✍️До начала PKI-Форума 🔐 в планах подготовить серию публикаций, приуроченных к теме стратегической сессии: "Доверие к отечественной инфраструктуре открытых ключей".

В состав программного комитета я не вхожу, кроме размещенной программы источников нет, поэтому как всегда напишу, что считаю правильным отметить. Попадут ли поднятые вопросы в обсуждение стратсессии увидим на PKI-Форуме.

✍️Признание квалифицированной электронной подписи

Начало обсуждения "Доверия к отечественной инфраструктуре открытых ключей" начнём со статьи 11 63-ФЗ, которая содержит условия признания квалифицированной электронной подписи. Все условия должны соблюдаться одновременно, признать КЭП недействительной может только суд.

Четыре условия действительности КЭП: 
🔹Аккредитованный УЦ – сертификат должен быть выдан аккредитованным удостоверяющим центром, это базовое условие, при этом аккредитация УЦ должна действовать в день выдачи сертификата.

Это теория закона, на практике всё по-другому, т.к. окончание срока действия аккредитации УЦ прекращает действие всех ранее выданных сертификатов (1, 2). Норма закона не работает уже с самого первого пункта.

🔹Действительность сертификата – сертификат должен быть действителен: 
   - на момент подписания документа (если известно время подписания), 
   - или на дату проверки подписи (если момент подписания неизвестен).

Нельзя создать КЭП с использованием истекшего сертификата, это понятно, сертификат должен быть действующим. Также он должен быть действующим на момент проверки, когда бы она не была - через день, месяц, год, если отсутствует достоверная информация о моменте подписания электронного документа. Таким образом, если нет метки доверенного времени, на момент проверки сертификат должен быть действующим, метка есть - сертификат может быть истекшим. Сроки действия сертификатов 12, 15, 36 мес. или 12 лет.
 
🔹Срок действия ключа ЭП (с 05.08.2024) – ключ ЭП должен быть действующим: 
   - на момент подписания (если время известно), 
   - или на дату проверки (если момент подписания неизвестен).

Самый противоречивый пункт, вступил в силу почти год назад. Он говорит, что проверки срока действия сертификата недостаточно, нужно проверять ещё и срок действия закрытого ключа ЭП.
Срок действия ключа ЭП должен быть действующим на момент подписания, нельзя создать КЭП с истекшим ключом ЭП, что понятно и логично. Также ключ ЭП должен быть действующим на момент проверки, когда бы она не осуществлялась. Если срок действия ключа истёк - должна быть метка доверенного времени. Метки нет, ключ истёк - проверить нельзя, даже если сам сертификат ещё действует. Сроки действия ключей ЭП 12, 15, 36 мес. или 5 лет. 

🔹Успешная проверка подписи – подтверждены: 
   - принадлежность владельцу сертификата созданной КЭП, 
   - отсутствие изменений в документе после подписания. 
Проверка должна проводиться с использованием сертифицированных средств ЭП и  сертификата владельца.

Здесь про целостность документа, принадлежность сертификата владельцу, а не иному лицу, а также про использование сертифицированных средств ЭП, как при генерации ключа пользователем, создании сертификата УЦ, создании и проверке ЭП.

✍️"Об ЭП и УЦ"

Как пишет @alukatsky - А вы учли это в своей модели угроз? 😂

Да не работники "не самые грамотные", а сисадмин, который это писал.

⚡️ Совет Федерации одобрил закон, направленный в том числе на ускорение процедуры аккредитации удостоверяющих центров

Законопроект был вынесен в Госдуму Правительством в октябре 2024 и направлен на упрощение процедуры получения лицензий и аккредитаций.

Изменения вносятся более чем в 50 федеральных законов, законодательно закрепляя результаты эксперимента по оптимизации и
автоматизации процессов разрешительной деятельности и лицензирования, проводимого в
соответствии с постановлением Правительства от 30 июля 2021 года № 1279.

В частности, Федеральный закон установил нормы регулирующие:
🔹автоматизацию процессов подачи, приема и рассмотрения заявлений о предоставлении лицензий;
🔹перевод на реестровую модель введения учета разрешительных документов и результатов
предоставления государственных услуг;
🔹сокращение сроков предоставления государственных услуг и перечня предоставляемых
заявителем документов.

