‼️Ничего необычного, просто у сайта ФСТЭК России https://fstec.ru/ сегодня истёк❌ TLS-сертификат, выданный GlobalSign
Госуслуги ⚡️ и второй фактор✔️ аутентификации
"На "Госуслугах" с 1 марта введут двухфакторную авторизацию" - под таким заголовком в пятницу вышла статья в ТАСС. Заголовок смешной, журналисты в очередной раз не различают аутентификацию от авторизации. Экспертное сообщество приложило много усилий, чтобы появился ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения".
Далее цитата министра Минцифры:
"Мы совершенствуем систему защиты - вводим программу обязательности второго фактора. [С новой системой] мы стартуем 1 марта и поэтапно будем вводить второй фактор как обязательный, - сказал министр. - С 1 июня это будет обязательно для всех пользователей".
Шадаев пояснил, что в рамках новой системы защиты это может быть, например, дополнительное SMS-сообщение на номер телефона. Двухфакторная аутентификация позволит улучшить положение, в частности, тех пользователей "Госуслуг", которые используют "простые" пароли.
Обязательный второй фактор с 1 июня, хорошо, но пока не понятно с чем собрались стартовать 1 марта. Например, вход с подтверждением по смс работает уже более двух лет, обязательности его использования сейчас нет. Вместо одного смс-сообщения будет сразу два?
С 1 февраля 2023 года на Госуслугах появилась возможность входа с использованием биометрии (только с компьютера, с телефона не работает), сейчас эта настройка также опциональна.
Наш канал конечно рекомендует вход по сертификату (да, в мобильной версии это не доступно, поэтому с компьютера без логинов-паролей) - т.к. это уже двухфакторная аутентификация: первый фактор - ключ электронной подписи, второй - пин-код от носителя.
"На "Госуслугах" с 1 марта введут двухфакторную авторизацию" - под таким заголовком в пятницу вышла статья в ТАСС. Заголовок смешной, журналисты в очередной раз не различают аутентификацию от авторизации. Экспертное сообщество приложило много усилий, чтобы появился ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения".
Далее цитата министра Минцифры:
"Мы совершенствуем систему защиты - вводим программу обязательности второго фактора. [С новой системой] мы стартуем 1 марта и поэтапно будем вводить второй фактор как обязательный, - сказал министр. - С 1 июня это будет обязательно для всех пользователей".
Шадаев пояснил, что в рамках новой системы защиты это может быть, например, дополнительное SMS-сообщение на номер телефона. Двухфакторная аутентификация позволит улучшить положение, в частности, тех пользователей "Госуслуг", которые используют "простые" пароли.
Обязательный второй фактор с 1 июня, хорошо, но пока не понятно с чем собрались стартовать 1 марта. Например, вход с подтверждением по смс работает уже более двух лет, обязательности его использования сейчас нет. Вместо одного смс-сообщения будет сразу два?
С 1 февраля 2023 года на Госуслугах появилась возможность входа с использованием биометрии (только с компьютера, с телефона не работает), сейчас эта настройка также опциональна.
Наш канал конечно рекомендует вход по сертификату (да, в мобильной версии это не доступно, поэтому с компьютера без логинов-паролей) - т.к. это уже двухфакторная аутентификация: первый фактор - ключ электронной подписи, второй - пин-код от носителя.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Неквалифицированная электронная подпись и заявление на увольнение Истец обратился в суд с иском, в котором указал, что был уволен по его личному заявлению, однако с заявлением к работодателю об увольнении по собственному желанию он не обращался. Истец просил…
Комментарий разработчика.pdf
575.6 KB
Неквалифицированная электронная подпись и заявление на увольнение (часть 2)
Нашим каналом получен комментарий от разработчика платформы HRlink по делу об увольнении с использованием неквалифицированной ЭП, публикуем с разрешения автора.
Хочется отметить, что разработчик программного продукта не может отвечать за возможные нарушения его эксплуатации конечным пользователем (например, производитель средств УЦ не отвечает за нарушения УЦ, связанные с выдачей сертификатов, или ещё пример - случай на электронном голосовании).
К данному делу ещё вернёмся, но уже после его повторного рассмотрения судом первом инстанции.
Нашим каналом получен комментарий от разработчика платформы HRlink по делу об увольнении с использованием неквалифицированной ЭП, публикуем с разрешения автора.
