Хасин Е.В., ВРИО директора департамента обеспечения кибербезопасности Минцифры:
🔹"Да мая будет принят второй законопроект об Антифроде"
🔹По НУЦ:
- регламентация структуры сертификатов после ФЗ
- сокращение сроков действия TLS-сертификатов обсуждается с ФСБ
- подчинённые УЦ для выдачи сертификатов безопасности сейчас не предусмотрены
🔹"Да мая будет принят второй законопроект об Антифроде"
🔹По НУЦ:
- регламентация структуры сертификатов после ФЗ
- сокращение сроков действия TLS-сертификатов обсуждается с ФСБ
- подчинённые УЦ для выдачи сертификатов безопасности сейчас не предусмотрены
Прозвучавший тезис об актуальности TSL-списка аккредитованных УЦ действительности не соответствует и неоднократно опровергался практикой.
Вопрос легитимности использования ГУЦом своего ключа на четвертом году жизни для подписания подчинённых сертификатов поднят не был. 8-летняя схема жизни предусматривает периоды 3 года на подписание подчинённых и CRL, 5 лет на CRL, а не 4 на 4, как было.
Отзыв 16.03.2026 подчинённых сертификатов у двух УЦ, при прекратившейся аккредитации 23.02.2026 трёх УЦ, также не нашел место в дискуссии, хотя косвенной и был затронут одним участником.
Что касается "детинизации" использования чужих ключей, то из закона нужно удалить противоречивую норму в части "согласия", иначе непонятно для чего вводился институт МЧД. Бухгалтеры продолжают оставаться главной причиной компрометации ключей электронной подписи в нашей стране. Более миллиона ключей скомпрометировано бухгалтерами-аутсорсерами.
Использование чужого ключа электронной подписи уже приводит к уголовным делам о неправомерном доступе к КИИ.
Please open Telegram to view this post
VIEW IN TELEGRAM
РусКрипто, день 2
🔹замена 152-ФАПСИ после принятия закона о регулировании криптографии в России
🔹необходимость учёта лицензий на право работы с СКЗИ
🔹лицензия на работу с СКЗИ по 313-ПП для установки СКЗИ для собственных нужд не нужна
🔹ключи квалифицированной подписи на SIM-картах - тема не забыта, сроки неизвестны
@ep_uc
🔹замена 152-ФАПСИ после принятия закона о регулировании криптографии в России
🔹необходимость учёта лицензий на право работы с СКЗИ
🔹лицензия на работу с СКЗИ по 313-ПП для установки СКЗИ для собственных нужд не нужна
🔹ключи квалифицированной подписи на SIM-картах - тема не забыта, сроки неизвестны
@ep_uc
Forwarded from Пост Лукацкого
Вчера, выступая на мероприятии НЕ СКАЖУ КАКОМ , упоминал про взломы ИБ-компаний, через которые, как по хайвею, хакеры въезжают через доверенные "ворота" в инфраструктуры заказчиков. И вот очередная демонстрация. Группировка КИБЕР-СЕРП заявила о взломе украинской ИБ-компании, работающей в области криптографии, "САЙФЕР". По заявлению группировки им удалось получить все исходники СКЗИ, закрытые ключи центров сертификации, используемые для украинского "СМЭВ", переписку с критическими заказчиками (Госспецсвязь, Минобороны и т.п.)., а также список всех клиентов.
Также хакеры предполагают, что теперь в госорганах Украины надо будет сменить все криптографические ключи (резонно, но не смертельно), а также в исходниках САЙФЕР будут найдены закладки, заложенные разработчиком. В последнее я не очень верю (хотя уязвимости могут быть точно), как и в то, что утечка исходников СКЗИ сильно влияет на ИБ страны. Все-таки в этой сфере, если нормально выстроить процедуру управления ключами, их компрометация, как и раскрытие алгоритмов шифрования, сильно не влияет на защищенность. Сама САЙФЕР подтверждает факт взлома, но не согласна с масштабом происходящего. Из интересного, взломали САЙФЕР тоже через подрядчика.
