🔍📜 Минцифры утвердило перечень документов для контроля в сфере электронной подписи
Приказом Минцифры России от 02.02.2026 № 45 утверждён перечень нормативных правовых актов, содержащих обязательные требования в сфере электронной подписи.
📋 Утверждённый перечень включает:
1. Федеральный закон «Об электронной подписи» (ст. 13-15, 17, 18).
2. Постановление Правительства № 2101 - О размере финобеспечения ответственности доверенной третьей стороны.
3. Приказ Минцифры № 1138 - Порядок формирования и ведения реестров квалифицированных сертификатов.
4. Приказ Минцифры № 580 - Порядок создания и проверки метки доверенного времени.
5. Приказ Минцифры № 603 - Порядок действий УЦ при сомнениях в личности и приостановке использования ключей.
6. Приказ Минцифры № 643 - Требования к форме и хранению поручения владельца квалифицированного сертификата.
7. Приказ Минцифры № 1134 - Порядок передачи реестров при прекращении деятельности УЦ.
8. Приказ Минцифры № 584 - Требования к порядку реализации функций УЦ.
9. Приказ Минцифры № 641 - Требования к порядку реализации функций доверенной третьей стороны.
10. Приказ Минцифры № 624 - Перечень угроз безопасности при удалённой идентификации и хранении ключей.
✍️ Многие приказы действуют до конца 2026 года.
Приказ касается аккредитованных удостоверяющих центров идоверенных третьих сторон, на них возложены обязанности по соблюдению перечисленных требований. За нарушения предусмотрена административная ответственность по ст. 13.33 КоАП РФ.
Полный текст Приказа с перечнем размещён на официальном сайте Минцифры России, ранее действовавший перечень с соответстветствии с приказом от 02.02.2026 № 49 признан утратившим силу.
✍️ Об ЭП и УЦ
Приказом Минцифры России от 02.02.2026 № 45 утверждён перечень нормативных правовых актов, содержащих обязательные требования в сфере электронной подписи.
📋 Утверждённый перечень включает:
1. Федеральный закон «Об электронной подписи» (ст. 13-15, 17, 18).
2. Постановление Правительства № 2101 - О размере финобеспечения ответственности доверенной третьей стороны.
3. Приказ Минцифры № 1138 - Порядок формирования и ведения реестров квалифицированных сертификатов.
4. Приказ Минцифры № 580 - Порядок создания и проверки метки доверенного времени.
5. Приказ Минцифры № 603 - Порядок действий УЦ при сомнениях в личности и приостановке использования ключей.
6. Приказ Минцифры № 643 - Требования к форме и хранению поручения владельца квалифицированного сертификата.
7. Приказ Минцифры № 1134 - Порядок передачи реестров при прекращении деятельности УЦ.
8. Приказ Минцифры № 584 - Требования к порядку реализации функций УЦ.
9. Приказ Минцифры № 641 - Требования к порядку реализации функций доверенной третьей стороны.
10. Приказ Минцифры № 624 - Перечень угроз безопасности при удалённой идентификации и хранении ключей.
Приказ касается аккредитованных удостоверяющих центров и
Полный текст Приказа с перечнем размещён на официальном сайте Минцифры России, ранее действовавший перечень с соответстветствии с приказом от 02.02.2026 № 49 признан утратившим силу.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Мониторинг
image.png
31.3 KB
2026.02.04 07:59:09 3999904
2026.02.04 08:00:10 4000102
по состоянию на 12:51:10 UTC:
5451 новых МЧД, 4001924 всего
2026.02.04 08:00:10 4000102
по состоянию на 12:51:10 UTC:
5451 новых МЧД, 4001924 всего
🔹объем выдачи на 350 тыс. выше, чем в январе прошлого года;
🔹 Госключ увеличил объем выдачи в 2 раза;
🔹 деятельность по выдаче квалифицированных сертификатов осуществляется 43 из 46 УЦ.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🚨 По каналам инженеров-проектировщиков и ГИПов активно циркулирует информация о новых требованиях к подписанию проектной документации КЭП с 1 марта 2026 года.
Давайте разберемся, где здесь факты, а где - неверное толкование.
В сообщениях утверждается (письмо НОПРИЗ, пост в канале, пост ГИПа про биполярное расстройство Минстроя) , что с 01.03.2026 вступает в силу новая часть 16 ст. 55.5-1 Градостроительного кодекса. Она якобы обязывает всех участников подготовки проекта подписывать документацию квалифицированной электронной подписью (КЭП), а использование информационно-удостоверяющих листов (ИУЛ) станет недопустимым.
1. Про дату 01.03.2026: поправки в Градостроительный кодекс действительно планируются, и эта дата упоминается в связи с некоторыми изменениями, НО в проектируемой редакции ст. 55.5-1 нет упоминания о новой части 16, которая вводит описанные требования к КЭП.
2. Про подпись всеми участниками: законодательство возлагает ответственность за утверждение проекта на главного инженера проекта (ГИПа). Прямого требования к тому, чтобы каждый раздел был подписан отдельным специалистом именно КЭП, в Градостроительном кодексе в его текущем виде - нет.
