Электронный дубликат документа, созданный в МФЦ
Два года назад я решил проверить, как в МФЦ реализуется оформление электронных дубликатов бумажных документов. Для проверки использовал свой диплом, который был отсканирован, скан подписан КЭП сотрудника МФЦ, после чего размещен в личном кабинете Госуслуг. Услуга оказана.
Прошло два года - проверяем электронную подпись. Штатный функционал Госуслуг говорит, что
Идем на портал ГУЦ -
Итог - Госуслуги некорректно отображают статус электронной подписи в рамках штатного функционала, без использования механизма меток доверенного времени электронные дубликаты документов не имеют смысла.
Два года назад я решил проверить, как в МФЦ реализуется оформление электронных дубликатов бумажных документов. Для проверки использовал свой диплом, который был отсканирован, скан подписан КЭП сотрудника МФЦ, после чего размещен в личном кабинете Госуслуг. Услуга оказана.
Прошло два года - проверяем электронную подпись. Штатный функционал Госуслуг говорит, что
Подпись документа подтверждена - Подпись ДЕЙСТВИТЕЛЬНА
Идем на портал ГУЦ -
Подпись НЕДЕЙСТВИТЕЛЬНА (Статус подписи: Электронная подпись верна (прим. математически)
Статус сертификата подписи: Срок действия одного из сертификатов цепочки истек или еще не наступил)
Итог - Госуслуги некорректно отображают статус электронной подписи в рамках штатного функционала, без использования механизма меток доверенного времени электронные дубликаты документов не имеют смысла.
Такие объявления можно встретить на авито, причем услуга судя по отзывам пользуется спросом.
"Мамкины хакеры" предлагают "копирование ЭЦП с защищенной флешки на любой носитель или компьютер для возможности работы на нескольких компьютерах".
Сегодня был проведен эксперимент - предварительно на токен с аппаратной криптографией через интерфейс PKCS#11 был сгенерирован неизвлекаемый ключ, на тестовом УЦ сэмулирована "цепочка доверия до ГУЦ" и выдан сертификат.
По объявлению найден исполнитель, удаленное подключение через Anydesk. 15 минут он пытался извлечь неизвлекаемое с использованием двух широко известных в узких кругах утилит, "включите интернет-отключите интернет", всё безрезультатно. Задание попалось нетиповое, это не с lite-ов ключи забирать.
Криптография была спасена, вина за невыполненную операцию им была возложена на Windows 11.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Сервис проверки ЭП на Госуслугах больше не функционирует
Cервис проверки электронной подписи, который размещался на портале Госуслуг по адресу https://www.gosuslugi.ru/pgu/eds - прекратил своё функционирование. Год назад наш канал сообщал о неактуальности данного сервиса.
Если перейти по ссылке, то будет осуществлен переход на страницу Головного УЦ - https://e-trust.gosuslugi.ru/#/portal/sig-check
🚀 Об ЭП и УЦ
Cервис проверки электронной подписи, который размещался на портале Госуслуг по адресу https://www.gosuslugi.ru/pgu/eds - прекратил своё функционирование. Год назад наш канал сообщал о неактуальности данного сервиса.
Если перейти по ссылке, то будет осуществлен переход на страницу Головного УЦ - https://e-trust.gosuslugi.ru/#/portal/sig-check
Please open Telegram to view this post
VIEW IN TELEGRAM
С таким вопросом ко мне обратились - электронная подпись контракта не проходит проверку на Портале Головного УЦ, на странице Госзакупок - проверку проходит (для демонстрации был взят первый попавшийся контракт). Справочная информация по проверке электронной подписи дала бы ответ на вопрос, но она недоступна.
Поэтому интересно мнение подписчиков, почему так происходит. Особенности проверки ЭП на Госзакупках в "формате ЕИС" будут описаны уже в отдельном посте.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
31 июля в Госдуму внесён законопроект, согласно которому создание и выдача квалифицированных сертификатов госорганам, не имеющих основного государственного регистрационного номера, будет возложена на УЦ Федерального казначейства.
Также законопроект предусматривает, что информация о госорганах, не имеющих ОГРН, будет вноситься в перечень государственных органов, сведения о которых не включены в ЕГРЮЛ. Обязанность по ведению соответствующего перечня также предлагается возложить на Казначейство России.
