Телеграм канал «Об ЭП и УЦ»

🔐 Пост выходного дня - ЭЦП в Белоруссии

С 2014 года в Белоруссии, когда была создана государственная система управления открытыми ключами, выдали почти 3 миллиона сертификатов, за последний год - более 760 тысяч.
Если сравнить с объемом выданных сертификатов в нашей стране за последний год (760 тыс./9,056 млн, 18 млн/146 млн), то в Белоруссии средний процент от всего населения 8,4 %, у нас - 12,3%.

Раньше электронное подписание в основном использовали бизнес и ИП для отчетов и госзакупок, но тренд меняется: 2025 году уже 55 тыс. врачей получили сертификаты, чтобы подписывать электронные карты и рецепты. Физические лица всё чаще используют ЭЦП для госуслуг и банков.

🚀Уже в этом году запускается облачная подпись:
🔹Не нужно носить токен с собой.
🔹Не нужно устанавливать программы на компьютер.
🔹Подписание документов с использованием телефона - сканер QR-кода, Face ID или отпечаток пальца.

🇧🇾 В статье издания Белта подчеркивается, что защита построена на национальных стандартах криптографии. Это сделано специально, чтобы не зависеть от иностранных алгоритмов.

Стань диджитал-дизайнером: начни сейчас!

Пройди тест-драйв и получи доступ к материалам!

Попробовать

#реклама 18+
study.logomachine.ru
О рекламодателе

✍️Представляете, какое разочарование может ждать автора данного сообщения, если он всё-таки сможет получить через МФЦ квалифицированный сертификат Госключа, а работать с ним не сможет.

Честно говоря, мне настолько пофиг на эту возню, депресняк какой-то, что и со стула вставать лень.
- электронная подпись инженеров ГИП доводит до депрессии.

20 марта в канале вышел пост: "Google Chrome готовится к квантовому будущему: про TLS-сертификаты нового поколения", но уже 25 марта Google у себя в блоге размещает статью: "Квантовые рубежи могут быть ближе, чем кажутся" - Google публикует график миграции до 2029 года на постквантовую криптографию (PQC).

В статье уточняется:
🔹Квантовый компьютер сможет взломать текущие алгоритмы шифрования.
🔹Актуальность атаки "собирай сейчас - расшифруй потом"
🔹Электронные подписи требуют защиты до появления криптографически значимого квантового компьютера (CRQC)

Google уже внедряет PQC в свои продукты:
🔹Android 17 - поддержка подписей ML-DSA (стандарт NIST)
🔹Chrome - поддержка PQC уже доступна
🔹Google Cloud - решения на базе PQC

Часто на конференциях ответы на вопросы более интереснее, чем запланированные выступления. Интересные кейсы, озвученные на РусКрипто 2026:
🔹Начальник УЦ ФНС России Харитонкин Евгений сообщил, что внесённый в Госдуму законопроект об изменении 63-ФЗ предоставит ФНС России право определять способы идентификации получателей сертификатов своим доверенным лицам. Возражений против данной нормы у участников сессии не было.
🔹Заключения, а не сертификаты соответствия ФСБ России, получают СКЗИ, на базе которых планируется разработка иных СКЗИ - Алексей Петров, ФСБ России.
🔹За счёт сбора биометрии с мигрантов выявлено более 600 человек с измененными установочными данными, въезд в Россию которым был запрещен - Сергей Юртанов, Финтех.

✍️"Об ЭП и УЦ"

Вчера, выступая на мероприятии НЕ СКАЖУ КАКОМ, упоминал про взломы ИБ-компаний, через которые, как по хайвею, хакеры въезжают через доверенные "ворота" в инфраструктуры заказчиков. И вот очередная демонстрация. Группировка КИБЕР-СЕРП заявила о взломе украинской ИБ-компании, работающей в области криптографии, "САЙФЕР". По заявлению группировки им удалось получить все исходники СКЗИ, закрытые ключи центров сертификации, используемые для украинского "СМЭВ", переписку с критическими заказчиками (Госспецсвязь, Минобороны и т.п.)., а также список всех клиентов.

Также хакеры предполагают, что теперь в госорганах Украины надо будет сменить все криптографические ключи (резонно, но не смертельно), а также в исходниках САЙФЕР будут найдены закладки, заложенные разработчиком. В последнее я не очень верю (хотя уязвимости могут быть точно), как и в то, что утечка исходников СКЗИ сильно влияет на ИБ страны. Все-таки в этой сфере, если нормально выстроить процедуру управления ключами, их компрометация, как и раскрытие алгоритмов шифрования, сильно не влияет на защищенность. Сама САЙФЕР подтверждает факт взлома, но не согласна с масштабом происходящего. Из интересного, взломали САЙФЕР тоже через подрядчика.

В 2010-2014 годах, после выхода четверокнижия ФСТЭК по защите персональных данных, когда огромное число российских ИБ-вендоров и интеграторов начало продвигать свои продукты и услуги для защиты персданных, я рекомендовал операторам ПДн интересоваться у продаванов, а почему они сами не включены в реестр РКН, как того советуют клиентам. Заодно я рекомендовал заказчикам запрашивать у продаванов все те документы, которые последние были готовы за деньги немалые разработать клиентам. Ведь если ты рекомендуешь сделать что-то и сам же попадаешь под эти требования, то логично, что у тебя уже все это сделано и ты не просто впариваешь, но делишься опытом за деньги. Один российский интегратор даже после таких моих заявлений грозился подать на меня в суд за клевету и ущерб деловой репутации.

Так вот. Сейчас многие интеграторы и ИБ-вендора оседлали тему безопасности подрядчиков и под этим соусом продают свои продукты и услуги. Так почему бы вам не спрашивать у таких продаванов две вещи – как бы они на вашем месте проверяли самих себя и что спрашивали для доказательства, что с ИБ у них все хорошо, и как они уже проверяют своих собственных подрядчиков на предмет ИБ. Ведь если они продают вам что-то, то наверняка готовы нести за это ответственность.

ЗЫ. Эх, жаль на РусКрипто не позвали. Там можно было бы обсудить эту стихийно возникшую тему, объединив безопасность подрядчиков с криптографией, и задав всем лицензиатам ФСБ (включая и различные УЦ) вопрос, а как у них обстоят дела в этой части. Хотя судя по комментариям с мест, дискуссии на конфе выхолощенные и скучные; все важное обсуждать не дают.

#supplychain #криптография #проблемыибкомпаний

РусКрипто, день 2

🔹замена 152-ФАПСИ после принятия закона о регулировании криптографии в России
🔹необходимость учёта лицензий на право работы с СКЗИ
🔹лицензия на работу с СКЗИ по 313-ПП для установки СКЗИ для собственных нужд не нужна
🔹ключи квалифицированной подписи на SIM-картах - тема не забыта, сроки неизвестны

@ep_uc