3. Про ИУЛ: информационно-удостоверяющий
📌 Итог разбора:
🔹Прямых законодательных оснований для срочного перевода всего коллектива на применение КЭП именно для внутреннего подписания проектов пока нет.
🔹Общий вектор движения понятен - повышение персональной ответственности и цифровизация, поэтому переход на КЭП только вопрос времени.
🔹ГИПам уже сейчас использовать КЭП. Квалифицированный сертификат необходим для работы в ЕГИС ОГР (реестр экспертиз), подачи документов в Росстандарт, ФИС АР и другие госсистемы.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Кто не идёт вперёд, тот идёт назад
Создан Экспертный совет по вопросам внедрения и использования электронной подписи и сертификатов безопасности, http://rusrim.blogspot.com/2026/02/blog-post_05.html
#законодательство #Минцифры #Россия #электронные_подписи
#законодательство #Минцифры #Россия #электронные_подписи
Правила для цифрового рубля: причём тут электронная подпись?
Она там есть - ПЭП и НЭП, но эти виды подписей присутствуют в Правилах изначально с 2023 года, а не так, как про это пишет РБК (про низкий уровень ИТ-журналистики повторяться не буду, но хотя бы начали ссылки на НПА указывать).
Участниками платформы
цифрового рубля являются Банк России (оператор) и коммерческие банки, обеспечивающие доступ к платформе, а пользователями - физлица, ИП и юрлица.
Участник платформы (банки) предоставляет доступ к платформе цифрового рубля физлицам, ИП и юрлицам, в отношении которого проведена процедура идентификации по 115-ФЗ и получен неквалифицированный сертификат. Именно НЭП, насчёт КЭП в РБК переврали - в цифровом рубле нет аккредитованных УЦ, откуда там КЭП, как и откуда про это знать журналистам.
Физлица, ИП для открытия счета цифрового рубля на платформе цифрового рубля, для получения доступа к платформе должны быть зарегистрированы в ЕСИА и получить ключ простой электронной подписи (это подтвержденная учётная запись ЕСИА). Ключом ПЭП является сочетание 2 элементов - идентификатора (СНИЛС) и пароля от учётной записи.
Она там есть - ПЭП и НЭП, но эти виды подписей присутствуют в Правилах изначально с 2023 года, а не так, как про это пишет РБК (про низкий уровень ИТ-журналистики повторяться не буду, но хотя бы начали ссылки на НПА указывать).
Участниками платформы
цифрового рубля являются Банк России (оператор) и коммерческие банки, обеспечивающие доступ к платформе, а пользователями - физлица, ИП и юрлица.
Участник платформы (банки) предоставляет доступ к платформе цифрового рубля физлицам, ИП и юрлицам, в отношении которого проведена процедура идентификации по 115-ФЗ и получен неквалифицированный сертификат. Именно НЭП, насчёт КЭП в РБК переврали - в цифровом рубле нет аккредитованных УЦ, откуда там КЭП, как и откуда про это знать журналистам.
Физлица, ИП для открытия счета цифрового рубля на платформе цифрового рубля, для получения доступа к платформе должны быть зарегистрированы в ЕСИА и получить ключ простой электронной подписи (это подтвержденная учётная запись ЕСИА). Ключом ПЭП является сочетание 2 элементов - идентификатора (СНИЛС) и пароля от учётной записи.
Конференция, объединяющая науку, бизнес и государство для решения стратегических задач в области защиты информации, пройдет в Подмосковье с 24 по 27 марта.
С 24 по 27 марта 2026 года в Подмосковье состоится 28-я международная научно-практическая конференция «РусКрипто’2026» — ключевое отраслевое событие, определяющее векторы развития криптографии и информационной безопасности России.
Уникальность «РусКрипто» заключается в её способности не только отражать состояние отрасли, но и активно формировать её будущее. Здесь определяются приоритеты развития, происходит критическая оценка технологий и вырабатываются согласованные подходы к сложнейшим вопросам защиты информации и отечественной криптографии.
Основные тематические блоки «РусКрипто’2026»:
• Криптография и криптоанализ
• Информационная безопасность и криптография кредитно-финансовой сферы
• Информационные системы государства, кибербезопасность и криптография
• Проекты, технологии и решения
• Криптографические средства защиты информации: разработка, сертификация, внедрение и эксплуатация
• РБПО и подпись ПО, построение единого пространства доверия к российскому программному обеспечению
• Криптографические решения для киберфизических систем
• Криптография в медицине
• Аппаратная безопасность
• Перспективные исследования в области кибербезопасности
Регистрация на конференцию открыта.
Участники, готовые представить свой опыт, могут подать заявку на выступление с докладом до 10 февраля 2026 года.
✍️ Телеграм-канал "Об ЭП и УЦ" - информационный партнер РусКрипто.
С 24 по 27 марта 2026 года в Подмосковье состоится 28-я международная научно-практическая конференция «РусКрипто’2026» — ключевое отраслевое событие, определяющее векторы развития криптографии и информационной безопасности России.
Уникальность «РусКрипто» заключается в её способности не только отражать состояние отрасли, но и активно формировать её будущее. Здесь определяются приоритеты развития, происходит критическая оценка технологий и вырабатываются согласованные подходы к сложнейшим вопросам защиты информации и отечественной криптографии.
