Проблема массовой и не только криптографии
Проблемы применения электронной подписи будут увеличиваться с ростом количества используемых сертификатов. Рассмотрим одну их них - базовое игнорирование и непонимание пользователями требований по эксплуатации. Причина в сложности технологии (это объективно), поэтому и получаем, что в 99% случаях требования просто не соблюдаются.
Последний пример, который может каждый проверить по ссылке - протокол электронного голосования, а конкретно сертификаты членов комиссии. Все 12 сертификатов членов территориальной избирательной комиссии дистанционного электронного голосования нельзя назвать квалифицированными, т.к. для работы с квалифицированной ЭП должны использоваться сертифицированные средства электронной подписи (так написано в Федеральном законе № 63-ФЗ). Как можно понять, что данное требование не соблюдается - просто посмотреть на средство электронной подписи, которое использовалось при генерации ключевой пары и запроса на сертификат: КриптоПро CSP (5.0.12417) или КриптоПро CSP (5.0.12997 - у председателя), данные сборки не являются сертифицированными (кстати, тоже самое было с бюджетом Москвы). Почему настолько сложно приобрести дистрибутив СКЗИ с сертифицированной сборкой или хотя бы скачать? Базовое игнорирование и непонимание пользователями требований по эксплуатации.
Проблемы применения электронной подписи будут увеличиваться с ростом количества используемых сертификатов. Рассмотрим одну их них - базовое игнорирование и непонимание пользователями требований по эксплуатации. Причина в сложности технологии (это объективно), поэтому и получаем, что в 99% случаях требования просто не соблюдаются.
Последний пример, который может каждый проверить по ссылке - протокол электронного голосования, а конкретно сертификаты членов комиссии. Все 12 сертификатов членов территориальной избирательной комиссии дистанционного электронного голосования нельзя назвать квалифицированными, т.к. для работы с квалифицированной ЭП должны использоваться сертифицированные средства электронной подписи (так написано в Федеральном законе № 63-ФЗ). Как можно понять, что данное требование не соблюдается - просто посмотреть на средство электронной подписи, которое использовалось при генерации ключевой пары и запроса на сертификат: КриптоПро CSP (5.0.12417) или КриптоПро CSP (5.0.12997 - у председателя), данные сборки не являются сертифицированными (кстати, тоже самое было с бюджетом Москвы). Почему настолько сложно приобрести дистрибутив СКЗИ с сертифицированной сборкой или хотя бы скачать? Базовое игнорирование и непонимание пользователями требований по эксплуатации.
Операторы информационных систем хранения МЧД должны передавать информацию об МЧД в ЕСИА согласно 1481-ПП. Если до 01.03.2024 передача могла осуществляться при наличии технической возможности, то после - в обязательном порядке с использованием СМЭВ и (или) ЕПГУ, интегрированного с ЕСИА. Нашему каналу не удалось найти ни одного оператора хранения, который бы начал передачу в ЕСИА сведений об МЧД.
Также открыт раздела «Вопросы и ответы» с дополнительной информацией о порядке получения квалифицированных сертификатов в УЦ Банка России, общих и технических вопросах их использования:
🔹организация, желающая подать документы в Банк России для включения в государственный реестр ломбардов, пока еще не является участником финансового рынка, создание и выдача квалифицированных сертификатов такой организации осуществляется в УЦ ФНС России;
🔹количество создаваемых и выдаваемых УЦ Банка России квалифицированных сертификатов не ограничивается;
🔹создание и выдача квалифицированных сертификатов для участников финансового рынка осуществляется на безвозмездной основе;
🔹при получении квалифицированного сертификата в пункте выдачи сертификатов в территориальном учреждении Банка России необходимо личное присутствие лица, имеющего право действовать от имени юридического лица без доверенности или личное присутствие индивидуального предпринимателя.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
💻Вебинар «Оцифровка архива. Законодательные ограничения и перспективы использования» 2.04, 11:00 мск
Всё большее количество документов переходит в электронный вид. А исторически сложившиеся подходы к хранению электронных документов теряют актуальность.
На вебинаре рассмотрим новый алгоритм цифровой трансформации архива и критерии выбора программных продуктов для его организации.
Мы разберем:
✅ проблемы архивного хранения документов, подписанных электронной подписью при их создании;
✅ связь электронного архива и СЭД;
✅ предоставление доступа к архивной информации;
✅ обеспечение долговременной сохранности электронных документов.
📆 2 апреля, 11:00 мск
👉Зарегистрироваться
Всё большее количество документов переходит в электронный вид. А исторически сложившиеся подходы к хранению электронных документов теряют актуальность.
На вебинаре рассмотрим новый алгоритм цифровой трансформации архива и критерии выбора программных продуктов для его организации.