В 2010-2014 годах, после выхода четверокнижия ФСТЭК по защите персональных данных, когда огромное число российских ИБ-вендоров и интеграторов начало продвигать свои продукты и услуги для защиты персданных, я рекомендовал операторам ПДн интересоваться у продаванов, а почему они сами не включены в реестр РКН, как того советуют клиентам. Заодно я рекомендовал заказчикам запрашивать у продаванов все те документы, которые последние были готовы за деньги немалые разработать клиентам. Ведь если ты рекомендуешь сделать что-то и сам же попадаешь под эти требования, то логично, что у тебя уже все это сделано и ты не просто впариваешь, но делишься опытом за деньги. Один российский интегратор даже после таких моих заявлений грозился подать на меня в суд за клевету и ущерб деловой репутации.
Так вот. Сейчас многие интеграторы и ИБ-вендора оседлали тему безопасности подрядчиков и под этим соусом продают свои продукты и услуги. Так почему бы вам не спрашивать у таких продаванов две вещи – как бы они на вашем месте проверяли самих себя и что спрашивали для доказательства, что с ИБ у них все хорошо, и как они уже проверяют своих собственных подрядчиков на предмет ИБ. Ведь если они продают вам что-то, то наверняка готовы нести за это ответственность.
ЗЫ. Эх, жаль на РусКрипто не позвали. Там можно было бы обсудить эту стихийно возникшую тему, объединив безопасность подрядчиков с криптографией, и задав всем лицензиатам ФСБ (включая и различные УЦ) вопрос, а как у них обстоят дела в этой части. Хотя судя по комментариям с мест, дискуссии на конфе выхолощенные и скучные; все важное обсуждать не дают.
#supplychain #криптография #проблемыибкомпаний
Также хакеры предполагают, что теперь в госорганах Украины надо будет сменить все криптографические ключи (резонно, но не смертельно), а также в исходниках САЙФЕР будут найдены закладки, заложенные разработчиком. В последнее я не очень верю (хотя уязвимости могут быть точно), как и в то, что утечка исходников СКЗИ сильно влияет на ИБ страны. Все-таки в этой сфере, если нормально выстроить процедуру управления ключами, их компрометация, как и раскрытие алгоритмов шифрования, сильно не влияет на защищенность. Сама САЙФЕР подтверждает факт взлома, но не согласна с масштабом происходящего. Из интересного, взломали САЙФЕР тоже через подрядчика.
В 2010-2014 годах, после выхода четверокнижия ФСТЭК по защите персональных данных, когда огромное число российских ИБ-вендоров и интеграторов начало продвигать свои продукты и услуги для защиты персданных, я рекомендовал операторам ПДн интересоваться у продаванов, а почему они сами не включены в реестр РКН, как того советуют клиентам. Заодно я рекомендовал заказчикам запрашивать у продаванов все те документы, которые последние были готовы за деньги немалые разработать клиентам. Ведь если ты рекомендуешь сделать что-то и сам же попадаешь под эти требования, то логично, что у тебя уже все это сделано и ты не просто впариваешь, но делишься опытом за деньги. Один российский интегратор даже после таких моих заявлений грозился подать на меня в суд за клевету и ущерб деловой репутации.
Так вот. Сейчас многие интеграторы и ИБ-вендора оседлали тему безопасности подрядчиков и под этим соусом продают свои продукты и услуги. Так почему бы вам не спрашивать у таких продаванов две вещи – как бы они на вашем месте проверяли самих себя и что спрашивали для доказательства, что с ИБ у них все хорошо, и как они уже проверяют своих собственных подрядчиков на предмет ИБ. Ведь если они продают вам что-то, то наверняка готовы нести за это ответственность.
ЗЫ. Эх, жаль на РусКрипто не позвали. Там можно было бы обсудить эту стихийно возникшую тему, объединив безопасность подрядчиков с криптографией, и задав всем лицензиатам ФСБ (включая и различные УЦ) вопрос, а как у них обстоят дела в этой части. Хотя судя по комментариям с мест, дискуссии на конфе выхолощенные и скучные; все важное обсуждать не дают.
