Мифы об электронной подписи.
Миф 17. Используя биометрию или видеозвонки, аферисты дистанционно "выпускают ЭЦП" и проводят сделку по продаже снятого жилья по видеосвязи.
Данный миф распускают так называемые юристы. Разберемся, как на самом деле.
Существует три способа дистанционного получения квалифицированного сертификата:
🔹с использованием действующего сертификата и ключа ЭП
🔹с использованием загранпаспорта нового поколения и учётной записи ЕСИА (данный способ монополизирован УЦ ИИТ в рамках Госключа и для иных УЦ недоступен)
🔹с использованием подтвержденной биометрии в ЕБС и учётной записи ЕСИА.
Если данные способы недоступны, то получение сертификата возможно только при личном присутствии. Никакой видеозвонок не является идентификацией заявителя, а выдача сертификата без идентификации заявителя - серьезное нарушение со стороны удостоверяющего центра.
Что касается "использования биометрии" (которая должна быть подтвержденной, кроме того необходима подтвержденная учётная запись ЕСИА), то это обозначало бы взлом ЕБС, а такие случаи на данный момент не известны.
Использование биометрии или видеозвонка для дистанционного "выпуска ЭЦП" - ещё один миф.
✍️ Об ЭП и УЦ
Миф 17. Используя биометрию или видеозвонки, аферисты дистанционно "выпускают ЭЦП" и проводят сделку по продаже снятого жилья по видеосвязи.
Данный миф распускают так называемые юристы. Разберемся, как на самом деле.
Существует три способа дистанционного получения квалифицированного сертификата:
🔹с использованием действующего сертификата и ключа ЭП
🔹с использованием загранпаспорта нового поколения и учётной записи ЕСИА (данный способ монополизирован УЦ ИИТ в рамках Госключа и для иных УЦ недоступен)
🔹с использованием подтвержденной биометрии в ЕБС и учётной записи ЕСИА.
Если данные способы недоступны, то получение сертификата возможно только при личном присутствии. Никакой видеозвонок не является идентификацией заявителя, а выдача сертификата без идентификации заявителя - серьезное нарушение со стороны удостоверяющего центра.
Что касается "использования биометрии" (которая должна быть подтвержденной, кроме того необходима подтвержденная учётная запись ЕСИА), то это обозначало бы взлом ЕБС, а такие случаи на данный момент не известны.
Использование биометрии или видеозвонка для дистанционного "выпуска ЭЦП" - ещё один миф.
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤9🤝4🔥2⚡1👏1
Мифы об электронной подписи.
Миф 18. Фальсификация цифровой подписи.
Одним из основных рисков при взломе Госуслуг авторы Hi-Tech Mail указывают:
Что касается использования квалифицированной электронной подписи, то никакой взлом Госуслуг не предоставляет такой возможности. Ключ электронной подписи, с использованием которого и создаётся КЭП, не хранится в личном кабинете Госуслуг - он либо на токене, либо в мобильном приложении Госключа.
Сам по себе взлом Госуслуг - никогда не являетесь целью мошенников, наши персональные данные давно уже слиты из разных баз и нового они там ничего не найдут. Взлом Госуслуг - только самая первая фаза атаки в многоуровневой схеме мошенничества, поэтому важно не поддаваться эмоциям, прекратить любые контакты с мошенниками, а восстановить доступ к Госуслугам, например, через приложение Банка или посещение МФЦ.
✍️ Об ЭП и УЦ
Миф 18. Фальсификация цифровой подписи.
Одним из основных рисков при взломе Госуслуг авторы Hi-Tech Mail указывают:
Фальсификация цифровой подписи. Если у вас выпущена простая или квалифицированная электронная подпись, ее могут использовать для подписания документов — например, все той же заявки на кредит.Что такое "простая электронная подпись" в терминологии Госуслуг? Это реквизиты учётной записи ЕСИА. Можно ли использовать ПЭП ЕСИА для подписания заявки на кредит? Можно, но только если ранее на бумаге подписано соглашение о равнозначности ПЭП ЕСИА собственноручной подписи. Что касается судебной практики, она противоречивая, но есть кейсы, дошедшие до Верховного Суда, когда судьи встают на сторону потерпевших, т.к. их волеизъявления не было.