Хочется отметить, что разработчик программного продукта не может отвечать за возможные нарушения его эксплуатации конечным пользователем (например, производитель средств УЦ не отвечает за нарушения УЦ, связанные с выдачей сертификатов, или ещё пример - случай на электронном голосовании).
К данному делу ещё вернёмся, но уже после его повторного рассмотрения судом первом инстанции.
Минфин сообщил о возможности применения квалифицированных сертификатов от УЦ ФК в подсистемах Электронного бюджета, оператором которых является Минфин
Актуализирован порядок регистрации ЮЛ/ИП
Приказом ФНС России от 28.12.2022 N ЕД-7-14/1267@ актуализирован порядок взаимодействия с территориальными органами ФНС России при направлении документов, необходимых для государственной регистрации юридических лиц и индивидуальных предпринимателей, в форме электронных документов (зарегистрирован Минюстом России 10.02.2023 № 72314)
Участниками взаимодействия являются:
🔹заявители - физические лица, которые имеют усиленную квалифицированную электронную подпись [так сказано в Порядке, хорошо, что не ЭЦП],
🔹нотариусы,
🔹многофункциональные центры,
🔹территориальные органы ФНС России,
🔹Минюст России,
🔹Центробанк.
Приказом утверждены требования к формированию электронных документов, необходимых для регистрации, и порядок их направления в регистрирующий орган.
Электронные документы, которые направляют участники взаимодействия, подписываются квалифицированной ЭП (отсоединенной).
Приказом ФНС России от 28.12.2022 N ЕД-7-14/1267@ актуализирован порядок взаимодействия с территориальными органами ФНС России при направлении документов, необходимых для государственной регистрации юридических лиц и индивидуальных предпринимателей, в форме электронных документов (зарегистрирован Минюстом России 10.02.2023 № 72314)
Участниками взаимодействия являются:
🔹заявители - физические лица, которые имеют усиленную квалифицированную электронную подпись [так сказано в Порядке, хорошо, что не ЭЦП],
🔹нотариусы,
🔹многофункциональные центры,
🔹территориальные органы ФНС России,
🔹Минюст России,
🔹Центробанк.
Приказом утверждены требования к формированию электронных документов, необходимых для регистрации, и порядок их направления в регистрирующий орган.
Электронные документы, которые направляют участники взаимодействия, подписываются квалифицированной ЭП (отсоединенной).
Работодатель в одностороннем порядке не может перевести дистанционного работника на электронный документооборот (письмо Минтруда от 03.02.2023 № 14-6/ООГ-771)
Переход на взаимодействие с работодателем путем электронного документооборота возможен с письменного согласия дистанционного работника. Согласие не требуется от лиц, которые принимаются на работу после 31.12.2021 и у которых на эту дату отсутствует трудовой стаж. В отношении таких работников автоматически применяется электронный документооборот, если он ведется у работодателя.
Отсутствие согласия работника на взаимодействие с работодателем посредством электронного документооборота либо отсутствие у работника электронной подписи [снова ЭП, а не сертификат или ключ] не может являться основанием для увольнения.
При принятии решения о распространении на взаимодействие с дистанционными работниками правил осуществления электронного документооборота работодателю следует соблюдать порядок введения электронного документооборота, установленный статьей 22.2 ТК РФ.
Переход на взаимодействие с работодателем путем электронного документооборота возможен с письменного согласия дистанционного работника. Согласие не требуется от лиц, которые принимаются на работу после 31.12.2021 и у которых на эту дату отсутствует трудовой стаж. В отношении таких работников автоматически применяется электронный документооборот, если он ведется у работодателя.
Отсутствие согласия работника на взаимодействие с работодателем посредством электронного документооборота либо отсутствие у работника электронной подписи [снова ЭП, а не сертификат или ключ] не может являться основанием для увольнения.
При принятии решения о распространении на взаимодействие с дистанционными работниками правил осуществления электронного документооборота работодателю следует соблюдать порядок введения электронного документооборота, установленный статьей 22.2 ТК РФ.
Как проверить срок действия ключа ЭП - инструкция от УЦ ЦБ
Удостоверяющий центр Банка России выдает квалифицированные сертификаты, срок действия
которых превышает 144 месяца (12 лет). Большой срок действия квалифицированных сертификатов необходим для обеспечения возможности проверки подлинности
электронной подписи в электронных документах при их длительном хранении.