#supplychain #криптография #проблемыибкомпаний
Часто на конференциях ответы на вопросы более интереснее, чем запланированные выступления. Интересные кейсы, озвученные на РусКрипто 2026:
🔹Начальник УЦ ФНС России Харитонкин Евгений сообщил, что внесённый в Госдуму законопроект об изменении 63-ФЗ предоставит ФНС России право определять способы идентификации получателей сертификатов своим доверенным лицам. Возражений против данной нормы у участников сессии не было.
🔹Заключения, а не сертификаты соответствия ФСБ России, получают СКЗИ, на базе которых планируется разработка иных СКЗИ - Алексей Петров, ФСБ России.
🔹За счёт сбора биометрии с мигрантов выявлено более 600 человек с измененными установочными данными, въезд в Россию которым был запрещен - Сергей Юртанов, Финтех.
✍️ "Об ЭП и УЦ"
🔹Начальник УЦ ФНС России Харитонкин Евгений сообщил, что внесённый в Госдуму законопроект об изменении 63-ФЗ предоставит ФНС России право определять способы идентификации получателей сертификатов своим доверенным лицам. Возражений против данной нормы у участников сессии не было.
🔹Заключения, а не сертификаты соответствия ФСБ России, получают СКЗИ, на базе которых планируется разработка иных СКЗИ - Алексей Петров, ФСБ России.
🔹За счёт сбора биометрии с мигрантов выявлено более 600 человек с измененными установочными данными, въезд в Россию которым был запрещен - Сергей Юртанов, Финтех.
Please open Telegram to view this post
VIEW IN TELEGRAM
20 марта в канале вышел пост: "Google Chrome готовится к квантовому будущему: про TLS-сертификаты нового поколения", но уже 25 марта Google у себя в блоге размещает статью: "Квантовые рубежи могут быть ближе, чем кажутся" - Google публикует график миграции до 2029 года на постквантовую криптографию (PQC).
В статье уточняется:
🔹Квантовый компьютер сможет взломать текущие алгоритмы шифрования.
🔹Актуальность атаки "собирай сейчас - расшифруй потом"
🔹Электронные подписи требуют защиты до появления криптографически значимого квантового компьютера (CRQC)
Google уже внедряет PQC в свои продукты:
🔹Android 17 - поддержка подписей ML-DSA (стандарт NIST)
🔹Chrome - поддержка PQC уже доступна
🔹Google Cloud - решения на базе PQC
В статье уточняется:
🔹Квантовый компьютер сможет взломать текущие алгоритмы шифрования.
🔹Актуальность атаки "собирай сейчас - расшифруй потом"
🔹Электронные подписи требуют защиты до появления криптографически значимого квантового компьютера (CRQC)
Google уже внедряет PQC в свои продукты:
🔹Android 17 - поддержка подписей ML-DSA (стандарт NIST)
🔹Chrome - поддержка PQC уже доступна
🔹Google Cloud - решения на базе PQC
Об ЭП и УЦ
Честно говоря, мне настолько пофиг на эту возню, депресняк какой-то, что и со стула вставать лень.
- электронная подпись инженеров ГИП доводит до депрессии.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔐 Пост выходного дня - ЭЦП в Белоруссии
С 2014 года в Белоруссии, когда была создана государственная система управления открытыми ключами, выдали почти 3 миллиона сертификатов, за последний год - более 760 тысяч.
Если сравнить с объемом выданных сертификатов в нашей стране за последний год (760 тыс./9,056 млн, 18 млн/146 млн), то в Белоруссии средний процент от всего населения 8,4 %, у нас - 12,3%.
Раньше электронное подписание в основном использовали бизнес и ИП для отчетов и госзакупок, но тренд меняется: 2025 году уже 55 тыс. врачей получили сертификаты, чтобы подписывать электронные карты и рецепты. Физические лица всё чаще используют ЭЦП для госуслуг и банков.
