Кажется, что такие вопросы относительно полномочий из федерального классификатора нужно адресовать не операторам ЭДО, а оператору классификатора т.е. Минцифры. Количество полномочий в классификаторе уже превышает 2,1 тыс.

Клерк:

Сегодня бухгалтерским аутсорсингом в России пользуются более 1 млн компаний и ИП. Чтобы бухгалтер-аутсорсер мог отправлять сдавать отчетность, ему нужна КЭП, которая выдается директору в единственном экземпляре. И если директор отдаст ее бухгалтеру, то передаст ему все свои полномочия, а сам останется без подписи. К тому же существует опасность, что недобросовестные аутсорсеры могут воспользоваться подписью в корыстных целях.

Более миллиона компрометаций ключей ЭП, очень большое число.

Когда стоимость доверенности - ноль

Примером является следующая доверенность - "на получение ЭЦП".  К сожалению, нотариусы продолжают выдавать такие безграмотные доверенности (что не видят разницы между "сертификатом" и "ЭЦП" даже говорит не хочется, закон причитать им слишком сложно, для них это "птичий язык").
Получатели таких доверенностей не понимают, что это нотариусы не знают закон 63-ФЗ, который не содержит норм на получение сертификатов за другое лицо на основании доверенности.
В итоге в отказах, что им не "выдают ЭЦП", обвиняют удостоверяющие центры. Как УЦ могут отказать? Им же представили целую нотариальную доверенность.

Прихожу к мнению, что нотариус может выдать доверенность на представление интересов хоть на Марсе, без разницы, что это нереализуемо, главное оплатите услугу.

Темп перехода сайтов госорганов на отечественные сертификаты безопасности от национального УЦ по-прежнему незначительный. Количество действующих TLS-сертификатов от национального УЦ составляет всего 0,26 %

Согласно рейтингу удостоверяющих центров количество выданных TLS сертификатов в доменной зоне .RU за 3 месяца увеличилось на 26 % - с 1 524 920 до 1 925 533 шт. (в зоне .РФ - с 199 906 до 228 637, в .SU - с 30 323 до 37 428). По сравнение с прошлым рейтингом появился новый УЦ от Google - GTS CA 1P5 (Google Trust Services) с долей 11 %:
🔹Let's Encrypt R3 - 1 531 312 шт. (79,53 %)
🔹GTS CA 1P5 - 211 982 (11,01 %)
🔹GlobalSign - 67 373 шт. (3,5 %)
🔹Let's Encrypt E1 - 64 196 шт. (3,33 %)
🔹AlphaSSL - 43 822шт. (2,28 %)
🔹Иные (в т.ч. НУЦ) - 6 848 (0,36 %)

Количество действующих TLS-сертификатов от национального УЦ ("отечественный RSA") составляет 4922 шт. т.е. всего 0,26 %.

На сертификат от НУЦ перешли сайты ФСТЭК, Казначейства России, Росреестра и др. А вот Минцифры и портал законодательной деятельности Госдумы нет, сайт Минцифры использует платный сертификат от GlobalSign, а СОЗД Госдумы - бесплатный трехмесячный сертификат от Let's Encrypt.

Источники - Интернет-ресурс «Домены России», CTlog

49 аккредитованных УЦ

В соответствии с решением Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров, аккредитацию впервые получил УЦ ООО "Сибирская интернет компания" (протокол от 01.04.2024 № 4пр)

Уровни доверия идентификации и аутентификации клиентов банков

Не мог пройти мимо Стандарта Банка России СТО БР БФБО-1.8-2024, которым установлен состав и содержание мер для обеспечения доверия к результатам идентификации и аутентификации клиентов при дистанционном банковском обслуживании (ДБО), всё-таки он затрагивает вопросы применения средств электронной подписи.

Использование СКЗИ и (или) средств электронной подписи при проведении идентификации и аутентификации должно осуществляться в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» [4], приказом ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» [10] и технической документацией на СКЗИ и (или) средство электронной подписи

Итак, для финансовых организаций устанавливаются три уровня доверия идентификации (УДИ), определяющих уверенность в результатах идентификации:
🔹низкий (УДИ 1) - может использоваться для предоставления информационных сервисов физлицам,
🔹средний (УДИ 2) - предоставление информационных сервисов юрлицам, не самые рисковые финансовые операции физлиц,
🔹высокий (УДИ 3) - высокорисковые финансовые операции физлиц, финансовые операции ЮЛ.