Основные тематические блоки «РусКрипто’2026»:
• Криптография и криптоанализ
• Информационная безопасность и криптография кредитно-финансовой сферы
• Информационные системы государства, кибербезопасность и криптография
• Проекты, технологии и решения
• Криптографические средства защиты информации: разработка, сертификация, внедрение и эксплуатация
• РБПО и подпись ПО, построение единого пространства доверия к российскому программному обеспечению
• Криптографические решения для киберфизических систем
• Криптография в медицине
• Аппаратная безопасность
• Перспективные исследования в области кибербезопасности
Регистрация на конференцию открыта.
Участники, готовые представить свой опыт, могут подать заявку на выступление с докладом до 10 февраля 2026 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
Трансгран стартанет в 2026 году?
С начала года было уже несколько новостей о признании электронной подписи при трансграничном взаимодействии
🔹Президент Белоруссии в ходе встречи с послом страны в Москве заявил о торможении в вопросе признания с Россией электронной цифровой подписи
🔹В ходе заседания Совета Министров Союзного государства Премьер-министр Белоруссии озвучил:
🔹Рабочая группы Совета министров юстиции СНГ отметила важность определения механизмов взаимного признания между государствами – участниками СНГ электронной цифровой подписи.
Телеграм-канал "ЭДО для бизнеса" сообщил о разъяснениях Минцифры и ФСБ России о возможности применения пилотного проекта по обмену электронными товаросопроводительными документами при трансграничной торговле между хозяйствующими субъектами России и Белоруссии. До выполнения Плана проработки механизма признания электронной подписи можно продолжать пилотный проект в рамках полномочий ФНС по контролю за соблюдением налогового законодательства.
С начала года было уже несколько новостей о признании электронной подписи при трансграничном взаимодействии
🔹Президент Белоруссии в ходе встречи с послом страны в Москве заявил о торможении в вопросе признания с Россией электронной цифровой подписи
🔹В ходе заседания Совета Министров Союзного государства Премьер-министр Белоруссии озвучил:
Второе направление для дальнейшего экономического роста нашей интеграции – реализация намеченных задач по цифровой трансформации. Она способствует выравниванию институциональных условий по взаимодействию субъектов хозяйствования, инвесторов и государства. В связи с этим принципиально важно максимально ускориться и завершить реализацию мероприятий по признанию электронной цифровой подписи в электронном документе при трансграничном информационном взаимодействии.
🔹Рабочая группы Совета министров юстиции СНГ отметила важность определения механизмов взаимного признания между государствами – участниками СНГ электронной цифровой подписи.
Телеграм-канал "ЭДО для бизнеса" сообщил о разъяснениях Минцифры и ФСБ России о возможности применения пилотного проекта по обмену электронными товаросопроводительными документами при трансграничной торговле между хозяйствующими субъектами России и Белоруссии. До выполнения Плана проработки механизма признания электронной подписи можно продолжать пилотный проект в рамках полномочий ФНС по контролю за соблюдением налогового законодательства.
🚨 "Просчитался, но где?"
За неподписание контракта - в реестр недобросовестных поставщиков
Ярославское УФАС внесло предпринимателя из Карачаево-Черкесии в Реестр недобросовестных поставщиков (РНП) за уклонение от подписания контракта на 40 млн руб.
Победитель аукциона на поставку светодиодного экрана для спорткомплекса "Демино" не подписал контракт в срок. В качестве оправдания он заявил "об утрате электронной подписи" и даже предоставил подтверждающий документ от… несуществующей налоговой инспекции.
🔍 Расследование УФАС показало, что письмо от «налоговой» оказалось поддельным - составлено на бланке упразднённой инспекции и подписано неуполномоченным лицом. Данные с электронных площадок ("Сбербанк-АСТ" и "РТС-тендер") доказали: в тот же период предприниматель активно подписывал документы КЭП в рамках других торгов.
По сухой новости УФАС - нашел само решение (использование безграмотной терминологии для УФАС - норма).
А какие ещё могли быть причины? Забыл пароль на носителя, отформатировал по незнанию, собака сгрызла токен. Реальный случай, который мне известен - угнали автомобиль, а токен был в подлокотнике...
За неподписание контракта - в реестр недобросовестных поставщиков
Ярославское УФАС внесло предпринимателя из Карачаево-Черкесии в Реестр недобросовестных поставщиков (РНП) за уклонение от подписания контракта на 40 млн руб.
Победитель аукциона на поставку светодиодного экрана для спорткомплекса "Демино" не подписал контракт в срок. В качестве оправдания он заявил "об утрате электронной подписи" и даже предоставил подтверждающий документ от… несуществующей налоговой инспекции.
🔍 Расследование УФАС показало, что письмо от «налоговой» оказалось поддельным - составлено на бланке упразднённой инспекции и подписано неуполномоченным лицом. Данные с электронных площадок ("Сбербанк-АСТ" и "РТС-тендер") доказали: в тот же период предприниматель активно подписывал документы КЭП в рамках других торгов.
По сухой новости УФАС - нашел само решение (использование безграмотной терминологии для УФАС - норма).