🚀Уже в этом году запускается облачная подпись:
🔹Не нужно носить токен с собой.
🔹Не нужно устанавливать программы на компьютер.
🔹Подписание документов с использованием телефона - сканер QR-кода, Face ID или отпечаток пальца.
🇧🇾 В статье издания Белта подчеркивается, что защита построена на национальных стандартах криптографии. Это сделано специально, чтобы не зависеть от иностранных алгоритмов.
С 2014 года в Белоруссии, когда была создана государственная система управления открытыми ключами, выдали почти 3 миллиона сертификатов, за последний год - более 760 тысяч.
Если сравнить с объемом выданных сертификатов в нашей стране за последний год (760 тыс./9,056 млн, 18 млн/146 млн), то в Белоруссии средний процент от всего населения 8,4 %, у нас - 12,3%.
Раньше электронное подписание в основном использовали бизнес и ИП для отчетов и госзакупок, но тренд меняется: 2025 году уже 55 тыс. врачей получили сертификаты, чтобы подписывать электронные карты и рецепты. Физические лица всё чаще используют ЭЦП для госуслуг и банков.
🚀Уже в этом году запускается облачная подпись:
🔹Не нужно носить токен с собой.
🔹Не нужно устанавливать программы на компьютер.
🔹Подписание документов с использованием телефона - сканер QR-кода, Face ID или отпечаток пальца.
🇧🇾 В статье издания Белта подчеркивается, что защита построена на национальных стандартах криптографии. Это сделано специально, чтобы не зависеть от иностранных алгоритмов.
"У меня есть вопрос, на который ты не дашь мне ответ"
КИНО, Вопрос
Сходу не мог вспомнить, когда последний раз ездил на РусКрипто - 2020 или 2021 год, в любом случае давно, поэтому и вопросы накопились, на некоторые ответы были известны, задана были для закрепления:
🔹Срок действия закрытого ключа корневого УЦ платформы Цифрового рубля (без ответа), напоминание о неактуальной информации о сертификате в последнем сертификате
🔹Интеграция ИС ДИТ Москвы с ЕСИА (на слайде была только ЦПРР)
🔹Срок использования закрытого ключа Головного УЦ для выдачи подчинённых сертификатов (без ответа)
🔹Актуализация 152 ФАПСИ
🔹Ключи квалифицированной ЭП на SIM-картах
🔹Необходимость лицензии по 313-ПП для собственных нужд - установка СКЗИ
🔹Учёт встроенной в сертификат лицензии на использование СКЗИ (без ответа)
🔹Структура сертификатов от Национального УЦ и сокращение сроков действия сертификатов
🔹Про доверенный УЦ неквалов для биометрии на транспорте, уточнение про PKCS#7 - по факту CMS
🔹Про неактуальность TSL списка АУЦ и избирательный отзыв подчинённых сертификатов УЦ, аккредитация которых истекла (без ответа)
Госключу не удалось задать вопрос про удаление документов у уволенных сотрудников и "отключение - включение" самостоятельного подписания через ЕПГУ, тайминг.
Спасибо другим каналам, которые также рассказывали про конференцию:
🔹Криптография в финтехе
🔹Криптонит
🔹ГОСТ VPN | aveselov.ru
🔹Привет, городские
🔹Уголок zanudamode
🔹ИнфоТеКС
🔹ГК СПБ
🔹Актив
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡️Розыгрыш для участников Рутокен Day!
Компания «Актив» подготовила 3 классных приза👍 для участников Рутокен Day:
🔹Футболка и Рутокен ЭЦП 3.0 NFC 3100 Tag
🔹Футболка и Смарт-карта Рутокен ЭЦП 3.0 + NFC-считыватель
🔹Футболка
Для выбора победителей наш канал запустил розыгрыш: нужно быть подписанным на канал Рутокен Day, зарегистрироваться на конференцию Рутокен Day «Технологии доверия» и нажать на кнопку «Участвую!»✅
Итоги подведем 10 апреля в 12:00 — бот случайным образом выберет победителей. Призы будут вручены на конференции, организаторы свяжутся с победителями.
