Об ЭП и УЦ
16.3K subscribers
1.38K photos
26 videos
228 files
2K links
«Об ЭП и УЦ» - @ep_uc самый популярный телеграм-канал о сфере электронной подписи

РКН https://clck.ru/3EdKYs

🗣Чат канала https://yangx.top/joinchat/-y4FR5AKn7hiMzFi

🔄Обратная связь,инфопартнерство - @Ep_Uc_bot

Реклама в канале: https://telega.in/c/ep_uc
加入频道
👻 Число каких инцидентов существенно выросло за прошедший год по версии НКЦКИ? Спойлер: не фишинг и не шифровальщики

Эксперты отмечают резкое увеличение компьютерных атак, осуществляемых не напрямую, а через промежуточных поставщиков услуг, так называемые supply chain attack.

🖥 Проанализируем кейсы, включая атаки на крупные компании

Достаточно вспомнить нашумевший инцидент с компанией MAERSK, шифровальщик-вайпер NotPetya, атаку на SolarWind с последующим распространением зараженного ПО, взлом подрядчика и подмена скрипта на сайте British Airways, а также взлом сайта с счетчиком, используемым на многих российских госресурсах.

Стоит отметить многочисленные атаки через open source библиотеки с появившимся после начала СВО вредоносным функционалом. И все это только верхушка айсберга под названием «атака на подрядчиков».

💀 SOC Tech: Да придёт спаситель

На конференции SOC Tech 30 ноября будут рассмотрены все этапы жизненного цикла подобных атак, а также технологические решения для их обнаружения и предотвращения. Мы сможем проанализировать данный тип атак с точки зрения технологий, которые позволят их оперативно обнаружить и среагировать должным образом.
#soctech

Телеграм-канал "Об ЭП и УЦ" - информационный партнер конференции SOC Tech
Please open Telegram to view this post
VIEW IN TELEGRAM
МЧД - не первичный учетный документ

Минфин в письме от 06.10.2023 № 07-01-09/94925 сообщил, что Федеральным законом «О бухгалтерском учете» установлен перечень обязательных реквизитов первичного учетного документа. Доверенность, необходимая для использования квалифицированной электронной подписи, созданная в соответствии с требованиями, установленными приказом Минцифры России от 18.08.2021 № 857 «Об утверждении единых требований к формам доверенностей, необходимых для использования квалифицированной электронной подписи», не является первичным учетным документом в смысле указанного Федерального закона.

Чем является МЧД пока не до конца поняли и операторы ЭДО... поэтому рекомендуют загружать их в свои системы.
Предложение к КРИПТО-ПРО

Специалисты КРИПТО-ПРО в прошлом году прочитали и оперативно реализовали предложение нашего канала по доработке интерфейса для скачивания СКЗИ.

Хотелось бы предложить ещё одну доработку, а именно отображение срока действия демонстрационной лицензии в инструменте "Управление лицензиями КриптоПро PKI", по аналогии с тем, как сейчас отображаются 3-месячные лицензии для TSP, OCSP-client.
Оператор ГИИС ДМДК не в курсе существования TLS-сертификатов от НУЦ?
Please open Telegram to view this post
VIEW IN TELEGRAM
Доступность списка отозванных сертификатов УЦ и ошибки подписания

На практике известны случаи, когда подписание завершалось с ошибкой из-за недоступности CRL. Хотелось бы напомнить УЦ и пользователям про сервис мониторинга головного УЦ, который в режиме онлайн позволяет проверить доступность CRL (например, в настоящий момент ошибки с доступность у ГРЧЦ).
В личных кабинетах юрлица и индивидуального предпринимателя появился раздел с доверенностями
https://www.nalog.gov.ru/rn77/news/activities_fts/14010037/

Раздел «Доверенности» появился в сервисах «Личный кабинет налогоплательщика ЮЛ» и «Личный кабинет налогоплательщика ИП».

В этом разделе будут размещены доверенности для взаимодействия с налоговыми органами, где пользователь является доверителем либо доверенным лицом, с разделением на соответствующие вкладки «Доверитель» и «Представитель» с удобной фильтрацией. Визуализируется карточка доверенности с детализацией данных и актуальным статусом по ней.
Сегодня Алексей Викторович решил поднять наши ежедневные грешные вопросы насчет СКЗИ🤠

Что обращает на себя внимание в прикрепленной картинке:
🔹для чего-то указана конкретная сборка 5.0.12922, которая никогда не анонсировалась, всегда была в статусе релиз-кандидата (кстати, есть основания полагать, что сертифицированная сборка 5.0 R3 получит номер 5.0.13000)
🔹для всех сборок КриптоПро CSP 5.0 подойдет одна лицензия (серийный номер начинается на 50)
🔹сам по себе серийный номер - набор цифр, единицей поэкземплярного учета СКЗИ не является (здесь меня не переубедить, смотрим 152-ФАПСИ)

P.S. Пиратство - плохо. Приобретайте лицензии у официальных дилеров.