Кто сказал про 5-летние сертификаты в 63-ФЗ? Уже сейчас ничто не мешает УЦ выдавать сертификаты на 5 и более лет.
Удостоверяющий центр Банка России выдает квалифицированные сертификаты, срок действия
которых превышает 144 месяца (12 лет). Большой срок действия квалифицированных сертификатов необходим для обеспечения возможности проверки подлинности
электронной подписи в электронных документах при их длительном хранении.
Кто сказал про 5-летние сертификаты в 63-ФЗ? Уже сейчас ничто не мешает УЦ выдавать сертификаты на 5 и более лет.
24.01.2023 Госдумой в первом чтении был принят проект ФЗ № 216859-8 о механизме передоверия участниками финансового рынка при использовании квалифицированной ЭП. До 22.02.2023 происходит сбор поправок ко второму чтению.
🔹уточнение, что МЧД, выданная в порядке передоверия, может быть подписана ЭП нотариуса;
🔹 добавление, что иностранные ЭП при отсутствии международного договора могут применяться на основании соглашения между участниками электронного взаимодействия;
🔹получение онлайн НЭП на основании НЭП;
🔹применение дополнительных способов идентификации заявителей доверенными лицами;
🔹исключение госУЦ из нормы ч. 1 ст. 14 про заключение соглашений между УЦ и заявителем;
🔹выдача "обезличенных" сертификатов НЭП;
🔹устранение технической ошибки в ч. 3 ст. 18, исключающей ознакомление с сертификатом на бумажном носителе.
Please open Telegram to view this post
VIEW IN TELEGRAM
МК в Карелии - "Малый бизнес России рискует разориться из-за новых электронных подписей"
Небольшие фирмы теперь вынуждены выкладывать по 70 тысяч рублей за возможность пользоваться электронной подписью, и совсем не факт, что это не придется делать каждые год-два.
ЭЦП - это не скриншот и не фотография, а набор символов (криптографии), хранящийся в виде кода. Но в нужный момент этот код с помощью специальной программы – шифрователя - превращается в красивый штамп для отображения на бумажных бланках
Проблема в том, что теперь используется один тип программного шифрования: программу-шифрователь для ЭЦП поставляет налоговой только «КриптоПро» - по сути, монополист.
Это даже не ужас😱, это ересь🥵, которую не хочется комментировать.
Небольшие фирмы теперь вынуждены выкладывать по 70 тысяч рублей за возможность пользоваться электронной подписью, и совсем не факт, что это не придется делать каждые год-два.
ЭЦП - это не скриншот и не фотография, а набор символов (криптографии), хранящийся в виде кода. Но в нужный момент этот код с помощью специальной программы – шифрователя - превращается в красивый штамп для отображения на бумажных бланках
Проблема в том, что теперь используется один тип программного шифрования: программу-шифрователь для ЭЦП поставляет налоговой только «КриптоПро» - по сути, монополист.
Это даже не ужас😱, это ересь🥵, которую не хочется комментировать.
karel.mk.ru
Малый бизнес России рискует разориться из-за новых электронных подписей
Небольшие фирмы теперь вынуждены выкладывать по 70 тысяч рублей за возможность пользоваться электронной подписью, и совсем не факт, что это не придется делать каждые год-два.
Forwarded from УЦ ФК
Казначейством России рассмотрен проект поправок к проекту федерального закона № 216859-8 «О внесении изменений в Федеральный закон «Об электронной подписи».
В части предложений Казначейства России редакция проекта дополнена:
1. Изменением части 4 статьи 13 в части возможности наделения полномочиями доверенного лица на основании федерального закона.
2. Изменением статьи 17.4 в части расширения вида юридических лиц, которые могут обращаться в Казначейство России за получением сертификата юридического лица без указания ФИО, на государственные и муниципальные учреждения, государственные корпорации и компании, публично – правовые компании, автономные некоммерческие организации, учредителем которых является Российская Федерация, субъект Российской Федерации, федеральная территория, муниципальное образование, операторов государственных и муниципальных информационных систем.
В части предложений Казначейства России редакция проекта дополнена:
1. Изменением части 4 статьи 13 в части возможности наделения полномочиями доверенного лица на основании федерального закона.
