Форматы электронной подписи / Блог компании «Актив» / Хабр

Государство vs. удостоверяющие центры

Услышав о проблемах закона «Об электронной подписи», люди в первую очередь предлагают упразднить удостоверяющие центры и передать их функции государству. Одним из основных аргументов сторонников этой точки зрения является то, что эти «шарашкины конторы» не могут обеспечить безопасность предоставляемых услуг и сами являются потенциальными участниками конфликтов интересов (могут неправомерно выпустить подпись третьего лица и ей воспользоваться).

Следует отметить, что данные мысли не лишены логики, но для принятия взвешенных решений нужно учитывать и другие нюансы.

Экономические аспекты взаимодействия государства и частного бизнеса

Государство в эпоху цифровой экономики — это провайдер инфраструктурных сервисов, позволяющих экономике существовать и развиваться. Глобализация — неизбежный спутник цифровизации экономики — серьезно обострит конкуренцию между государствами. Инвестиции и человеческий капитал будут направляться в те страны, государственные сервисы которых наиболее эффективны.

Для победы в конкурентной борьбе государству, как и бизнесу, нужны инвестиции. Где их взять?
Увеличивать налоги — не вариант, так как это приведет к снижению эффективности гос. сервисов: за ту же работу государство будет брать больше. Где еще тогда можно взять деньги?

Наиболее перспективными вариантами получения инвестиций являются государственно-частное партнерство и делегирование бизнесу части государственных полномочий. В качестве примеров подобного взаимодействия можно привести:

Таким образом, мы приходим к выводу, что государство всеми силами должно сохранить вовлеченность частного бизнеса в реализацию своих функций, обязательно обеспечив должный уровень их качества. В противном случае подобное взаимодействие несет больше вреда, нежели пользы, и от него лучше отказаться.

Дополнительным аргументом в пользу сохранения коммерческих удостоверяющих центров как общественных институтов, как ни странно, является человеческий фактор. Сам факт того, что человек служит в госоргане, а не трудится в частной фирме, не делает его честней и порядочней.

Если человек не проводил идентификацию заявителя на выпуск электронной подписи, будучи работником коммерческого удостоверяющего центра, то он не будет этого делать и будучи госслужащим. Для того чтобы процесс заработал, нужны дополнительные усилия: грамотная мотивация труда, обеспечение контроля и др. Все эти меры можно успешно реализовать как в коммерческих компаниях, так и в госструктурах — в общем случае разницы нет.

С учетом вышесказанного в данной статье мы будем исходить из того, что коммерческие удостоверяющие центры будут и дальше продолжать выпускать электронную подпись.

Об электронной подписи, используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств электронной подписи.

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОСТАНОВЛЕНИЕ

от 9 февраля 2021 г. №111

Об электронной подписи, используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств электронной подписи.

В соответствии с частью 2 статьи 3 Федерального закона «Об электронной подписи» Правительство Российской Федерации постановляет:

1. Установить, что при организации межведомственного взаимодействия, осуществляемого в электронном виде органами исполнительной власти и органами местного самоуправления при предоставлении государственных или муниципальных услуг и исполнении государственных или муниципальных функций, применяется усиленная квалифицированная электронная подпись.

2. Утвердить прилагаемые:

Правила использования усиленной квалифицированной электронной подписи органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой;

требования к обеспечению совместимости средств электронной подписи при организации электронного взаимодействия органов исполнительной власти и органов местного самоуправления между собой.

Председатель Правительства Российской Федерации                                     В.Путин

УТВЕРЖДЕНЫ

постановлением Правительства

Российской Федерации

от 9 февраля 2021 г.  №  111

Правила использования усиленной квалифицированной электронной подписи органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой

1. Настоящие Правила устанавливают порядок использования усиленной квалифицированной электронной подписи (далее — электронная подпись) федеральными органами исполнительной власти, органами государственных внебюджетных фондов, органами исполнительной власти субъектов Российской Федерации и органами местного самоуправления  при межведомственном взаимодействии, осуществляемом в электронном виде, при предоставлении государственных или муниципальных услуг и исполнении государственных или муниципальных функций (далее соответственно — межведомственное электронное взаимодействие, участники межведомственного электронного взаимодействия).