Что касается использования квалифицированной электронной подписи, то никакой взлом Госуслуг не предоставляет такой возможности. Ключ электронной подписи, с использованием которого и создаётся КЭП, не хранится в личном кабинете Госуслуг - он либо на токене, либо в мобильном приложении Госключа.
Сам по себе взлом Госуслуг - никогда не являетесь целью мошенников, наши персональные данные давно уже слиты из разных баз и нового они там ничего не найдут. Взлом Госуслуг - только самая первая фаза атаки в многоуровневой схеме мошенничества, поэтому важно не поддаваться эмоциям, прекратить любые контакты с мошенниками, а восстановить доступ к Госуслугам, например, через приложение Банка или посещение МФЦ.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9❤6⚡1👏1🏆1
IMEI мобильного устройства в Госуслугах
Пока законопроект, предусматривающий создание Центральной базы данных идентификаторов пользовательского оборудования, только внесен в Госдуму:
профиль личного кабинета Госуслуг в разделе "Сим-карты" уже содержит поле для указания IMEI мобильного устройства.
Пока законопроект, предусматривающий создание Центральной базы данных идентификаторов пользовательского оборудования, только внесен в Госдуму:
Статья 53.2, часть 1: Центральная база данных идентификаторов пользовательского оборудования (оконечного оборудования) создается в целях формирования и технологического обеспечения реестра идентификаторов пользовательского оборудования (оконечного оборудования), разрешенных для использования в сетях подвижной радиотелефонной связи.
профиль личного кабинета Госуслуг в разделе "Сим-карты" уже содержит поле для указания IMEI мобильного устройства.
🍾5🤗5❤2
Начнём новый рабочий год с основных изменений, которые стоит ждать в 2026 году:
🔹Изменение 63-ФЗ: новое название и нормы про сертификаты безопасности.
🔹Новый корневой сертификат Головного УЦ: без него встаёт вопрос о легитимности выдаваемых подчинённых сертификатов УЦ.
🔹Экспертный совет по электронной подписи: заседания не реже чем раз в полгода.
🔹Окончание миграции УЦ на КриптоПро УЦ 2.0, а пользователей на CSP 5.0 (кто ещё не перешёл с 4.0)
🔹Новый формат МЧД: после регистрации Минюстом приказа Минцифры о внесении изменений в единые требования к формам МЧД.
🔹Цифровой рубль:
Please open Telegram to view this post
VIEW IN TELEGRAM
🆕Полный рейтинг аккредитованных удостоверяющих центров за 2025 год. Решил не нарушать традицию и пятый год подряд подготовить итоговую информацию.
Телеграм-канал
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Новости КриптоПро
Итоги 2025 года
2025 год был наполнен новыми вызовами и значимыми событиями, достижениями и реализованными проектами, большая часть из которых стала возможна благодаря слаженной работе команды КриптоПро вместе с надежными партнерами, заказчиками и регуляторами.
