Поправки Минкомсвязи России в Федеральный закон «Об электронной подписи» одобрены Советом Федерации
Закон будет подписан в конце декабря 2015 года и получит номер 445. Начнётся большая реформа сферы электронной подписи.
Please open Telegram to view this post
VIEW IN TELEGRAM
❓Да простая ли ты подпись?
Подмена понятий, связанная с использованием технологии простой электронной подписи, характерна для крупных организаций.
К московскому метро с их офертой присоединяется Яндекс Маркет:
Яндекс крупная компания, ещё позиционирует себя цифровой, но как послушаешь их спикеров на конференциях - то кабина МФЦ не работала для сдачи биометрии, то закона о компьютерах не хватает (привет 149-ФЗ), задаёшься вопросом, а они понимают о чем говорят? Это действительно то, что от их хотят услышать?
При этом уверен, если задать самый простой вопрос - а где у вас шифрование между ЦОДами, ни первый, ни второй спикер не ответит, вот такая цифровизация.
Подмена понятий, связанная с использованием технологии простой электронной подписи, характерна для крупных организаций.
К московскому метро с их офертой присоединяется Яндекс Маркет:
Нажимая кнопку "Понятно", вы соглашаетесь на
• обработку персональных данных
• использование ПЭП
• присоединение к многостороннему Соглашению
Яндекс крупная компания, ещё позиционирует себя цифровой, но как послушаешь их спикеров на конференциях - то кабина МФЦ не работала для сдачи биометрии, то закона о компьютерах не хватает (привет 149-ФЗ), задаёшься вопросом, а они понимают о чем говорят? Это действительно то, что от их хотят услышать?
При этом уверен, если задать самый простой вопрос - а где у вас шифрование между ЦОДами, ни первый, ни второй спикер не ответит, вот такая цифровизация.
В Госдуму 3 декабря внесен законопроект, позволяющий дольщику подписывать акт приема-передачи квартиры в новостройке с помощью неквалифицированной электронной подписи.
В настоящее время подписания передаточного акта возможно:
🔹в бумажном виде дольщиком, после чего застройщик сканирует документ и подписывает своей КЭП.
🔹дольщик и застройщик сразу подписывают электронный документ КЭП.
Из пояснительной записки:
При этом выпуск сертификата усиленной квалифицированной электронной подписи без личного присутствия гражданина возможен лишь при его удаленной идентификации при наличии действующего загранпаспорта нового образца и телефона или планшета с NFC, либо при наличии подтвержденной биометрии (если гражданин зарегистрирован в Единой биометрической системе).
Приведенные способы удаленной идентификации не являются массовыми (к примеру, выдано не более 27 млн биометрических заграничных паспортов), что свидетельствует об отсутствии возможности подписания передаточного акта без личного присутствия удобными и незатратными способами.
Следует также отметить, что подписание передаточного акта в форме электронного документа усиленной квалифицированной электронной подписью влечет дополнительную нагрузку в виде затрат на получение сертификата ключа усиленной квалифицированной электронной подписи.
Понимают ли депутаты о каком НЭП речь? Конечно понимают, они же внесли ранее НЭП в часть 2.1 статьи 19 № 218-ФЗ «О государственной регистрации недвижимости»:
... может быть подписана усиленной неквалифицированной электронной подписью физического или юридического лица
даже МЧД с НЭП не требуют.
Почему эта НЭП - не Госключ. Во всех НПА для Госключа используется своя формулировка:
усиленная неквалифицированная электронная подпись, сертификат ключа проверки которой создан и используется в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме...
А мы имеем дело с классической НЭП, поэтому должно быть соглашение о признании электронных документов, отдельный УЦ для неквалифицированных сертификатов, процедура выдачи сертификатов. Понимают ли это депутаты?
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
❓Открытые вопросы по Головному УЦ
✍️ В начале сентября на запрос:
был получен ответ:
До настоящего времени смены корневого не было❌, а срок действия ключей ЭП сертификатов подчинённых УЦ уже превышает заявленный 8-летних срок действия ключа ЭП самого ГУЦ.
