📣Онлайн-конференция "Мобильная электронная подпись"
📆01.12.2023 в 11:00 (мск)

17 марта прошла онлайн-конференция, на которой эксперты обсудили практику применения электронной подписи в России (запись), а 1 декабря состоится конференция, на которой обсудят технологию мобильной электронной подписи - как правильно дальше должна развиваться технология в целом, чтобы обеспечивать безопасность и удобство пользователей.

Ключевые вопросы дискуссии:
1. Технологическая основа мобильной электронной подписи
🔹Мобильная подпись: как это работает?
🔹Какие требования у бизнеса к мобильной подписи?
🔹Как вы думаете, что важно для граждан, которые ей пользуются или будут пользоваться?
🔹Способы идентификации пользователей при выдаче квалифицированных сертификатов?
🔹Какие информационные системы (государственные, коммерческие) уже работают с мобильной подписью?
🔹Какие есть риски при утере или краже телефона?

2. Практика
🔹Какие есть подходы к реализации мобильной подписи? В чём преимущества и риски каждого из них?
🔹Как защищать ключи в условиях отсутствия доверию клиенту и серверу? На каких принципах можно строить решения, обеспечивающие защиту в этом случае?
🔹Какими свойствами безопасности должна обладать мобильная подпись? Что уже реализовано в российских решениях, а что нет?
🔹Юридические аспекты оформления мобильной электронной подписи: какой юридический статус имеют документы, подписанные мобильной электронной подписью? Как определяется срок действия подписи?
🔹Какие информационные системы (государственные, коммерческие) уже работают с мобильной подписью?
🔹Как внедряется мобильная подпись существующие бизнес-процессы компании? Что важно предусмотреть при внедрении?
🔹Что, если все сторы заблокируют? Какие есть альтернативы подписания без использования мобильных приложений? Как быстро адаптировать мобильные приложения в условиях постоянных изменений?
🔹Не вызовет ли появление требований к облачной мобильной подписи еще больше сложностей для участников рынка при реализации этих требований?
🔹Встраивание в приложения СКЗИ разработчиками
🔹Как осуществляется защита конфиденциальной информации? Какие риски безопасности несет массовое внедрение технологии?
🔹Какие пробелы в плане понятий и регулирования есть в 63-ФЗ и 796 приказе ФСБ России?

3. Прогнозы
🔹Что можно считать следующей целью в массовом внедрении мобильной электронной подписи? Что важно учитывать кроме технологических аспектов, соблюдения compliance и требований регулятора?
🔹Как будет развиваться технология в ближайшие 1-3 года? Что будет влиять на этот процесс?

🚀Об ЭП и УЦ

⚡️Сбер начал выдачу клиентам квалифицированных сертификатов электронной подписи от ФНС на токенах Рутокен ЭЦП 3.0.

При получении квалифицированного сертификата электронной подписи от Удостоверяющего центра ФНС клиенты Сбера могут открыть расчетный счет и получить бесплатно устройство Рутокен по акции «Токен за 0».

💸В Сбере отмечают высокий спрос со стороны руководителей предприятий на комплексную услугу в режиме одного окна — выдачу квалифицированных сертификатов на сертифицированном защищённом ключевом носителе и открытие счёта.

Подробнее

Количество аккредитованных УЦ уменьшилось до 47 УЦ

27.10.2023 истек трехлетний срок аккредитации УЦ АО Энергоцентр.
Заявка на получение новой аккредитации было отклонена в соответствии с Протоколом заочного голосования Правкомиссии от 29.10.2023 г. № 5пр (не были выполнены три пункта требований к деловой репутации руководителя и учредителей (участников) УЦ, утвержденным Правкомиссией (протокол от 27.01.2021 № 1 с изменениями от 24.08.2022 № 3). Указанные несоответствия более чем выполнимы (если не добавят справку из ГИБДД об отсутствии штрафов за превышение скорости и сертификат вакцинации от covid - шутка), но это уже новый цикл выхода на Правкомиссию.