Мы разберем:
✅ проблемы архивного хранения документов, подписанных электронной подписью при их создании;
✅ связь электронного архива и СЭД;
✅ предоставление доступа к архивной информации;
✅ обеспечение долговременной сохранности электронных документов.
📆 2 апреля, 11:00 мск
👉Зарегистрироваться
Может ли удостоверяющий центр допустить опечатку в фамилии и выдать сертификат?
Может, но только если не использует для проверки сервисы СМЭВ. Аккредитованные УЦ обязаны осуществлять проверку достоверности документов и сведений, представленных заявителем, с использованием сервисов СМЭВ.
Если полученные сведения подтверждают достоверность информации, УЦ осуществляет создание и выдачу квалифицированного сертификата. Если проверка не прошла, то УЦ отказывает заявителю в выдаче квалифицированного сертификата.
Проверки СМЭВ исключают опечатки в персональных данных получателей сертификатов.
Может, но только если не использует для проверки сервисы СМЭВ. Аккредитованные УЦ обязаны осуществлять проверку достоверности документов и сведений, представленных заявителем, с использованием сервисов СМЭВ.
Если полученные сведения подтверждают достоверность информации, УЦ осуществляет создание и выдачу квалифицированного сертификата. Если проверка не прошла, то УЦ отказывает заявителю в выдаче квалифицированного сертификата.
Проверки СМЭВ исключают опечатки в персональных данных получателей сертификатов.
Новости из будущего
Может ли токен с ключом подписи быть вектором атаки злоумышленника? Да.
Учитывается ли это в моделях угроз? Нет.
Для совершения атаки должно произойти целая цепочка событий - получение удаленного доступа с перехватом работы, аутентификация в системе, подключен ключевой носитель, известен (привет заводским паролям 12345678) или сохранен в системе пароль от токена.
Полицейские выяснили, что потерпевший предприниматель пользуется флешкой с электронной подписью. Работница, которая осуществляла расчёты с помощью подписи, рассказала, что компьютер завис, а IT-специалист выяснил, что к ПК подключились неизвестные и, благодаря той самой флешке, смогли вывести со счёта больше 2 миллионов рублей.
Может ли токен с ключом подписи быть вектором атаки злоумышленника? Да.
Учитывается ли это в моделях угроз? Нет.
Для совершения атаки должно произойти целая цепочка событий - получение удаленного доступа с перехватом работы, аутентификация в системе, подключен ключевой носитель, известен (привет заводским паролям 12345678) или сохранен в системе пароль от токена.
Про ляпы и непонимание журналистов, когда они готовят репортажи на нашу тематику, можно говорить бесконечно. Я одно не понимаю, почему они не могут дать слово только профессионалам, а доводят своё ошибочное представление.
Вот так смешали ПЭП и НЭП.
Так КЭП ещё никто не называл.
АУЦ не 46, а 48
КриптоПро? Дикость же.
А вот здесь журналисты просто переврали статистику, количество сертификатов ЮЛ и ИП в 3 раза меньше.
Как обратили внимание подписчики - репортажи про ЭП выходят раз в год.
Самая простая, а по-другому неквалифицированная
Вот так смешали ПЭП и НЭП.
Серьезная подпись, защищенная или профильная
Так КЭП ещё никто не называл.
Выдаются в аккредитованных центрах, их 46
АУЦ не 46, а 48
На флешках не физическая подпись - программа
КриптоПро? Дикость же.
Ими пользуются все ИП и юрлица — в цифрах это 18 млн таких подписей!
А вот здесь журналисты просто переврали статистику, количество сертификатов ЮЛ и ИП в 3 раза меньше.
Как обратили внимание подписчики - репортажи про ЭП выходят раз в год.
Вторую неделю наблюдается нестабильная работа сервиса МВД в СМЭВ 3 по проверке паспортов. Ошибка выражается в получении от сервиса ответа:
SMEV-600: Очередь, в которую должно быть отправлено сообщение, заблокирована.
Ошибка связана с ограничением на допустимое количество сообщений в очереди запросов ИС-получателя сообщения и вызвана несвоевременным разбором входящей очереди ИС получателя запроса.
Также очень долго (более двух месяцев) рассматриваются заявки на согласование доступа к сервису МВД, заведённые в личном кабинете участника взаимодействия. По имеющейся информации очередь заявок должны рассмотреть до конца марта.
Осенью на проблему с проверками МВД обращали внимание банковские ассоциации
Please open Telegram to view this post
VIEW IN TELEGRAM
Приказом ФНС России от 27.03.2024 № ЕД-7-26/245@ в Унифицированный формат транспортного контейнера при информационном взаимодействии с приемными комплексами налоговых органов по телекоммуникационным каналам связи с использованием электронной подписи внесено использование алгоритмов шифрования ГОСТ 34.12-2018 («Магма», «Кузнечик») и ГОСТ 34.13-2018 вместо ГОСТ 28147-89
Оповещение с Госуслуг об окончании сроков действия сертификатов
Госуслуги⚡️ за 2 недели до окончания срока действия квалифицированных сертификатов направляет оповещения с напоминаем. Для случаев, когда сроки действия сертификатов 12 или 15 месяцев вопросов нет, а если срок действия сертификата 12 лет?