2. Изменением статьи 17.4 в части расширения вида юридических лиц, которые могут обращаться в Казначейство России за получением сертификата юридического лица без указания ФИО, на государственные и муниципальные учреждения, государственные корпорации и компании, публично – правовые компании, автономные некоммерческие организации, учредителем которых является Российская Федерация, субъект Российской Федерации, федеральная территория, муниципальное образование, операторов государственных и муниципальных информационных систем.
14874_85_elpodp55_5_tp_nsfr_na_zp_216859_8_peredover_s_mchd_dlya.pdf
504.6 KB
⚡️⚡️⚡️Национальный совет финансового рынка письмом от 13.02.2023 направил в Комитет Госдумы по фин.рынку, Совет Федерации, Банк России и Минцифры России таблицу поправок к законопроекту № 216859-8 «О внесении изменений в Федеральный закон «Об электронной подписи»
🚀 Об ЭП и УЦ
Please open Telegram to view this post
VIEW IN TELEGRAM
Наш канал неоднократно сообщал о росте выдачи сертификатов руководителям ЮЛ и ИП в марте 2023 г. по причине большого количества выданных сертификатов коммерческими УЦ для данной категории заявителей в декабре 2021 года. Приводились графики📊 и давался прогноз💬. С начала февраля даже в региональных СМИ стали появляться соответствующие новости (1, 2), но конкретных цифр не приводили.
Приводим первый график по окончанию сроков действия сертификатов ИП (его проще было построить, по ЮЛ анализ намного сложнее) для общего понимания картины. Красная линия - общее количество сертификатов АУЦ (в т.ч. УЦ ФНС), синяя - только УЦ ФНС (каждая точка на графике - количество сертификатов в день)
В настоящее время уровень следующий - всего в день истекает 8 тыс. сертификатов из них 2 тыс. выданы УЦ ФНС. Через неделю всего истекать будет 10 тыс., далее - 15 тыс. и т.к. до пика 29 марта - 43 тыс. сертификатов в т.ч. 3 тыс. - УЦ ФНС.
В начале апреля практически нулевые значения - это период выдачи сертификатов с 1 по 9 января 2022 года, т.е. новогодние праздники, часть сертификатов с мартовского пика придутся на этот период.
Далее графики накладываются друг на друга, т.к. начинается период окончания сертификатов, которые были выдана с начала 2022 года т.е. это сертификаты только от УЦ ФНС.
Please open Telegram to view this post
VIEW IN TELEGRAM
Как менялся срок публикации Единого формата машиночитаемой доверенности?
В октябре 2022 это было - 1 декабря 2022
В ноябре 2022 - 31 декабря 2022
В январе 2023 - 15 февраля
В феврале 2023 - 15 марта (сбор предложений)
В марте 2023 - ?
15.02.2023 письмом Департамента развития сервисов и клиентского опыта Минцифры России в госорганы и заинтересованные организации направлен запрос для сбора предложений к Единому формату в срок до 15.03.2023 (файл в первом комментарии).
В октябре 2022 это было - 1 декабря 2022
В ноябре 2022 - 31 декабря 2022
В январе 2023 - 15 февраля
В феврале 2023 - 15 марта (сбор предложений)
В марте 2023 - ?
15.02.2023 письмом Департамента развития сервисов и клиентского опыта Минцифры России в госорганы и заинтересованные организации направлен запрос для сбора предложений к Единому формату в срок до 15.03.2023 (файл в первом комментарии).
Forwarded from УЦ ФК
Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации в соответствии с частью 5.1 статьи 16 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» для членов Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих, подготовлены материалы для рассмотрения вопроса об аккредитации следующих удостоверяющих центров:
1. Фонд "Центр инноваций и информационных технологий";
2. ООО "Цифровые системы контроля";
3. АО ВТБ Специализированный депозитарий;
4. АО "АТЛАС-КАРТ".
На текущий момент 51 удостоверяющий центр со статусом действующей аккредитации.
1. Фонд "Центр инноваций и информационных технологий";
2. ООО "Цифровые системы контроля";
3. АО ВТБ Специализированный депозитарий;
4. АО "АТЛАС-КАРТ".
На текущий момент 51 удостоверяющий центр со статусом действующей аккредитации.
