Подписчики в чате подняли важный вопрос и привели пример, когда у пользователя с токена без его ведома был скопирован ключ ЭП организацией, оказывающей услуги по сдаче отчетности в ФНС и СФР. Он даже не понял, что произошло, только удивился:
Ему разъяснили в чем было дело и что это компрометация. На скрине видно, что сертификат с неэкспортируемой ключевой парой, с любого Рутокен lite можно скопировать контейнер нештатными способами, как бы он не записан - экспортируемым или неэкспортируемым. При риски, когда непонятная организация копирует ключи своих клиентов говорить не стоит, они огромные т.к. не понятно, что они ещё могут подписать ключами своих клиентов, кроме сдачи отчетности.
В этот раз они сами отправили уведомление в ФНС, сказав что мой ЭЦП якобы у них автоматически сохранился (!) с того, первого, раза
Ему разъяснили в чем было дело и что это компрометация. На скрине видно, что сертификат с неэкспортируемой ключевой парой, с любого Рутокен lite можно скопировать контейнер нештатными способами, как бы он не записан - экспортируемым или неэкспортируемым. При риски, когда непонятная организация копирует ключи своих клиентов говорить не стоит, они огромные т.к. не понятно, что они ещё могут подписать ключами своих клиентов, кроме сдачи отчетности.
Forwarded from Новости КриптоПро
Информационное письмо о получении нового заключения на «КриптоПро CSP» 5.0, 5.0 R2, 5.0 R3
Мы получили выписку из нового заключения ФСБ России (исх. № 149/3/2/1-1303) о соответствии средств криптографической защиты информации «КриптоПро CSP» версий 5.0, 5.0 R2 и 5.0 R3 требованиям к средствам криптографической защиты информации и требованиям к средствам электронной подписи по классам КС1, КС2 и КС3. Срок заключения — до 01 мая 2029 года.
По просьбам партнеров мы публикуем информационное письмо о полученной выписке.
Мы получили выписку из нового заключения ФСБ России (исх. № 149/3/2/1-1303) о соответствии средств криптографической защиты информации «КриптоПро CSP» версий 5.0, 5.0 R2 и 5.0 R3 требованиям к средствам криптографической защиты информации и требованиям к средствам электронной подписи по классам КС1, КС2 и КС3. Срок заключения — до 01 мая 2029 года.
По просьбам партнеров мы публикуем информационное письмо о полученной выписке.
cryptopro.ru
КриптоПро | Информационное письмо о получении нового заключения на «КриптоПро CSP» 5.0, 5.0 R2, 5.0 R3
Rutoken_Day_01.pdf
274.6 KB
PKCS#11 и самый низкий уровень встраивания устройств Рутокен
Rutoken_Day_02.pdf
957.3 KB
Биометрия сегодня. Альтернатива популярных методов биометрической идентификации
Rutoken_Day_03.pdf
716.9 KB
Криптографические операции смарт-карт
как все устроено
как все устроено
Rutoken_Day_06.pdf
1.8 MB
Новые функции, новые технологии, новые возможности
Rutoken_Day_07.pdf
543.1 KB
Рутокен Плагин
Особенности функциональности, встраивания и развития
Особенности функциональности, встраивания и развития
Rutoken_Day_08.pdf
2.6 MB
Технологические возможности и особенности Смарт-карт Рутокен
Соглашение и опубликование
Две недели назад между Правительством Российской Федерации и Правительством Республики Беларусь было подписано соглашение о порядке признания электронной подписи (электронной цифровой подписи) в электронном документе при трансграничном электронном взаимодействии, которое до настоящего времени не опубликовано.
Согласно тексту проекта - Соглашение вступает в силу с даты получения последнего письменного уведомления о выполнении Сторонами внутригосударственных процедур, необходимых для его вступления в силу.
Что это за процедуры?
Наличие договора (соглашения), заключаемого доверенными третьими сторонами, в котором определены требования к формату и структуре запроса на подтверждение подлинности электронного документа, а также техническая готовность ДТС (Минцифры и Национальный центр электронных услуг)
Кроме того, международные договоры подлежат официальному опубликованию по представлению МИД России. Может поэтому ни сайт, ни канал Минцифры ничего не написал про заключение соглашения.
Две недели назад между Правительством Российской Федерации и Правительством Республики Беларусь было подписано соглашение о порядке признания электронной подписи (электронной цифровой подписи) в электронном документе при трансграничном электронном взаимодействии, которое до настоящего времени не опубликовано.
Согласно тексту проекта - Соглашение вступает в силу с даты получения последнего письменного уведомления о выполнении Сторонами внутригосударственных процедур, необходимых для его вступления в силу.