Настоящие Правила не применяются к отношениям, возникающим при осуществлении обмена электронными документами, содержащими сведения, составляющие государственную тайну.

2. При межведомственном электронном взаимодействии изготовление ключей электронных подписей может осуществляться участниками межведомственного электронного взаимодействия самостоятельно или по их обращению удостоверяющими центрами, аккредитованными в порядке, установленном Федеральным законом «Об электронной подписи» (далее — аккредитованные удостоверяющие центры). Изготовление ключей электронной подписи осуществляется с использованием средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным Федеральной службой безопасности Российской Федерации.

3. Создание и выдача квалифицированного сертификата ключа проверки электронной подписи (далее — сертификат) каждому участнику межведомственного электронного взаимодействия, в том числе лицу, которое в установленном порядке наделено полномочиями по подписанию электронных документов электронной подписью от имени назначившего его участника межведомственного электронного взаимодействия (далее — уполномоченное лицо участника межведомственного электронного взаимодействия), осуществляются аккредитованными удостоверяющими центрами.

4. Средства электронной подписи, используемые для формирования электронной подписи в процессе межведомственного электронного взаимодействия, должны соответствовать требованиям к обеспечению совместимости средств электронной подписи при организации электронного взаимодействия органов исполнительной власти и органов местного самоуправления между собой, установленным Правительством Российской Федерации.

5. Подписанный электронной подписью электронный документ должен иметь метку времени — достоверную информацию о моменте его подписания, которая присоединена к указанному электронному документу или иным образом связана с ним.

6. Подписанные электронной подписью электронные документы, передаваемые участниками межведомственного электронного взаимодействия друг другу, в том числе с использованием единой системы межведомственного электронного взаимодействия, проходят процедуру признания электронной подписи (далее — проверка электронной подписи).

7. Проверка электронной подписи осуществляется участниками межведомственного электронного взаимодействия самостоятельно с использованием имеющихся средств электронной подписи или с использованием средств информационной системы головного удостоверяющего центра, которая входит в состав инфраструктуры, обеспечивающей информационно-технологическое взаимодействие действующих и создаваемых информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме (далее — единый сервис проверки). Функции головного удостоверяющего центра при осуществлении межведомственного электронного взаимодействия исполняет Министерство связи и массовых коммуникаций Российской Федерации. Проверка электронной подписи также может осуществляться с использованием средств информационной системы аккредитованного удостоверяющего центра.

8. В процессе проверки электронной подписи обращение к единому сервису проверки может осуществляться аккредитованными удостоверяющими центрами и (или) участниками межведомственного электронного взаимодействия с использованием программно-технических средств их информационных систем, в том числе с использованием инфраструктуры электронного правительства, в порядке, устанавливаемом Министерством связи и массовых коммуникаций Российской Федерации.

Организационно-технологические требования к единому сервису проверки, за исключением требований к нему как к средству удостоверяющего центра, утверждаются Министерством связи и массовых коммуникаций Российской Федерации.

Требования к единому сервису проверки как к средству удостоверяющего центра устанавливаются Федеральной службой безопасности Российской Федерации.

 В информационных системах участников межведомственного электронного взаимодействия обработке подлежат электронные документы, которые подписаны электронной подписью, признанной действительной.

Электронная подпись признается действительной при одновременном соблюдении условий, предусмотренных пунктами 1, 3 и 4 статьи 11 Федерального закона «Об электронной подписи», а также при условии, что сертификат не прекратил свое действие и не был аннулирован на момент подписания электронного документа.

Участнику межведомственного электронного взаимодействия, направившему электронный документ, который подписан электронной подписью, признанной недействительной, направляется уведомление об отказе в приеме к обработке такого документа. Указанное уведомление подписывается электронной подписью участника межведомственного электронного взаимодействия, признавшего электронную подпись недействительной.

10. Сертификат действует с момента его выдачи, если в сертификате не указана иная дата начала его действия, и прекращает свое действие в  соответствии с условиями, предусмотренными частью 6 статьи 14 Федерального закона «Об электронной подписи».