Ситуации, когда у получателей сертификатов ФИО в разных документах написаны по-разному - то с "е", то с "ё", встречаются часто.
Такие сведения не пройдут проверку всеми сервисами СМЭВ (паспорт - МВД, ИНН - ФНС, СНИЛС - ПФР), а значит удостоверяющий центр откажет в выдаче сертификата. Единственная рекомендация здесь одна - менять документы и приводить написание к единому виду.
Главное - не слушать юристов, которые дают такие рекомендации "через суд установить юридический факт принадлежности документов". С получение квалифицированных сертификатов в УЦ данная процедура никак не связана. Согласно ст. 265 ГПК РФ суд устанавливает факты, имеющие юридическое значение, только при невозможности получения заявителем в ином порядке надлежащих документов, удостоверяющих эти факты, или при невозможности восстановления утраченных документов.
Такие сведения не пройдут проверку всеми сервисами СМЭВ (паспорт - МВД, ИНН - ФНС, СНИЛС - ПФР), а значит удостоверяющий центр откажет в выдаче сертификата. Единственная рекомендация здесь одна - менять документы и приводить написание к единому виду.
Главное - не слушать юристов, которые дают такие рекомендации "через суд установить юридический факт принадлежности документов". С получение квалифицированных сертификатов в УЦ данная процедура никак не связана. Согласно ст. 265 ГПК РФ суд устанавливает факты, имеющие юридическое значение, только при невозможности получения заявителем в ином порядке надлежащих документов, удостоверяющих эти факты, или при невозможности восстановления утраченных документов.
Наш канал обращает внимание, что на сайте ФНС России в разделе "Применение электронной подписи" описание ряда этапов изменений законодательства не соответствуют действительности. Будьте внимательны.
❌ III ЭТАП (вступил в силу с 1 апреля 2021 года)
Вступил в силу новый порядок идентификации владельца электронной подписи: исключена возможность получения электронной подписи представителем по доверенности.
✅ Выдача сертификатов уполномоченным представителям на основании доверенности не допускается с 01.07.2020 т.к. статья 1 Федерального закона от 27.12.2019 № 476-ФЗ, которая внесла изменения в п. 1 ч. 1 статьи 18 Федерального закона от 06.04.2011 № 63-ФЗ "Об электронной подписи", вступила в силу 01.07.2020. Таким образом, получить квалифицированный сертификат с 01.07.2020 может только сам владелец сертификата.
❌ IV ЭТАП (вступил в силу с 1 июля 2021 года)
Квалифицированные электронные сертификаты, выданные удостоверяющими центрами, не прошедшими аккредитацию в соответствии с новыми требованиями, действуют до истечения срока, на который они выданы, но не более срока действия аккредитации выдавших их удостоверяющих центров либо не более чем до 1 сентября 2023 года (в редакции Федерального закона от 19.12.2022 № 536-ФЗ).
✅Согласно частям 3,4 статьи 3 Федерального закона от 27.12.2019 № 476-ФЗ все квалифицированные сертификаты, выданные удостоверяющими центрами, не получившими аккредитацию по новым требованиям, действовали до истечения срока, на который они выданы, но не более срока действия аккредитации выдавших их удостоверяющих центров либо не более чем до 1 января 2022 года. Аккредитация удостоверяющих центров, полученная ими по старым требованиям, действовала до 1 января 2022 года.
Таким образом, Федеральный закон от 19.12.2022 № 536 не продлял до 01.09.2023 "сроки действия" квалифицированных сертификатов, которые были выданы удостоверяющими центрами, не получившими аккредитацию по новым требованиям.
Вступил в силу новый порядок идентификации владельца электронной подписи: исключена возможность получения электронной подписи представителем по доверенности.
Квалифицированные электронные сертификаты, выданные удостоверяющими центрами, не прошедшими аккредитацию в соответствии с новыми требованиями, действуют до истечения срока, на который они выданы, но не более срока действия аккредитации выдавших их удостоверяющих центров либо не более чем до 1 сентября 2023 года (в редакции Федерального закона от 19.12.2022 № 536-ФЗ).