Последний раз количество УЦ сокращалось 01.01.2022 , тогда была прекращена аккредитация удостоверяющего центра Генпрокуратуры в соответствии с ч. 5 ст. 3 Федерального закона от 27.12.2019 № 476-ФЗ (что не помещало им выдавать сертификаты и в 2023 году).

За оставшиеся 2 месяца до конца года аккредитация истекает у 8 УЦ.

⚡️P.S. По оперативной информации от Минцифры - аккредитация была подтверждена, протокол от 26.10.2023 № 6пр, где решение положительное (15 «за»)

📣Подборка самых важных новостей от нашего канала по итогам октября 2023 года

1️⃣48 аккредитованных УЦ (получение аккредитации ООО УЦ Тензор и подтверждение АО Энергоцентр)

2️⃣Динамика выдачи квалифицированных сертификатов за 9 месяцев 2023 г.

3️⃣Опрос Минцифры о готовности к МЧД

4️⃣Банк России с 02.10.2023 перешел на использование Единого формата МЧД

5️⃣Зарегистрирован приказ Минцифры России от 14.07.2023 № 634 о возможности отзыва квалифицированных сертификатов через Госуслуги

6️⃣Письма госорганов: Ответ Минцифры о владельце квалифицированного сертификата, ФНС России о недопустимости требовать сканы XML-документов, разъяснения Росреестра участникам рынка недвижимости, банковских организаций о проверке паспортов, ФНС России о применении электронных доверенностей уполномоченными представителями налогоплательщика-организации:

7️⃣CFO Russia подведены итоги конкурса «Лучший ЭДО в России и СНГ 2023»

8️⃣Госдумой в первом чтении принят законопроект, предусматривающий, что до 2025 года страны ЕАЭС при заключении госконтрактов смогут обмениваться документами на бумажных носителях

9️⃣Аналитический материал от Anti-Malware.ru - сравнение средств электронной подписи

🔟Записи вебинаров: "Машиночитаемые доверенности: применение в ГИС ЕИС ЗАКУПКИ и ГИС ТОРГИ", Квантовая и постквантовая криптография, «Осенний документооборот – 2023» МЧД сегодняшние проблемы и неясные перспективы

1️⃣1️⃣Судебная практика: Арбитражный суд обязал налоговую инспекцию выдать конкурсному управляющем квалифицированный сертификат

1️⃣2️⃣Анонсирована онлайн-конференция "Мобильная электронная подпись"

🚀Об ЭП и УЦ

Внедрение МЧД в Росфинмониторинге (часть 2)

Ассоциация российских банков просит Росфинмониторинг рассмотреть возможность разработки официальных рекомендаций по выпуску машиночитаемой доверенности для кредитных организаций, а также перечню полномочий физического лица, подлежащих включению в состав такой машиночитаемой доверенности [прим. @ep_uc - документа о полномочиях].

Интересное письмо АРБ. Называется "О размещении Росфинмониторингом форм машиночитаемых доверенностей, необходимых для целей направления отчетности с использованием личного кабинета кредитных организаций на сайте Росфинмониторинга", но Росфинмониторинг разрабатывать и размещать собственный формат МЧД не планирует, будет использован Единый формат.

Также указано, что согласно информации, полученной от технической поддержки Росфинмониторинга, функционал личного кабинета в части применения МЧД планировалось доработать после внесения соответствующих изменений в нормативные правовые акты, регламентирующие порядок представления информации кредитными организациями в уполномоченный орган. Вопросы о форме МЧД и порядке ее выпуска/отзыва было рекомендовано адресовать в Банк России, поскольку согласно пункту статьи 7 Федерального закона № 115-ФЗ порядок представления информации в уполномоченный орган кредитными организациями устанавливает Банк России. Кроме того, в соответствии с пунктом 2 части 2 статьи 17.2 Федерального закона № 63-ФЗ Банк России устанавливает также порядок представления МЧД, подтверждающей полномочия физического лица действовать от имени кредитной организации.