Согласно информации со страницы https://e-trust.gosuslugi.
ru/registry/main корневой сертификат Головного удостоверяющего центра был создан 08.01.2022 сроком действия на 18 лет, в качестве средства электронной подписи используется HSM. Прошу сообщить: 1. Установленный срок действия закрытого ключа ЭП корневого сертификата Головного УЦ. 2. Планируемый срок создания нового корневого сертификата Головного УЦ.
был получен ответ:
Сообщаем, что срок действия ключа подписи, связанного с корневым сертификатом головного удостоверяющего центра в соответствии с документацией на комплекс УЦ составляет 8 лет. Планируемый срок выпуска очередного корневого сертификата - до конца 2025 года.
До настоящего времени смены корневого не было❌, а срок действия ключей ЭП сертификатов подчинённых УЦ уже превышает заявленный 8-летних срок действия ключа ЭП самого ГУЦ.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Мониторинг АУЦ
Более недели Мониторинг АУЦ не отображает актуальную информацию о доступности CRL аккредитованных удостоверяющих центров, застыв во втором часу ночи 2 декабря.
Up. Заработало✅
Более недели Мониторинг АУЦ не отображает актуальную информацию о доступности CRL аккредитованных удостоверяющих центров, застыв во втором часу ночи 2 декабря.
Up. Заработало✅
Биометрия бывает упрощенная, стандартная и подтвержденная.
Уровень зависит от полноты предоставленных сведений и способа регистрации:
🔹упрощенная - регистрация в приложении «Госуслуги Биометрия» без использования загранпаспорта.
🔹стандартная - регистрация в приложении «Госуслуги Биометрия» с использованием загранпаспорта.
🔹подтвержденная - через личное посещение центра обслуживания (банка/МФЦ).
Если использование Подтвержденной биометрии было введено 476-ФЗ и вступило в силу с 1 июля 2020 года, то Стандартная - совсем недавно. Постановление Правительства от 07.08.2025 № 1183 ввело возможность использовать стандартную биометрию только для получения сертификатов физлиц (поэтому на сертификаты госУЦ данная норма не распространяется).
Сначала хотел задать вопрос "Много ли сертификатов физлиц было выдано по стандартной биометрии?". Сразу напрашиваются сертификаты физлиц в Госключе, но там только подтвержденная биометрия. Поэтому задам другой вопрос - коммерческие АУЦ вообще в курсе существования данной нормы?
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
После вступления в силу федерального закона о временных ограничительных мерах в отношении лиц, находящихся за пределами Российской Федерации и уклоняющихся от исполнения наказания (1 марта 2026 года), указанным лицам будет запрещено использоваться электронную подпись для подписания документов и получать квалифицированный сертификат, все ранее выданные квалифицированные сертификаты будут признаны недействительными
sozd.duma.gov.ru
№1095029-8 Законопроект :: Система обеспечения законодательной деятельности
Информационный ресурс Государственной Думы. Здесь собрана информация о рассмотрении законопроектов и проектов постановлений Государственной Думы
Подписан приказ Минцифры России от 09.12.2025 № 1157 об Экспертном совете по вопросам внедрения и использования электронной подписи и сертификатов безопасности.
В фокусе работы не только нормативка и технологии, но и создание, выдача и работа сертификатов безопасности НУЦ.
Деятельность прошлого Экспертного совета была нулевой, единственное заседание прошло в декабре 2013 года, всё. Проблемы сферы, например, с долговременным хранением, не решались, только создавались новые, в итоге имеем:
🔹ни одно сертифицированное средство электронной подписи в стране не выполняет требования приказа Минцифры от 14 сентября 2020 года N 472 о формате электронной подписи.
🔹ни один удостоверяющий центр в стране не выполнял до 2025 года норму части 3 статьи 18 63-ФЗ, как она была написана, в части ознакомления с информацией о квалифицированном сертификате.
🔹в 2020 году граждане, которые в период пандемии были лишены возможности посетить удостоверяющий центр, не были обеспечены трехмесячными квалифицированными сертификатами. Ни один аккредитованный УЦ технически не был готов выполнить норму 166-ФЗ.