✍️Об ЭП и УЦ

✍️Какие изменения внесены в Федеральный закон "Об электронной подписи и удостоверяющих центрах":

🔹 легализуется ЕПГУ, как способ подачи заявления о получении аккредитации УЦ, который технически работает с 2022 года, но Минцифры проще получать бумажные документы (на фото реальный комплект документов на аккредитацию);
🔹срок, в течение которого Минцифры принимает решение о соответствии УЦ установленным требованиям, сокращается с 30 календарных дней до 18 рабочих дней;
🔹срок направления Минцифры заключения в Правкомиссию сокращается с 10 календарных дней до 6 рабочих дней;
🔹срок направления Минцифры уведомления об аккредитации УЦ сокращается с 5 календарных дней до 1 рабочего дня со дня получения решения от Правкомиссии об аккредитации;
🔹 срок направления Минцифры отказа в аккредитации сокращается с 10 календарных дней до 1 рабочего дня.

✍️Отдельное внимание: подаваемые через ЕПГУ документы должны быть подписаны удостоверяющим центром КЭП руководителя, а если подписывает иное лицо, то его КЭП/НЭП Госключа с МЧД. Первый раз, когда в федеральном законе для очень многих случаев закреплена конструкция НЭП Госключа + МЧД, до этого было только постановление Правительства.

Вы помните, что такое НУЦ? 🏛 А сколько сертификатов он выдал за 6 лет своего существования? А можно ли на свой сайт поставить сертификат НУЦа? А вы знаете, сколько длится процедура отзыва сертификата НУЦа? А чтобы вы сделали, если бы вы были министром цифрового развития, который отвечает за цифровизацию в стране? 🤔 Вариант с увольнением замминистра, отвечающего за НУЦ, не предлагать! Не знаете? Я вот попробовал дилетантски порассуждать в блоге на эту тему.

ЗЫ. Извините, но блог пока работает на сертификатах нероссийского CA и на западной криптографии 🤷‍♀️

#суверенитет #криптография #pki

✍️ Удостоверяющие центры повышают класс защиты

Анализ используемых аккредитованными удостоверяющими центрами средств УЦ

🔹 44 АУЦ для создания квалифицированных сертификатов используются 7 разных средств УЦ, количество ПАК составляет 58, т.к. один АУЦ может использовать более одного ПАК, в т.ч. разных производителей;
🔹 всего АУЦ - 46, но два (НИИАС, Контур.Банк) выдачу сертификатов не осуществляют;
🔹подавляющее большинство ПАКов (81%) на базе КриптоПро УЦ, на втором месте ViPNet с 7 %;
🔹3 АУЦ используют средства представленные в единичном экземпляре (больше их никто не использует);
🔹59% УЦ используют средства класса КС2, 41% - КС3.

Для проведения текущего анализа использовалась информация о подчинённых сертификатах, полученных в 2024-2025 гг.

Если сравнить с прошлым анализом, а там методика была другая - использовалась информация о самом последнем подчинённом сертификате, количество ПАК = АУЦ, поэтому смотрим на относительную оставляющую: УЦ повышают класс защиты, КС3 постепенно движется к половине и рост доли КриптоПро УЦ, уже более 80% всех ПАКов.
Некоторые средства УЦ, например ЛИССИ, я бы вообще исключил, нигде нет информации об их сертифицированности, но два АУЦ получали подчинённые сертификаты на данном средстве УЦ.

🚀Об ЭП и УЦ

🔥Госплагин: новый плагин для работы с электронной подписью на Госуслугах 

✅Ссылка на страницу Госплагина 5 часов назад размещена на Госуслугах

📥 Как установить? 
1️⃣ Скачайте установочный файл для вашей ОС: 
   - Windows / macOS + расширение / Linux (Debian, Astra Linux) 
2️⃣ Запустите файл — он установит приложение и расширение для браузера. 
3️⃣ Активируйте расширение в браузере

🔑 Какие токены поддерживаются? 
✔️ Рутокен ЭЦП 3.0
✔️ JaCarta 2 SE / JaCarta-2 GOST 
✔️ ESmart Token GOST 

Если ваш токен не в списке — установить криптопровайдер (КриптоПро CSP, VipNet CSP и др.). 