Мы благодарим каждого, кто был частью нашей общей команды в прошедшем году, и отмечаем ключевые результаты и самые важные события года в нашем обзоре:
Сертификация и стандартизация:
🔹 Получен сертификат ФСБ России на ПК «КриптоПро Ключ» - инновационное решение для мобильной электронной подписи
🔹 Подписано заключение ФСБ России на СКЗИ «КриптоПро CSP» 5.0 R3 (5.0 R3+, сборка 13003)
🔹 Эксперты КриптоПро стали авторами RFC 9771, посвящённого классификации свойств режимов аутентифицированного шифрования
Заметные события:
🔹 "Оплата улыбкой" и другие биометрические сервисы Сбербанка защищены решениями КриптоПро
🔹 Сервисы «Мигом» для посадки на поезд и в самолет по биометрии защищены решениями КриптоПро
🔹 Разработан КриптоПро Fox для Android - браузер с поддержкой браузерного плагина КриптоПро и двустороннего ГОСТ TLS
🔹 Компания КриптоПро приняла участие в первой международной конференции «Криптография в многополярном мире» – AgileCrypto 2025 во Вьетнаме в качестве партнера, председателем руководящего комитета конференции выступил генеральный директор КриптоПро, доктор физико-математических наук Станислав Витальевич Смышляев
Публичное признание:
🔹 ПК «КриптоПро Ключ» признан лучшим продуктом года на PKI-Форуме 2025
🔹 Проект «Разработка комплексного решения защиты ИСУЭ на базе УСПД "Интеллектуальный контроллер SM160-02М"» признан лучшим проектом 2024 года по версии GlobalCIO
Эфиры и вебинары:
🔹 Эфир AM Live «Цифровой рубль: как обеспечить информационную безопасность»
🔹 Эфир AM Live «Электронная подпись»
🔹 Вебинар «КриптоПро NGate: опережая ожидания. Новый функционал и ниши применения»
🔹 Вебинар «Аутентификация на шлюзе КриптоПро NGate с помощью устройств Рутокен: многофакторность и комбинирование»
🔹 Вебинар «Платформа «Цифровое казначейство»: инфраструктура для безопасных операций с криптовалютами и цифровыми активами»
🔹 Вебинар «Практическая реализация требований 851-П»
Важным событием стала разработка нового фирменного стиля нашей компании, который включает в себя обновлённый набор логотипов, а также цвета, шрифты и паттерны.
В наступившем году мы продолжим вкладывать всю свою экспертизу в дальнейшее развитие российской криптографии, обеспечивать безопасность и удобство применения криптографических средств в информационных системах и в повседневной жизни граждан и организаций.
2025 год был наполнен новыми вызовами и значимыми событиями, достижениями и реализованными проектами, большая часть из которых стала возможна благодаря слаженной работе команды КриптоПро вместе с надежными партнерами, заказчиками и регуляторами.
Мы благодарим каждого, кто был частью нашей общей команды в прошедшем году, и отмечаем ключевые результаты и самые важные события года в нашем обзоре:
Сертификация и стандартизация:
🔹 Получен сертификат ФСБ России на ПК «КриптоПро Ключ» - инновационное решение для мобильной электронной подписи
🔹 Подписано заключение ФСБ России на СКЗИ «КриптоПро CSP» 5.0 R3 (5.0 R3+, сборка 13003)
🔹 Эксперты КриптоПро стали авторами RFC 9771, посвящённого классификации свойств режимов аутентифицированного шифрования
Заметные события:
🔹 "Оплата улыбкой" и другие биометрические сервисы Сбербанка защищены решениями КриптоПро
🔹 Сервисы «Мигом» для посадки на поезд и в самолет по биометрии защищены решениями КриптоПро
🔹 Разработан КриптоПро Fox для Android - браузер с поддержкой браузерного плагина КриптоПро и двустороннего ГОСТ TLS
🔹 Компания КриптоПро приняла участие в первой международной конференции «Криптография в многополярном мире» – AgileCrypto 2025 во Вьетнаме в качестве партнера, председателем руководящего комитета конференции выступил генеральный директор КриптоПро, доктор физико-математических наук Станислав Витальевич Смышляев
Публичное признание:
🔹 ПК «КриптоПро Ключ» признан лучшим продуктом года на PKI-Форуме 2025
🔹 Проект «Разработка комплексного решения защиты ИСУЭ на базе УСПД "Интеллектуальный контроллер SM160-02М"» признан лучшим проектом 2024 года по версии GlobalCIO
Эфиры и вебинары:
🔹 Эфир AM Live «Цифровой рубль: как обеспечить информационную безопасность»
🔹 Эфир AM Live «Электронная подпись»
🔹 Вебинар «КриптоПро NGate: опережая ожидания. Новый функционал и ниши применения»
🔹 Вебинар «Аутентификация на шлюзе КриптоПро NGate с помощью устройств Рутокен: многофакторность и комбинирование»
🔹 Вебинар «Платформа «Цифровое казначейство»: инфраструктура для безопасных операций с криптовалютами и цифровыми активами»
🔹 Вебинар «Практическая реализация требований 851-П»
Важным событием стала разработка нового фирменного стиля нашей компании, который включает в себя обновлённый набор логотипов, а также цвета, шрифты и паттерны.