Читайте также:  Как экспортировать открытый ключ через КриптоПро CSP -

Сертификаты для участников межведомственного электронного взаимодействия создаются с учетом установленных эксплуатационной документацией на используемое средство электронной подписи сроков действия ключей электронных подписей.

11. Прекращение действия сертификата, выданного участнику межведомственного электронного взаимодействия на имя его уполномоченного лица, осуществляется в обязательном порядке при смене такого уполномоченного лица, а  также в  случае нарушения конфиденциальности ключа электронной подписи (компрометация ключа).

12. Участник межведомственного электронного взаимодействия в случае нарушения конфиденциальности ключа электронной подписи незамедлительно извещает об этом аккредитованный удостоверяющий центр для прекращения действия сертификата, выданного для проверки этого ключа.

13. При прекращении полномочий уполномоченного лица участника межведомственного электронного взаимодействия по подписанию документов в электронной форме участник межведомственного электронного взаимодействия незамедлительно извещает об этом аккредитованный удостоверяющий центр для прекращения действия сертификата, выданного указанному уполномоченному лицу.

14. В случае возникновения обстоятельств, не позволяющих участнику межведомственного электронного взаимодействия (уполномоченному лицу участника межведомственного электронного взаимодействия) правомерно использовать электронную подпись и средства электронной подписи при осуществлении межведомственного электронного взаимодействия, участник межведомственного электронного взаимодействия незамедлительно (не позднее 1 рабочего дня со дня наступления таких обстоятельств) уведомляет об этих обстоятельствах аккредитованный удостоверяющий центр, выдавший сертификат, для прекращения его действия.

15. В случае получения от участника межведомственного электронного взаимодействия информации о необходимости прекращения действия сертификата аккредитованный удостоверяющий центр вносит информацию о прекращении действия этого сертификата в реестр квалифицированных сертификатов в  течение 1 рабочего дня со дня наступления обстоятельств, указанных в  пунктах 11 — 14 настоящих Правил. Действие сертификата прекращается с  момента внесения записи об этом в реестр квалифицированных сертификатов.

16. Выбор средств аккредитованного удостоверяющего центра из имеющихся в наличии в этом удостоверяющем центре и средств электронной подписи при межведомственном электронном взаимодействии осуществляется участниками межведомственного электронного взаимодействия в соответствии с требованиями к средствам электронной подписи и средствам удостоверяющего центра, установленными Федеральной службой безопасности Российской Федерации, техническими требованиями к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия, утверждаемыми Министерством связи и массовых коммуникаций Российской Федерации, и с учетом модели угроз безопасности информации в указанной системе, которая утверждается Министерством связи и массовых коммуникаций Российской Федерации по согласованию с Федеральной службой безопасности Российской Федерации.

____________

УТВЕРЖДЕНЫ

постановлением Правительства

Российской Федерации

от 9 февраля 2021 г.  №  111 

Требования к обеспечению совместимости средств электронной подписи при организации электронного взаимодействия органов исполнительной власти и органов местного самоуправления между собой

1. Настоящие требования предъявляются к средствам электронной подписи с целью обеспечения их совместимости при организации федеральными органами исполнительной власти, органами государственных внебюджетных фондов, органами исполнительной власти субъектов Российской Федерации и органами местного самоуправления межведомственного взаимодействия, осуществляемого в электронном виде, при предоставлении государственных или муниципальных услуг и исполнении государственных или муниципальных функций (далее соответственно — межведомственное электронное взаимодействие, участники межведомственного электронного взаимодействия).

Настоящие требования не применяются к средствам электронной подписи, используемым при осуществлении обмена электронными документами, которые содержат сведения, составляющие государственную тайну.

2. Применяемые или планируемые для применения при межведомственном электронном взаимодействии средства электронной подписи считаются совместимыми между собой в случае обеспечения одинакового результата процедуры проверки условий признания действительности усиленной квалифицированной электронной подписи и одинакового отображения содержимого документа, подписанного указанной подписью.

Проверка совместимости средства электронной подписи с другими средствами электронной подписи, применяемыми или планируемыми для применения при межведомственном электронном взаимодействии, осуществляется путем проверки его совместимости со средствами информационной системы головного удостоверяющего центра, которая входит в состав инфраструктуры, обеспечивающей информационно-технологическое взаимодействие действующих и создаваемых информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме (далее — единый сервис проверки).

