Руководитель Центра финансовой экспертизы Роскачества предупредила о последствиях потери электронной подписи. Именно так и написано "потери электронной подписи". Роскачество что-ли установило себе KPI - безграмотная статья раз в четыре года. Переврали всё - ключи, сертификаты, подписи.
По какой статье - КоАП, а может УК РФ - Роскачество не уточняет.
Судебная практика на этот счёт говорит об обратном, к ответственности привлекают бухгалтеров (условной), совершивших хищение денежных средств с использованием ключей ЭП руководителей. Сами руководители к ответственности не привлекаются.
В ответ на новость Роскачества наш канал предупреждает - Руководитель Центра финансовой экспертизы Роскачества никогда не открывала 63-ФЗ "Об электронной подписи".
Наказание возможно при установлении факта небрежного отношения к обеспечению сохранности ЭП.
По какой статье - КоАП, а может УК РФ - Роскачество не уточняет.
Судебная практика на этот счёт говорит об обратном, к ответственности привлекают бухгалтеров (условной), совершивших хищение денежных средств с использованием ключей ЭП руководителей. Сами руководители к ответственности не привлекаются.
Если владелец квалифицированной ЭП проявил надлежащую заботу о ее сохранности и оперативно сообщил об утере или краже, то ответственность за незаконные действия обычно возлагается на кредитную организацию или третьих лицИ снова ни одного примера или хоть какой-то фактуры.
В ответ на новость Роскачества наш канал предупреждает - Руководитель Центра финансовой экспертизы Роскачества никогда не открывала 63-ФЗ "Об электронной подписи".
Forwarded from Пост Лукацкого
Настоящее криптографических исследований. Часть 4
9️⃣ Цифровые подписи и цифровая идентичность. Основные направления развития – внедрение новых алгоритмов подписи, развитие атрибутных и групповых подписей и интеграция подписи в системы цифровой идентификации. Прежде всего, это пост-квантовые подписи, например, алгоритм CRYSTALS-Dilithium. Ожидается, что через 1-2 года мы начнем видеть гибридные сертификаты (ECDSA + Dilithium) и поддержку PQ-подписей в HSM и смарт-картах. Параллельно исследуются альтернативные PQ-схемы: например, SPHINCS+ (на основе хеширования, без требований к генератору случайности при подписании) для случаев, где нужно избежать возможности провалов.
Кроме PQC, набирают популярность EdDSA на кривых Edwards (Ed25519, Ed448) – их массово внедряют благодаря лучшей производительности и простоте. Протоколы типа TLS 1.3, SSH, JSON Web Tokens постепенно переходят на Ed25519 как предпочтительную подпись. Это можно считать одной из современных тенденций – уход от RSA в новых системах в пользу эллиптических и даже пост-квантовых схем.
В контексте конфиденциальности интерес представляют схемы, позволяющие подписывать с сокрытием части информации. Например, атрибутные подписи позволяют подписать набор утверждений (атрибутов) и затем выборочно раскрывать только часть из них в подписи. Сходные идеи используются в системах удостоверений. Еще пример – групповая подпись, где она подтверждает, что ее автор – член определенной группы, но не идентифицирует конкретно кого. Такие механизмы исследуются для корпоративных систем (подпись от имени отдела, не раскрывая сотрудника) и для анонимных свидетельств (например, когда журналист публикует информацию, подтвержденную цифровой подписью, что он аккредитованное лицо, но остается анонимным).
Электронные подписи тесно связаны с системами электронных удостоверений личности. Развивается концепция SSI (Self-Sovereign Identity), где пользователь самостоятельно управляет своими идентификационными данными (обычно через мобильное приложение-кошелек), а доверие обеспечивается криптографическими протоколами и стандартами, например, DIDComm или Verifiable Credentials.
Важно отметить тенденцию: подпись переходит "под капот" пользовательских приложений. Если раньше пользователь сам ставил ЭП (например, через USB-токен), то новые системы (Google / Apple Passkeys, SSI-кошельки) делают это прозрачно – пользователь подтверждает действие биометрией, а приложение генерирует криптографическую подпись для аутентификации или подтверждения транзакции. Таким образом повышается безопасность (закрытый ключ никогда не выходит из устройства, часто хранится в Secure Enclave или аналогичном) и улучшается опыт (не нужно вводить пароли). Эта концепция получила название, ахаха, беспарольной аутентификации.
