Телеграм канал «Об ЭП и УЦ»

Электронная подпись Госзакупок не соответствует Формату ЭП Минцифры

Ни старому, ни новому, и дело не в oid. Проверка решения УФАС из РНП в очередной раз это подтвердило.

❌ Нарушения формата:
Поле encapContentInfo в структуре SignedData должно содержать документ, а не хэш.

❌Атрибуты подписи (signedAttrs):
id-contentType должен указывать тип документа;
id-messageDigest должен содержать хэш от encapContentInfo

❌ Проблема с ContentInfo:
asn1
ContentInfo ::= SEQUENCE {
    contentType ContentType,  -- должен быть id-signedData
    content [0] EXPLICIT ANY DEFINED BY contentType  -- должен быть SignedData с документом внутри}. У Госзакупое contentType указывает на подпись хэша, а не самого документа.

Итог - атрибуты электронных подписей Госзакупок ссылаются на хэш, а не на документ. По приказу проверяется целостность encapContentInfo, а в Госзакупках: сначало нужно внешнее вычисление хэша → конвертация в Base64 → проверка ЭП.

Найдёт ли этот вопрос место в повестке заседания Экспертного совета при Минцифры по электронной подписи?

✍️Об ЭП и УЦ

🚨 "Просчитался, но где?"
За неподписание контракта - в реестр недобросовестных поставщиков

Ярославское УФАС внесло предпринимателя из Карачаево-Черкесии в Реестр недобросовестных поставщиков (РНП) за уклонение от подписания контракта на 40 млн руб.

Победитель аукциона на поставку светодиодного экрана для спорткомплекса "Демино" не подписал контракт в срок. В качестве оправдания он заявил "об утрате электронной подписи" и даже предоставил подтверждающий документ от… несуществующей налоговой инспекции.

🔍 Расследование УФАС показало, что письмо от «налоговой» оказалось поддельным - составлено на бланке упразднённой инспекции и подписано неуполномоченным лицом. Данные с электронных площадок ("Сбербанк-АСТ" и "РТС-тендер") доказали: в тот же период предприниматель активно подписывал документы КЭП в рамках других торгов.

По сухой новости УФАС - нашел само решение (использование безграмотной терминологии для УФАС - норма).

А какие ещё могли быть причины? Забыл пароль на носителя, отформатировал по незнанию, собака сгрызла токен. Реальный случай, который мне известен - угнали автомобиль, а токен был в подлокотнике...

Трансгран стартанет в 2026 году?

С начала года было уже несколько новостей о признании электронной подписи при трансграничном взаимодействии

🔹Президент Белоруссии в ходе встречи с послом страны в Москве заявил о торможении в вопросе признания с Россией электронной цифровой подписи

🔹В ходе заседания Совета Министров Союзного государства Премьер-министр Белоруссии озвучил:
Второе направление для дальнейшего экономического роста нашей интеграции – реализация намеченных задач по цифровой трансформации. Она способствует выравниванию институциональных условий по взаимодействию субъектов хозяйствования, инвесторов и государства. В связи с этим принципиально важно максимально ускориться и завершить реализацию мероприятий по признанию электронной цифровой подписи в электронном документе при трансграничном информационном взаимодействии.

🔹Рабочая группы Совета министров юстиции СНГ отметила важность определения механизмов взаимного признания между государствами – участниками СНГ электронной цифровой подписи.

Телеграм-канал "ЭДО для бизнеса" сообщил о разъяснениях Минцифры и ФСБ России о возможности применения пилотного проекта по обмену электронными товаросопроводительными документами при трансграничной торговле между хозяйствующими субъектами России и Белоруссии. До выполнения Плана проработки механизма признания электронной подписи можно продолжать пилотный проект в рамках полномочий ФНС по контролю за соблюдением налогового законодательства.

Конференция, объединяющая науку, бизнес и государство для решения стратегических задач в области защиты информации, пройдет в Подмосковье с 24 по 27 марта.

С 24 по 27 марта 2026 года в Подмосковье состоится 28-я международная научно-практическая конференция «РусКрипто’2026» — ключевое отраслевое событие, определяющее векторы развития криптографии и информационной безопасности России.
Уникальность «РусКрипто» заключается в её способности не только отражать состояние отрасли, но и активно формировать её будущее. Здесь определяются приоритеты развития, происходит критическая оценка технологий и вырабатываются согласованные подходы к сложнейшим вопросам защиты информации и отечественной криптографии.