✍️ Телеграм-канал "Об ЭП и УЦ" - информационный партнер конференции Рутокен Day
Компания «Актив» подготовила 3 классных приза
🔹Футболка и Рутокен ЭЦП 3.0 NFC 3100 Tag
🔹Футболка и Смарт-карта Рутокен ЭЦП 3.0 + NFC-считыватель
🔹Футболка
Для выбора победителей наш канал запустил розыгрыш: нужно быть подписанным на канал Рутокен Day, зарегистрироваться на конференцию Рутокен Day «Технологии доверия» и нажать на кнопку «Участвую!»
Итоги подведем 10 апреля в 12:00 — бот случайным образом выберет победителей. Призы будут вручены на конференции, организаторы свяжутся с победителями.
Please open Telegram to view this post
VIEW IN TELEGRAM
✍️5 лет ключ ЭП не менять
В рамках прошедшего РусКрипто достался мне Рутокен ЭЦП 3.0 - 5 лет, новая модель, позволяющая сгенерировать ключ электронной подписи на 5 лет. Сказано - сделано, ключ на 5 лет сгенерирован, запрос - создан, осталось найти УЦ.
Обращаюсь к аккредитованным УЦ, кто готов обработать такой файл запроса и выдать сертификат.
С меня - подписанные КЭП файл запроса и заявление, согласие с вашими процедурами выдачи. С вас - выдача квалифицированного сертификата согласно направленному файлу запроса. Про аккредитованный УЦ, который выдаст сертификат, напишу отдельный пост и направлю его от имени канала в номинацию "УЦ Года" PKI-Форума 2026.
P.S. Запрос сгенерирован в программе, предвестник которой появился 8 лет назад.
В рамках прошедшего РусКрипто достался мне Рутокен ЭЦП 3.0 - 5 лет, новая модель, позволяющая сгенерировать ключ электронной подписи на 5 лет. Сказано - сделано, ключ на 5 лет сгенерирован, запрос - создан, осталось найти УЦ.
Обращаюсь к аккредитованным УЦ, кто готов обработать такой файл запроса и выдать сертификат.
С меня - подписанные КЭП файл запроса и заявление, согласие с вашими процедурами выдачи. С вас - выдача квалифицированного сертификата согласно направленному файлу запроса. Про аккредитованный УЦ, который выдаст сертификат, напишу отдельный пост и направлю его от имени канала в номинацию "УЦ Года" PKI-Форума 2026.
P.S. Запрос сгенерирован в программе, предвестник которой появился 8 лет назад.
Ничего необычного - просто Головным УЦ был выдан неквалифицированный сертификат
7. Нарушение аккредитованным удостоверяющим центром требований к содержанию квалифицированного сертификата -
влечет наложение административного штрафа на юридических лиц в размере от пятидесяти тысяч до ста пятидесяти тысяч рублей.
- КоАП РФ Статья 13.33. Нарушение обязанностей, предусмотренных законодательством Российской Федерации в области электронной подписи
О внесении изменений в 63-ФЗ - первое чтение в апреле
Срок представления отзывов, предложений и замечаний, а также заключения Правового управления Аппарата Госдумы - до 8 апреля 2026 года. Срок подготовки законопроекта к рассмотрению в первом чтении – апрель 2026 года.
Второй законопроект, вносящий изменения в 63-ФЗ в части появления Национального УЦ, прошел первое чтение и остановился на этапе сбора поправок ко второму чтению.
✍️ "Об ЭП и УЦ"
Срок представления отзывов, предложений и замечаний, а также заключения Правового управления Аппарата Госдумы - до 8 апреля 2026 года. Срок подготовки законопроекта к рассмотрению в первом чтении – апрель 2026 года.