Сейчас не многие УЦ выдают "долгосрочные" 12-летние сертификаты (например, УЦ ЦБ), но тенденция идет к тому, что их количество будет увеличиваться, как коммерческими, так и госУЦ. Не забываем, что 12 лет - срок действия сертификата, при этом срок действия ключа ЭП, в течение которого можно создавать подпись, меньше, чаще всего это 15 месяцев.
Что будет с оповещениями от Госуслуг для владельцев таких сертификатов? С текущем функционалом Госуслуг они получат оповещение через 11 лет 11 месяцев и 2 недели т.к. отсчет оповещения идет от окончания срока действия сертификата, а не ключа ЭП. Госуслуги просто ничего "не знают" про срок действия ключа ЭП, им эти сведения не передаются.
Для корректного оповещения владельцев "долгосрочных" сертификатов потребуется доработка функционала Госуслуг, но нашему каналу кажется, что она уже сейчас должна быть реализована.
🚀 Об ЭП и УЦ
Госуслуги
Сейчас не многие УЦ выдают "долгосрочные" 12-летние сертификаты (например, УЦ ЦБ), но тенденция идет к тому, что их количество будет увеличиваться, как коммерческими, так и госУЦ. Не забываем, что 12 лет - срок действия сертификата, при этом срок действия ключа ЭП, в течение которого можно создавать подпись, меньше, чаще всего это 15 месяцев.
Что будет с оповещениями от Госуслуг для владельцев таких сертификатов? С текущем функционалом Госуслуг они получат оповещение через 11 лет 11 месяцев и 2 недели т.к. отсчет оповещения идет от окончания срока действия сертификата, а не ключа ЭП. Госуслуги просто ничего "не знают" про срок действия ключа ЭП, им эти сведения не передаются.
Для корректного оповещения владельцев "долгосрочных" сертификатов потребуется доработка функционала Госуслуг, но нашему каналу кажется, что она уже сейчас должна быть реализована.
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Президент Беларуси сегодня подписал Указ № 72, которым одобрил в качестве основы для проведения переговоров проект межправительственного соглашения Беларуси и России о порядке признания электронной подписи (электронной цифровой подписи) в электронном документе…
Заместитель премьер-министра Белоруссии Игорь Петришенко сообщил, что Минск и Москва находятся на завершающей стадии по подписанию межправительственного белорусско-российского соглашения о признании электронной подписи в электронном документе при трансграничном электронном взаимодействии
Азербайджан - облачные технологии на службе у бизнеса
Россия - на службе бизнеса 144 постановление с непроходимым клиентским путем
Россия - на службе бизнеса 144 постановление с непроходимым клиентским путем
Юбилей - 30 лет на рынке кибербезопасности👍
Сегодняшний первый пост с картой российского рынка ПО не был случаен. В 2024 году исполняется 30 лет компании, которая присутствует на данной карте, и без которой рынок средств защиты информации и электронной подписи в нашей стране просто невозможно представить. Я говорю про компанию "Актив".
Моё знакомство с их продукцией состоялось в 2007 году, когда на 4 курсе учёбы в университете я, как и многие студенты, начал работать. Занимался автоматизацией ресторанов, фуд-кортов, и для защиты лицензионных прав использовался Guardant. Через 3 года познакомился с Рутокен - флагманским решением на рынке ключевых носителей. Миллионам пользователей электронной подписи в нашей стране известно данное название, оно даже более известно, чем компания, которая их разработала.
За прошлый год компанией "Актив" произведено более 3 млн. Рутокенов и так получилось, что количество ваших просмотров всех постов в канале также превысило 3 млн. Только представьте, за время просмотра одного поста в течение нескольких секунд производится один токен.
Поздравляю коллектив компании "Актив" с юбилеем и желаю дальнейшей продуктивной работы, новых решений, высоких целей и достижений🏆 !
Сегодняшний первый пост с картой российского рынка ПО не был случаен. В 2024 году исполняется 30 лет компании, которая присутствует на данной карте, и без которой рынок средств защиты информации и электронной подписи в нашей стране просто невозможно представить. Я говорю про компанию "Актив".
Моё знакомство с их продукцией состоялось в 2007 году, когда на 4 курсе учёбы в университете я, как и многие студенты, начал работать. Занимался автоматизацией ресторанов, фуд-кортов, и для защиты лицензионных прав использовался Guardant. Через 3 года познакомился с Рутокен - флагманским решением на рынке ключевых носителей. Миллионам пользователей электронной подписи в нашей стране известно данное название, оно даже более известно, чем компания, которая их разработала.