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
УЦ ФНС России по пяти своим доверенным лицам продлил срок полномочий до 31.12.2024
Количество доверенных лиц УЦ ФНС России сократилось до 6 организаций, статус прекращен у АО "Электронная Москва"
1️⃣Новые аккредитации получены УЦ Корус, МТС, ЕЭТП, истекла аккредитация у УЦ ИнфоТеКС и Калуги Астрал, количество АУЦ сократилось до 47 шт.
2️⃣31 июля в Госдуму внесён законопроект "О внесении изменений в Федеральный закон "Об электронной подписи", согласно которому выдача квалифицированных сертификатов госорганам, не зарегистрированным в ЕГРЮЛ, будет возложена на УЦ Федерального казначейства.
3️⃣ФНС России заключен госконтракт на выполнение работ по развитию АИС «Налог-3», который предусматривает создание и развитие сервисов удостоверяющего центра ФНС России.
4️⃣Банк России подготовил проект предложений по наполнению составного классификатора полномочий машиночитаемых доверенностей.
5️⃣Минцифры России опубликована новая версия Регламента информационного взаимодействия Участников с Оператором ЕСИА и Оператором эксплуатации инфраструктуры электронного правительства, в который добавлена новая цель подключения - передача или получение сведений об МЧД.
6️⃣ Генеральным директором компании КРИПТО-ПРО назначен Смышляев С.В.
7️⃣Минцифры опровергло сообщения в СМИ, что мошенники могут завладеть чужой квартирой на портале Госуслуг.
8️⃣В первом чтении принят законопроект, вносящий "редакторские" изменения в 63-ФЗ, а также возможность подписания банками с клиентами документов в электронном виде с использованием простой ЭП (учётная запись ЕСИА) или НЭП Госключ.
9️⃣Количество доверенных лиц УЦ ФНС России сократилось до 6 организаций: Сбербанк, АЦ, ВТБ, ЕЭТП, ТБанк, ПСБ.
🔟Телеграм-канал "Об ЭП И УЦ"
Please open Telegram to view this post
VIEW IN TELEGRAM
30_07_2024__02-06-06_70843.pdf
6.4 MB
Минфин России в письме от 30.07.2024 № 02-06-06/70843 «Методические рекомендации по применению отдельных унифицированных форм электронных документов» сообщает, что:
Снова "ЭЦП" и игнорирование 63-ФЗ. Насчет простой ЭП тоже интересно:
Что является простой ЭП - логин/пароль Госуслуг, код из смс? Написать одно, а как работать это будет.
при наличии у работника (сотрудника) электронной цифровой подписи (ЭЦП), подписание информации ЭЦП вместо простой электронной подписи (простой ЭП), в случаях предусмотренных в Методических рекомендациях, не противоречит законодательству Российской Федерации.
Снова "ЭЦП" и игнорирование 63-ФЗ. Насчет простой ЭП тоже интересно:
В случае передачи нефинансовых активов в рамках одного учреждения между лицами, с которыми не заключен договор о полной материальной ответственности, в случае отсутствия ЭЦП у ответственных лиц, Накладная (ф. 0510450) может подписываться ответственными лицами простой ЭП
Что является простой ЭП - логин/пароль Госуслуг, код из смс? Написать одно, а как работать это будет.
Ассоциация банков России готова начать работу по изменению законодательной нормы, позволяющей банкам использовать обезличенную КЭП для направления в Федеральную нотариально палату уведомлений о залоге
«Закон об электронной подписи позволяет кредитным организациям применять усиленную квалифицированную подпись юрлица для подписания электронных документов. Квалифицированные сертификаты электронной подписи выдает удостоверяющий центр Банка России. Исходя из этого, банки предлагают рассмотреть возможность использования автоматической подписи, что существенно сократит их издержки»
🔹Состав Топ-10 без изменений, только внутренние перестановки.
🔹В июле выдано меньше сертификатов, чем в июне.
🔹УЦ ФНС России - более 3 млн, УЦ ФК - около 1,5 млн.
🔹Остался месяц, в течение которого сотрудники могут использовать сертификаты ЮЛ без применения МЧД. Большинство уже получили сертификаты ФЛ, оставшийся объем сертификатов ЮЛ сотрудников оценивается в 0,5 млн.
🔹В августе количество УЦ снова изменится в сторону уменьшения и удостоверяющему центру, который по объективным причинам не сможет пройти аккредитацию, лучше бы уже оповестить получателей своих сертификатов об этом.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from ЭДО для бизнеса
МЧД. Распределенный реестр. Что известно и какие прогнозы?
