WGU
Опубликована запись программы "Налоги", в которой заместитель руководителя ФНС России А.С. Петрушин рассказывает о порядке получения квалифицированных сертификатов в удостоверяющем центре ФНС России
Есть такой ресурс - Онлайнинспекция.рф, который позволяет обратиться в инспекцию труда и получить бесплатную консультацию по вопросам трудовых отношений.
В сентябре опубликован ответ на вопрос: "Вправе ли работодатель обязать работника оформить его электронную подпись, если в обязанности работника входит отправка отчетов/ размещение сообщений/ информации/ работа в личных кабинетах организации и т.д. и т.п на разных сайтах."
В ответе всего лишь нужно было сослаться на норму Трудового кодекса, что работодатель несет расходы на получение работником электронной подписи (именно подписи, а не сертификата и ключа).
В сентябре опубликован ответ на вопрос: "Вправе ли работодатель обязать работника оформить его электронную подпись, если в обязанности работника входит отправка отчетов/ размещение сообщений/ информации/ работа в личных кабинетах организации и т.д. и т.п на разных сайтах."
В ответе всего лишь нужно было сослаться на норму Трудового кодекса, что работодатель несет расходы на получение работником электронной подписи (именно подписи, а не сертификата и ключа).
Об ЭП и УЦ
Визуализация_письмо_Минцифры_ПП_МЧД.pdf
Замечания на проект постановления Правительства по МЧД от Центра компетенций (Фонд Сколково)