Примеры реализации процесса верификации в разрезе УДИ:
🔹УДИ 1 - подтверждение сведений через СМС; проверка паспорта по видеосвязи; проверка сведений о получателе поставщиком услуг; неподтвержденная УЗ ЕСИА.
🔹УДИ 2 - подтверждение сведений с использованием квалифицированного сертификата.
🔹УДИ 3 - подтвержденная УЗ ЕСИА+второй фактор аутентификации (например, СМС); подтверждение сведений посредством сервисов СМЭВ; подтверждение сведений с использованием загранпаспорта нового поколения; подтверждение с использованием ЕБС.

Не согласен с данным примером, что подтвержденная УЗ ЕСИА с СМС (второй фактор включили у всех по-умолчанию прошлой осенью) соответствует более высокому уровню, чем использование квалифицированного сертификата. Это даже 63-ФЗ противоречит, например, для удаленной идентификации с целью получения квалифицированного сертификата можно использовать: загранпаспорт нового поколения (да, технология доступна только для одного УЦ), связку ЕСИА+ЕБС, либо действующий квалифицированный сертификат. УЗ ЕСИА со вторым фактором использовать нельзя для получения сертификата, однако данный способ подтверждения личности отнесен к самому высокому уровню- УДИ 3.

Стандарт носит рекомендательный характер, вступает в силу с 01.07.2024.

Вид сведений СМЭВ - Проверка МЧД, необходимых для использования квалифицированной ЭП

Два месяца назад Минцифры в тестовой среде СМЭВ был зарегистрирован вид сведений "Проверка машиночитаемых доверенностей, необходимых для использования квалифицированной электронной подписи".

Руководство пользователя не самое подробное, логика проверок не описана, но из него можно узнать какой результат проверки можно получить:
🔹Проверка прошла успешно
🔹Неожиданная ошибка при проверке (нужно обращаться к разработчикам)
🔹Ошибка в формате передаваемых данных (нужно проверять передаваемые данные на предмет грубых ошибок в формате)
🔹МЧД не прошла проверку из-за истечения срока действия
🔹МЧД не прошла проверку

Опасная подпись - новый сюжет на ТВ про электронную подпись

Удостоверяющий центр, когда выпускает электронную подпись, он обязан передать в Госуслуги сертификат электронной подписи, а Госуслуги публикуют его в личном кабинете и отправляют на почту к привязанному аккаунту уведомление. Таким образом, если у вас грамотно всё настроено, вы мгновенно узнаете, о том что на ваше имя был выпущен сертификат и если это было не ваше действие не ваша воля, вы мгновенно сможете его аннулировать

Вроде небольшой текст, но столько в нем ошибок... на месте ведущей мог бы быть вопрос, а откуда берется сертификат, если удостоверяющий центр "выпускает" электронную подпись?
Далее, в ЕСИА передаётся не сам файл сертификата, а сведения о нем. Нельзя его мгновенно аннулировать через Госуслуги, заблокировать для использования на Госуслугах - да.

Введены в эксплуатацию элементы трансграничного пространства доверия

Коллегия ЕЭК распоряжением от 01.04.2024 № 41 ввела в эксплуатацию:
🔹удостоверяющий центр службы доверенной третьей стороны интегрированной информационной системы ЕАЭС;
🔹подсистему доверенной третьей стороны ЕЭК;
🔹удостоверяющий центр ЕЭК.

Дополнительно будет определен порядок идентификации лиц, представляющих заявления на получение (отзыв) сертификатов в удостоверяющий центр от имени уполномоченных доверенных третьих сторон государств Союза, не входящих в состав интегрированной информационной системы.

Опытная эксплуатация службы ДТС интегрированной информационной системы Евразийского экономического союза, была проведена с 24 июля по 30 ноября 2023 г.