Наконец, стоит упомянуть квантовую криптографию для подписей: уже существуют прототипы квантовой цифровой подписи, использующие QKD-каналы и одноразовые ключи, но это очень нишевое направление.
#криптография #тенденции
Кроме PQC, набирают популярность EdDSA на кривых Edwards (Ed25519, Ed448) – их массово внедряют благодаря лучшей производительности и простоте. Протоколы типа TLS 1.3, SSH, JSON Web Tokens постепенно переходят на Ed25519 как предпочтительную подпись. Это можно считать одной из современных тенденций – уход от RSA в новых системах в пользу эллиптических и даже пост-квантовых схем.
В контексте конфиденциальности интерес представляют схемы, позволяющие подписывать с сокрытием части информации. Например, атрибутные подписи позволяют подписать набор утверждений (атрибутов) и затем выборочно раскрывать только часть из них в подписи. Сходные идеи используются в системах удостоверений. Еще пример – групповая подпись, где она подтверждает, что ее автор – член определенной группы, но не идентифицирует конкретно кого. Такие механизмы исследуются для корпоративных систем (подпись от имени отдела, не раскрывая сотрудника) и для анонимных свидетельств (например, когда журналист публикует информацию, подтвержденную цифровой подписью, что он аккредитованное лицо, но остается анонимным).
Электронные подписи тесно связаны с системами электронных удостоверений личности. Развивается концепция SSI (Self-Sovereign Identity), где пользователь самостоятельно управляет своими идентификационными данными (обычно через мобильное приложение-кошелек), а доверие обеспечивается криптографическими протоколами и стандартами, например, DIDComm или Verifiable Credentials.
Важно отметить тенденцию: подпись переходит "под капот" пользовательских приложений. Если раньше пользователь сам ставил ЭП (например, через USB-токен), то новые системы (Google / Apple Passkeys, SSI-кошельки) делают это прозрачно – пользователь подтверждает действие биометрией, а приложение генерирует криптографическую подпись для аутентификации или подтверждения транзакции. Таким образом повышается безопасность (закрытый ключ никогда не выходит из устройства, часто хранится в Secure Enclave или аналогичном) и улучшается опыт (не нужно вводить пароли). Эта концепция получила название, ахаха, беспарольной аутентификации.
Наконец, стоит упомянуть квантовую криптографию для подписей: уже существуют прототипы квантовой цифровой подписи, использующие QKD-каналы и одноразовые ключи, но это очень нишевое направление.
#криптография #тенденции
Please open Telegram to view this post
VIEW IN TELEGRAM
Вчера прошло первое чтение второго законопроекта о борьбе с кибермошенничеством. Стенограмма обсуждения здесь, кому интересно почитайте.
Основные тезисы выступлений и дискуссии
Поддерживающие позиции (Лебедев И.В., Боярский С.М.)
🔹Тренд сломан: Впервые зафиксировано снижение числа киберпреступлений (до 40% по отдельным видам).
🔹Необходимость жёстких мер: Мошенники - организованные группы, часто действующие с территорий недружественных государств.
🔹База IMEI: Позволит эффективнее бороться с кражей устройств и несанкционированным использованием SIM-карт.
🔹"Красная кнопка": Даст гражданам инструмент быстрой реакции на мошенничество.
🔹МАХ вместо SMS: Повысит безопасность😄 , так как SMS часто перехватываются мошенниками.
Критические замечания и вопросы депутатов
🔹Чрезмерный контроль:
- Депутаты выразили опасения, что меры затрагивают права добропорядочных граждан.
- Вопрос: как избежать излишнего вмешательства в частную жизнь
🔹Технические и практические вопросы:
- Как будет работать привязка IMEI при смене устройства?
- Как обеспечить доступность "красной кнопки" для людей с ограниченными возможностями и владельцев кнопочных телефонов?
🔹Дискриминация иностранцев:
- Почему иностранцам разрешено 10 SIM-карт, а россиянам 20? Не приведёт ли это к злоупотреблениям?