А какие ещё могли быть причины? Забыл пароль на носителя, отформатировал по незнанию, собака сгрызла токен. Реальный случай, который мне известен - угнали автомобиль, а токен был в подлокотнике...
Электронная подпись Госзакупок не соответствует Формату ЭП Минцифры
Ни старому, ни новому, и дело не в oid. Проверка решения УФАС из РНП в очередной раз это подтвердило.
❌ Нарушения формата:
Поле encapContentInfo в структуре SignedData должно содержать документ, а не хэш.
❌Атрибуты подписи (signedAttrs):
id-contentType должен указывать тип документа;
id-messageDigest должен содержать хэш от encapContentInfo
❌ Проблема с ContentInfo:
asn1
ContentInfo ::= SEQUENCE {
contentType ContentType, -- должен быть id-signedData
content [0] EXPLICIT ANY DEFINED BY contentType -- должен быть SignedData с документом внутри}. У Госзакупое contentType указывает на подпись хэша, а не самого документа.
Итог - атрибуты электронных подписей Госзакупок ссылаются на хэш, а не на документ. По приказу проверяется целостность encapContentInfo, а в Госзакупках: сначало нужно внешнее вычисление хэша → конвертация в Base64 → проверка ЭП.
Найдёт ли этот вопрос место в повестке заседания Экспертного совета при Минцифры по электронной подписи?
✍️ Об ЭП и УЦ
Ни старому, ни новому, и дело не в oid. Проверка решения УФАС из РНП в очередной раз это подтвердило.
❌ Нарушения формата:
Поле encapContentInfo в структуре SignedData должно содержать документ, а не хэш.
❌Атрибуты подписи (signedAttrs):
id-contentType должен указывать тип документа;
id-messageDigest должен содержать хэш от encapContentInfo
❌ Проблема с ContentInfo:
asn1
ContentInfo ::= SEQUENCE {
contentType ContentType, -- должен быть id-signedData
content [0] EXPLICIT ANY DEFINED BY contentType -- должен быть SignedData с документом внутри}. У Госзакупое contentType указывает на подпись хэша, а не самого документа.
Итог - атрибуты электронных подписей Госзакупок ссылаются на хэш, а не на документ. По приказу проверяется целостность encapContentInfo, а в Госзакупках: сначало нужно внешнее вычисление хэша → конвертация в Base64 → проверка ЭП.
Найдёт ли этот вопрос место в повестке заседания Экспертного совета при Минцифры по электронной подписи?
Please open Telegram to view this post
VIEW IN TELEGRAM
Три новости про архивное хранение
🔹Исследование LDM: три из четырех российских компаний рискуют потерять юридическую силу кадровых документов из-за неверного хранения.
🔹В Думе предложили не хранить кадровые документы 50 лет.
🔹Законопроект об архивном храненииблагополучно забыт включен в примерную программу решением Госдумы на июнь 2026 года
🔹Исследование LDM: три из четырех российских компаний рискуют потерять юридическую силу кадровых документов из-за неверного хранения.
🔹В Думе предложили не хранить кадровые документы 50 лет.
🔹Законопроект об архивном хранении
Замечания ИТ-комитета Госдумы к новому законопроекту о борьбе с киберпреступностью
Комитет Госдумы по информационной политике одобрил законопроект № 1110676-8, но с длинным списком замечаний.
Главные риски и противоречия:
🔹1. Противоречия внутри законопроекта.
Статья 2 даёт Банку России право устанавливать лимиты на количество платежных карт, а статья 7 уже устанавливает жёсткий лимит: не более 20 карт на человека.
🔹2. Запрет международных звонков "по-умолчанию".
Звонки с иностранных номеров на стационарные телефоны могут блокироваться автоматически. Это ударит по пожилым людям, которые могут ждать звонков от родных из-за границы. Комитет предлагает ввести механизм исключений.
🔹3. Риски для несовершеннолетних.
Родители обязаны сообщать оператору, если передают свой номер ребёнку. Но зачем? Цели неясны, ответственности за неисполнение нет, а база данных детей может стать мишенью для злоумышленников.
🔹4. Реестр "плохих" номеров: угроза для невиновных.
Если номер попал в реестр "подозрительных", его могут заблокировать. Но что, если номер потом перевыдали новому абоненту? Он унаследует проблемы предыдущего владельца. Механизм исключения из реестра не прописан.
🔹5. Информационная система как "начальник".
Государственная информационная система сможет давать обязательные указания операторам связи. Но система - не субъект права, у неё нет правоспособности, нарушение базовых принципов права.
🔹 6. Размытые критерии "запрещённой информации".
Закон позволяет блокировать информацию, которая "вводит в заблуждение". Но что под этим понимается? Чётких критериев нет.
🔹 7. Проблемы с терминологией.
В законе появляются термины вроде "мобильная версия приложения" или "вредоносный код", но их определений нет.
🔹 8. Доступ банков к данным абонентов.
Операторы связи будут передавать данные абонентов банкам без их согласия. Это прямое нарушение закона о персональных данных. Аналогичная норма уже отвергалась Госдумой ранее.
🔹9. Лишение абонента связи в непредвиденных случаях.
Если телефон сломался, нельзя будет просто вставить свою сим-карту в чужой аппарат - система может заблокировать услуги. Это лишает связи в экстренных ситуациях.