3. В целях обеспечения совместимости средств электронной подписи, используемых участниками межведомственного электронного взаимодействия, ключи электронной подписи, ключи проверки электронной подписи создаются, а проверка электронной подписи осуществляется в соответствии с требованиями Федерального закона «Об  электронной подписи».

4. Квалифицированные сертификаты ключей проверки электронной подписи, выдаваемые участникам межведомственного электронного взаимодействия, должны соответствовать требованиям к форме квалифицированного сертификата, установленным Федеральной службой безопасности Российской Федерации.

5. Средства электронной подписи, применяемые участниками межведомственного электронного взаимодействия, должны иметь документ, подтверждающий соответствие требованиям, установленным Федеральной службой безопасности Российской Федерации.

__________

Подпись в cms-формате (signed data type)


Подпись, описанная стандартом CMS, характеризуется следующими особенностями:

  1. Данные могут быть подписаны несколькими сторонами (множественная подпись). В таком случае в сообщении будут присутствовать несколько структур SignerInfo с информацией о подписывающих сторонах: значением подписи и необходимой для проверки ее подлинности информацией.
  2. Тип данных никак не регламентируется, лишь уточняется, что в качестве данных может быть сообщение формата CMS, то есть подписанное Алисой сообщение может быть целиком подписано Бобом.
  3. Подписывать можно не только данные, но и некоторые атрибуты сообщения – хеш сообщения (digest message), время подписи (signing time), значение другой подписи (countersignature).
  4. Открытый ключ подписывающей стороны может быть несертифицированным.
  5. Подпись может отсутствовать и вовсе.

Данные с электронной подписью используются не только для подписи содержимого и часто используются для распространения сертификатов и списков отзыва сертификатов (Certification Revocation List, CRL). В таком случае подписываемые данные отсутствуют, а поля Certificates и CRLs, наоборот, присутствуют.

Подписанное Алисой сообщение в формате CMS будет иметь следующий вид (серым отмечены необязательные атрибуты):

  • Версия синтаксиса CMS Version зависит от сертификатов, типа подписываемых данных и информации о подписывающих сторонах
  • Digest Algorithms включает в себя идентификаторы используемых алгоритмов хеширования и ассоциированные с ними параметры.
  • Encapsulated Content содержит подписываемые данные (Content) вместе с их типом (Content Type). Содержимое может отсутствовать, тип – нет.
  • Certificates предназначен для цепочки сертификатов, отражающих путь сертификации от центра сертификации, выдавшего сертификат, до каждой из подписывающих сторон. Также могут присутствовать сертификаты подписывающих сторон.
  • CRLs (Certificate Revocation List) предоставляет информацию о статусе отзыва сертификатов, достаточную для определения валидности сертификата подписывающей стороны.
  • Информация о каждой подписывающей стороне содержится в структурах типа Signer Info, которых может быть любое количество, в том числе и нулевое (в случае отсутствия подписи).
    • Версия синтаксиса CMS Version определяется значением Signer ID.
    • Signer ID определяет открытый ключ подписывающей стороны (subjectKeyIdentifier) или сертификат его открытого ключа, необходимый для проверки подлинности подписи (issuerAndSerialNumber).
    • Digest Algorithm определяет алгоритм хеширования и все ассоциированные с ним параметры, используемые подписывающей стороной.
    • В Signed Attributes помещаются атрибуты, требующие подписи. Поле может отсутствовать только при подписи простых данных (Content Type = id-data), при подписи других данных (например, Content Type = id-SignedData) должно присутствовать с как минимум двумя обязательными атрибутами – типом (Content Type) и хешем данных (Message Digest).
    • Signature Algorithm содержит идентификатор алгоритма подписи вместе с его параметрами.
    • В Signature Value помещается значение подписанного закрытым ключом хеша от данных (Content) и атрибутов для подписи (Signed Attributes).
    • В Unsigned Attributes помещаются оставшиеся атрибуты, не требующие подписи.