🔹Проблемы с блокировками:
- Каковы критерии внесудебной блокировки сайтов?
- Кто будет компенсировать ущерб в случае ошибочной блокировки
🔹Импортозамещение и связь: Высказаны опасения по поводу качества связи и зависимости от импортного оборудования.
🔹Коммуникация с гражданами:
- Депутаты указали на недостаток разъяснительной работы и социальной рекламы о мерах безопасности.
Итог: законопроект принят в первом чтении, будет дорабатываться ко второму чтению с учётом поступивших замечаний.
Вопросы законодательства об электронной подписи и создания национального УЦ не обсуждали.
✍️ Об ЭП и УЦ
Основные тезисы выступлений и дискуссии
Поддерживающие позиции (Лебедев И.В., Боярский С.М.)
🔹Тренд сломан: Впервые зафиксировано снижение числа киберпреступлений (до 40% по отдельным видам).
🔹Необходимость жёстких мер: Мошенники - организованные группы, часто действующие с территорий недружественных государств.
🔹База IMEI: Позволит эффективнее бороться с кражей устройств и несанкционированным использованием SIM-карт.
🔹"Красная кнопка": Даст гражданам инструмент быстрой реакции на мошенничество.
🔹МАХ вместо SMS: Повысит безопасность
Критические замечания и вопросы депутатов
🔹Чрезмерный контроль:
- Депутаты выразили опасения, что меры затрагивают права добропорядочных граждан.
- Вопрос: как избежать излишнего вмешательства в частную жизнь
🔹Технические и практические вопросы:
- Как будет работать привязка IMEI при смене устройства?
- Как обеспечить доступность "красной кнопки" для людей с ограниченными возможностями и владельцев кнопочных телефонов?
🔹Дискриминация иностранцев:
- Почему иностранцам разрешено 10 SIM-карт, а россиянам 20? Не приведёт ли это к злоупотреблениям?
🔹Проблемы с блокировками:
- Каковы критерии внесудебной блокировки сайтов?
- Кто будет компенсировать ущерб в случае ошибочной блокировки
🔹Импортозамещение и связь: Высказаны опасения по поводу качества связи и зависимости от импортного оборудования.
🔹Коммуникация с гражданами:
- Депутаты указали на недостаток разъяснительной работы и социальной рекламы о мерах безопасности.
Итог: законопроект принят в первом чтении, будет дорабатываться ко второму чтению с учётом поступивших замечаний.
Вопросы законодательства об электронной подписи и создания национального УЦ не обсуждали.
Please open Telegram to view this post
VIEW IN TELEGRAM
Мифы об электронной подписи.
Миф 19. Услуга по получению сертификата руководителя организации или ИП платная
На данный миф обратил внимание, после данного поста. В нашей сфере все в курсе, что сертификаты для руководителей юрлиц и индивидуальных предпринимателей с 01.01.2022 выдаёт Удостоверяющий центр ФНС России через свои инспекции или офисы доверенных лиц.
Требования к порядку реализации функций аккредитованного УЦ, утвержденные 584 приказом Минцифры, включают следующий раздел:
И отдельное уточнение для госУЦ:
Данная норма была включена 10 лет назад, когда в рамках общественного обсуждения мое предложение было учтено.
Из чего делаем один вывод - госУЦ (Налоговая, Казначейство, Банк России) выдают сертификаты на безвозмездной основе, их порядки реализации функций УЦ раздел про стоимость услуг не содержат. Услуга по получению сертификата руководителя организации или ИП бесплатная, где бы вы его не получали - в инспекции или у доверенных лиц.
Для получения сертификата необходим сертифицированный ключевой носитель (токен), на который записывается ключ электронной подписи и сам квалифицированный сертификат. Если используется технология мобильной электронной подписи - токен не требуется.
✍️ Об ЭП и УЦ
Миф 19. Услуга по получению сертификата руководителя организации или ИП платная
На данный миф обратил внимание, после данного поста. В нашей сфере все в курсе, что сертификаты для руководителей юрлиц и индивидуальных предпринимателей с 01.01.2022 выдаёт Удостоверяющий центр ФНС России через свои инспекции или офисы доверенных лиц.