В наступившем году мы продолжим вкладывать всю свою экспертизу в дальнейшее развитие российской криптографии, обеспечивать безопасность и удобство применения криптографических средств в информационных системах и в повседневной жизни граждан и организаций.
Цифровизация НЕ дошла до суда: адвокат отстоял право на подачу жалобы через "Электронное заказное письмо"
⚖️ Про интересное решение для цифрового правосудия пишет Адвокатская газета. Апелляционный суд в Пермском крае встал на сторону адвоката и подтвердил законность подачи процессуальных документов, подписанных КЭП, через сервис "Электронное заказное письмо" Почты России.
🔹Адвокат подал апелляционную жалобу на постановление мирового судьи, отправив ее электронным заказным письмом, подписанным квалифицированной электронной подписью.
🔹Мировой судья вернул жалобу, потребовав "доказать", что подпись является КЭП.
🔹Районный суд, рассматривая апелляцию, отменил это решение, указав на ошибку первой инстанции.
Ключевой вывод суда:
У мирового судьи была реальная техническая возможность самостоятельно:
1. Получить доступ к электронному оригиналу письма.
2. Через сервис Головного УЦ проверить действительность электронной подписи.
Судья эти действия не выполнил.
Комментарий адвоката указывает на два принципиальных момента:
🔹Не ваша обязанность доказывать. Лицо, подписавшее документ КЭП, НЕ обязано доказывать суду, что подпись является квалифицированной. Это требование незаконно и ограничивает доступ к правосудию.
🔹Обязанность проверки на получателе документа, в данном случае - суда.
📌 Итог: случай наглядно показал, что некоторые суды еще не способны работать с привычными для миллионов пользователей цифровыми инструментами.
⚖️ Про интересное решение для цифрового правосудия пишет Адвокатская газета. Апелляционный суд в Пермском крае встал на сторону адвоката и подтвердил законность подачи процессуальных документов, подписанных КЭП, через сервис "Электронное заказное письмо" Почты России.
🔹Адвокат подал апелляционную жалобу на постановление мирового судьи, отправив ее электронным заказным письмом, подписанным квалифицированной электронной подписью.
🔹Мировой судья вернул жалобу, потребовав "доказать", что подпись является КЭП.
🔹Районный суд, рассматривая апелляцию, отменил это решение, указав на ошибку первой инстанции.
Ключевой вывод суда:
У мирового судьи была реальная техническая возможность самостоятельно:
1. Получить доступ к электронному оригиналу письма.
2. Через сервис Головного УЦ проверить действительность электронной подписи.
Судья эти действия не выполнил.
Комментарий адвоката указывает на два принципиальных момента:
🔹Не ваша обязанность доказывать. Лицо, подписавшее документ КЭП, НЕ обязано доказывать суду, что подпись является квалифицированной. Это требование незаконно и ограничивает доступ к правосудию.
🔹Обязанность проверки на получателе документа, в данном случае - суда.
📌 Итог: случай наглядно показал, что некоторые суды еще не способны работать с привычными для миллионов пользователей цифровыми инструментами.
Когда пластмассовый аналоговый и цифровой мир пересекаются - то появляются такие вопросы:
Ответ - онлайн инспекции:
Трудовое законодательство в лице Трудового кодекса давно живёт отдельно от закона об электронной подписи. Метки доверенного времени, чтобы продлить срок проверки, нет, сертификат подписанта и ключ ЭП истекли, электронная подпись недействительна, а документ по логике отвечающего действующий.