Что это за процедуры?
Наличие договора (соглашения), заключаемого доверенными третьими сторонами, в котором определены требования к формату и структуре запроса на подтверждение подлинности электронного документа, а также техническая готовность ДТС (Минцифры и Национальный центр электронных услуг)
Кроме того, международные договоры подлежат официальному опубликованию по представлению МИД России. Может поэтому ни сайт, ни канал Минцифры ничего не написал про заключение соглашения.
1️⃣Количество аккредитованных УЦ увеличилось до 49 шт. - аккредитацию впервые получил УЦ ООО "Сибирская интернет компания"
2️⃣Согласно заключению Комитета Госдумы по финансовому рынку банкам предложат использовать НЭП Госключа при удаленном обслуживании физических лиц
3️⃣АРБ направлено новое письмо в Минцифры России о проблеме раскрытия персональных данных представителей кредитных организаций при оформлении МЧД
4️⃣Введены в эксплуатацию элементы трансграничного пространства доверия ЕАЭС
5️⃣Подписано соглашение между Россией и Белоруссией о порядке признания электронной подписи (электронной цифровой подписи) в электронном документе при трансграничном электронном взаимодействии, официально документ не опубликован
6️⃣Удостоверяющий центр ФНС России возобновил выдачу квалифицированных сертификатов со встроенной лицензией на КриптоПро CSP, заработал Портал программного обеспечения УЦ ФНС России
7️⃣Разработан проект Рекомендаций по стандартизации "Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе получения актуальных статусов сертификатов (OCSP)"
8️⃣КРИПТО-ПРО получено заключение ФСБ России о соответствии «КриптоПро CSP» версий 5.0, 5.0 R2 и 5.0 R3 требованиям к СКЗИ и требованиям к средствам ЭП по классам КС1, КС2 и КС3 — до 01 мая 2029 года.
9️⃣Опубликованы разъяснения Банка России по вопросам информационной безопасности, импортозамещения и использования СКЗИ
🔟Разработан проект постановления, предполагающий проведение эксперимента по реализации возможности получения квалифицированных сертификатов гражданами Российской Федерации за пределами страны
1️⃣1️⃣Статья "Практика использования электронной подписи в компаниях"
1️⃣2️⃣Окончание срока действия 01.06.2024 сертификата соответствия ФСБ России на Рутокен ЭЦП 2.0
Please open Telegram to view this post
VIEW IN TELEGRAM
29 февраля Европейский парламент проголосовал за одобрение eIDAS 2.
30 апреля 2024 г. Регламент 2024/1183 Европейского парламента и Совета от 11 апреля 2024 г., вносящий поправки в Регламент (ЕС) № 910/2014 (eIDAS 1.0) официально опубликован.
Внедрение eIDAS 2 ставит цель увеличить текущий уровень идентификации с 59% до 80% к 2030 году
В соответствии с изменениями Регламента введится кошелёк EUDI — инновационный комплекс, призванный упростить процесс идентификации на территории ЕС.
Европейские юристы называют eIDAS 2 революционным законодательным актом и поясняют, что кошелёк цифровой идентификации — это мобильное супер-приложение, которое позволит осуществлять идентификацию.
Ранее Mozilla сообщала, что предлагаемые изменения ставят под угрозу конфиденциальность граждан. В соответствии с eIDAS 2 производители браузеров будут должны принимать сертификаты, выданные центром сертификации, который одобрен любой страной ЕС, независимо от того, соответствует ли центр сертификации стандартам безопасности браузера.
Please open Telegram to view this post
VIEW IN TELEGRAM
Две новости про 01.05.2024:
🔹 Социальный фонд с сегодняшнего дня принимает листки нетрудоспособности только с МЧД. При этом изменения в 63-ФЗ "продлили" до сентября 2024 года возможность использования сотрудниками сертификатов юридических лиц без МЧД, но СФР игнорирует данную норму.
🔹Истекли сертификаты соответствия ФСБ России на КриптоПро CSP версии 5.0, НО оформление новых сертификатов только вопрос времени, т.к. новое заключение ФСБ России (исх. № 149/3/2/1-1303) выдано на срок до 1 мая 2029 года.
🔹 Социальный фонд с сегодняшнего дня принимает листки нетрудоспособности только с МЧД. При этом изменения в 63-ФЗ "продлили" до сентября 2024 года возможность использования сотрудниками сертификатов юридических лиц без МЧД, но СФР игнорирует данную норму.
🔹Истекли сертификаты соответствия ФСБ России на КриптоПро CSP версии 5.0, НО оформление новых сертификатов только вопрос времени, т.к. новое заключение ФСБ России (исх. № 149/3/2/1-1303) выдано на срок до 1 мая 2029 года.