Требования к порядку реализации функций аккредитованного УЦ, утвержденные 584 приказом Минцифры, включают следующий раздел:
г) стоимость услуг Удостоверяющего центра.
Данный подраздел должен содержать информацию о стоимости услуг Удостоверяющего центра, сроках и порядке расчетов за оказание услуг Удостоверяющего центра.
И отдельное уточнение для госУЦ:
Удостоверяющий центр, являющийся государственным органом и выдающий квалифицированные сертификаты ключей проверки электронных подписей (далее - квалифицированные сертификаты) заявителям на безвозмездной основе, могут не включать данный подраздел в свой Порядок
Данная норма была включена 10 лет назад, когда в рамках общественного обсуждения мое предложение было учтено.
Из чего делаем один вывод - госУЦ (Налоговая, Казначейство, Банк России) выдают сертификаты на безвозмездной основе, их порядки реализации функций УЦ раздел про стоимость услуг не содержат. Услуга по получению сертификата руководителя организации или ИП бесплатная, где бы вы его не получали - в инспекции или у доверенных лиц.
Для получения сертификата необходим сертифицированный ключевой носитель (токен), на который записывается ключ электронной подписи и сам квалифицированный сертификат. Если используется технология мобильной электронной подписи - токен не требуется.
Please open Telegram to view this post
VIEW IN TELEGRAM
Пока депутаты спорят насчёт использования КЭП для снятия самозапрета на заключение договоров с операторами связи, а также насчёт переименования 63-ФЗ.
На мой взгляд изменение названия 63-ФЗ обоснованно, норма про НУЦ - УЦ для сертификатов безопасности и подпись кода, это не текущие УЦ, выдающие сертификаты ключей проверки ЭП. Напомню, что в ноябре 2022 в Госдуму был внесён и забыт законопроект о внесении изменений в 149-ФЗ в части создания информационной системы НУЦ, но в итоге было принято решение внести НУЦ в 63-ФЗ, изменив его сферу действия.
Что касается самих операторов связи, но не по вопросу самозапрета, а по заключению с ними самих договоров на обслуживание. Ситуация ещё более комичнее - там подписей нет, совсем нет, вообще. Есть только нарисованная картинка и на все попытки донести до сотрудниковв моём случае Мегафона , что это ничего не значащее действие - в ответ слышать, что они от бумаги ушли в электронный вид и это графическая подпись. Попытки получить договор с этой "подписью" также успехом не увенчались, прислали пустой бланк.
На мой взгляд изменение названия 63-ФЗ обоснованно, норма про НУЦ - УЦ для сертификатов безопасности и подпись кода, это не текущие УЦ, выдающие сертификаты ключей проверки ЭП. Напомню, что в ноябре 2022 в Госдуму был внесён и забыт законопроект о внесении изменений в 149-ФЗ в части создания информационной системы НУЦ, но в итоге было принято решение внести НУЦ в 63-ФЗ, изменив его сферу действия.
Что касается самих операторов связи, но не по вопросу самозапрета, а по заключению с ними самих договоров на обслуживание. Ситуация ещё более комичнее - там подписей нет, совсем нет, вообще. Есть только нарисованная картинка и на все попытки донести до сотрудников
Роскачество решило перевыполниль свой KPI - "Россиянам объяснили, как восстановить доступ к электронной подписи", ещё более безграмотная статья, чем в прошлый раз.
Электронная подпись - реквизит документа, её нельзя аннулировать, как и выпуститьпогулять. Аннулирование относится к сертификату, который УЦ может аннулировать по причине:
🔹не подтверждено, что владелец сертификата владеет соответствующим ключом ЭП;
🔹открытый ключ содержится в ином ранее созданном сертификате (на практике реализуется только в масштабах конкретного УЦ);
🔹по решению суда, что сертификат содержит недостоверную информацию.
Всё остальное относится к прекращению действия.
"Отзыв" - прекращение действия и "блокировка" - две разные процедуры. Блокировка на Госуслугах не позволит использовать сертификат в рамках Госуслуг. Отозвать же просто так квалифицированный сертификат нельзя, для этого должен быть ещё один сертификат, ключ которого не был скомпрометирован.