Собрали всю информацию о распределенном реестре ФНС.
Что произошло?
В работе распределенного реестра ФНС произошла нештатная ситуация, которая привела к тому, что главный узел перестал принимать новые МЧД и выдавать уже загруженные по запросу. Загрузить нельзя ни через узел, ни с сайта ФНС. Остался работоспособным режим получения информации о статусе уже размещенных МЧД.
Что делать?
Пока распределённый реестр работает в ограниченном режиме, новые МЧД можно направлять контрагентам в составе пакета документов или использовать для хранения иные информационные системы. Например, для этих целей вполне подойдут сервисы Операторов ЭДО, так как они предусмотрены Постановлением Правительства от 21 февраля 2022 года №223. Некоторые из Операторов ЭДО уже предусмотрели локальное решение.
Все МЧД, которые были подготовлены и направлены на регистрацию в ЦПРР во время его недоступности, загрузятся при возобновлении работы.
Проблемы возникают с теми участниками документооборота, для взаимодействия с которыми нет альтернативного канала направления МЧД. Одним из таких участников является Росалкогольтабакконтроль. Что можно предпринять в этом случае? Можно использовать сертификат, в отношении которого ранее была представлена МЧД, или сертификат генерального директора.
Это неудобно, это не целевой вариант, но это какой-то выход.
Когда починят?
По нашей информации проблема, которая привела к нарушению работы реестра, локализована. Это значит, что сейчас проводятся работы по восстановлению штатной работы реестра. Узлу ФНС необходимо ликвидировать отставание в информации, которое накопилось за это время.
Давать прогнозы - очень неблагодарное дело, но мы рискнем предположить, что произойти это должно в ближайшее время.
🚀 ЭДО для бизнеса
Собрали всю информацию о распределенном реестре ФНС.
Что произошло?
В работе распределенного реестра ФНС произошла нештатная ситуация, которая привела к тому, что главный узел перестал принимать новые МЧД и выдавать уже загруженные по запросу. Загрузить нельзя ни через узел, ни с сайта ФНС. Остался работоспособным режим получения информации о статусе уже размещенных МЧД.
Что делать?
Пока распределённый реестр работает в ограниченном режиме, новые МЧД можно направлять контрагентам в составе пакета документов или использовать для хранения иные информационные системы. Например, для этих целей вполне подойдут сервисы Операторов ЭДО, так как они предусмотрены Постановлением Правительства от 21 февраля 2022 года №223. Некоторые из Операторов ЭДО уже предусмотрели локальное решение.
Все МЧД, которые были подготовлены и направлены на регистрацию в ЦПРР во время его недоступности, загрузятся при возобновлении работы.
Проблемы возникают с теми участниками документооборота, для взаимодействия с которыми нет альтернативного канала направления МЧД. Одним из таких участников является Росалкогольтабакконтроль. Что можно предпринять в этом случае? Можно использовать сертификат, в отношении которого ранее была представлена МЧД, или сертификат генерального директора.
Это неудобно, это не целевой вариант, но это какой-то выход.
Когда починят?
По нашей информации проблема, которая привела к нарушению работы реестра, локализована. Это значит, что сейчас проводятся работы по восстановлению штатной работы реестра. Узлу ФНС необходимо ликвидировать отставание в информации, которое накопилось за это время.
Давать прогнозы - очень неблагодарное дело, но мы рискнем предположить, что произойти это должно в ближайшее время.
Please open Telegram to view this post
VIEW IN TELEGRAM
НКЦКИ предупреждает о рисках компрометации информации при использовании браузера «Спутник»
Первая версия Спутник Браузера была представлена 30 сентября 2015 года в рамках государственной задачи по разработке доступных социальных сервисов для работы в интернете.
В 2016 году Спутник Браузер начал поддерживать российскую криптографию («КриптоПро CSP», версия 4 и выше), а вскоре прошёл сертификацию на соответствие требованиям ФСБ России.
С 2020 года поддержку и разработку браузера осуществляла компания ООО «СпутникЛаб», входящая в группу компаний ПАО «Ростелеком».
Техническая поддержка браузера прекращена в 2022 году, а связанное с ним доменное имя принадлежит американской компании.
Браузер Спутник один из немногих браузеров, который поддерживал ГОСТовое шифрование. 1 апреля 2024 года Госзакупки отказались от поддержки данного браузера.