🔹более года Минцифры использовало несертифицированное средство электронной подписи (в том числе для подписания XML-представления аккредитованных УЦ) в инфраструктуре электронного правительства.
🔹Госуслуги не оповещают о приближении окончания срока квалифицированных сертификатов от УЦ ИИТ, полученных через Госключ.
Это только часть, сейчас к ним добавился ещё и ГУЦ.
Насколько эффективным будет новый совет покажет время, останется он и дальше ДСП или будет способствовать решению вопросов и развитию сферы. Обсуждать проблемы на имеющихся площадках в нашей сфере не принято, Минцифры может обидеться и не приехать следующий раз.
Что будет с Экспертным советом по вопросам совершенствования электронного документооборота в органах государственной власти - вопрос открытый.
Please open Telegram to view this post
VIEW IN TELEGRAM
Женщина удаленно работала бухгалтером у индивидуального предпринимателя. Работодатель доверил ей доступ к расчетному счету компании, своей электронной подписи и телефону, на который приходили коды подтверждения транзакций. С апреля 2023 по август 2024 года она систематически похищала деньги.
Очередная классическая история, бухгалтер украл деньги со счета.
Бухгалтеры продолжают оставаться главной причиной компрометации ключей электронной подписи в нашей стране.
❌Более миллиона ключей скомпрометировано бухгалтерами-аутсорсерами, каждый ИП, который передал свой токен с ключом, может статьи героем новой аналогичной истории.
Простая специальная подпись
К ни разу не открывавшим 63-ФЗ Московскому метро и Яндекс.Маркету присоединяется Озон Банк.
- выход найден, подпиши соглашение об использовании электронной подписи кодом из смс и "подписывай" банковские договоры онлайн. Номинантов премии "Профанация года" становится всё больше.
К ни разу не открывавшим 63-ФЗ Московскому метро и Яндекс.Маркету присоединяется Озон Банк.
Госключ - это же ужас какой-то. Ставить эти приблуды ваши, криптопро какое-то
- выход найден, подпиши соглашение об использовании электронной подписи кодом из смс и "подписывай" банковские договоры онлайн. Номинантов премии "Профанация года" становится всё больше.
Forwarded from кабачковая икра по акции
2025 год заканчивается под эгидой бесконечного протекционизма во всём:
• Ради сборов российских фильмов в прокат не пускают «Аватар 3» и Голливуд
• Ради одного национального мессенджера блокируют всё
• Ради российского ПО запрещают и блокируют иностранное
• Ради перетекания рекламных бюджетов на российские площадки запретили рекламу в запрещённых соцсетях
Можно привести ещё сотни примеров, но общая логика такая — давайте запретим иностранное и вот тогда наше российское обязательно взлетит. Это понятная, но слабая позиция: запретами и блокировками вы признаёте, что в открытой и честной конкуренции победить неспособны.
Мы до сих пор смотрим фильмы Балабанова и Тарковского — им нестрашен ни Голливуд, ни третий Аватар, ради них не нужно искусственно регулировать прокат и что-то запрещать.
Мы пользуемся Телеграмом — продуктом, сделанным русскими, который завоевал весь мир — и ради него не то что не блокировали других, ради него миллионы людей каждый день ищут костыли, чтобы пользоваться им и дальше.
Мы и миллионы иностранцев во всём мире смотрим российский балет — ради него не нужно запрещать датский, итальянский, какой угодно балет, ведь наш балет лучший в мире.
Сильному сервису, продукту, делу или индустрии не нужны ни запреты, ни поддержка государства — люди будут пользоваться этим без всяких дополнительных стимулов. Но если ваш продукт или целая индустрия слабые — им не помогут ни запреты, ни попытки насильно навязать это.