🔹10. Изменения в 63-ФЗ.
Переименовать закон "Об электронной подписи", добавив "и удостоверяющих центрах". Комитет пишет, что удостоверяющие центры уже есть в законе и обоснования для переименования нет. Также депутат критикуют идею снятия запрета на заключение договоров на услуги связи с использованием КЭП. Разбор в части 63-ФЗ будет в отдельных постах.
✅ Вывод комитета: закон нужен, но в текущем виде требует доработки с участием экспертов и учётом прав граждан.
Законопроект будет рассмотрен в первом чтении 10 февраля 2026 года (15 номер в повестке). Будем с вами следить за тем, какие замечания будут учтены.
✍️ Об ЭП и УЦ
Комитет Госдумы по информационной политике одобрил законопроект № 1110676-8, но с длинным списком замечаний.
Главные риски и противоречия:
🔹1. Противоречия внутри законопроекта.
Статья 2 даёт Банку России право устанавливать лимиты на количество платежных карт, а статья 7 уже устанавливает жёсткий лимит: не более 20 карт на человека.
🔹2. Запрет международных звонков "по-умолчанию".
Звонки с иностранных номеров на стационарные телефоны могут блокироваться автоматически. Это ударит по пожилым людям, которые могут ждать звонков от родных из-за границы. Комитет предлагает ввести механизм исключений.
🔹3. Риски для несовершеннолетних.
Родители обязаны сообщать оператору, если передают свой номер ребёнку. Но зачем? Цели неясны, ответственности за неисполнение нет, а база данных детей может стать мишенью для злоумышленников.
🔹4. Реестр "плохих" номеров: угроза для невиновных.
Если номер попал в реестр "подозрительных", его могут заблокировать. Но что, если номер потом перевыдали новому абоненту? Он унаследует проблемы предыдущего владельца. Механизм исключения из реестра не прописан.
🔹5. Информационная система как "начальник".
Государственная информационная система сможет давать обязательные указания операторам связи. Но система - не субъект права, у неё нет правоспособности, нарушение базовых принципов права.
🔹 6. Размытые критерии "запрещённой информации".
Закон позволяет блокировать информацию, которая "вводит в заблуждение". Но что под этим понимается? Чётких критериев нет.
🔹 7. Проблемы с терминологией.
В законе появляются термины вроде "мобильная версия приложения" или "вредоносный код", но их определений нет.
🔹 8. Доступ банков к данным абонентов.
Операторы связи будут передавать данные абонентов банкам без их согласия. Это прямое нарушение закона о персональных данных. Аналогичная норма уже отвергалась Госдумой ранее.
🔹9. Лишение абонента связи в непредвиденных случаях.
Если телефон сломался, нельзя будет просто вставить свою сим-карту в чужой аппарат - система может заблокировать услуги. Это лишает связи в экстренных ситуациях.
🔹10. Изменения в 63-ФЗ.
Переименовать закон "Об электронной подписи", добавив "и удостоверяющих центрах". Комитет пишет, что удостоверяющие центры уже есть в законе и обоснования для переименования нет. Также депутат критикуют идею снятия запрета на заключение договоров на услуги связи с использованием КЭП. Разбор в части 63-ФЗ будет в отдельных постах.
✅ Вывод комитета: закон нужен, но в текущем виде требует доработки с участием экспертов и учётом прав граждан.
Законопроект будет рассмотрен в первом чтении 10 февраля 2026 года (15 номер в повестке). Будем с вами следить за тем, какие замечания будут учтены.
Please open Telegram to view this post
VIEW IN TELEGRAM
Госдума не доверяет КЭП?
А какой ещё можно сделать вывод на такое замечание из заключения на законопроект об Антифроде 2.0:
Квалифицированная электронная подпись - аналог в силу 63-ФЗ собственноручной подписи, используется для подписания многомиллионных контактов, регистрации бизнеса, открытия счетов в банке, регистрации недвижимости, снятия самозапрета на кредит (против которого тоже раньше были) и т.д. и т.д. НЕ может использоваться для снятия самозапрета на заключение договоров связи.
Может тогда не пытаться переименовывать 63-ФЗ, а сразу отменить его?
✍️ Об ЭП и УЦ
А какой ещё можно сделать вывод на такое замечание из заключения на законопроект об Антифроде 2.0:
В соответствии с пунктом 72 статьи 45 Федерального закона «О связи», снятие запрета на заключение договоров об оказании услуг подвижной радиотелефонной связи возможно только при личном обращении в МФЦ.
Проектируемыми положениями предусматривается, что снятие запрета на заключение договоров об оказании услуг подвижной радиотелефонной связи может быть осуществлено, в том числе с использованием ЕПГУ в форме электронного документа, подписанного заявителем усиленной квалифицированной электронной подписью.
Необходимо отметить, что пункт 72 статьи 45 Федерального закона «О связи» вводился как мера, максимально затрудняющая процесс снятия обозначенного запрета злоумышленниками. Установление дистанционного способа снятия указанного запрета нуждается в обосновании, поскольку только личное присутствие является максимально безопасным способом идентификации физического лица при осуществлении им юридически значимых действий.