Второй законопроект, вносящий изменения в 63-ФЗ в части появления Национального УЦ, прошел первое чтение и остановился на этапе сбора поправок ко второму чтению.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from КОД ИБ: информационная безопасность
Код ИБ ПРОФИ | Дагестан
Выездной интенсив по кибербезопасности в формате "2 дня учебы, 2 дня приключений"
🗓 15-19 апреля
➡️ Регистрация
Этой весной активное сообщество директоров по ИБ соберется в сердце Дагестана, чтобы усилить управленческую экспертизу, обменяться опытом и на весь год зарядиться яркими впечатлениями.
В программе:
▪️ Два дня деловой работы
Участников ждут мастер-классы и разборы практических кейсов от экспертов, которые управляют безопасностью в крупных компаниях — Билайн, СОГАЗ, ДОМ.РФ и др.
По итогам образовательной программы каждый участник ПРОФИ получит удостоверение установленного образца о повышении квалификации в объеме 16 часов.
▪️ Два дня путешествия по Дагестану
Участники отправятся в горы, увидят каньоны, водопады, ущелья и скрытые пещеры, а вечерами будут наслаждаться неформальным общением, ужинами с локальной кухней и песнями под гитару.
Не упустите возможность вырваться из рутины и провести несколько ярких дней в кругу единомышленников.
До встречи в Дагестане!
#ИБнужныПРОФИ
Выездной интенсив по кибербезопасности в формате "2 дня учебы, 2 дня приключений"
Этой весной активное сообщество директоров по ИБ соберется в сердце Дагестана, чтобы усилить управленческую экспертизу, обменяться опытом и на весь год зарядиться яркими впечатлениями.
В программе:
▪️ Два дня деловой работы
Участников ждут мастер-классы и разборы практических кейсов от экспертов, которые управляют безопасностью в крупных компаниях — Билайн, СОГАЗ, ДОМ.РФ и др.
По итогам образовательной программы каждый участник ПРОФИ получит удостоверение установленного образца о повышении квалификации в объеме 16 часов.
▪️ Два дня путешествия по Дагестану
Участники отправятся в горы, увидят каньоны, водопады, ущелья и скрытые пещеры, а вечерами будут наслаждаться неформальным общением, ужинами с локальной кухней и песнями под гитару.
Не упустите возможность вырваться из рутины и провести несколько ярких дней в кругу единомышленников.
До встречи в Дагестане!
#ИБнужныПРОФИ
Please open Telegram to view this post
VIEW IN TELEGRAM
Целый ряд изменений по вопросам электронной подписи сегодня вступил в силу:
🔹Для создания электронной подписи необходимо приобрести талон в зависимости от вида подписи - КЭП, НЭП или Госключ, на простые подписи правило не распространяется
🔹Введена обязательная маркировка для всех ключевых носителей, используемых для хранения ключей квалифицированной ЭП. Теперь на них должен быть нанесен QR-код, а все они зарегистрированы в ИС ГУЦ. Создание подписей с носителей, на которых отсутствует QR-код не допускается. На использование приложения Госключ норма не распространяется.
🔹В продолжение темы платы за СМЭВ Головным УЦ вводится плата за скачивание CRL ГУЦ. Система автоматически будет сканировать ip-адреса потребителей, которые скачивают CRL и выставлять ежемесячно плату в личном кабинете организации на Госуслугах. Тариф за скачивание 63 руб.
🔹Для создания электронной подписи необходимо приобрести талон в зависимости от вида подписи - КЭП, НЭП или Госключ, на простые подписи правило не распространяется
🔹Введена обязательная маркировка для всех ключевых носителей, используемых для хранения ключей квалифицированной ЭП. Теперь на них должен быть нанесен QR-код, а все они зарегистрированы в ИС ГУЦ. Создание подписей с носителей, на которых отсутствует QR-код не допускается. На использование приложения Госключ норма не распространяется.
🔹В продолжение темы платы за СМЭВ Головным УЦ вводится плата за скачивание CRL ГУЦ. Система автоматически будет сканировать ip-адреса потребителей, которые скачивают CRL и выставлять ежемесячно плату в личном кабинете организации на Госуслугах. Тариф за скачивание 63 руб.