• Ради сборов российских фильмов в прокат не пускают «Аватар 3» и Голливуд
• Ради одного национального мессенджера блокируют всё
• Ради российского ПО запрещают и блокируют иностранное
• Ради перетекания рекламных бюджетов на российские площадки запретили рекламу в запрещённых соцсетях
Можно привести ещё сотни примеров, но общая логика такая — давайте запретим иностранное и вот тогда наше российское обязательно взлетит. Это понятная, но слабая позиция: запретами и блокировками вы признаёте, что в открытой и честной конкуренции победить неспособны.
Мы до сих пор смотрим фильмы Балабанова и Тарковского — им нестрашен ни Голливуд, ни третий Аватар, ради них не нужно искусственно регулировать прокат и что-то запрещать.
Мы пользуемся Телеграмом — продуктом, сделанным русскими, который завоевал весь мир — и ради него не то что не блокировали других, ради него миллионы людей каждый день ищут костыли, чтобы пользоваться им и дальше.
Мы и миллионы иностранцев во всём мире смотрим российский балет — ради него не нужно запрещать датский, итальянский, какой угодно балет, ведь наш балет лучший в мире.
Сильному сервису, продукту, делу или индустрии не нужны ни запреты, ни поддержка государства — люди будут пользоваться этим без всяких дополнительных стимулов. Но если ваш продукт или целая индустрия слабые — им не помогут ни запреты, ни попытки насильно навязать это.
На уходящей неделе в рамках форума "Антифрод Россия" заместителем министра цифры озвучена дата 01.09.2027, как создание Национального удостоверяющего центра и внедрение российских сертификатов безопасности.
Даты 1 сентября 2027 нет в редакции законопроекта по Антифроду, который прошел оценку регулирующего воздействия.
Ключевые этапы в части НУЦ из имеющейся редакции:
🔹01.01.2027 - вступают в силу фундаментальные нормы, создающие правовую основу для Национального удостоверяющего центра (НУЦ): определение и назначение сертификата (ч. 1), порядок утверждения Положения о системе и определения оператора (ч. 2, 3), структура системы (ч. 4) и виды сертификатов (ч. 5), порядок установления требований уполномоченным органом (ч. 6), правила бесплатной выдачи сертификатов госорганам и иным организациям (ч. 7), полномочия для некоммерческих организаций и регистраторов/хостинг-провайдеров (ч. 9, 10).
🔹01.07.2027 - начало практического внедрения, вступают в силу нормы для ключевых участников рынка:
- для разработчиков: обязанность предустанавливать сертификаты корневого НУЦ в средствах криптозащиты (ч. 11) и определенном ПО (ч. 12).
- для государства: обязанность госорганов обеспечить возможность взаимодействия с использованием сертификатов НУЦ (ч. 13).
🔹01.01.2028, этап коммерциализации: вступают в силу финальные положения.
- платные сертификаты: норма, разрешающая взимать плату с коммерческих организаций за выдачу сертификатов (ч. 8), сами правила установления размера этой платы начинают применяться уже с 01.07.2027.
- Правительство России получает право устанавливать случаи обязательного использования сертификатов НУЦ (ч. 14).
Законодатель выбрал поэтапный подход: сначала создается система и её базовые правила (2027), затем на ключевые группы накладываются обязанности по её использованию (середина 2027), и в последнюю очередь вводятся коммерческие нормы и возможность полного обязательного перехода (2028).
С учётом озвученной даты 1 сентября 2027 года, как создания НУЦ, приведенные сроки должны сдвинуться вправо, ждём внесения законопроекта в Госдуму.
✍️ "Об ЭП и УЦ"
Даты 1 сентября 2027 нет в редакции законопроекта по Антифроду, который прошел оценку регулирующего воздействия.
Ключевые этапы в части НУЦ из имеющейся редакции:
🔹01.01.2027 - вступают в силу фундаментальные нормы, создающие правовую основу для Национального удостоверяющего центра (НУЦ): определение и назначение сертификата (ч. 1), порядок утверждения Положения о системе и определения оператора (ч. 2, 3), структура системы (ч. 4) и виды сертификатов (ч. 5), порядок установления требований уполномоченным органом (ч. 6), правила бесплатной выдачи сертификатов госорганам и иным организациям (ч. 7), полномочия для некоммерческих организаций и регистраторов/хостинг-провайдеров (ч. 9, 10).