Если Боб решает целиком подписать полученное от Алисы сообщение, то используется механизм инкапсуляции, и сообщение будет выглядеть вот так:

CMS предлагает два интересных атрибута, расширяющих возможности обычной подписи: время подписи (Signing Time) и контрасигнатуру (Countersignature). Первый атрибут определяет предполагаемое время осуществления подписи, а второй предназначен для подписи другой подписи (подписывается хеш от значения подписи).

Атрибут Countersignature представляет собой структуру Signer Info с отсутствующим в Signed Attributes атрибутом Content Type и обязательно присутствующим атрибутом Message Digest. Атрибут Countersignature может иметь свой собственный атрибут Countersignature.

Если Боб решит подписать только данные, переданные Алисой, и заодно подписать подпись Алисы, то сообщение будет иметь такой вид:

Проблема № 2 — ограничение использования электронной подписи

Электронные подписи, как и любые другие технологии, переживают определенные циклы развития. Текущий закон «Об электронной подписи» — это закон этапа популяризации технологии (электронная подпись уже используется обществом, но ее проникновение все еще далеко от повсеместного). В следствие этого закон больше ориентирован на массовость, нежели безопасность электронной подписи.

Читайте также:  Электронные замки для шкафчиков | С кодовой клавиатурой

Единственный механизм ограничения использования электронной подписи приведен в п. 4 ст. 11 63-ФЗ. Там, в частности, говорится о том, что квалифицированная электронная подпись должна использоваться в соответствии с ограничениями, указанными в сертификате ключа подписи.

К сожалению, данная формулировка не позволяет полностью запретить выпуск и использование электронной подписи, в результате чего от электронной подписи страдают граждане, которые никогда в жизни ее не выпускали (например, жертвы приведенных в начале статьи инцидентов).

Особо остро проблема ограничения использования электронной подписи касается должностных лиц.

В данный момент они вынуждены жертвовать личной безопасностью в угоду интересов работодателя. Это, в частности, проявляется в том, что электронная подпись, выпускаемая на них для удовлетворения нужд компании, может быть использована против их личных интересов, например, для неправомерного переоформления квартиры в Росреестре.

Проблема усугубляется тем, что количество людей, которым может оказаться доступна электронная подпись должностного лица, трудно поддается ограничению и практически не зависит от воли владельца подписи. В качестве примеров людей, которым может стать доступной электронная подпись должностного лица, можно привести:

  • администраторов средств криптографической защиты информации (СКЗИ), ответственных за выпуск криптографических ключей и в том числе ключей электронной подписи;
  • ИТ-работников, настраивающих информационные системы для использования электронной подписи;
  • аудиторов, осуществляющих проверку работы организации (например, пентестеры);
  • сотрудников государственных контрольных органов, осуществляющих в отношении организации контрольные мероприятия;
  • сотрудников правоохранительных органов, проводящих в отношении компании работодателя оперативно-следственные мероприятия;
  • команду конкурсных управленцев, руководящих компанией, если та инициировала процедуру банкротства;
  • и, как ни печально, других лиц.

Проблема № 4 — правила использования скзи

(с) Яндекс.Картинки

Текущая законодательная база, регулирующая использование электронной подписи, содержит требование по обеспечению безопасности, которое, в конечном счете, может привести к обратному эффекту и создать прецедент для оспаривания подписи. Разберем все по порядку.

П.п. 2. п. 4 ст. 5 63-ФЗ устанавливает требования к квалифицированной электронной подписи: «для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом».

Указанные требования к средствам электронной подписи определены в Приказе ФСБ РФ от 27.12.2021 N 796. В п. 6 данного документа сказано, что средства электронной подписи (а это — СКЗИ) должны эксплуатироваться в соответствии с ПКЗ-2005.

Тут сразу возникает вопрос, будет ли считаться электронная подпись квалифицированной, если она сделана с помощью сертифицированного СКЗИ, эксплуатируемого не в полном соответствии с правилами пользования (технической документацией).

Однозначного ответа на данный вопрос законодательство не содержит. Следовательно, учитывая состязательность российского судопроизводства, по схожим делам будут выноситься диаметрально противоположные решения, что в конечном счете может привести к снижению доверия к электронной подписи, и сделает ее более уязвимой к атакам на неотрекаемость.

