"Ковидным сертификатам" четыре года

Четыре года назад был принят противоречивый закон от 08.06.2020 № 166-ФЗ о "ковидных сертификатах".
Цель была самая благая - обеспечить бесплатными трехмесячными сертификатами граждан, которые в период пандемии ковида лишились возможности посетить удостоверяющий центр

Нормой закона предполагалось продление сроков действия ключей ЭП, соответствующих ключам проверки ЭП, указанным во вновь созданных квалифицированных сертификатах, имеющих аналогичное содержание с прекратившими действие квалифицированными сертификатами, а также создание квалифицированных сертификатов, имеющих аналогичное содержание с прекратившими действие квалифицированными сертификатами.

Закон стал примером того, что невозможно было выполнить на практике т.к. с помощью средств УЦ невозможно создать новый квалифицированный сертификат с использованием ключа проверки ЭП, для которого ранее выдавался квалифицированный сертификат, такой открытый ключ не пройдет обязательную проверку на уникальность.

Смотрю на дело "О неподписанном договоре" и возникает вопрос, почему столько внимания к сертификату (там было "отложенное аннулирование"), ключ электронной подписи с использованием которого и была создана электронная подпись где? На том же токене? В системе только был установлен старый сертификат, CRL не был обновлен, поэтому подписание прошло штатным образом.

В общем, проверять электронную подпись предстоит Верховному Суду по кассационной жалобе, очень интересно, какое решение вынесет суд.

Казначейство России (VK)

🔹 Казначейством России получен новый промежуточный сертификат центра сертификации удостоверяющего центра Казначейства России, доступный по ссылке.*

🔹 С 10 июня 2024 года Казначейством России запланирована выдача первого пользовательского квалифицированного сертификата ключа проверки электронной подписи на новом промежуточном сертификате центра сертификации удостоверяющего центра Казначейства России.

🔹 Операторам государственных информационных систем и ведомственных информационных систем необходимо выполнить соответствующие настройки для обеспечения возможности использования сертификатов, созданных на новом промежуточном сертификате центра сертификации удостоверяющего центра Казначейства России.

* https://roskazna.gov.ru/upload/iblock/6fc/Sertifikat_udostoveryayushchego_tsentra_Federalnogo_kaznacheystva_2024.cer

"За счет чего в России растет рынок электронного документооборота" - статья в Коммерсанте

Указ Президента Российской Федерации от 13.06.2024 № 500
"О внесении изменений в Указ Президента Российской Федерации от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации"

О внесении изменений в постановления Правительства в части хранения и предоставления машиночитаемых доверенностей (часть 2)

Прошло полгода и Минцифры России разработана новая редакция проекта постановления Правительства, которым предусмотрено расширение перечня государственных информационных систем, с использованием которых осуществляется хранение, использование и отмена МЧД новой ГИС - города Москва. Полгода назад, что должна быть Москва писал наш канал.

Постановление Правительства, как работа над ошибками

В конце мая было подписано постановление Правительства Российской Федерации от 31.05.2024 № 743 "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам использования электронной цифровой подписи при обороте товаров, подлежащих обязательной маркировке средствами идентификации".

Не обращая внимание на допущенную ошибку в названии, рассмотрим концептуальные изменения:
🔹электронные документы, автоматически формируемые и представляемые участниками в информационную систему мониторинга могут быть подписаны автоподписью, созданной с использованием "обезличенного" сертификата;
🔹переписаны пункты, касающиеся предъявляемых требований к участникам обмена, в частности устранена ошибка, согласно которой участники оборота должны иметь усиленную квалифицированную электронную подпись - сейчас написано корректно, должны владеть квалифицированным сертификатом ключа проверки электронной подписи, соответствующим ключу электронной подписи, позволяющему создавать усиленную квалифицированную электронную подпись.
Постановление вступает в силу с 1 сентября, поэтому до этой даты участники обмена по-прежнему должны иметь УКЭП, а не сертификат.

Аналогичная ошибка до настоящего времени присутствует в Трудовом кодексе, хочется надеяться, что работа над ошибками продолжится, в том числе и применительно к закону 63-ФЗ "Об электронной подписи".