Основные тематические блоки «РусКрипто’2026»:
• Криптография и криптоанализ
• Информационная безопасность и криптография кредитно-финансовой сферы
• Информационные системы государства, кибербезопасность и криптография
• Проекты, технологии и решения
• Криптографические средства защиты информации: разработка, сертификация, внедрение и эксплуатация
• РБПО и подпись ПО, построение единого пространства доверия к российскому программному обеспечению
• Криптографические решения для киберфизических систем
• Криптография в медицине
• Аппаратная безопасность
• Перспективные исследования в области кибербезопасности

Регистрация на конференцию открыта.

Участники, готовые представить свой опыт, могут подать заявку на выступление с докладом до 10 февраля 2026 года.

✍️Телеграм-канал "Об ЭП и УЦ" - информационный партнер РусКрипто.

Правила для цифрового рубля: причём тут электронная подпись?

Она там есть - ПЭП и НЭП, но эти виды подписей присутствуют в Правилах изначально с 2023 года, а не так, как про это пишет РБК (про низкий уровень ИТ-журналистики повторяться не буду, но хотя бы начали ссылки на НПА указывать).

Участниками платформы
цифрового рубля являются Банк России (оператор) и коммерческие банки, обеспечивающие доступ к платформе, а пользователями - физлица, ИП и юрлица.

Участник платформы (банки) предоставляет доступ к платформе цифрового рубля физлицам, ИП и юрлицам, в отношении которого проведена процедура идентификации по 115-ФЗ и получен неквалифицированный сертификат. Именно НЭП, насчёт КЭП в РБК переврали - в цифровом рубле нет аккредитованных УЦ, откуда там КЭП, как и откуда про это знать журналистам.

Физлица, ИП для открытия счета цифрового рубля на платформе цифрового рубля, для получения доступа к платформе должны быть зарегистрированы в ЕСИА и получить ключ простой электронной подписи (это подтвержденная учётная запись ЕСИА). Ключом ПЭП является сочетание 2 элементов - идентификатора (СНИЛС) и пароля от учётной записи.

Создан Экспертный совет по вопросам внедрения и использования электронной подписи и сертификатов безопасности, http://rusrim.blogspot.com/2026/02/blog-post_05.html

#законодательство #Минцифры #Россия #электронные_подписи

✍️Новые требования по применению КЭП для проектировщиков - правда или миф?

🚨 По каналам инженеров-проектировщиков и ГИПов активно циркулирует информация о новых требованиях к подписанию проектной документации КЭП с 1 марта 2026 года.
Давайте разберемся, где здесь факты, а где - неверное толкование.

❓О чем говорят:
В сообщениях утверждается (письмо НОПРИЗ, пост в канале, пост ГИПа про биполярное расстройство Минстроя) , что с 01.03.2026 вступает в силу новая часть 16 ст. 55.5-1 Градостроительного кодекса. Она якобы обязывает всех участников подготовки проекта подписывать документацию квалифицированной электронной подписью (КЭП), а использование информационно-удостоверяющих листов (ИУЛ) станет недопустимым.

✍️Что удалось выяснить:
1. Про дату 01.03.2026: поправки в Градостроительный кодекс действительно планируются, и эта дата упоминается в связи с некоторыми изменениями, НО в проектируемой редакции ст. 55.5-1 нет упоминания о новой части 16, которая вводит описанные требования к КЭП.
2. Про подпись всеми участниками: законодательство возлагает ответственность за утверждение проекта на главного инженера проекта (ГИПа). Прямого требования к тому, чтобы каждый раздел был подписан отдельным специалистом именно КЭП, в Градостроительном кодексе в его текущем виде - нет.
3. Про ИУЛ: информационно-удостоверяющий центр лист (название-то какое придумали) НЕ является электронной подписью, согласно приказу Минстроя должен подписываться КЭП. Приказ Минстроя от 12.05.2017 № 783/пр разрешает при невозможности получить квалифицированные сертификаты всеми исполнителями, оформить ИУЛ на бумаге, сканировать и подписывать его КЭП ГИПа. Рабочая схема, к которой все привыкли, хотя использования ИУЛ, как якобы легитимной подписи, слабое место при любой проверке.

📌 Итог разбора:
🔹Прямых законодательных оснований для срочного перевода всего коллектива на применение КЭП именно для внутреннего подписания проектов пока нет.
🔹Общий вектор движения понятен - повышение персональной ответственности и цифровизация, поэтому переход на КЭП только вопрос времени.
🔹ГИПам уже сейчас использовать КЭП. Квалифицированный сертификат необходим для работы в ЕГИС ОГР (реестр экспертиз), подачи документов в Росстандарт, ФИС АР и другие госсистемы.