За прошлый год компанией "Актив" произведено более 3 млн. Рутокенов и так получилось, что количество ваших просмотров всех постов в канале также превысило 3 млн. Только представьте, за время просмотра одного поста в течение нескольких секунд производится один токен.
Поздравляю коллектив компании "Актив" с юбилеем и желаю дальнейшей продуктивной работы, новых решений, высоких целей и достижений
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Privacy Advocates
👮♂️ Прокуратура Саратовской области в ГАУ СО «МФЦ» выявила нарушения законодательства о защите информации и персональных данных. Перечень выявленных нарушений:
🔸на жестких дисках автоматизированных рабочих мест (АРМ) обнаружены файлы, содержащие пароли и парольные фразы средств криптографической защиты информации, а также файлы закрытой части ключа электронно-цифровой подписи;
🔸одно из АРМ не оборудовано средствами контроля на предмет его вскрытия;
🔸отсутствует журнал поэкземплярного учета средств криптографической защиты информации.
⚠️ В отношении курирующего заместителя директора ГАУ СО «МФЦ» дело об административном правонарушении по ч. 6 ст. 13.12 КоАП РФ.
🔸на жестких дисках автоматизированных рабочих мест (АРМ) обнаружены файлы, содержащие пароли и парольные фразы средств криптографической защиты информации, а также файлы закрытой части ключа электронно-цифровой подписи;
🔸одно из АРМ не оборудовано средствами контроля на предмет его вскрытия;
🔸отсутствует журнал поэкземплярного учета средств криптографической защиты информации.
⚠️ В отношении курирующего заместителя директора ГАУ СО «МФЦ» дело об административном правонарушении по ч. 6 ст. 13.12 КоАП РФ.
Privacy Advocates
👮♂️ Прокуратура Саратовской области в ГАУ СО «МФЦ» выявила нарушения законодательства о защите информации и персональных данных. Перечень выявленных нарушений: 🔸на жестких дисках автоматизированных рабочих мест (АРМ) обнаружены файлы, содержащие пароли и…
Решил отдельно прокомментировать данную проверку. У подписчиков может возникнуть вопрос, а причём тут прокуратура и проверка использования СКЗИ? Ещё и журнал поэкземплярного учёта СКЗИ по 152-ФАПСИ включили.
Прокуратура в нашей стране👮♂️ - это единая федеральная система государственного надзора за исполнением законов. Каких законов? Любых. При этом Закон о прокуратуре детально не регламентирует процедуру проведения прокурорских проверок, описывает проверки только в общем виде, предмет и пределы проверки законом не ограничены. Что было основанием для проведения проверки из размещённой информации не ясно, в плане проверок такой проверки нет. Поэтому скорее всего проверка была внеплановой.
Что нашли прокуроры:
🔹 компьютеры, имеющие выход в сеть «Интернет»;
🔹на компьютерах хранились пароли, в том числе от средств криптографической защиты информации;
🔹закрытый ключ ЭП на жёстком диске (в реестре или файлы в папке?) - был ли он или сертификат от данного ключа ещё действующими, история умалчивает, а то могли нарушение нормы про немедленное уничтожение ключа ЭП приписать;
🔹 отсутствие журналаучёта журналов поэкземплярного учёта СКЗИ.
🔨 Итог проверки - директору представление, курирующему заместителю директора административку по ч. 6 ст. 13.12 КоАП (нарушение требований о защите информации, от 1000 до 2000 руб.).
На счастье данного МФЦ они не осуществляют сбор биометрии через криптобиокабины. А применительно самой прокуратуры есть следующая деталь, несмотря на окончание аккредитации УЦ Генпрокуратуры и вывод из эксплуатации ПАК, и в 2024 году они продолжают регистрировать сертификаты в ЕСИА.
Прокуратура в нашей стране
Что нашли прокуроры:
🔹 компьютеры, имеющие выход в сеть «Интернет»;
🔹на компьютерах хранились пароли, в том числе от средств криптографической защиты информации;
🔹закрытый ключ ЭП на жёстком диске (в реестре или файлы в папке?) - был ли он или сертификат от данного ключа ещё действующими, история умалчивает, а то могли нарушение нормы про немедленное уничтожение ключа ЭП приписать;
🔹 отсутствие журнала
На счастье данного МФЦ они не осуществляют сбор биометрии через криптобиокабины. А применительно самой прокуратуры есть следующая деталь, несмотря на окончание аккредитации УЦ Генпрокуратуры и вывод из эксплуатации ПАК, и в 2024 году они продолжают регистрировать сертификаты в ЕСИА.
Please open Telegram to view this post
VIEW IN TELEGRAM