Насчёт метки доверенного времени - сервис Головного УЦ при проверке электронной подписи документа, подписанного КЭП с меткой доверенного времени, при это у метки срок ЗК истёк, а сертификат ещё действует (он на 10 лет), выдаёт положительный результат проверк
УЦ.
- ранее отвечало Минцифры.
На официальном сайте Школы размещён коллективный договор срок действия электронной подписи которого истек 06.05.2025 законно ли это?
Ответ - онлайн инспекции:
В рамках трудового законодательства законно, если он был подписан до истечения срока действия электронной подписи.
Трудовое законодательство в лице Трудового кодекса давно живёт отдельно от закона об электронной подписи. Метки доверенного времени, чтобы продлить срок проверки, нет, сертификат подписанта и ключ ЭП истекли, электронная подпись недействительна, а документ по логике отвечающего действующий.
Насчёт метки доверенного времени - сервис Головного УЦ при проверке электронной подписи документа, подписанного КЭП с меткой доверенного времени, при это у метки срок ЗК истёк, а сертификат ещё действует (он на 10 лет), выдаёт положительный результат проверк
и.
Документа, содержащего описание алгоритма проверки ЭП, реализованного на портале УФО, не предусмотрено. Алгоритм проверки ЭП на портале УФО полностью соответствует требованиям Федерального закона от 06.04.2011 № 63-ФЗ "Об электронной подписи" и реализовывался в рамках государственных контрактов и иных соглашений на создание и развитие ИС Г
УЦ.
- ранее отвечало Минцифры.
Сегодня 15.01.2026 истекли сертификаты соответствия ФСБ России на ПАК КриптоПро УЦ 2.0 исполнения 5, 6, 9 и 10 и КриптоПро CSP версии 4.0
Please open Telegram to view this post
VIEW IN TELEGRAM
Цифровой аферист из Томска: как "воровали Госуслуги" и "продавали подписи"
Согласно информации прокуратуры Томской области житель Томска предстанет перед судом за цифровую аферу:
1️⃣ Кража "цифровых личностей": он покупал анонимные SIM-карты и регистрировал их на граждан, чьи данные находил в нелегальных источниках.
2️⃣ "Захватывал" аккаунты "Госуслуг": получил доступ к 80 учётным записям, менял пароли и личные данные, блокируя законных владельцев.
3️⃣ "Продавал электронные подписи": через приложение "Госключ" создавал "электронные подписи" и продавал их в связке с SIM-картами в Интернете.
4️⃣ Оформлял и продавал банковские карты: в 5 случаях дистанционно оформлял платёжные карты на чужие имена и сбывал их по 1,5 тысячи рублей.
Ему инкриминируют неправомерный оборот средств платежей и неправомерный доступ к компьютерной информации. Обвиняемый вину признал полностью, находится под подпиской о невыезде.
⁉️К третьему пункту у нашего канала больше всего вопросов. Для получения квалифицированных сертификатов Госключа требуется не только подтвержденная учётная запись ЕСИА, но мобильный телефон для установки приложения, а также подтверждение личности получателя сертификата при личном присутствии или онлайн (при этом все способы онлайн - действующий сертификат, биометрия (лицо, голос), загранпаспорт - не могли быть использованы).
Как злоумышленник подтверждал личность заявителей?
Где хранил ключи электронных подписей, т.к. они не на SIM-карты записываются. Вопросов больше, чем ответов.
Согласно информации прокуратуры Томской области житель Томска предстанет перед судом за цифровую аферу:
1️⃣ Кража "цифровых личностей": он покупал анонимные SIM-карты и регистрировал их на граждан, чьи данные находил в нелегальных источниках.
2️⃣ "Захватывал" аккаунты "Госуслуг": получил доступ к 80 учётным записям, менял пароли и личные данные, блокируя законных владельцев.
3️⃣ "Продавал электронные подписи": через приложение "Госключ" создавал "электронные подписи" и продавал их в связке с SIM-картами в Интернете.
4️⃣ Оформлял и продавал банковские карты: в 5 случаях дистанционно оформлял платёжные карты на чужие имена и сбывал их по 1,5 тысячи рублей.