✅Согласно частям 3,4 статьи 3 Федерального закона от 27.12.2019 № 476-ФЗ все квалифицированные сертификаты, выданные удостоверяющими центрами, не получившими аккредитацию по новым требованиям, действовали до истечения срока, на который они выданы, но не более срока действия аккредитации выдавших их удостоверяющих центров либо не более чем до 1 января 2022 года. Аккредитация удостоверяющих центров, полученная ими по старым требованиям, действовала до 1 января 2022 года.
Таким образом, Федеральный закон от 19.12.2022 № 536 не продлял до 01.09.2023 "сроки действия" квалифицированных сертификатов, которые были выданы удостоверяющими центрами, не получившими аккредитацию по новым требованиям.
Please open Telegram to view this post
VIEW IN TELEGRAM
Федеральным законом от 28.12.2022 № 569-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" в пункте 2 части 1.1 статьи 18 Федерального закона от 6 апреля 2011 года № 63-ФЗ "Об электронной подписи" слова "Пенсионного фонда Российской Федерации" заменены словами "Фонда пенсионного и социального страхования Российской Федерации".
Логичные косметические правки, но лучше бы убрали ФОМС, т.к. ФОМС никогда для удостоверяющих центров не предоставлял сервисы проверок сведений о заявителях.
Логичные косметические правки, но лучше бы убрали ФОМС, т.к. ФОМС никогда для удостоверяющих центров не предоставлял сервисы проверок сведений о заявителях.
С таким длинным заголовком "Массовая незаконная электронная подпись или мина замедленного действия: Формат МинЦифры №472" и запутанным содержанием появилась статья на Хабре.
Автор задаётся непростым вопросом, как теория в лице приказа Минцифры России от 14.09.2020 № 472 "Об утверждении Формата электронной подписи, обязательного для реализации всеми средствами электронной подписи" соотносится с практикой.
Насчет согласования приказа между регуляторами: МинЦифры должна его (приказ и формат ЭП) была согласовать с ФСБ (федеральный орган исполнительной власти в области обеспечения безопасности) .
Вопрос 3. Существует ли опубликованное или секретное согласование со стороны ФСБ формата, разработанного МинЦифрой (№472)?
Приказы ведомств согласуются с использованием соответствующего листа согласования. Нет никаких сомнений, что 472 приказ Минцифры был согласован со стороны ФСБ России. По-другому и быть не могло с документом, в котором идут ссылки на ПКЗ-2005 и 795 приказ. Для информации, например, в приказе ФСБ России от 20.04.2021 № 154 "Об утверждении Правил подтверждения владения ключом электронной подписи" 5 раз даётся ссылка на 472 приказ Минцифры России.
Смотрим 1 пункт Формата: В составе ЭП должна размещаться информация об исходном электронном сообщении, алгоритмах хэширования и ЭП, параметрах криптографических алгоритмов, времени создания ЭП, сертификат ключа проверки ЭП, иерархически обусловленная последовательность сертификатов, каждый последующий сертификат которой подписан ЭП, основанной на предшествующем сертификате, и иные сведения.
Что напоминает? Правильно, CMS, описывающий шесть типов данных:
- просто данные (data),
- данные с электронной подписью (signed data),
- упакованные данные (enveloped data),
- хешированные данные (digested data),
- зашифрованные данные (encrypted data),
- данные с проверкой подлинности (authenticated data).
Пункт 5:
SignedData ::= SEQUENCE {
version CMSVersion,
digestAlgorithms DigestAlgorithmldentifiers,
encapContentlnfo EncapsulatedContentlnfo,
certificates [0] IMPLICIT CertificateSet OPTIONAL,
crls [1] IMPLICIT RevocationlnfoChoices OPTIONAL,
signerlnfos Signerlnfos }
Один в один RFC 5652 Cryptographic Message Syntax (CMS),
Даже номер пункта, описывающий тип содержимого подписанных данных, практически одинаковый - 5.1
Автор задаётся непростым вопросом, как теория в лице приказа Минцифры России от 14.09.2020 № 472 "Об утверждении Формата электронной подписи, обязательного для реализации всеми средствами электронной подписи" соотносится с практикой.
Насчет согласования приказа между регуляторами: МинЦифры должна его (приказ и формат ЭП) была согласовать с ФСБ (федеральный орган исполнительной власти в области обеспечения безопасности) .
Вопрос 3. Существует ли опубликованное или секретное согласование со стороны ФСБ формата, разработанного МинЦифрой (№472)?