Снова намешано всё - сертификаты, ключи, подписи. Чтобы получить новый сертификат старый не нужно отзывать.
Нужно запретить Роскачеству писать на тему электронной подписи. Однозначные номинанты на профанацию года.
Роскачество: после аннулирования электронной подписи можно выпустить новую
Электронная подпись - реквизит документа, её нельзя аннулировать, как и выпустить
🔹не подтверждено, что владелец сертификата владеет соответствующим ключом ЭП;
🔹открытый ключ содержится в ином ранее созданном сертификате (на практике реализуется только в масштабах конкретного УЦ);
🔹по решению суда, что сертификат содержит недостоверную информацию.
Всё остальное относится к прекращению действия.
По его словам, отозвать или заблокировать украденный мошенниками или утерянный сертификат можно через «Госуслуги».
"Отзыв" - прекращение действия и "блокировка" - две разные процедуры. Блокировка на Госуслугах не позволит использовать сертификат в рамках Госуслуг. Отозвать же просто так квалифицированный сертификат нельзя, для этого должен быть ещё один сертификат, ключ которого не был скомпрометирован.
После успешного отзыва сертификата вы сможете выпустить новую электронную подпись. Старый ключ при этом станет недействительным, и им больше никто не сможет воспользоваться
Снова намешано всё - сертификаты, ключи, подписи. Чтобы получить новый сертификат старый не нужно отзывать.
Нужно запретить Роскачеству писать на тему электронной подписи. Однозначные номинанты на профанацию года.
Сегодня истекают сертификаты соответствия ФСБ России
№ СФ/114-4573 от 10.07.2023, СФ/114-5040 от 10.12.2024 у мобильного средства электронной подписи IDPoint, являющегося основой для иных известных мобильных приложений.
С учётом того, что выписка из перечня сертифицированных СКЗИ обновлялась последний раз 04.02.2026 - информация о получении новых сертификатов пока отсутствует.
✍️ Об ЭП и УЦ
№ СФ/114-4573 от 10.07.2023, СФ/114-5040 от 10.12.2024 у мобильного средства электронной подписи IDPoint, являющегося основой для иных известных мобильных приложений.
С учётом того, что выписка из перечня сертифицированных СКЗИ обновлялась последний раз 04.02.2026 - информация о получении новых сертификатов пока отсутствует.
Please open Telegram to view this post
VIEW IN TELEGRAM
Обновление сертификата в СМЭВ 3
СМЭВ 3 переходит на подписание сообщений с использованием нового ключа электронной подписи (есть у них такое непонятное свойство, как истекать каждые 12/15 месяцев), поэтому 25.02.2026 в 18:00 в продуктивной среде СМЭВ 3 произойдёт обновление сертификата, серийный номер нового сертификата: 00af3d7a627d7bf372435d1e4389b9e4f0
А если бы в СМЭВ 3 в качестве средства электронной подписи использовали не программный криптопровайдер, а HSM, то могли бы проводить обновления ключей ЭП и смену сертификатов раз в три года.
СМЭВ 3 переходит на подписание сообщений с использованием нового ключа электронной подписи (есть у них такое непонятное свойство, как истекать каждые 12/15 месяцев), поэтому 25.02.2026 в 18:00 в продуктивной среде СМЭВ 3 произойдёт обновление сертификата, серийный номер нового сертификата: 00af3d7a627d7bf372435d1e4389b9e4f0
А если бы в СМЭВ 3 в качестве средства электронной подписи использовали не программный криптопровайдер, а HSM, то могли бы проводить обновления ключей ЭП и смену сертификатов раз в три года.
В ComNews вышла статья "ИИ спрямил дорогу к ЭДО". Такой многообещающий заголовок, а по содержанию анализ рукописных полномочий в МЧД...
Сама новость от МЧД уходит к вопросам деятельности удостоверяющих центров, но эти фразы:
будто вырублены топором, ещё и статистика про 48 УЦ некорректная.
А есть ли вообще место искусственному интеллекту в PKI, в нашей зарегулированной с уровня федерального законодательства сфере? Поможет нам Ai в рамках 795 или 796 приказов ФСБ России?
