Телеграм канал «Об ЭП и УЦ»

Роскачество решило перевыполниль свой KPI - "Россиянам объяснили, как восстановить доступ к электронной подписи", ещё более безграмотная статья, чем в прошлый раз.

Роскачество: после аннулирования электронной подписи можно выпустить новую

Электронная подпись - реквизит документа, её нельзя аннулировать, как и выпустить погулять. Аннулирование относится к сертификату, который УЦ может аннулировать по причине:
🔹не подтверждено, что владелец сертификата владеет соответствующим ключом ЭП;
🔹открытый ключ содержится в ином ранее созданном сертификате (на практике реализуется только в масштабах конкретного УЦ);
🔹по решению суда, что сертификат содержит недостоверную информацию.

Всё остальное относится к прекращению действия.

По его словам, отозвать или заблокировать украденный мошенниками или утерянный сертификат можно через «Госуслуги».
"Отзыв" - прекращение действия и "блокировка" - две разные процедуры. Блокировка на Госуслугах не позволит использовать сертификат в рамках Госуслуг. Отозвать же просто так квалифицированный сертификат нельзя, для этого должен быть ещё один сертификат, ключ которого не был скомпрометирован.

После успешного отзыва сертификата вы сможете выпустить новую электронную подпись. Старый ключ при этом станет недействительным, и им больше никто не сможет воспользоваться
Снова намешано всё - сертификаты, ключи, подписи. Чтобы получить новый сертификат старый не нужно отзывать.

Нужно запретить Роскачеству писать на тему электронной подписи. Однозначные номинанты на профанацию года.

Компания ELMA приглашает вас на вебинар в формате воркшопа «Создание и настройка ИИ-агентов для электронного документооборота».

Дата: 17 февраля (вторник)
Время: 11:00 (мск)

На онлайн-воркшопе мы разберём, как применять ИИ в электронном документообороте крупной компании безопасно, контролируемо и с понятным бизнес-результатом. На демо-стенде попробуем собрать ИИ-агента на платформе ELMA Cortex и разберем реальные сценарии применения ИИ, которые можно масштабировать внутри корпоративных процессов.

Без абстрактных сценариев — только реальные кейсы

Какие кейсы разберём:
— Анонсирование документов;
— Извлечение данных из текста документов;
— Проверка документов по чек-листу.

Спикер: Григорий Старовойтов
Product Lead CSP + AI Решений

Зарегистрироваться <—

Реклама
erid: 2SDnjdD3Lu6

А7 — быстрые международные платежи с надежностью банка

👍Платежи в любую точку мира
💰 В любой валюте
😊Комиссия 0,3%. Конвертация по курсу ЦБ
📅Закрывающие документы для бухгалтерии

Работайте с партнерами по всему миру без задержек и переплат!

Перейти на сайт

Финансовые услуги оказывает: ПАО "Банк ПСБ".

#реклама
a7-agent.ru
О рекламодателе

Пока депутаты спорят насчёт использования КЭП для снятия самозапрета на заключение договоров с операторами связи, а также насчёт переименования 63-ФЗ.

На мой взгляд изменение названия 63-ФЗ обоснованно, норма про НУЦ - УЦ для сертификатов безопасности и подпись кода, это не текущие УЦ, выдающие сертификаты ключей проверки ЭП. Напомню, что в ноябре 2022 в Госдуму был внесён и забыт законопроект о внесении изменений в 149-ФЗ в части создания информационной системы НУЦ, но в итоге было принято решение внести НУЦ в 63-ФЗ, изменив его сферу действия.

Что касается самих операторов связи, но не по вопросу самозапрета, а по заключению с ними самих договоров на обслуживание. Ситуация ещё более комичнее - там подписей нет, совсем нет, вообще. Есть только нарисованная картинка и на все попытки донести до сотрудников в моём случае Мегафона, что это ничего не значащее действие - в ответ слышать, что они от бумаги ушли в электронный вид и это графическая подпись. Попытки получить договор с этой "подписью" также успехом не увенчались, прислали пустой бланк.

Мифы об электронной подписи.
Миф 19. Услуга по получению сертификата руководителя организации или ИП платная

На данный миф обратил внимание, после данного поста. В нашей сфере все в курсе, что сертификаты для руководителей юрлиц и индивидуальных предпринимателей с 01.01.2022 выдаёт Удостоверяющий центр ФНС России через свои инспекции или офисы доверенных лиц.

Требования к порядку реализации функций аккредитованного УЦ,  утвержденные 584 приказом Минцифры, включают следующий раздел:
г) стоимость услуг Удостоверяющего центра.
Данный подраздел должен содержать информацию о стоимости услуг Удостоверяющего центра, сроках и порядке расчетов за оказание услуг Удостоверяющего центра.

И отдельное уточнение для госУЦ:
Удостоверяющий центр, являющийся государственным органом и выдающий квалифицированные сертификаты ключей проверки электронных подписей (далее - квалифицированные сертификаты) заявителям на безвозмездной основе, могут не включать данный подраздел в свой Порядок

Данная норма была включена 10 лет назад, когда в рамках общественного обсуждения мое предложение было учтено.

Из чего делаем один вывод - госУЦ (Налоговая, Казначейство, Банк России) выдают сертификаты на безвозмездной основе, их порядки реализации функций УЦ раздел про стоимость услуг не содержат. Услуга по получению сертификата руководителя организации или ИП бесплатная, где бы вы его не получали - в инспекции или у доверенных лиц.