💻 Поддерживаемые ОС и браузеры 
✅ Windows 10/11, macOS 13+, Astra Linux, Debian 10 
✅ Chrome, Firefox, Edge, Safari, Яндекс.Браузер (актуальные версии) 

⚠️ А старый плагин Госуслуг удалять? 
Нет, он ещё нужен для некоторых услуг. Госплагин и старый плагин работают без конфликтов. 

🔗 Подробнее — на странице лендинга Госплагина.

✍️Об ЭП и УЦ

🔐 Как войти на Госуслуги с использованием квалифицированного сертификата? 

Удобный и безопасный вход на Госуслуги без ввода паролей и кодов из смс.

Что понадобится: 
✅ Токен с записанными квалифицированным сертификатом и ключом ЭП
✅ Госплагин + расширение для браузера
✅ Криптопровайдер (если токен пассивный/ключ не PKCS#11) 

Как подключить: 
1️⃣ Зайдите в личный кабинет → Профиль → Безопасность → Вход в систему → Вход по электронной подписи 
2️⃣ Введите пароль от учётной записи, чтобы подтвердить подключение.

✍️Об ЭП и УЦ

✍️Удивительное конечно - Международная рабочая группа по серверным сертификатам - абсолютно открыты все голосования и будущие повестки.

Экспертный совет по вопросам электронной подписи при Минцифры - под пометкой "Для служебного пользования".

📣Айдентити Конф 2025 — единственная в России конференция на тему безопасности Identity

В этом году Айдентити Конф уже традиционно станет площадкой для ежегодного диалога между представителями российского бизнес-сообщества и специалистами в области кибербезопасности, который позволит найти эффективные решения для защиты айдентити в цифровую эпоху.

Мероприятие пройдет при поддержке Индид, российского вендора, который более 15 лет развивает комплексные решения в области защиты айдентити.

На #АйдентитиКонф2025 соберутся топ-менеджеры и руководители крупнейших компаний в России и лидеры отрасли, чтобы обменяться опытом и вместе поработать над решением важнейших задач в сфере безопасности айдентити.

Главные темы:
◾️ Idenity – новый периметр безопасности. Обзор Identity трендов 2025
◾️ Аутентификация: ITDR, MFA и SSO. Новые сценарии и тренды
◾️ Как избежать ошибок при внедрении PAM?
◾️ Лучшие практики внедрения IDM в компаниях
◾️ Облачные технологии: доверять или нет?
◾️ Выставка Identity-технологий

Айдентити Конф состоится 11 сентября в Центре кино «Мосфильм».

Приглашаю вас принять участие в конференции и пройти предварительную регистрацию на сайте конференции: https://identityconf.ru/

До встречи на Айдентити Конф 2025!

✍️Телеграм-канал "Об ЭП и УЦ" - второй год подряд выступает информационным партнером Айдентити Конф

✍️Советую журналистам РБК хоть раз самим прочитать, что написано в законе о госмессенджере в части функционала электронной подписи (спойлер - конечно же там написана глупость). Поменьше выдумывать и брать комментарии у экспертов сферы, а не всех подряд.

🔑 Для подписания электронных документов действует приложение «Госключ»

В издании РБК вышла статья «MAX стал обязательным для получения документов на электронную подпись». В связи с этим Минцифры отдельно обращает внимание: сообщения о том, что мессенджер MAX будет обязательным для подписания электронных документов, не соответствуют действительности. Рассказываем, как на самом деле.

❗️ В законе идёт речь только про подпись документов в «Госключе». Он не затрагивает другие сервисы для подписания документов электронной подписью.

Все, кто ранее подписывал документы в других сервисах с использованием токенов, физических носителей, смогут делать это и дальше.

Закон не предусматривает, что в MAX обязательно будут направляться все документы для подписи в «Госключе». В тексте закона говорится об «использовании инфраструктуры», это также могут быть уведомления о пришедших в «Госключ» документах.

Заявления с Госуслуг на подпись в «Госключ» также не обязательно направлять с использованием MAX. То же самое касается и ведомственных документов.

В законе говорится об эксклюзивном бесшовном взаимодействии «Госключа» с национальным мессенджером, что позволит упростить направление и получение на подпись документов, например, договоров с операторами связи, просто направив их в чат. Для непосредственного подписания документов и далее будет применяться приложение «Госключ».

@mintsifry #госключ #госуслуги