Об ЭП и УЦ
Под новые санкции США также попали Аладдин Р.Д. (производитель ключевых носителей), ООО «Электронный архив»
15 мая планируется шестое заседание межведомственной рабочей группы высокого уровня по развитию ЭДО, на котором планируется рассмотреть расширенный план внедрения ЭДО, сообщает телеграм-канал "ЭДО для бизнеса".
Напомним подписчикам, что данный план разработан во исполнение пункта 4 раздела I Протокола пятого заседания межведомственной рабочей группы, которое прошло 25.08.2022.
Интересуют, в частности, новые сроки следующих пунктов:
🔹Требования к средствам удаленной («облачной»)
квалифицированной ЭП;
🔹Сертифицированное решение «облачной» квалифицированной ЭП;
🔹Получение «облачных» сертификатов в госУЦ;
🔹Создание и внедрение единой платформы подписания и хранения
документов.
Напомним подписчикам, что данный план разработан во исполнение пункта 4 раздела I Протокола пятого заседания межведомственной рабочей группы, которое прошло 25.08.2022.
Интересуют, в частности, новые сроки следующих пунктов:
🔹Требования к средствам удаленной («облачной»)
квалифицированной ЭП;
🔹Сертифицированное решение «облачной» квалифицированной ЭП;
🔹Получение «облачных» сертификатов в госУЦ;
🔹Создание и внедрение единой платформы подписания и хранения
документов.
Основными проблемами в настоящее время являются обеспечение длительного хранения документов и подтверждение в этом случае подлинности электронной подписи. Решение этих вопросов зависит не только от Федеральной службы по труду и занятости и носит долговременный характер
из документа "Стратегическое направление в области цифровой трансформации социальной сферы, относящейся к сфере деятельности Министерства труда и социальной защиты Российской Федерации, на период до 2030 года" - утв. распоряжением Правительства от 05.04.2024 № 842-р
Решение этих вопросов от Федеральной службы по труду и занятости совсем не зависит, а вот от кого зависит, прописано ли это в их документах и стратегических направлениях?
Данная статистика основана на сведениях сервиса СМЭВ "Регистрация квалифицированного сертификата ключа проверки электронной подписи в ЕСИА", все УЦ обязаны направлять сведения о выдаче квалифицированных сертификатах в ЕСИА (это вам не МЧД) и по статистике отправленных запросов и полученных ответов можно оценить объем выдачи сертификатов.
Последнее время статистика СМЭВ некорректная, приходится тратить больше времени на её подсчет. Например, в апреле по УЦ ФК количество запросов и ответов в два раза фактического объема выдачи, большие цифры по УЦ МТС - почти 250 тыс., хотя ранее данный УЦ не был в топе УЦ (возможно были зарегистрированы все ранее выданные сертификаты).
Please open Telegram to view this post
VIEW IN TELEGRAM
Компания Dropbox сообщает о кибератаке на свою платформу электронной подписи Dropbox Sign eSignature. Злоумышленники получили доступ к информации о клиентах, включая адреса электронной почты, имена пользователей, номера телефонов и хешированные пароли. Кроме того, они получили доступ к настройкам аккаунтов и ключам многофакторной аутентификации. Компания заявила, что не обнаружила никаких доказательств доступа к документам или другим сервисам компании.
«В ходе дальнейшего расследования мы обнаружили, что злоумышленники получили доступ к данным, в том числе информации о клиентах Dropbox Sign, включая адреса электронной почты, имена пользователей, номера телефонов и хешированные пароли, а также общие настройки аккаунтов и некоторые аутентификационные данные (такие как ключи API, токены OAuth и МФА)», —сообщают в Dropbox.
Злоумышленники взломали одну из служебных учётных записей, используемых для автоматизированного управления инфраструктурой, и через неё получили доступ к базе данных пользователей Dropbox Sign.
Dropbox сбросила пароли пользователей Dropbox Sign, отозвала маркеры доступа, инициировала смену криптографических ключей, а пострадавшим были разосланы инструкции по дополнительной защите их данных.
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Соглашение и опубликование Две недели назад между Правительством Российской Федерации и Правительством Республики Беларусь было подписано соглашение о порядке признания электронной подписи (электронной цифровой подписи) в электронном документе при трансграничном…
заверенный_текст_международного_договора_эл_подпись_14188_17_04.pdf
1.3 MB
⚡️Соглашение между Правительством Российской Федерации и Правительством Республики Беларусь о порядке признания электронной подписи (электронной цифровой подписи) в электронном документе при трансграничном электронном взаимодействии, подписанное 15.04.2024