Приказы ведомств согласуются с использованием соответствующего листа согласования. Нет никаких сомнений, что 472 приказ Минцифры был согласован со стороны ФСБ России. По-другому и быть не могло с документом, в котором идут ссылки на ПКЗ-2005 и 795 приказ. Для информации, например, в приказе ФСБ России от 20.04.2021 № 154 "Об утверждении Правил подтверждения владения ключом электронной подписи" 5 раз даётся ссылка на 472 приказ Минцифры России.
Смотрим 1 пункт Формата: В составе ЭП должна размещаться информация об исходном электронном сообщении, алгоритмах хэширования и ЭП, параметрах криптографических алгоритмов, времени создания ЭП, сертификат ключа проверки ЭП, иерархически обусловленная последовательность сертификатов, каждый последующий сертификат которой подписан ЭП, основанной на предшествующем сертификате, и иные сведения.
Что напоминает? Правильно, CMS, описывающий шесть типов данных:
- просто данные (data),
- данные с электронной подписью (signed data),
- упакованные данные (enveloped data),
- хешированные данные (digested data),
- зашифрованные данные (encrypted data),
- данные с проверкой подлинности (authenticated data).
Пункт 5:
SignedData ::= SEQUENCE {
version CMSVersion,
digestAlgorithms DigestAlgorithmldentifiers,
encapContentlnfo EncapsulatedContentlnfo,
certificates [0] IMPLICIT CertificateSet OPTIONAL,
crls [1] IMPLICIT RevocationlnfoChoices OPTIONAL,
signerlnfos Signerlnfos }
Один в один RFC 5652 Cryptographic Message Syntax (CMS),
Даже номер пункта, описывающий тип содержимого подписанных данных, практически одинаковый - 5.1
SignedData ::= SEQUENCE {
version CMSVersion,
digestAlgorithms DigestAlgorithmIdentifiers,
encapContentInfo EncapsulatedContentInfo,
certificates [0] IMPLICIT CertificateSet OPTIONAL,
crls [1] IMPLICIT RevocationInfoChoices OPTIONAL,
signerInfos SignerInfos }
Регулятор не мог издать приказ в котором бы написал - утвердить в качестве Формата электронной подписи, обязательного для реализации всеми средствами электронной подписи, RFC 5652 Cryptographic Message Syntax (CMS). Это как многие наши ГОСТ по факту являются переводами международных стандартов ИСО и МЭК, так и 472 приказ - перевод RFC 5652.Хабр
Массовая незаконная электронная подпись или мина замедленного действия: Формат МинЦифры №472
1 «А был ли мальчик?» Многие и помногу подписывают документы электронной подписью (ЭП), рассчитывая, что их подпись законная. «Законная» не в смысле «сошлась математика» или «нет сомнений в...
ФНПР дала отрицательное заключение
ФНПР считает, что использование ЭП работником при проведении инструктажей по охране труда приведет к более формальному отношению к инструктажам
«Отсутствие электронной подписи у работника на момент проведения инструктажа не дает возможности допустить человека до работы. В тоже время электронная подпись хранится на внешнем носителе и может быть утеряна, украдена, передана третьему лицу под давлением или изъята под различными предлогами. Высок риск фальсификации, подлога и доступа к персональным данным работника третьих лиц. В судебной практике зафиксированы случаи подлога электронных подписей», - прокомментировал главный технический инспектор труда ФНПР, руководитель Департамента охраны труда и экологии Аппарата ФНПР Алексея Безюкова.
Речь идет о внесенном 29.12.2022 в Госдуму законопроекте "О внесении изменений в статьи 22.1 и 223 Трудового кодекса Российской Федерации", которым предлагается внести в Трудовой кодекс изменения, предусматривающие осуществление электронного документооборота в отношении документов, подтверждающих прохождение работником инструктажей по охране труда, за исключением целевого инструктажа по охране труда.
В пояснительной записке законопроекта говорится следующее:
Вместе с тем частью 3 статьи 221 ТК РФ установлен запрет на использование электронного документооборота в отношении документов, подтверждающих прохождение работником инструктажей по охране труда, в том числе лично подписываемых работником. Данное обязательное условие обеспечивает формальное подтверждение факта проведения инструктажа, но не фактическое его качество и полученные знания. При этом в настоящее время отсутствует законодательное ограничение на осуществление дистанционных инструктажей по охране труда с использованием информационных технологий и цифровых сервисов. Таким образом, даже после проведенного дистанционного инструктажа, работнику необходимо лично подписать бумажные документы, подтверждающие этот факт, независимо от того, применяется ли в организации электронный документооборот или нет.