Для иллюстрации данной проблемы рассмотрим ситуацию, часто возникающую при получении квалифицированных сертификатов ключей подписи в удостоверяющих центрах. Суть ее в том, что срок действия сертификата может быть определен в 5 лет, а срок действия закрытого ключа (расширение PrivateKeyUsagePeriod OID 2.5.29.16)

Проблема № 7 — «атака назад в будущее»

Форматы электронной подписи / Блог компании «Актив» / Хабр(с) киносказки Александра Роу

Данная атака — это, пожалуй, осиновый кол в сердце электронного документооборота, использующего для заверения документов только электронную подпись.

Проблема в том, что, манипулируя с датой формирования электронной подписи, злоумышленник может добиться как признания поддельной подписи, так и отрицания легитимной.

Пример 1 — признание поддельной подписи

Жил был Ярополк и руководил он артелью заморских каменных дел мастеров. По просьбе заказчика своего, Всеволода, решил он упростить обмен бумагой окаянной и оформил себе квалифицированный сертификат электронной подписи.

Ярополк и Всеволод договорились, что вместо бумажных пергаментов, от руки написанных, будут они по почте электронной слать друг другу файлы, в редакторе MS Word составленные и подписью электронной с помощью СКЗИ КриптоПРО и ПО КриптоАРМ заверенные. По наставлению волхвов, в том толк знающих, решили дату подписи документов прописывать в файлах электронных перед их заверением.

Записали все это на пергаменте и скрепили подписями своими, назвав сей документ «Соглашением об электронном документообороте».

Долго ли, коротко ли работали они по такой схеме. Но затем жадность жабою тяжелою грудь Всеволоду сдавила, навевая мысли темные о том, что платит Ярополку он слишком дорого. Начали думы горькие изводить Всеволода по-разному: сна лиши, да настроение испортили.

Решил Всеволод с горем своим обратиться к знахарке местной, Бабой-Ягой величать которую. Та за плату щедрую надоумила Всеволода закрытый ключ электронной подписи у Ярополка выкрасть. Как известно, ключ тот содержался в приборе заморском, яйцо напоминающем (USB токен), в заднюю часть компьютера постоянно воткнутом.

Для плана своего коварного нанял Всеволод блудницу кареглазую, чтоб та чарами своими амурными разум Ярополку затуманила и в тридевятое царство съездить надоумила.

Пока в путешествии заморском Ярополк с блудницей развлекался, Всеволод в тайне прокрался в палаты белокаменные и прибор, яйцо напоминающий, ключ Ярополка содержащий, из задней части компьютера вынул и сбежал с ним.

Но не знал Всеволод, что перед отъездом своим Ярополк чары охранные на палаты свои наложить попросил. Чары те сработали и сигнал в дружину городскую направили. Прибыв на место и не найдя ворогов лютых, дружинники челядь Ярополка вызвали, чтоб та проверила, не украдено ли добро какое-нибудь ценное. Приказчик Ярополка обнаружил пропажу «яйца» заветного, ключ электронной подписи содержащего. Памятуя заветы волхвов, он немедленно к мастерам обратился, что «яйцо» то изготовили, чтоб заклятиями своими силу «яйца» они изничтожили. Мастера, следуя заветам предков, добавили сертификат электронной подписи Ярополка к списку отозванных сертификатов и наказ дали, чтоб Ярополк «яйцо» то не пользовал, даже если оно сыщется, и чтоб к ним он скорее за новым «яйцом» явился, новую электронную подпись получить.

Всеволод узнал все это и еще больше пригорюнился. Отправился он с думами тяжкими к Бабе-Яге за советом мудрым. Узнав о горе Всеволода, Баба-Яга закатилась злобным хохотом и, проржавшись, молвила: «Это не беда! А делать тебе нужно следующее:

  1. Запусти свой компьютер и переведи дату на три месяца назад, когда ключ Ярополка действовал еще.
  2. Составь документ новый и напиши в нем, что Ярополк взял у тебя денег множество и с процентами отдать обязуется через три месяца.
  3. В качестве даты подписания документа укажи дату, что на компьютере у тебя будет.
  4. Подпиши документ сей своей электронной подписью и подписью Ярополка».