🔹01.07.2027 - начало практического внедрения, вступают в силу нормы для ключевых участников рынка:
- для разработчиков: обязанность предустанавливать сертификаты корневого НУЦ в средствах криптозащиты (ч. 11) и определенном ПО (ч. 12).
- для государства: обязанность госорганов обеспечить возможность взаимодействия с использованием сертификатов НУЦ (ч. 13).
🔹01.01.2028, этап коммерциализации: вступают в силу финальные положения.
- платные сертификаты: норма, разрешающая взимать плату с коммерческих организаций за выдачу сертификатов (ч. 8), сами правила установления размера этой платы начинают применяться уже с 01.07.2027.
- Правительство России получает право устанавливать случаи обязательного использования сертификатов НУЦ (ч. 14).
Законодатель выбрал поэтапный подход: сначала создается система и её базовые правила (2027), затем на ключевые группы накладываются обязанности по её использованию (середина 2027), и в последнюю очередь вводятся коммерческие нормы и возможность полного обязательного перехода (2028).
С учётом озвученной даты 1 сентября 2027 года, как создания НУЦ, приведенные сроки должны сдвинуться вправо, ждём внесения законопроекта в Госдуму.
Please open Telegram to view this post
VIEW IN TELEGRAM
PKI и OSINT - может ли одна сфера использовать другую? Я хоть и прочитал пару книг по бизнес-разведке, осинтером не являюсь. Но разве это мешает рассмотреть, как можно использовать PKI для OSINT?
OSINT - сбор, анализ и распространения информации, полученной из общедоступных источников. PKI - инфраструктура открытых ключей. И там и там есть про открытость и общедоступность, итак, PKI глазами осинтера:
🔹Поиск по реестрам УЦ.
🔹Файлы сертификатов с ПДн из ЭП.
🔹МЧД и цепочка получения персональных данных.
1. Реестры УЦ
Ещё 5-7 лет назад многие УЦ выкладывали на свои сайты реестры excel, содержащие информацию о выданных сертификатах, либо просто
УЦ предоставляли доступ к реестру сертификатов. Причины - неоднозначные трактовки ч. 3 ст. 15 63-ФЗ и 1138 приказа Минцифры России, согласно которым АУЦ обязан предоставлять безвозмездно любому лицу по его обращению сведения, содержащиеся в реестре квалифицированных сертификатов.
2. Файлы с электронными подписями
Самый простой метод сбора, скачиваем с условных госзакупок файл подписи, загружаем в e-trust и видим содержание сертификата - ФИО, СНИЛС, ИНН ФЛ, адрес электронной почты и т.д. Действительность подписи проверять необязательно.
3. Получение ПДн с использованием МЧД
Самый интересный способ, достаточно знать номер МЧД и получить не только данные из сертификата, но и паспортные данные (пока ещё).
Please open Telegram to view this post
VIEW IN TELEGRAM
Простая подпись для массового пользователя
Данные вопросы становятся уже риторическими. Причина в массовом непонимании, как у населения, так и у банков.
Поэтому в очередной раз напоминание про норму в части 2 статьи 6 63-ФЗ, которая говорит, что электронный документ, подписанный ПЭП (или НЭП), признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, только в случаях, установленных:
🔹Федеральными законами;
🔹НПА, принимаемыми в соответствии с ФЗ;
🔹НПА Банка России ;
🔹Соглашениями между участниками электронного взаимодействия;
🔹Правилами платежных систем.
Простая подпись из вопроса при отсутствии бумажного соглашения между клиентом и банком - нарушение 63-ФЗ.
Данные вопросы становятся уже риторическими. Причина в массовом непонимании, как у населения, так и у банков.
Поэтому в очередной раз напоминание про норму в части 2 статьи 6 63-ФЗ, которая говорит, что электронный документ, подписанный ПЭП (или НЭП), признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, только в случаях, установленных:
🔹Федеральными законами;
🔹НПА, принимаемыми в соответствии с ФЗ;
🔹НПА Банка России ;
🔹Соглашениями между участниками электронного взаимодействия;
🔹Правилами платежных систем.