Квалифицированная электронная подпись - аналог в силу 63-ФЗ собственноручной подписи, используется для подписания многомиллионных контактов, регистрации бизнеса, открытия счетов в банке, регистрации недвижимости, снятия самозапрета на кредит (против которого тоже раньше были) и т.д. и т.д. НЕ может использоваться для снятия самозапрета на заключение договоров связи.
Может тогда не пытаться переименовывать 63-ФЗ, а сразу отменить его?
Please open Telegram to view this post
VIEW IN TELEGRAM
📣 Вторая аккредитация УЦ в 2026 году
В соответствии с решением Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров (протокол от 04.02.2026 № 2пр), продлена аккредитация УЦ Фонд «Центр инноваций и информационных технологий» (УЦ Нотариата).
В соответствии с решением Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров (протокол от 04.02.2026 № 2пр), продлена аккредитация УЦ Фонд «Центр инноваций и информационных технологий» (УЦ Нотариата).
Forwarded from Пост Лукацкого
Какой подарок государство могло подарить всем россиянам в день безопасного Интернет? Правильно, заблокировать в Интернете что-то, что касается всех. Но мы не унываем, продолжаем надеяться на массовый рост технической подкованности граждан.
Канал «Пост Лукацкого», переваливший вчера отметку в 35 тысяч🥳 подписчиков, продолжает жить и работать в Telegram. Любые клоны в иных мессенджерах - фейк и обман, пока иное не написано тут. Не исключаю более активное использование Хабра/Дзена для лонгридов, а также реинкарнацию блога. Видимо, РКН вынудит меня слезть с дивана и заняться сайтом 🤠
#суверенитет #мессенджер
Канал «Пост Лукацкого», переваливший вчера отметку в 35 тысяч
#суверенитет #мессенджер
Please open Telegram to view this post
VIEW IN TELEGRAM
Руководитель Центра финансовой экспертизы Роскачества предупредила о последствиях потери электронной подписи. Именно так и написано "потери электронной подписи". Роскачество что-ли установило себе KPI - безграмотная статья раз в четыре года. Переврали всё - ключи, сертификаты, подписи.
По какой статье - КоАП, а может УК РФ - Роскачество не уточняет.
Судебная практика на этот счёт говорит об обратном, к ответственности привлекают бухгалтеров (условной), совершивших хищение денежных средств с использованием ключей ЭП руководителей. Сами руководители к ответственности не привлекаются.
В ответ на новость Роскачества наш канал предупреждает - Руководитель Центра финансовой экспертизы Роскачества никогда не открывала 63-ФЗ "Об электронной подписи".
Наказание возможно при установлении факта небрежного отношения к обеспечению сохранности ЭП.
По какой статье - КоАП, а может УК РФ - Роскачество не уточняет.
Судебная практика на этот счёт говорит об обратном, к ответственности привлекают бухгалтеров (условной), совершивших хищение денежных средств с использованием ключей ЭП руководителей. Сами руководители к ответственности не привлекаются.
Если владелец квалифицированной ЭП проявил надлежащую заботу о ее сохранности и оперативно сообщил об утере или краже, то ответственность за незаконные действия обычно возлагается на кредитную организацию или третьих лицИ снова ни одного примера или хоть какой-то фактуры.
В ответ на новость Роскачества наш канал предупреждает - Руководитель Центра финансовой экспертизы Роскачества никогда не открывала 63-ФЗ "Об электронной подписи".
Forwarded from Пост Лукацкого
Настоящее криптографических исследований. Часть 4
9️⃣ Цифровые подписи и цифровая идентичность. Основные направления развития – внедрение новых алгоритмов подписи, развитие атрибутных и групповых подписей и интеграция подписи в системы цифровой идентификации. Прежде всего, это пост-квантовые подписи, например, алгоритм CRYSTALS-Dilithium. Ожидается, что через 1-2 года мы начнем видеть гибридные сертификаты (ECDSA + Dilithium) и поддержку PQ-подписей в HSM и смарт-картах. Параллельно исследуются альтернативные PQ-схемы: например, SPHINCS+ (на основе хеширования, без требований к генератору случайности при подписании) для случаев, где нужно избежать возможности провалов.
Кроме PQC, набирают популярность EdDSA на кривых Edwards (Ed25519, Ed448) – их массово внедряют благодаря лучшей производительности и простоте. Протоколы типа TLS 1.3, SSH, JSON Web Tokens постепенно переходят на Ed25519 как предпочтительную подпись. Это можно считать одной из современных тенденций – уход от RSA в новых системах в пользу эллиптических и даже пост-квантовых схем.
В контексте конфиденциальности интерес представляют схемы, позволяющие подписывать с сокрытием части информации. Например, атрибутные подписи позволяют подписать набор утверждений (атрибутов) и затем выборочно раскрывать только часть из них в подписи. Сходные идеи используются в системах удостоверений. Еще пример – групповая подпись, где она подтверждает, что ее автор – член определенной группы, но не идентифицирует конкретно кого. Такие механизмы исследуются для корпоративных систем (подпись от имени отдела, не раскрывая сотрудника) и для анонимных свидетельств (например, когда журналист публикует информацию, подтвержденную цифровой подписью, что он аккредитованное лицо, но остается анонимным).