В условиях повсеместной цифровизации, а также внедрения различных форм дистанционной (удаленной) работы данное положение существенно сдерживает развитие отечественных организаций, в том числе осуществляющих деятельность в IT-сфере, поскольку препятствует отказу от традиционного бумажного документооборота в части ведения документации по охране труда, что влечет соответствующие материальные затраты.
С учетом того, что законопроект ещё не прошел ни одного чтения, обозначенный срок его вступления в силу - 1 марта 2023 г., выглядит маловероятным.
Please open Telegram to view this post
VIEW IN TELEGRAM
В конце 2022 года проблема перевыпуска сертификатов ЭП затронула большую часть российских организаций и физических лиц. Многие предприятия, особенно малого и среднего бизнеса, оказались технически и морально не готовы к применению УКЭП: нет понимания принципов работы ЭП, сценариев ее применения, рисков безопасного хранения и использования, а самое главное — связанных с ней рисков.
В прямом эфире AM Live эксперты будут комплексно разбираться с применением электронной подписи для бизнеса. Разберут типовые сценарии, практику применения ЭП, обсудят основные технические сложности настройки корпоративных устройств, выбора СЗКИ и ключевых носителей.
Ключевые вопросы дискуссии:
🔹Основные сценарии применения ЭП в России?
🔹Главные законодательные изменения в выпуске и использовании ЭП в 2022-2023 годах?
🔹Типы электронной подписи и их назначение
🔹Какие алгоритмы шифрования используются для работы ЭП в 2023 году в России?
🔹Можно ли в России использовать ЭП на иностранных алгоритмах шифрования, например, RSA?
🔹Какова юридическая сила УКЭП?
🔹Какие риски несет небрежное обращение с ключами ЭП?
🔹Возможна ли мобильная электронная подпись?
🔹Можно ли хранить ключи / подписывать документы в облаке?
🔹Есть ли СКЗИ для мобильной электронной подписи?
🔹Зачем нужно приложение Госключ от Минцифры?
🔹Как связана ЭП и Машиночитаемая доверенность (МЧД)?
🔹Возможно ли в России удаленно заверять документы у нотариуса при помощи ЭП?
🔹Что нужно для начала работы с электронной подписью и сколько это стоит?
🔹Почему настроить компьютер для работы с ЭП на практике совсем непросто?
🔹Когда появится единый инсталлятор или гайд по настройке ПО для работы с ЭП?
🔹Когда будет доработан плагин Госуслуг?
🔹Почему основной платформой для работы с ЭП по прежнему является ОС Windows
🔹Возможно ли полноценное использование ЭП на Linux и macOS?
🔹Как безопасно хранить ключи электронной подписи?
🔹Чем плохо хранить ключи на флешке, а не на сертифицированном ключевом носителе?
🔹Чем отличаются популярные модели ключевых носителей?
🔹Неизвлекаемые ключи ЭП с носителя — это миф?
🔹Почему работа с ЭП на компьютере часто подразумевает ослабление безопасности системы в целом?
🔹Есть ли прецеденты компрометации ключей и подделки ЭП?
🔹Какие требования законодательства будут драйвить применение ЭП?
🔹Как будут меняться сценарии применения ЭП в ближайшие 2-3 года?
🔹Как будет изменяться ПО для работы с ЭП?
🔹Окажется ли рынок полностью под управлением государства?
На конференцию приглашены эксперты из компаний "Актив", КРИПТО-ПРО, РТЛабс.
Приятно, что все 3 эксперта являются уже давними подписчиками нашего канала.
Please open Telegram to view this post
VIEW IN TELEGRAM
AM Live
Практика применения электронной подписи в России | Запись прямого эфира - AM Live
За последние несколько лет ландшафт использования ЭП в России существенно изменился. Токены с NFC, мобильные подписи, “облачные” подписи, переход на УЦ ФНС для юрлиц, аккредитация ДУЦ, МЧД, и многое другое — вопросы, которыми только недавно начали задаваться…