Может ли где Ai заменить человека? Самое первое, что напрашивается это поддержка пользователей, все вопросы по получению и применению сертификатов, получению МЧД могут рассматривать Ai-агенты.
Где Ai может также упростить работу - проверка документов, любых, в том числе от удостоверяющих центров на получение аккредитации.
P.S. А на практике можно научить DeepSeek читать подписи в Base64, даже с учётом наших oid (изначально отвечал, что не может). Удобно, закинул файл подписи в чат, а он тебе ответ. Вот бы ещё проверять умел - математику, форматы, цепочки, аккредитации... Ai ДТС, кажется размечтался.
Сама новость от МЧД уходит к вопросам деятельности удостоверяющих центров, но эти фразы:
Эти сертификаты выпускают специализированные удостоверяющие центры (УЦ), которые занимаются созданием и выдачей ключей проверки ЭП как юридическим, так и физическим лицам. Такая деятельность возможна только для организаций, аккредитованных Минцифры России. (По состоянию на 9 февраля 2026 г., всего в списке 48 организаций, которые могут быть УЦ).
будто вырублены топором, ещё и статистика про 48 УЦ некорректная.
А есть ли вообще место искусственному интеллекту в PKI, в нашей зарегулированной с уровня федерального законодательства сфере? Поможет нам Ai в рамках 795 или 796 приказов ФСБ России?
Может ли где Ai заменить человека? Самое первое, что напрашивается это поддержка пользователей, все вопросы по получению и применению сертификатов, получению МЧД могут рассматривать Ai-агенты.
Где Ai может также упростить работу - проверка документов, любых, в том числе от удостоверяющих центров на получение аккредитации.
P.S. А на практике можно научить DeepSeek читать подписи в Base64, даже с учётом наших oid (изначально отвечал, что не может). Удобно, закинул файл подписи в чат, а он тебе ответ. Вот бы ещё проверять умел - математику, форматы, цепочки, аккредитации... Ai ДТС, кажется размечтался.
Об ЭП и УЦ
Сегодня истекают сертификаты соответствия ФСБ России № СФ/114-4573 от 10.07.2023, СФ/114-5040 от 10.12.2024 у мобильного средства электронной подписи IDPoint, являющегося основой для иных известных мобильных приложений. С учётом того, что выписка из перечня…
Please open Telegram to view this post
VIEW IN TELEGRAM
Проблематика меток доверенного времени слишком объемная для одного поста. Недочёты 63-ФЗ и подзаконных актов не решаются годами, в итоге АУЦ ничего не остаётся, кроме как выдавать сертификаты физлиц для функционирования своих служб TSA.
Данный пост про анализ используемых сертификатов служб, которые удалось найти в открытом доступе.
Срок действия закрытого ключа служб - период в течение которого может осуществляться подписание и создание меток доверенного времени, у коммерческих УЦ он крайне невелик - 1 г. 3 м., как у обычных пользовательских сертификатов. У госУЦ - уже 3 года, при этомКонтур Сертум тоже использует HSM, но срок ключа, как у программных CSP. И только служба Госключа может себе позволить ключ на 5 лет, благодаря тому, что сертификат выдан Головным УЦ.
Используемые средства ЭП - от программных до аппаратных HSM.
Сроки действия сертификатов служб - от 12 до 15 лет, но это не значит, что подпись можно будет проверить в течение этого срока, так как время проверки ограничено сроком действия закрытого ключа ЭП самих служб доверенного времени.
Данный пост про анализ используемых сертификатов служб, которые удалось найти в открытом доступе.
Срок действия закрытого ключа служб - период в течение которого может осуществляться подписание и создание меток доверенного времени, у коммерческих УЦ он крайне невелик - 1 г. 3 м., как у обычных пользовательских сертификатов. У госУЦ - уже 3 года, при этом
Используемые средства ЭП - от программных до аппаратных HSM.
Сроки действия сертификатов служб - от 12 до 15 лет, но это не значит, что подпись можно будет проверить в течение этого срока, так как время проверки ограничено сроком действия закрытого ключа ЭП самих служб доверенного времени.
Яндекс (номинант профанации 2025 года) никогда не разбирался в вопросах электронной подписи - ни проверить, ни написать грамотно.