Простая подпись из вопроса при отсутствии бумажного соглашения между клиентом и банком - нарушение 63-ФЗ.
Forwarded from Системный интегратор X-Com | IT & B2B
Мы запускаем новогодний конкурс, в котором объединились Компания «Актив», «Код Безопасности», X-Com и «Об ЭП и УЦ».
1 место: конструктор LEGO для праздничного настроения
2 место: фотопринтер, чтобы сохранить лучшие моменты года
3 место: кружка и дорожная подушка для зимних поездок
Как участвовать:
Победители будут определены рандомайзером 24 декабря! Самое время поймать подарок под ёлку
Please open Telegram to view this post
VIEW IN TELEGRAM
😎 Клуб Кибердеда - открытое уютное сообщество практиков в области информационного противоборства, OSINT, ИБ и кибербезопасности.
▫️Обмен опытом
▫️Обучение
▫️Общение
Присоединяйтесь
▫️Обмен опытом
▫️Обучение
▫️Общение
Присоединяйтесь
В прошлом году Банк России разместил на своем сайте рекомендации "Недостаточное информирование клиентов при подписании документов простой электронной подписью" (спасибо подписчику за ссылку). Прочитав их задаёшься вопросом - а сам Банк России достаточно информирован по данному вопросу?
В рекомендациях говорится, что банки и микрофинансовые организации активно используют ПЭП, например, код из SMS, для подписания договоров.
На что обращается внимание:
1️⃣ Не показывают документы перед "подписанием", условия объясняют "на словах".
2️⃣ Одним кодом подписывается целый пакет документов разом: от договора до согласия на рекламу.
Как должно быть (по рекомендациям ЦБ):
🔹Документы показывают ДО подписания - на телефоне, планшете или бумаге.
🔹Код используется только для тех документов, которые вы увидели и с которыми согласились.
🔹SMS с кодом должна содержать не просто цифры, а указание, что именно вы подписываете.
часть 1, часть 2
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡️⚡️⚡️ Госключ - только через Мах
Госключ отключил работавший более четырех лет способ подписания документов через страницу Госуслуг - https://www.gosuslugi.ru/600373/1/form
❌Теперь только через Мах.
Задание на день - удалить Госключ✅
Госключ отключил работавший более четырех лет способ подписания документов через страницу Госуслуг - https://www.gosuslugi.ru/600373/1/form
❌Теперь только через Мах.
Задание на день - удалить Госключ✅
Очередные страшилки про электронную подпись подъехали от одного агентства по недвижимости, назвали статью "Мошенничество с квартирами в 2026 году: Топ-7 схем обмана и как защититься" и на первом месте "Цифровая кража: Мошенничество с электронной подписью (ЭЦП)":
Пугающе - это писать такую безграмотность. Наши персональные данные и так давно слиты по разным каналам, взламывать ничего не нужно.
Если удостоверяющий центр в нарушение норм закона проведет выдачу квалифицированного сертификата онлайн по скану документа, то получит черную метку от регулятора со всеми вытекающими, всё остальное фантазии журналистов.
Схема работает пугающе просто. Злоумышленники получают доступ к вашим персональным данным — паспорту и СНИЛС. Самый распространенный путь в 2026 году — взлом аккаунта на Госуслугах или утечка баз данных. Имея на руках сканы документов, мошенники дистанционно обращаются в удостоверяющий центр и выпускают ЭЦП на ваше имя. С этого момента они могут подписать любой договор купли-продажи и отправить его на регистрацию в Росреестр электронно. Вы в это время можете спокойно пить чай на кухне, не подозревая, что юридически эти квадратные метры вам уже не принадлежат.
Пугающе - это писать такую безграмотность. Наши персональные данные и так давно слиты по разным каналам, взламывать ничего не нужно.
Если удостоверяющий центр в нарушение норм закона проведет выдачу квалифицированного сертификата онлайн по скану документа, то получит черную метку от регулятора со всеми вытекающими, всё остальное фантазии журналистов.