Электронные подписи тесно связаны с системами электронных удостоверений личности. Развивается концепция SSI (Self-Sovereign Identity), где пользователь самостоятельно управляет своими идентификационными данными (обычно через мобильное приложение-кошелек), а доверие обеспечивается криптографическими протоколами и стандартами, например, DIDComm или Verifiable Credentials.
Важно отметить тенденцию: подпись переходит "под капот" пользовательских приложений. Если раньше пользователь сам ставил ЭП (например, через USB-токен), то новые системы (Google / Apple Passkeys, SSI-кошельки) делают это прозрачно – пользователь подтверждает действие биометрией, а приложение генерирует криптографическую подпись для аутентификации или подтверждения транзакции. Таким образом повышается безопасность (закрытый ключ никогда не выходит из устройства, часто хранится в Secure Enclave или аналогичном) и улучшается опыт (не нужно вводить пароли). Эта концепция получила название, ахаха, беспарольной аутентификации.
Наконец, стоит упомянуть квантовую криптографию для подписей: уже существуют прототипы квантовой цифровой подписи, использующие QKD-каналы и одноразовые ключи, но это очень нишевое направление.
#криптография #тенденции
Кроме PQC, набирают популярность EdDSA на кривых Edwards (Ed25519, Ed448) – их массово внедряют благодаря лучшей производительности и простоте. Протоколы типа TLS 1.3, SSH, JSON Web Tokens постепенно переходят на Ed25519 как предпочтительную подпись. Это можно считать одной из современных тенденций – уход от RSA в новых системах в пользу эллиптических и даже пост-квантовых схем.
В контексте конфиденциальности интерес представляют схемы, позволяющие подписывать с сокрытием части информации. Например, атрибутные подписи позволяют подписать набор утверждений (атрибутов) и затем выборочно раскрывать только часть из них в подписи. Сходные идеи используются в системах удостоверений. Еще пример – групповая подпись, где она подтверждает, что ее автор – член определенной группы, но не идентифицирует конкретно кого. Такие механизмы исследуются для корпоративных систем (подпись от имени отдела, не раскрывая сотрудника) и для анонимных свидетельств (например, когда журналист публикует информацию, подтвержденную цифровой подписью, что он аккредитованное лицо, но остается анонимным).
Электронные подписи тесно связаны с системами электронных удостоверений личности. Развивается концепция SSI (Self-Sovereign Identity), где пользователь самостоятельно управляет своими идентификационными данными (обычно через мобильное приложение-кошелек), а доверие обеспечивается криптографическими протоколами и стандартами, например, DIDComm или Verifiable Credentials.
Важно отметить тенденцию: подпись переходит "под капот" пользовательских приложений. Если раньше пользователь сам ставил ЭП (например, через USB-токен), то новые системы (Google / Apple Passkeys, SSI-кошельки) делают это прозрачно – пользователь подтверждает действие биометрией, а приложение генерирует криптографическую подпись для аутентификации или подтверждения транзакции. Таким образом повышается безопасность (закрытый ключ никогда не выходит из устройства, часто хранится в Secure Enclave или аналогичном) и улучшается опыт (не нужно вводить пароли). Эта концепция получила название, ахаха, беспарольной аутентификации.
Наконец, стоит упомянуть квантовую криптографию для подписей: уже существуют прототипы квантовой цифровой подписи, использующие QKD-каналы и одноразовые ключи, но это очень нишевое направление.
#криптография #тенденции
Please open Telegram to view this post
VIEW IN TELEGRAM
Вчера прошло первое чтение второго законопроекта о борьбе с кибермошенничеством. Стенограмма обсуждения здесь, кому интересно почитайте.
Основные тезисы выступлений и дискуссии
Поддерживающие позиции (Лебедев И.В., Боярский С.М.)
🔹Тренд сломан: Впервые зафиксировано снижение числа киберпреступлений (до 40% по отдельным видам).
🔹Необходимость жёстких мер: Мошенники - организованные группы, часто действующие с территорий недружественных государств.
🔹База IMEI: Позволит эффективнее бороться с кражей устройств и несанкционированным использованием SIM-карт.
🔹"Красная кнопка": Даст гражданам инструмент быстрой реакции на мошенничество.
🔹МАХ вместо SMS: Повысит безопасность😄 , так как SMS часто перехватываются мошенниками.
Критические замечания и вопросы депутатов
🔹Чрезмерный контроль:
- Депутаты выразили опасения, что меры затрагивают права добропорядочных граждан.
- Вопрос: как избежать излишнего вмешательства в частную жизнь
🔹Технические и практические вопросы:
- Как будет работать привязка IMEI при смене устройства?
- Как обеспечить доступность "красной кнопки" для людей с ограниченными возможностями и владельцев кнопочных телефонов?
🔹Дискриминация иностранцев:
- Почему иностранцам разрешено 10 SIM-карт, а россиянам 20? Не приведёт ли это к злоупотреблениям?
🔹Проблемы с блокировками:
- Каковы критерии внесудебной блокировки сайтов?
- Кто будет компенсировать ущерб в случае ошибочной блокировки
🔹Импортозамещение и связь: Высказаны опасения по поводу качества связи и зависимости от импортного оборудования.