«Чует мой дух,» — сказала старуха — «что Ярополк на „яйце“ пароль по умолчанию оставил».

Всеволод так и сделал и через суд забрал у Ярополка денег видимо не видимо.

Так как, согласно п.2 ст. 11 63-ФЗ: «Квалифицированная электронная подпись признается действительной… при одновременном соблюдении следующих условий:… квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;» документ липовый, Всеволодом составленный, судьей годным признан был, поскольку подписью Ярополка был заверен, а дата формирования подписи с периодом, когда подпись действовала, совпадала. Оспорить дату эту окаянную Ярополк не смог, поскольку та по всем правилам «Соглашения об электронном документообороте» была поставлена.

Читайте также:  ЭЦП для Ростелеком — на официальном сайте
Пример 2 — отрицание легитимной подписи

Раздосадованный трагедией ужасной, денег уйму стоящей, решил Ярополк отомстить Всеволоду, да так, чтоб той же монетой, чтоб по справедливости.

Принялся Ярополк читать писание, закон 63-ФЗ содержащее. Читал, читал… да и уснул. И приснился ему муж величавый, ликом Вещевого Олега напоминающий. Взирал тот муж на поле ратное, где полчища басурман поверженных кровью своей поганою Русь святую пачкали, и гласил речи грозные: «Кто к нам с чем за чем, тот от того и того…». По утру проснулся Ярополк в бодром здравии, ибо знал он теперь, что делать ему надобно.

Пришел Ярополк к Всеволоду и слово молвил, что, несмотря на все разногласия, у мастеровых его семьи, да дети малые, что без работы худо им, и предложил строить палаты белокаменные вместе и далее. Услышав это, Всеволод несказанно возрадовался и сообщил, что не против он продолжения сотрудничества, но платить будет по справедливости, то есть в два раза меньше прежнего.

Ярополк предложение то принял, но сказал, что «Соглашение об электронном документообороте» поменять надобно: слова про дату подписания документов от туда выкинуть. Также добавил он, что раз денег за работу вдвое меньше будет, то надобно аванс ему выдать, да наличными, чтоб мог он камня строительного привести, да часть жалования мастеровым выдать. За деньги полученные расписку он составит безбумажную, электронной подписью заверенную. На том и порешили.

Выдал Всеволод аванс Ярополку и получил взамен расписку электронную.

После этого пошел Ярополк к мастерам, что «яйцо» с электронной подписью изготовили, и попросил новое «яйцо» сделать, так как старое у него лихие люди вместе с кошелем в подворотне похитили. Мастера отозвали подпись старую, да «яйцо» с новой выдали.

Проходит неделя, другая, а Ярополк работы и начинать не думает. Разгневался Всеволод и вызвал Ярополка, чтоб испросить с него за бездействие. А Ярополк слово молвит, мол денег аванса он так и не получил, не на что камень строительный приобрести. Всеволод почуял неладное, да в суд на Ярополка опять подал.

Во время слушаний предъявил Всеволод судье мудрому расписку электронную, подписью Ярополка заверенную. На что Ярополк ответил: «Подписка та поддельная лихими людьми составлена, что „яйцо“ его похитили».

Для разрешения спора этого сложного запросил судья у мастеров, что подпись Ярополку выпустили, дату отзыва подписи его электронной, так же вязл судья у Всеволода оригинал «Соглашения об электронном документообороте».

Поскольку соглашение то не содержало слов о том, что считать датой подписи электронного документа, а также, учтя тот факт, что стороны не пришли к согласию относительно самого факта подписи и соответственно даты ее совершения, судья мудрый принял решение, что дата электронной подписи электронного документа достоверно не определена.

После этого обратился он к п.2 ст. 11 63-ФЗ: «Квалифицированная электронная подпись признается действительной… при одновременном соблюдении следующих условий:… квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен».

На основании всего выше сказанного суд пришел к выводу, что электронная подпись под документом не действительна, так как дата подписания документа достоверно не определена, а на момент проверки подписи ее сертификат не действителен.