🆕 Минцифры сегодня размещён перечень аккредитованных удостоверяющих центров по состоянию на 11.06.2024.

Аккредитацию в соответствии с протоколом Правкомиссии от 29.05.2024 № 334пр подтвердили:
🔹АО «ИнфоТеКС Интернет Траст»
🔹АО "Торговый дом "ПЕРЕКРЕСТОК".

Обращает внимание факт, что данные УЦ отсутствовали в реестре по состоянию на 04.06.2024, проверить метку доверенного времени протокола Правкомиссии возможности нет.

Соглашение между Правительством Российской Федерации и Правительством Республики Беларусь о порядке признания электронной подписи, подписанное 15.04.2024, заработает не скоро.

Это следует из полученного ответа Департамента развития массовых коммуникаций и международного сотрудничества Минцифры России.

PKI-Форум Россия 2024

17 - 19 сентября 2024 года в Санкт-Петербурге состоится PKI-Форум Россия 2024.

Программа форума в этом году включает более 10 тематических сессий и круглых столов:
🔹Необходимость изменений в нормативном регулировании отрасли
🔹Опыт аккредитации/переаккредитации УЦ в 2024-м году
🔹Мобильная/дистанционная/облачная ЭП
🔹Трансграничное признание иностранной ЭП
🔹Управление полномочиями, МЧД, другие механизмы управления полномочиями
🔹Усовершенствованные форматы ЭП
🔹Подготовка специалистов для УЦ, просвещение в области ЭП, PKI, защиты информации
🔹Интеграция PKI с прикладными системами
🔹Судебная практика по делам с ЭП
🔹PKI-проекты и продукты.

"системные проблемы отрасли", "необходимости изменений", "проблемные требования МЦ", "взаимодействие УЦ с МЦ - проблемы и нестыковки", "нарушения в деятельности УЦ" - из более подробного описания программы. Ещё ни одна программа не содержала столько проблемных вопросов, ряд которых, например, доступности CRL ГУЦом не решается годами.

Список можно продолжить - проблематика сертификации мобильных приложений массового применения, искусственные ограничения сроков действия сертификатов, отсутствие диалога регулятора и сообщества (на примере Экспертного совета), нерешаемые годами ошибки 63-ФЗ (о которых приходится говорить Министру) , кажется, что должен быть поднят вопрос - отменить 63-ФЗ и переписать с нуля. Как на такие вопросы ответят новые лица Минцифры хотелось бы узнать на Форуме.

Сисадмин, как отдельный вид нарушителей

Просьбу сотрудников технической поддержки прислать им закрытый ключ мы уже разбирали. Теперь пример сисадмина, который для "удобства" пользователей собрал их закрытые ключи на сервере, автоматизировал таким образом подписание - не удобно пользователям было вводить пароль при подписании. Нарушается оно из базовых требований - обеспечение конфиденциальности ключа ЭП. Также при взломе инфраструктуры (только сегодня прочитал о взломе предприятий одного технического холдинга) злоумышленники, получив ключи ЭП и поняв, что из себя представляют файлы pfx, могут сделать гораздо больше неприятных вещей, чем взлом Госуслуг.

В соответствии с протоколом Правкомиссии от 17.06.2024 № 5пр аккредитация предоставлена УЦ Сертум-Про

Нумерация протоколов Правкомиссии вернулась к своему стандарту и перестала напоминать нумерацию шасси болидов Ferrari:
🔹18.01.2024 - 1пр (Тинькофф)
🔹08.02.2024 - 2пр (Альфа)
🔹15.02.2024 - 3пр (Совкомбанк)
🔹01.04.2024 - 4пр (Сибинтек)
🔹15.05.2024 - 126191вн (Контур)
🔹17.05.2024 - 6пр-МШ (Такском)
🔹23.05.2024 - 316пр (Сбер)
🔹29.05.2024 - 334пр (ИИТ, Перекресток)
🔹17.06.2024 - 5пр (Сертум-Про)

На очереди - Газинформсервис, ПСБ, 1С, Айтиком...