Откуда им знать, что токены уже более двух лет не единственный форм-фактор ключевого носителя в Порядке УЦ ФНС России, а сертификат соответствия Рутокен ЭЦП 2.0 давно истёк.
Откуда им знать, что токены уже более двух лет не единственный форм-фактор ключевого носителя в Порядке УЦ ФНС России, а сертификат соответствия Рутокен ЭЦП 2.0 давно истёк.
КЭП, НЭП, имитозазащита и некредитные финансовые организации
Банк России повысилыыффыыфф требования к защите информации для некредитных финансовых организаций. Изменения внесены Указанием от 28.10.2025 N 7219-У.
К некредитным финорганизациям относится много кто - страховые компании, микрофинансовые организации, негосударственные пенсфонды, ломбарды и т.д.
Самое экзотическое в требованиях - СКЗИ, реализующие функцию имитозащиты информации с аутентификацией отправителя сообщения. Здесь нет такой сущности, как "файл подписи", а есть некое "доказательство обладания секретом".
Имитозащита согласно ГОСТ - Защита от атак, имеющих целью имитацию и подмену сообщения, которая реализуется путем выработки и проверки имитовставок.
Проще говоря это про защиту от внесения несанкционированных изменений, т.е. защита целостности, а значит все сертифицированные СКЗИ обеспечивают имитозазащиту, вопрос в аутентификации отправителя сообщения. Мне известно только одного решение, использующее для защиты целостности электронных сообщений и аутентификации отправителя сообщений код аутентификации сообщения на основе хэш-функции в соответствии с RFC 2104 и Рекомендациями по стандартизации Р 50.1.113-2016. Но насколько это будет востребовано на практике? Может всё-таки НЭП?
Банк России повысил
К некредитным финорганизациям относится много кто - страховые компании, микрофинансовые организации, негосударственные пенсфонды, ломбарды и т.д.
Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить целостность электронных сообщений.С КЭП проблем нет, тема хорошо известна, если НЭП, то средства УЦ должны быть сертифицированы ФСБ России (а не как переврал Коммерсантъ про "получение НЭП в аккредитованных УЦ", аж три журналиста писали. Никогда никакие журналисты не смогут писать грамотно про нашу сферу, но хоть не перевирайте факты).
В целях обеспечения целостности электронных сообщений некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать реализацию мер по использованию любого вида усиленной электронной подписи, предусмотренной частью 1 статьи 5 Федерального закона "Об электронной подписи", или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
Самое экзотическое в требованиях - СКЗИ, реализующие функцию имитозащиты информации с аутентификацией отправителя сообщения. Здесь нет такой сущности, как "файл подписи", а есть некое "доказательство обладания секретом".
Имитозащита согласно ГОСТ - Защита от атак, имеющих целью имитацию и подмену сообщения, которая реализуется путем выработки и проверки имитовставок.
Проще говоря это про защиту от внесения несанкционированных изменений, т.е. защита целостности, а значит все сертифицированные СКЗИ обеспечивают имитозазащиту, вопрос в аутентификации отправителя сообщения. Мне известно только одного решение, использующее для защиты целостности электронных сообщений и аутентификации отправителя сообщений код аутентификации сообщения на основе хэш-функции в соответствии с RFC 2104 и Рекомендациями по стандартизации Р 50.1.113-2016. Но насколько это будет востребовано на практике? Может всё-таки НЭП?
Плагины Госуслуг - бессмысленные и беспощадные. А как же информация, что
Реализовали бы уже давно поддержку КриптоПро ЭЦП Browser plug-in - проблемы бы не было, всё равно без КриптоПро CSP функционал электронной подписи не будет работать (экзотика в виде VipNet CSP или Крипто-КОМ даже не рассматривается).
Госплагин и плагин Госуслуг не конфликтуют и не мешают работе друг друга. Госплагин будет работать правильно в любом случае
Реализовали бы уже давно поддержку КриптоПро ЭЦП Browser plug-in - проблемы бы не было, всё равно без КриптоПро CSP функционал электронной подписи не будет работать (экзотика в виде VipNet CSP или Крипто-КОМ даже не рассматривается).