Распоряжение вступает в силу по истечении 30 календарных дней с даты его опубликования на сайте ЕАЭС.

Сервисы ФОМС для УЦ

Продолжаю выяснять, какой сервис ФОМС в СМЭВ могут согласно части 1.1 ст. 18 63-ФЗ "Об электронной подписи" использовать удостоверяющие центры для подтверждения достоверности сведений, предоставленных заявителями.

ФОМС снова отвечает, что с 01.01.2022 не имеет аккредитированного удостоверяющего центра, но я про это и не спрашивал...

Федеральный закон № 63-ФЗ не обязывает Федеральный фонд разрабатывать информационную систему, подтверждающую какие-либо сведения, но обязывает обеспечить доступ к необходимым данным для оказания услуг всем участникам электронного взаимодействия.

Ответ напомнил позицию Росреестра на вопрос, почему они до сих пор требуют применение идентификаторов полномочий. Оказывается, что поправки в 63-ФЗ с ними не были согласованы...

Далее достаточно было предоставить ссылку на вид сведений в СМЭВ, но ссылки нет... Например, СФР предоставляет вид сведений "О соответствии фамильно-именной группы, даты рождения, пола и СНИЛС", который используют УЦ для проверки достоверности сведений заявителей в части СНИЛС. По букве закона, должен быть аналогичный сервис и у ФОМС, но кажется, что это очередная неработающая норма 63-ФЗ. Поиски сервиса продолжаются.

В Беларуси выдан двухмиллионный сертификат электронной цифровой подписи, а до конца 2025 года планируют внедрить облачную ЭЦП (здесь всё корректно, в Беларуси ЭЦП).

Владельцу двухмиллионного сертификата вручили памятный сертификат. У нас, к сожалению, такого нет. Например, владельцу миллионного квалифицированного сертификата Госключа - токен в подарок.

"В обычной жизни у нас электронная цифровая подпись часто ассоциируется с флешкой, с материальным носителем, где содержатся основные криптографические инструменты, которые обеспечивают безопасность и правовое применение. Но наличие носителя в том числе связано с определенными рисками. Этот инструмент можно потерять, он может попасть к другим лицам. Кроме того, не всегда мы заранее знаем, что попадем в ситуацию, где может понадобиться ЭЦП. Задача создания облачной ЭЦП заключается в том, чтобы основные криптографические документы хранились в защищенном облаке, на государственном информационном ресурсе. И к этому облаку возможно будет получить доступ при помощи специального защищенного программного обеспечения, приложения, установленного на мобильный телефон или на стационарный компьютер. Но для этого необходима технология установления защищенных каналов связи. Владелец облачной ЭЦП должен быть уверен, что доступ получит только он. Это и является поводом для развития различных инструментов биометрической идентификации, наряду с классическими вариантами паролей"

- сообщил первый заместитель директора Национального центра электронных услуг Андрей Филипенко.

Появится ли в нашей стране до 2025 года "облачная" квалифицированная подпись - вопрос открытый.

Новость, что с 1 июля 2014 года в Беларуси выдано 2 млн. сертификатов ЭП (ежедневно количество увеличивается в среднем на 1 500 единиц), натолкнула на мысль, а сколько в нашей стране выдано квалифицированных сертификатов?

Единой статистики нет, но за последние 4 года удалось получить примерные цифры по выданным квалифицированным сертификатам:
🔹2020 - 9,6 млн.
🔹2021 - 13,5 млн.
🔹2022 - 12,1 млн.
🔹2023 - 16,3 млн.
51,5 млн. - более 50 млн. за 4 года. Сейчас ежедневно выдаётся около 50 тыс. сертификатов.
УЦ ФК, например, сообщает в онлайн-витрине о выдаче 6 млн. с 01.07.2020.

Насчёт новости "ФНС может приостановить выпуск и продление ЭП на 3 дня" https://sbis.ru/news/uc/d8e8f140-8edb-474f-938c-1bfcb93a5d3d

Работы, которые планировались с 11 по 14 апреля, перенесены и будут проведены с 18.04.2024 (21:00) по 21.04.2024 (23:00).