Ему инкриминируют неправомерный оборот средств платежей и неправомерный доступ к компьютерной информации. Обвиняемый вину признал полностью, находится под подпиской о невыезде.
⁉️К третьему пункту у нашего канала больше всего вопросов. Для получения квалифицированных сертификатов Госключа требуется не только подтвержденная учётная запись ЕСИА, но мобильный телефон для установки приложения, а также подтверждение личности получателя сертификата при личном присутствии или онлайн (при этом все способы онлайн - действующий сертификат, биометрия (лицо, голос), загранпаспорт - не могли быть использованы).
Как злоумышленник подтверждал личность заявителей?
Где хранил ключи электронных подписей, т.к. они не на SIM-карты записываются. Вопросов больше, чем ответов.
🔍 Контроль за УЦ усиливается: спрос за нарушения спустя год
Правительство решило ужесточить надзор за аккредитованными удостоверяющими центрами. В Госдуму внесен законопроект, который существенно увеличивает "срок давности" для привлечения УЦ к ответственности.
Сейчас нарушения УЦ попадают под общий срок исковой давности по КоАП - 3 месяца. Новый законопроект предлагает увеличить его для статей, связанных с нарушениями в сфере электронной подписи (ст. 13.33 КоАП), до одного года.
Это значит, что Минцифры получит больше времени на проведение проверок, сбор доказательств и привлечение к ответственности.
Под годичный срок давности попадут нарушения, например:
🔹Выдача сертификата с заведомо недостоверными данными о владельце (штраф до 250 тыс. руб.).
🔹Нарушение порядка выдачи квалифицированного сертификата (штраф до 30 тыс. руб.).
🔹Отсутствие круглосуточного доступа к реестру сертификатов (штраф 30-50 тыс. руб.).
🔹Сертификат, оформленный с нарушением требований (штраф до 150 тыс. руб.).
В пояснительной записке указано, что цель — увеличение срока давности привлечения к административной ответственности позволит выполнить в полной мере все процессуальные действия. Короткий срок не позволял завершить проверку.
Новые правила начнут действовать с 1 сентября 2026 года.
Это важный сигнал для рынка: контроль становится серьезнее, что в долгосрочной перспективе должно повысить доверие к электронной подписи.
Правительство решило ужесточить надзор за аккредитованными удостоверяющими центрами. В Госдуму внесен законопроект, который существенно увеличивает "срок давности" для привлечения УЦ к ответственности.
Сейчас нарушения УЦ попадают под общий срок исковой давности по КоАП - 3 месяца. Новый законопроект предлагает увеличить его для статей, связанных с нарушениями в сфере электронной подписи (ст. 13.33 КоАП), до одного года.
Это значит, что Минцифры получит больше времени на проведение проверок, сбор доказательств и привлечение к ответственности.
Под годичный срок давности попадут нарушения, например:
🔹Выдача сертификата с заведомо недостоверными данными о владельце (штраф до 250 тыс. руб.).
🔹Нарушение порядка выдачи квалифицированного сертификата (штраф до 30 тыс. руб.).
🔹Отсутствие круглосуточного доступа к реестру сертификатов (штраф 30-50 тыс. руб.).
🔹Сертификат, оформленный с нарушением требований (штраф до 150 тыс. руб.).
В пояснительной записке указано, что цель — увеличение срока давности привлечения к административной ответственности позволит выполнить в полной мере все процессуальные действия. Короткий срок не позволял завершить проверку.
Новые правила начнут действовать с 1 сентября 2026 года.
Это важный сигнал для рынка: контроль становится серьезнее, что в долгосрочной перспективе должно повысить доверие к электронной подписи.
Forwarded from Пост Лукацкого
Регулятор ИБ, каким ты его описываешь, когда приходишь защищать бюджет к руководству, и когда ты общаешься с этим регулятором в реальности 🫰
#юмор
#юмор
Please open Telegram to view this post
VIEW IN TELEGRAM