Please open Telegram to view this post
VIEW IN TELEGRAM
Госзакупки активно оповещают пользователей о переходе на машиночитаемые доверенности. Даже Минцифры сейчас не проводит данную работу, последняя новость датируется августом прошлого года.
Уважаемые подписчики, ваши комментарии к прошлой новости Госзакупок были услышаны и в новую в явном виде добавлено, что МЧД не требуется руководителю.
Уважаемые подписчики, ваши комментарии к прошлой новости Госзакупок были услышаны и в новую в явном виде добавлено, что МЧД не требуется руководителю.
Повышение безопасности при использовании электронной подписи
Но не у нас, а в Казахстане, где рассматривается вопрос по отказу от использования файловых носителях при получении ключей ЭЦП.
В качестве альтернатив рассматриваются:
🔹 технология "облачной" подписи;
🔹носители с неизвлекаемыми ключами.
А что у нас? У нас на уровне закона хоть таких требований нет, но движение к этому есть, например, порядок УЦ ФНС России исключает использование флеш-накопителей, должны быть только носители, сертифицированные ФСТЭК России или ФСБ России.
К сожалению, особенности генерации ключей, в том числе на токенах, сертифицированных ФСБ России, позволяют отдельным дельцам заниматься не самой легальной деятельностью.
Но не у нас, а в Казахстане, где рассматривается вопрос по отказу от использования файловых носителях при получении ключей ЭЦП.
"Вы сейчас знаете, активно развивается биометрическая идентификация, то есть это облачная ЭЦП. Также очень надежными являются токены, неотчуждаемые носители, из которых невозможно извлечь ЭЦП. При этом на заре цифровизации в нашей стране самым простым способом, который позволял массово охватить всех наших граждан и обеспечить их цифровыми электронными подписями, являлась как раз выдача ЭЦП на файловых носителях. Соответственно, мы хотим прекратить процедуру выдачи ЭЦП на файловых носителях. Но этот способ сейчас наименее безопасный", - председатель комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности.
В качестве альтернатив рассматриваются:
🔹 технология "облачной" подписи;
🔹носители с неизвлекаемыми ключами.
А что у нас? У нас на уровне закона хоть таких требований нет, но движение к этому есть, например, порядок УЦ ФНС России исключает использование флеш-накопителей, должны быть только носители, сертифицированные ФСТЭК России или ФСБ России.
К сожалению, особенности генерации ключей, в том числе на токенах, сертифицированных ФСБ России, позволяют отдельным дельцам заниматься не самой легальной деятельностью.
Сегодня 05.08.2024 вступают в силу оставшиеся две нормы 63-ФЗ, внесенные 457-ФЗ:
🔹 в состав квалифицированного сертификата включен срок действия ключа электронной подписи. Соответствующие изменения в 795 приказ ФСБ вступят в силу 01.09.2024. На практике данное дополнение сертификата уже активно применяется УЦ.
🔹 дополнительное условие признания КЭП - теперь, если не использовать метки доверенного времени, то на день проверки должен быть действительным не только срок действия квалифицированного сертификата, но и срок действия ключа электронной подписи.
Что это значит на практике - если срок действия ключа ЭП уже истёк, а сертификат ещё действующий, то КЭП будет признана недействительной при отсутствии метки доверенного времени. Данная норма лишает смысла использование "долгосрочных" 12-летних сертификатов без TSP, т.к. срок действия ключа в большинстве составляет 15 месяцев. Посмотрим, умеют ли операторы информационных систем проводить такие проверки.
🚀 Об ЭП и УЦ
🔹 в состав квалифицированного сертификата включен срок действия ключа электронной подписи. Соответствующие изменения в 795 приказ ФСБ вступят в силу 01.09.2024. На практике данное дополнение сертификата уже активно применяется УЦ.
🔹 дополнительное условие признания КЭП - теперь, если не использовать метки доверенного времени, то на день проверки должен быть действительным не только срок действия квалифицированного сертификата, но и срок действия ключа электронной подписи.
Что это значит на практике - если срок действия ключа ЭП уже истёк, а сертификат ещё действующий, то КЭП будет признана недействительной при отсутствии метки доверенного времени. Данная норма лишает смысла использование "долгосрочных" 12-летних сертификатов без TSP, т.к. срок действия ключа в большинстве составляет 15 месяцев. Посмотрим, умеют ли операторы информационных систем проводить такие проверки.
Please open Telegram to view this post
VIEW IN TELEGRAM