🔹Коммуникация с гражданами:
- Депутаты указали на недостаток разъяснительной работы и социальной рекламы о мерах безопасности.
Итог: законопроект принят в первом чтении, будет дорабатываться ко второму чтению с учётом поступивших замечаний.
Вопросы законодательства об электронной подписи и создания национального УЦ не обсуждали.
✍️ Об ЭП и УЦ
Основные тезисы выступлений и дискуссии
Поддерживающие позиции (Лебедев И.В., Боярский С.М.)
🔹Тренд сломан: Впервые зафиксировано снижение числа киберпреступлений (до 40% по отдельным видам).
🔹Необходимость жёстких мер: Мошенники - организованные группы, часто действующие с территорий недружественных государств.
🔹База IMEI: Позволит эффективнее бороться с кражей устройств и несанкционированным использованием SIM-карт.
🔹"Красная кнопка": Даст гражданам инструмент быстрой реакции на мошенничество.
🔹МАХ вместо SMS: Повысит безопасность
Критические замечания и вопросы депутатов
🔹Чрезмерный контроль:
- Депутаты выразили опасения, что меры затрагивают права добропорядочных граждан.
- Вопрос: как избежать излишнего вмешательства в частную жизнь
🔹Технические и практические вопросы:
- Как будет работать привязка IMEI при смене устройства?
- Как обеспечить доступность "красной кнопки" для людей с ограниченными возможностями и владельцев кнопочных телефонов?
🔹Дискриминация иностранцев:
- Почему иностранцам разрешено 10 SIM-карт, а россиянам 20? Не приведёт ли это к злоупотреблениям?
🔹Проблемы с блокировками:
- Каковы критерии внесудебной блокировки сайтов?
- Кто будет компенсировать ущерб в случае ошибочной блокировки
🔹Импортозамещение и связь: Высказаны опасения по поводу качества связи и зависимости от импортного оборудования.
🔹Коммуникация с гражданами:
- Депутаты указали на недостаток разъяснительной работы и социальной рекламы о мерах безопасности.
Итог: законопроект принят в первом чтении, будет дорабатываться ко второму чтению с учётом поступивших замечаний.
Вопросы законодательства об электронной подписи и создания национального УЦ не обсуждали.
Please open Telegram to view this post
VIEW IN TELEGRAM
Мифы об электронной подписи.
Миф 19. Услуга по получению сертификата руководителя организации или ИП платная
На данный миф обратил внимание, после данного поста. В нашей сфере все в курсе, что сертификаты для руководителей юрлиц и индивидуальных предпринимателей с 01.01.2022 выдаёт Удостоверяющий центр ФНС России через свои инспекции или офисы доверенных лиц.
Требования к порядку реализации функций аккредитованного УЦ, утвержденные 584 приказом Минцифры, включают следующий раздел:
И отдельное уточнение для госУЦ:
Данная норма была включена 10 лет назад, когда в рамках общественного обсуждения мое предложение было учтено.
Из чего делаем один вывод - госУЦ (Налоговая, Казначейство, Банк России) выдают сертификаты на безвозмездной основе, их порядки реализации функций УЦ раздел про стоимость услуг не содержат. Услуга по получению сертификата руководителя организации или ИП бесплатная, где бы вы его не получали - в инспекции или у доверенных лиц.
Для получения сертификата необходим сертифицированный ключевой носитель (токен), на который записывается ключ электронной подписи и сам квалифицированный сертификат. Если используется технология мобильной электронной подписи - токен не требуется.
✍️ Об ЭП и УЦ
Миф 19. Услуга по получению сертификата руководителя организации или ИП платная
На данный миф обратил внимание, после данного поста. В нашей сфере все в курсе, что сертификаты для руководителей юрлиц и индивидуальных предпринимателей с 01.01.2022 выдаёт Удостоверяющий центр ФНС России через свои инспекции или офисы доверенных лиц.
Требования к порядку реализации функций аккредитованного УЦ, утвержденные 584 приказом Минцифры, включают следующий раздел:
г) стоимость услуг Удостоверяющего центра.
Данный подраздел должен содержать информацию о стоимости услуг Удостоверяющего центра, сроках и порядке расчетов за оказание услуг Удостоверяющего центра.
И отдельное уточнение для госУЦ:
Удостоверяющий центр, являющийся государственным органом и выдающий квалифицированные сертификаты ключей проверки электронных подписей (далее - квалифицированные сертификаты) заявителям на безвозмездной основе, могут не включать данный подраздел в свой Порядок
Данная норма была включена 10 лет назад, когда в рамках общественного обсуждения мое предложение было учтено.
Из чего делаем один вывод - госУЦ (Налоговая, Казначейство, Банк России) выдают сертификаты на безвозмездной основе, их порядки реализации функций УЦ раздел про стоимость услуг не содержат. Услуга по получению сертификата руководителя организации или ИП бесплатная, где бы вы его не получали - в инспекции или у доверенных лиц.
Для получения сертификата необходим сертифицированный ключевой носитель (токен), на который записывается ключ электронной подписи и сам квалифицированный сертификат. Если используется технология мобильной электронной подписи - токен не требуется.
Please open Telegram to view this post
VIEW IN TELEGRAM