В свою очередь, Банк России в ответ на запрос Ассоциации российских банков рекомендовал кредитным организациям обратиться в Росфинмониторинг по вопросам оформления МЧД для целей взаимодействия с информационными ресурсами Росфинмониторинга, в том числе возможности использования формы Единого формата МЧД и срока публикации в классификаторе полномочий справочника полномочий для взаимодействия с Росфинмониторингом.

🚀Об ЭП и УЦ

🏛Судебная практика: апелляция подтвердила суд первой инстанции - квалифицированный сертификат признан недействительным с момента создания

Начало в данном посте.
В октябре апелляционная инстанция оставила решение суда первой инстанции без изменения, а апелляционную жалобу - без удовлетворения.

Из предоставленных ответчиком документов суд выявил следующие недочеты идентификации:
🔹предоставленная копия доверенности не содержит даты, а согласно абз. 2 п.1 ст. 186 ГК РФ доверенность, в которой не указана дата ее совершения, ничтожна.
🔹истец должен был оплачивать услугу, как юр. лицо, однако ответчик не задумываясь принял платеж третьего лица без каких либо вопросов по какой причине платеж не от истца.
🔹идентификация получателя сертификата проводилась с привлечением партнера УЦ, при этом получатель сертификата не снял головной убор при фотографировании, при этом очевидно, что при проведении идентификации физического лица важно сличение формы ушных раковин и формы головы. По внешним признакам фотография в паспорте неуполномоченного лица сильно отличается от лица идентификация, которого проводилась партнером УЦ.

P.S. Читатель нашего канала Вячеслав очень любит данную рубрику во всех своих ипостасях.

MITM-атака на JABBER.RU и XMPP.RU

Обнаружен перехват TLS-соединений с шифрованием протокола обмена мгновенными сообщениями XMPP (Jabber) (атака Man-in-the-Middle, «Человек посередине») на серверах сервиса jabber.ru (он же xmpp.ru) на хостинг-провайдерах Hetzner и Linode в Германии (подробнее, обсуждение).

🔹злоумышленнику удалось получить несколько TLS-сертификатов через Let's Encrypt для доменов jabber.ru и xmpp.ru с 18 апреля 2023 года.
🔹MiTM-атака для расшифровки XMPP-трафика клиента jabber.ru/xmpp.ru подтверждена как минимум с 21 июля 2023 г. по 19 октября 2023 г., возможно (не подтверждено) с 18 апреля 2023 г., затронуто 100% подключений XMPP STARTTLS к порту 5222 (не 5223)
🔹атака была обнаружена в связи с истечением срока действия одного из сертификатов MiTM т.к. злоумышленнику не удалось перевыпустить TLS-сертификат.

Рекомендации для обнаружения атаки
🔹мониторинг выдачи TLS-сертификатов - настройка уведомлений о новых сертификатах, выданных для доменных имен.
🔹ограничение методов проверки, выбор учетной записи, с использованием которой можно получать новые сертификаты с помощью расширений записей авторизации центра сертификации.
🔹отслеживание изменений TLS-сертификатов с помощью внешнего сервиса.
🔹мониторинг MAC-адреса шлюза на предмет изменений.
🔹"Channel binding" («Привязка канала») - функция XMPP, которая позволяет обнаружить MiTM, даже если предоставляется действительный сертификат, при этом клиент и сервер обязательно должны поддерживать механизмы аутентификации SCRAM PLUS. На момент атаки на jabber.ru он не был активен.

Почему комментарий в заголовке относительно НУЦ некорректный.
В части НУЦ подозрения касались недобросовестности самого CA, а причиной данной атаки является дефект в системе Domain Validation (для выдачи DV-сертификатов используется самый базовый уровень проверки).
Какой можно сделать вывод? Кажется, что система публичных центров сертификации не вызывает доверия вне зависимости от деталей таких атак.

🚀Об ЭП и УЦ