Но куда интереснее кейсы, когда в интернет-магазинах продают настоящее СКЗИ, сертифицированное ФСБ России.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
📣Решение ошибок при входе в личный кабинет ЮЛ и систему "Честный знак"

Как проявляется ошибка:
🔹при входе в ЛК ЮЛ ошибка - "Неверно установлена категория сертификата при генерации сертификата в удостоверяющем центре. Для исправления категории Вам необходимо обратиться в службу технической поддержки Рутокен", при попытке входа в раздел "Маркировка табака" системы "Честный знак" не отображается для выбора сертификат (при этом, Рутокен подключен, отображается в "Панели управления Рутокен" и работает в других системах, например, в ЕГАИС).

Причина ошибки:
🔹при использовании неизвлекаемых ключей (стандарт PKCS#11) на Рутокен ЭЦП 2.0/3.0 функционал данных систем после обновления стал проверять категорию сертификата

Что за категория сертификата
💬:
🔹Согласно PKCS#11 в сертификате могут быть установлены следующие категории:
- UNSPECIFIED (не установлена),
- TOKEN_USER (сертификат принадлежит владельцу токена),
- AUTHORITY (сертификат принадлежит центру сертификации),
- OTHER_ENTITY (другое назначение).
Категория устанавливается УЦ в момент создания сертификата. При использовании неизвлекаемых ключей PKCS#11 категория должна быть TOKEN_USER, но УЦ категория устанавливалась некорректно как UNSPECIFIED.

Что нужно сделать, чтобы исправить:
🔹самостоятельно поменять категорию в сертификате на TOKEN_USER согласно инструкции.

🚀Об ЭП и УЦ
Please open Telegram to view this post
VIEW IN TELEGRAM
О проекте изменений Технических требований к взаимодействию информационных систем в СМЭВ

Проект соответствующего приказа разработан Минцифры России и вносит изменения в приказ от 23.06.2015 № 210:
🔹Технические требования планируется утвердить в новой редакции.
🔹Входящие электронные сообщения проходят контроль в следующем порядке:
- проверка электронной подписи;
- формально-логическая проверка электронного сообщения.
🔹Проверка ЭП электронного сообщения осуществляется операторами информационных систем, подключенных к СМЭВ.
🔹Проверка ЭП в электронных сообщениях производится на предмет корректности значений ЭП и на предмет действительности соответствующих сертификатов ключей проверки ЭП.
🔹Электронные сообщения, проверка ЭП которых дала положительный результат, подвергаются формально-логической проверке значений реквизитов электронного сообщения.
🔹Ответственным за правомерность использования ЭП является участник взаимодействия, отправивший электронное сообщение - НИКАКИХ МЧД.
🔹Условные три вида ЭП:
- ЭП-СМЭВ: электронная подпись, формируемая в системе взаимодействия при обработке электронных сообщений, передаваемых через систему взаимодействия;
- ЭП-ОВ: электронная подпись, формируемая от имени органа власти, участвующего в межведомственном взаимодействии;
- ЭП-СП: электронная подпись, формируемая должностным лицом органа власти, участвующего в межведомственном взаимодействии, или ЭП, формируемая заявителем (индивидуальным предпринимателем или руководителем юридического лица) на едином портале при подаче заявления на получение государственной услуги в электронном виде.
🔹ЭП-СП должна обязательно содержать ОГРН органа власти 🤬
Структура сертификата должностного лица, выдаваемого УЦ ФК, не содержит ОГРН органа власти.
Please open Telegram to view this post
VIEW IN TELEGRAM
Полномочия МЧД, к которым применимы ограничения

Минцифры спустя 2 месяца после создания справочника с ограничениями добавило в него первые 30 записей
Расширение использования НЭП

Правительством обсуждаются предложения по внесению изменений в Федеральный закон № 63-ФЗ, предусматривающих исключение положений, ограничивающих возможность применения ЮЛ и ИП неквалифицированной электронной подписи при обращении за получением госуслуг.

🚀Об ЭП и УЦ
Please open Telegram to view this post
VIEW IN TELEGRAM
Анализ средств УЦ

Анализ используемых аккредитованными УЦ средств УЦ показывает следующее:
🔹для создания квалифицированных сертификатов используются 7 разных средств УЦ;
🔹подавляющее большинство УЦ (78%) использует КриптоПро УЦ, на втором месте ViPNet с 9 %;
🔹4 УЦ используют средства представленные в единичном экземпляре (больше их никто не использует);
🔹2/3 УЦ используют средства класса КС2, 1/3 - КС3.

🚀Об ЭП и УЦ
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Росреестр и ошибка при загрузке архивов с электронной подписью

Росреестр сообщает об ошибке при загрузке в ФГИС ЕГРН обращений в виде файла-архива, содержащего внутри себя еще один файл архива и файл электронной подписи этого архива. Ошибка преимущественно встречается в обращениях, содержащих технический или межевой план.
Итоговая_декларация_PKI_Форум_2023_итог.pdf
1.2 MB
Утверждена итоговая декларация XXI-й международной конференции PKI-Форум Россия 2023

🚀Об ЭП и УЦ
Please open Telegram to view this post
VIEW IN TELEGRAM
О взаимном признании электронной подписи государствами ЕАЭС

На уходящей неделе Советом Федерации был одобрен законопроект "О ратификации Протокола о внесении изменений в Договор о Евразийском экономическом союзе от 29 мая 2014 года", устанавливающий для участия в закупках взаимное признание электронных подписей, созданных в соответствии с законодательством одного из государств. Правила взаимного признания определяются Советом ЕЭК.