Для получения сертификата необходим сертифицированный ключевой носитель (токен), на который записывается ключ электронной подписи и сам квалифицированный сертификат. Если используется технология мобильной электронной подписи - токен не требуется.

✍️Об ЭП и УЦ

Вчера прошло первое чтение второго законопроекта о борьбе с кибермошенничеством. Стенограмма обсуждения здесь, кому интересно почитайте.

Основные тезисы выступлений и дискуссии

Поддерживающие позиции (Лебедев И.В., Боярский С.М.)
🔹Тренд сломан: Впервые зафиксировано снижение числа киберпреступлений (до 40% по отдельным видам).
🔹Необходимость жёстких мер: Мошенники - организованные группы, часто действующие с территорий недружественных государств.
🔹База IMEI: Позволит эффективнее бороться с кражей устройств и несанкционированным использованием SIM-карт.
🔹"Красная кнопка": Даст гражданам инструмент быстрой реакции на мошенничество.
🔹МАХ вместо SMS: Повысит безопасность😄, так как SMS часто перехватываются мошенниками.

Критические замечания и вопросы депутатов
🔹Чрезмерный контроль:
- Депутаты выразили опасения, что меры затрагивают права добропорядочных граждан.
- Вопрос: как избежать излишнего вмешательства в частную жизнь
🔹Технические и практические вопросы:
- Как будет работать привязка IMEI при смене устройства?
- Как обеспечить доступность "красной кнопки" для людей с ограниченными возможностями и владельцев кнопочных телефонов?
🔹Дискриминация иностранцев:
- Почему иностранцам разрешено 10 SIM-карт, а россиянам 20? Не приведёт ли это к злоупотреблениям?
🔹Проблемы с блокировками:
- Каковы критерии внесудебной блокировки сайтов?
- Кто будет компенсировать ущерб в случае ошибочной блокировки
🔹Импортозамещение и связь: Высказаны опасения по поводу качества связи и зависимости от импортного оборудования.
🔹Коммуникация с гражданами:
- Депутаты указали на недостаток разъяснительной работы и социальной рекламы о мерах безопасности.

Итог: законопроект принят в первом чтении, будет дорабатываться ко второму чтению с учётом поступивших замечаний.

Вопросы законодательства об электронной подписи и создания национального УЦ не обсуждали.

✍️Об ЭП и УЦ

Настоящее криптографических исследований. Часть 4

9️⃣ Цифровые подписи и цифровая идентичность. Основные направления развития – внедрение новых алгоритмов подписи, развитие атрибутных и групповых подписей и интеграция подписи в системы цифровой идентификации. Прежде всего, это пост-квантовые подписи, например, алгоритм CRYSTALS-Dilithium. Ожидается, что через 1-2 года мы начнем видеть гибридные сертификаты (ECDSA + Dilithium) и поддержку PQ-подписей в HSM и смарт-картах. Параллельно исследуются альтернативные PQ-схемы: например, SPHINCS+ (на основе хеширования, без требований к генератору случайности при подписании) для случаев, где нужно избежать возможности провалов.

Кроме PQC, набирают популярность EdDSA на кривых Edwards (Ed25519, Ed448) – их массово внедряют благодаря лучшей производительности и простоте. Протоколы типа TLS 1.3, SSH, JSON Web Tokens постепенно переходят на Ed25519 как предпочтительную подпись. Это можно считать одной из современных тенденций – уход от RSA в новых системах в пользу эллиптических и даже пост-квантовых схем.

В контексте конфиденциальности интерес представляют схемы, позволяющие подписывать с сокрытием части информации. Например, атрибутные подписи позволяют подписать набор утверждений (атрибутов) и затем выборочно раскрывать только часть из них в подписи. Сходные идеи используются в системах удостоверений. Еще пример – групповая подпись, где она подтверждает, что ее автор – член определенной группы, но не идентифицирует конкретно кого. Такие механизмы исследуются для корпоративных систем (подпись от имени отдела, не раскрывая сотрудника) и для анонимных свидетельств (например, когда журналист публикует информацию, подтвержденную цифровой подписью, что он аккредитованное лицо, но остается анонимным).

Электронные подписи тесно связаны с системами электронных удостоверений личности. Развивается концепция SSI (Self-Sovereign Identity), где пользователь самостоятельно управляет своими идентификационными данными (обычно через мобильное приложение-кошелек), а доверие обеспечивается криптографическими протоколами и стандартами, например, DIDComm или Verifiable Credentials.

Важно отметить тенденцию: подпись переходит "под капот" пользовательских приложений. Если раньше пользователь сам ставил ЭП (например, через USB-токен), то новые системы (Google / Apple Passkeys, SSI-кошельки) делают это прозрачно – пользователь подтверждает действие биометрией, а приложение генерирует криптографическую подпись для аутентификации или подтверждения транзакции. Таким образом повышается безопасность (закрытый ключ никогда не выходит из устройства, часто хранится в Secure Enclave или аналогичном) и улучшается опыт (не нужно вводить пароли). Эта концепция получила название, ахаха, беспарольной аутентификации.

Наконец, стоит упомянуть квантовую криптографию для подписей: уже существуют прототипы квантовой цифровой подписи, использующие QKD-каналы и одноразовые ключи, но это очень нишевое направление.

#криптография #тенденции