Решение проблемы № 1 («идентификация клиентов удостоверяющими центрами»)

Для обычного гражданина получение электронной подписи по значимости равносильно получению национального паспорта. По сути это два практически равносильных удостоверения личности, только первое — для реального мира, а второе — для «цифрового». Раз ценность удостоверений равна, то и защита их также должна быть равносильной. Другими словами электронная подпись должна выдаваться столь же строго, как и паспорт.

Но все же по сравнению с паспортом у электронной подписи есть важные отличия:

  1. Если паспорт выдается на длительный срок (десятки лет), то электронная подпись — на короткий, как правило, не больше года и трех месяцев.
  2. Обладание паспортом не требует специальных знаний. Обладание же электронной подписью требует. Например, при использовании электронной подписи часто возникают сугубо ИТ-шные вопросы, требующие оперативной технической поддержки.
  3. Для того чтобы воспользоваться краденными паспортом или электронной подписью, злоумышленник должен преодолеть их систему защиты, например, переклеить фотографию в паспорте или взломать пароль на электронной подписи. При этом определить, что злоумышленник воспользовался краденным паспортом, можно по показаниям очевидцев или записям видеонаблюдения, установить же факт неправомерного использования электронной подписи практически невозможно.

Паспорта выдает МВД России. Следуя принципу равной защищенности, рассмотренному выше, получается, что оно же должно выдавать и электронные подписи. Однако, сделать это в рамках существующей структуры МВД России невозможно:

  • Во-первых, потому что наряду с государственными функциями (идентификация, учет и контроль удостоверений личности, …) МВД потребуется выполнять еще сугубо ИТ-шные функции: техническая поддержка, консультации и др.
  • Во-вторых, для МВД потребуется организовать закупки технических и криптографических средств в массовых масштабах, а это будут гигантские бюджетные траты.
  • В-третьих, МВД потребуется существенно расширить штат, так как количество выпускаемых / отзываемых электронных подписей существенно больше аналогичного количества паспортов.

Здесь упоминается МВД России, но приведенные рассуждения будут справедливы и для любых других гос. структур. Как ни крути, а затраты государства на передачу функций удостоверяющих центров в любой из своих органов будут гигантскими. Реальный экономический эффект, выраженный в снижении потерь от экономических преступлений, связанных с использованием электронной подписи, вряд ли будет значительным.

Оптимальный вариант решения сложившейся проблемы видится в совершенствовании процедуры выпуска электронных подписей. В частности, предлагается следующий набор мер:

  1. Запрет оформления электронной подписи по доверенности (паспорт по доверенности получить нельзя).
  2. Законодательное принятие методики идентификации заявителей на оформление электронной подписи, как минимум включающей в себя:
    • наличие не менее двух людей, проводящих идентификацию заявителей своими глазами (как во многих банках при оформлении вкладов или кредитов);
    • наличие процедур проверки документов, удостоверяющих личность заявителя, на предмет подделки.
  3. Обязательная фиксация процедуры идентификации личности заявителя на фискальный видеорегистратор (исключающий возможность подделки видеозаписей) и хранение записей в течение 3 лет (срок исковой давности) со дня окончания срока действия сертификата ключа подписи.

Основным нюансом данного набора мер будет выбор второго человека, проводящего идентификацию личности заявителя на выпуск электронной подписи. Рассмотрим несколько вариантов, отличающихся друг от друга ожидаемой достоверностью идентификации и затратами на реализацию. Вторым человеком, проводящим идентификацию, может быть:

  1. Еще один работник удостоверяющего центра. Самый дешевый вариант, обладающий минимальной безопасностью.
  2. Нотариус. Более дорогой вариант, обладающий максимальной безопасностью без привлечения госслужащих.
  3. Сотрудник МВД России. Самый затратный, самый безопасный вариант (если не они то кто?).

Реализация любой из предлагаемых мер неизбежно приведет к увеличению стоимости электронной подписи. Это, к сожалению, — неизбежное зло.

Усиливая процедуру идентификации заявителей на выпуск электронной подписи, нужно аналогичным образом усиливать и процедуры выдачи SIM-карт, и процедуры авторизации учетных записей на портале «Госуслуги».

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector