Эксклюзивным комментарием с нашим каналом о новом продукте поделился д.ф.-м.н., генеральный директор КриптоПро Станислав Витальевич Смышляев:
Когда мы применяем мобильное устройство для работы с ЭП, наиболее простыми являются следующие два варианта хранения ключа: локально на устройстве или в облаке. Первый вариант имеет тот минус, что вредоносное ПО может похитить значение ключа прямо из памяти - и нарушитель дальше сможет его использовать по своему усмотрению. Второй же требует наличия специализированных требований, которые пока не выпущены: дело в том, что ключи в этом варианте находятся на стороне сервера, поэтому требуется особенно высокая мера защиты от угроз со стороны администраторов.
Предыдущим шагом вперед было то усовершенствование, что было предложено и реализовано коллегами несколько лет назад: вариант, при котором ключ ЭП расшифровывается в памяти телефона только непосредственно перед операцией. Но при этом все равно остается в силе та же уязвимость к вирусам на телефоне: если вредоносное ПО непрерывно дампит память устройства, то появляющийся (пусть и на короткое время) в ней ключ тоже сможет компрометировать.
И вот с учетом всего вышесказанного после очень долгих дискуссий с экспертами мы решили создать систему, в которой ключ ЭП в принципе не появляется никогда нигде в голом виде. Разработали протокол DKSSP, позволяющий в этих условиях вычислить ЭП по ГОСТ 34.10-2018 - фактически, распределенным образом. Ключ пользователя в защищенном виде создается и хранится на устройстве, а на сервере в HSM хранится ключ защиты. При этом операции проводятся так, что эти ключи применяются по очереди в рамках протокола, поэтому значение ключа нигде не появляется ни в один момент.
Протокол обеспечивает стойкость как в случае нарушителя на стороне мобильного устройства, так и на стороне сервера (но без сговора между ними). Работа с паролями идет через криптографические механизмы, благодаря которым перебор паролей становится возможен только при взаимодействии с сервером (где всё покрывается аудитом и возможностью блокировки).
И всё это реализовано в СКЗИ «КриптоПро Ключ» - причем наряду с более привычными способами, такими как работа с ключами на NFC-токенах.
Please open Telegram to view this post
VIEW IN TELEGRAM
CNews.ru
Подписано заключение ФСБ на «КриптоПро Ключ» — решение для мобильной электронной подписи - CNews
Подписано заключение ФСБ на «КриптоПро Ключ» — решение для мобильной электронной подписи. В основе решения...
Forwarded from ГИС ЕИС ЗАКУПКИ
Как выдать машиночитаемую доверенность (далее – МЧД) сотруднику филиала?
Выдать машиночитаемую доверенность сотруднику филиала могут пользователи головной организации с полномочием «Руководитель» или «Администратор» с назначенными правами и возможностью их передоверия.
Для этого необходимо выполнить следующие действия:
#ЧЗВ
#МЧД
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from УЦ ФК
Сегодня Госдумой принят законопроект об изменении 63-ФЗ в части расширения перечня лиц, которым может быть выдан квалифицированный сертификат от УЦ ФК:
🔹Федеральное казначейство обязано обеспечить:
- формирование и ведение в качестве государственного информационного ресурса перечня государственных органов, сведения о которых не включены в ЕГРЮЛ.
- хранение сведений, содержащихся в перечне;
- круглосуточный беспрепятственный доступ к перечню.
🔹Часть 3 статьи 18, в которой говорится про ознакомление с информацией, содержащейся в квалифицированном сертификате, после слов «под расписку» дополняется словом «или».
🔹Вступление закона в силу - 1 сентября 2025 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
Госдума вчера сразу во втором и третьем чтениях приняла законопроект, дискуссии не было, стенограмма здесь. 16 апреля законопроект рассмотрит Совет Федерации и до конца месяца он будет подписан.
В законе я насчитал четыре нормы - реестр госорганов, не включённых в ЕГРЮЛ, изменение 795 приказа ФСБ России, включение аннулирования, а также исправление ошибки в части ознакомления с информацией о квалифицированном сертификате. Внесение нормы про госорганы по-хорошему такое же исправление ошибки - госы вне ЕГРЮЛ включены в понятие "заявитель".
Пусть такие заголовки вас не вводят в заблуждение, УЦ ФК и так выдавал сертификаты госсектору на правах госУЦ. Но как выдать сертификат ЮЛ для госоргана, которого нет в ЕГРЮЛ? Изменения вносятся в ст. 14 и 17, поэтому ждём изменений 795 приказа ФСБ России. Что должно быть в сертификате автоподписи такого госоргана - наименование и адрес, в сертификате руководителя ещё и ФИО, должность.
В ч. 7 статьи 14 также исправление ошибки - не только информация о прекращении действия сертификата, но и об аннулировании должна вносится в реестр УЦ.
Ну и конечно исправление ошибки в части ознакомления с информацией о квалифицированном
сертификате, теперь аккредитованным УЦ придется вносить изменения в свои Порядки УЦ. Забавно получается, пункт из-за которого в прошлом году УЦ отказывали в аккредитации теперь должен быть в Порядке УЦ.
Блок про Национальный УЦ в данный законопроект не попал, есть другие проекты, куда его можно включить, чтобы принять до конца года.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Подведены итоги конференции Рутокен Day. Технологии доверия
4 апреля в Москве прошла ежегодная конференция Рутокен Day от компании «Актив». Её главная цель — собрать вместе специалистов, которые создают, разрабатывают, продвигают и продают технологические решения. Участники обменялись опытом, практическими знаниями и идеями для развития совместных проектов.
В этом году на конференции обсудили больше тем, чем раньше. Количество гостей тоже выросло: пришло свыше 200 специалистов из партнёрских компаний «Актива», а также журналисты ИТ- и ИБ-изданий, аналитики и эксперты рынка.
Презентации конференции:
🔹Андрей Степин. «Принятие продуктовых решений»
🔹Юлия Ларионова. «Ускорение проектной деятельности и повышение вовлечённости сотрудников с помощью построения процессной модели»
🔹Анастасия Дмитриева. «Команда, как планета, от которой не хочется улетать»
🔹Анастасия Птуха. «Управление маркетингом продукта»
🔹Павел Анфимов. «Рутокен: мост доверия для технологического партнерства»
🔹Сергей Панасенко. «Постквантовая криптография: подходы, стандарты и перспективы»
🔹Кирилл Аверченко. «Как настраивать многофакторную аутентификацию в Linux в 8 раз быстрее»
🔹Ксения Шаврова. «Развитие технологического партнерства. Новый уровень»
🔹Татьяна Калужнина. «Возможности использования технологии FIDO2»
🔹Андрей Лашин. «Опыт разработки стороннего провайдера Passkey»
🔹Дмитрий Мешков. «Особенности встраивания биометрических технологий»
✍️ Телеграм-канал "Об ЭП и УЦ" - информационный партнер Рутокен Day
4 апреля в Москве прошла ежегодная конференция Рутокен Day от компании «Актив». Её главная цель — собрать вместе специалистов, которые создают, разрабатывают, продвигают и продают технологические решения. Участники обменялись опытом, практическими знаниями и идеями для развития совместных проектов.
В этом году на конференции обсудили больше тем, чем раньше. Количество гостей тоже выросло: пришло свыше 200 специалистов из партнёрских компаний «Актива», а также журналисты ИТ- и ИБ-изданий, аналитики и эксперты рынка.
Презентации конференции:
🔹Андрей Степин. «Принятие продуктовых решений»
🔹Юлия Ларионова. «Ускорение проектной деятельности и повышение вовлечённости сотрудников с помощью построения процессной модели»
🔹Анастасия Дмитриева. «Команда, как планета, от которой не хочется улетать»
🔹Анастасия Птуха. «Управление маркетингом продукта»
🔹Павел Анфимов. «Рутокен: мост доверия для технологического партнерства»
🔹Сергей Панасенко. «Постквантовая криптография: подходы, стандарты и перспективы»
🔹Кирилл Аверченко. «Как настраивать многофакторную аутентификацию в Linux в 8 раз быстрее»
🔹Ксения Шаврова. «Развитие технологического партнерства. Новый уровень»
🔹Татьяна Калужнина. «Возможности использования технологии FIDO2»
🔹Андрей Лашин. «Опыт разработки стороннего провайдера Passkey»
🔹Дмитрий Мешков. «Особенности встраивания биометрических технологий»
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Новость в Российской газете: "Госорганы получат право на "обезличенные" электронные подписи"
Противоречие начинается уже с заголовка, прекрасно понимаю, что не существует журналистов, которые могут грамотно писать про нашу сферу.
Далее говорится, что
Для проверки обезличка не нужна, а что касается ускорения обработки запросов граждан, то не будет его. Все госорганы, которые сейчас за это отвечают, в ЕГРЮЛ включены и получают сертификаты "автоподписи" (мне этот термин нравится больше, чем "обезличенные"). Лет через 5, если📱 ещё будет существовать, предлагаю это проверить.
Это работа над ошибками, хорошо, что она была начата, как и устранение ошибки в части 3 статьи 18, про которое три года рассказывал наш канал и которое Минцифры годами старалось не замечать.
Какие госорганы не включены в ЕГРЮЛ?
Высшие органы госвласти: Правительство, Государственная Дума, Совет Федерации, Конституционный Суд и др. не регистрируются в ЕГРЮЛ, т.к. их статус и полномочия устанавливаются Конституцией и федеральными конституционными законами, а не через процедуру государственной регистрации как юридических лиц. Их должностные лица с 01.01.2022 получают сертификаты в УЦ ФК.
Противоречие начинается уже с заголовка, прекрасно понимаю, что не существует журналистов, которые могут грамотно писать про нашу сферу.
Далее говорится, что
Теперь все государственные органы смогут применять "обезличенные" электронные подписи, чтобы автоматически подписывать и проверять документы. Это позволит ускорить обработку массовых запросов граждан, например, при выдаче справок, получении ряда государственных услуг, лицензий, разрешений и других юридически значимых документов.
Для проверки обезличка не нужна, а что касается ускорения обработки запросов граждан, то не будет его. Все госорганы, которые сейчас за это отвечают, в ЕГРЮЛ включены и получают сертификаты "автоподписи" (мне этот термин нравится больше, чем "обезличенные"). Лет через 5, если
таким образом оказывается устранено серьезное бюрократическое препятствие
Это работа над ошибками, хорошо, что она была начата, как и устранение ошибки в части 3 статьи 18, про которое три года рассказывал наш канал и которое Минцифры годами старалось не замечать.
Какие госорганы не включены в ЕГРЮЛ?
Высшие органы госвласти: Правительство, Государственная Дума, Совет Федерации, Конституционный Суд и др. не регистрируются в ЕГРЮЛ, т.к. их статус и полномочия устанавливаются Конституцией и федеральными конституционными законами, а не через процедуру государственной регистрации как юридических лиц. Их должностные лица с 01.01.2022 получают сертификаты в УЦ ФК.
Please open Telegram to view this post
VIEW IN TELEGRAM
1
Forwarded from Новости КриптоПро
КриптоПро Fox - браузер для Android на основе Mozilla Firefox с поддержкой одностороннего ГОСТ TLS и встроенным браузерным плагином КриптоПро - опубликован в RuStore и Huawei AppGallery. Управление ключами и сертификатами доступно на странице КриптоПро WebTools. Подробности и обсуждение в ветке форума.
Сотрудница почты ради плана подделывала договоры и продавала подписи
Разберемся, причём тут подписи, если уголовное дело возбуждено по части 3 статьи 272 УК – «Неправомерный доступ к компьютерной информации».
В тексте новости говорится
Что такое Мультиподпись? Как называет её сама почта - Единая Простая Электронная Подпись. Это когда пришёл за посылкой, а ушел со счётом в Почта Банке.
Дикая смесь под одной крышей почтовых и банковских услуг. Насколько вообще почтальоны компетентны открывать расчётные счета?
Итого, была подделка документов с использованием левых SIM-карт, и продажа реквизитов доступа от личных кабинетов, а не "подписей".
Разберемся, причём тут подписи, если уголовное дело возбуждено по части 3 статьи 272 УК – «Неправомерный доступ к компьютерной информации».
В тексте новости говорится
Сотрудница почтового отделения, используя доступ к информационным системам организации, в 2023 году оформляла на имена клиентов и в их отсутствие мультиподписи, которые позволяют получать почтовые и банковские услуги без предъявления паспорта
Что такое Мультиподпись? Как называет её сама почта - Единая Простая Электронная Подпись. Это когда пришёл за посылкой, а ушел со счётом в Почта Банке.
"Мультиподпись" - это инструмент взаимодействия Клиента между Почтой и Банком, который позволяет в электронном формате подписывать документы о получении услуг от Почты России и Почта Банка в упрощенном формате с использованием СМС-кодов. Поэтому при обслуживании Клиентов, сотрудники Почты России могут предложить оформить также "Мультиподпись" с целью упрощенного получения услуг Почты и Банка.
Дикая смесь под одной крышей почтовых и банковских услуг. Насколько вообще почтальоны компетентны открывать расчётные счета?
Итого, была подделка документов с использованием левых SIM-карт, и продажа реквизитов доступа от личных кабинетов, а не "подписей".
Сибкрай.ru - новости Новосибирской области
Сотрудница почты ради плана подделывала договоры и продавала подписи - Сибкрай.ru - новости Новосибирской области
УФС РФ по НСО Возбуждено уголовное дело за неправомерный доступ к компьютерной информации. В Новосибирске сотрудники органов безопасности пресекли
Как украсть миллионы с помощью поддельной ЭЦП: крупный ритейлер выиграл суд против удостоверяющего центра или выдача квала психу
Сегодня мне попалась на глаза статья с таким содержанием. Решение суда конечно же было найдено в картотеке арбитража.
Иск Леруа Мерлен о признании недействительным заявления, представленного доверенному лицу УЦ на изготовление квалифицированного сертификата, признании недействительной с момента создания квалифицированную электронную подпись, признании недействительным с момента создания квалифицированного сертификата к УЦ Калуга Астрал был подан в январе 2024 года. В феврале 2025 иск удовлетворен.
Как указывает ООО «Ле Монлид» (это новое название Леруа), без его ведома и согласия был создан квалифицированный сертификат организации ООО «Леруа Мерлен Восток» на имя менеджера по закупкам Двойнишникова А.А. Истец не обращался к ответчикам для получения сертификата на имя Двойнишникова А.А. Основанием выдачи сертификата послужило заявление от 24.07.2023 и доверенность от 24.07.2023, подписанные неустановленным лицом от имени генерального директора ООО «Леруа Мерлен Восток» Дефассье Л.Л.К. с проставлением печати ООО «Леруа Мерлен Восток».
Далее ещё интереснее. Всудебном заседании, состоявшемся 22.05.2024, Двойнишников А.А. указал, что он никогда не работал в ООО «Леруа Мерлен Восток», сертификат получил по просьбе некоего Алексея Анисимовича за деньги, все документы для получения были переданы Двойнишникову А.А. также Алексеем Анисимовичем. Сертификат Двойнишников А.А. не пользовалс, никакие документы не подписывал, товары от поставщиков не получал.
В судебном заседании 22.05.2024 Двойнишников А.А. представил в материалы дела копии выписки из амбулаторной карты и справки ФГБУЗ «Психиатрическая больница № 1», согласно которым он наблюдается врачом-психиатром с диагнозом «шизотипическое расстройство», а также находится на диспансерном наблюдении в Психоневрологическом диспансере № 18 в связи с психическим расстройством.
Двойнишников А.А заблокировал сертификат [прим. @ep_uc, действительно псих, как можно таким образом повлиять на работоспособность отозванного сертификата) через Госуслуги в середине сентября 2023 года, так как не получил обещанные денежные средства от Алексея Анисимовича.
Доверенное лицо УЦ подало апелляцию, но проиграло.
Данный кейс показывает несколько проблем нашей сферы:
🔹 страхование ответственности УЦ
🔹выдача сертификатов недееспособным - как это проверить УЦ?
Сегодня мне попалась на глаза статья с таким содержанием. Решение суда конечно же было найдено в картотеке арбитража.
Иск Леруа Мерлен о признании недействительным заявления, представленного доверенному лицу УЦ на изготовление квалифицированного сертификата, признании недействительной с момента создания квалифицированную электронную подпись, признании недействительным с момента создания квалифицированного сертификата к УЦ Калуга Астрал был подан в январе 2024 года. В феврале 2025 иск удовлетворен.
Как указывает ООО «Ле Монлид» (это новое название Леруа), без его ведома и согласия был создан квалифицированный сертификат организации ООО «Леруа Мерлен Восток» на имя менеджера по закупкам Двойнишникова А.А. Истец не обращался к ответчикам для получения сертификата на имя Двойнишникова А.А. Основанием выдачи сертификата послужило заявление от 24.07.2023 и доверенность от 24.07.2023, подписанные неустановленным лицом от имени генерального директора ООО «Леруа Мерлен Восток» Дефассье Л.Л.К. с проставлением печати ООО «Леруа Мерлен Восток».
Далее ещё интереснее. Всудебном заседании, состоявшемся 22.05.2024, Двойнишников А.А. указал, что он никогда не работал в ООО «Леруа Мерлен Восток», сертификат получил по просьбе некоего Алексея Анисимовича за деньги, все документы для получения были переданы Двойнишникову А.А. также Алексеем Анисимовичем. Сертификат Двойнишников А.А. не пользовалс, никакие документы не подписывал, товары от поставщиков не получал.
В судебном заседании 22.05.2024 Двойнишников А.А. представил в материалы дела копии выписки из амбулаторной карты и справки ФГБУЗ «Психиатрическая больница № 1», согласно которым он наблюдается врачом-психиатром с диагнозом «шизотипическое расстройство», а также находится на диспансерном наблюдении в Психоневрологическом диспансере № 18 в связи с психическим расстройством.
Двойнишников А.А заблокировал сертификат [прим. @ep_uc, действительно псих, как можно таким образом повлиять на работоспособность отозванного сертификата) через Госуслуги в середине сентября 2023 года, так как не получил обещанные денежные средства от Алексея Анисимовича.
Доверенное лицо УЦ подало апелляцию, но проиграло.
Данный кейс показывает несколько проблем нашей сферы:
🔹 страхование ответственности УЦ
🔹выдача сертификатов недееспособным - как это проверить УЦ?
https://abireg.ru
Как украсть миллионы с помощью поддельной ЭЦП: крупный ритейлер выиграл суд против удостоверяющего центра
Девятый арбитражный апелляционный суд поставил точку в деле о поддельной электронной подписи, выданной от имени ООО «Ле Монлид» (бывший «Леруа Мерлен Восток»).
Электронная подпись в космосе
🧑🚀12 апреля 1961 года наш соотечественник Юрий Алексеевич Гагарин открыл путь в космос. Полёт на корабле «Восток» продолжался всего 1 час 48 минут, но стал одним из самых знаковых событий мировой истории. Поздравляю вас с Днём космонавтики!
А тем временем в 2012 году на борту Международной космической станции использовался программно-аппаратный комплекс КриптоТри. Удобный был комплект - КриптоПро CSP, КриптоАРМ и ключевой носитель Рутокен. Кто его использовал?
Программное обеспечение было установлено на борту МКС и в Центре подготовки космонавтов имени Ю.А. Гагарина на Земле. Космонавтам, работающим на борту МКС, и сотрудникам Центра подготовки космонавтов выдавали Рутокен с ключами и сертификатами.
Это было в 2012 году, за прошедшее время изменилось законодательство, ГОСТ, появилось новое поколение средств электронной подписи, а КриптоТри устарел. Какие сейчас средства электронной подписи используют космонавты информации нет...
🧑🚀12 апреля 1961 года наш соотечественник Юрий Алексеевич Гагарин открыл путь в космос. Полёт на корабле «Восток» продолжался всего 1 час 48 минут, но стал одним из самых знаковых событий мировой истории. Поздравляю вас с Днём космонавтики!
А тем временем в 2012 году на борту Международной космической станции использовался программно-аппаратный комплекс КриптоТри. Удобный был комплект - КриптоПро CSP, КриптоАРМ и ключевой носитель Рутокен. Кто его использовал?
Программное обеспечение было установлено на борту МКС и в Центре подготовки космонавтов имени Ю.А. Гагарина на Земле. Космонавтам, работающим на борту МКС, и сотрудникам Центра подготовки космонавтов выдавали Рутокен с ключами и сертификатами.
Это было в 2012 году, за прошедшее время изменилось законодательство, ГОСТ, появилось новое поколение средств электронной подписи, а КриптоТри устарел. Какие сейчас средства электронной подписи используют космонавты информации нет...
Об ЭП и УЦ
Сотрудница почты ради плана подделывала договоры и продавала подписи Разберемся, причём тут подписи, если уголовное дело возбуждено по части 3 статьи 272 УК – «Неправомерный доступ к компьютерной информации». В тексте новости говорится Сотрудница почтового…
Снова про Мультиподпись
Ничего нового, Почта продолжает обманывать.
По факту это простая электронная подпись, согласие на её подключение не может быть подписано с использованием смс.
Этот миф разбирался в канале.
Ничего нового, Почта продолжает обманывать.
Произвести проверку, прекращено ли действие оформенной на мое имя в Почта Банке электронной подписи. На оформление подписи мною не давалось согласия ни в устной форме, ни с помощью смс-подтверждений, ни в какой-либо другой форме. Таким образом, электронная подпись была оформлена без моего ведома и согласия, что незаконно.
Произвести проверку, присутствуют ли на имеющихся документах об оформлении правоотношений с Почта Банком собственноручные подписи, поскольку мною ни анкета, ни какие-либо другие документы на бумажных носителях не подписывались. О существовании анкеты я узнала лишь в отделении банка.
По факту это простая электронная подпись, согласие на её подключение не может быть подписано с использованием смс.
Этот миф разбирался в канале.
Расподтверждение учётной записи Госуслуг в 2016 году
Вы когда-нибудь слышали такой термин "расподтверждение"? С этим термином я столкнулся в феврале 2016 года.
В 2011 году зарегистрировался на Едином портале госуслуг, тогда же подтвердил личность единственным доступным способом - паролем из заказного письма. Спустя 5 лет понадобилось использовать ЕПГУ для получения ИНН. Хорошо помнил, что была тогда услуга под названием "Постановка на учет физического лица, не являющегося индивидуальным предпринимателем, в налоговом органе на основании заявления" ещё в конце 2015 года, а тогда весь портал пересмотрел - нет. Звоню в ТП ЕПГУ. Дословно - налоговая служба убрала данную услугу с ЕПГУ, получить её можно на сайте налоговой службы. Единый портал госуслуг не такой-то и не Единый. Что ж, пытался авторизоваться на nalog.ru через ЕСИА, мне пишут:
"Уважаемый пользователь! Авторизация с использованием учётной записи Госуслуг возможна только для тех пользователей, которые выполнили подтверждение личности на Госуслугах при личном посещении центров обслуживания или с помощью квалифицированной электронной подписи.
Вы осуществили подтверждение личности на Госуслугах, воспользовавшись кодом активации, направляемым Почтой России и ваша учётная запись сейчас не может быть использована для авторизации в сервисе «Личный кабинет налогоплательщика для физических лиц.
Для решения вопроса о получении доступа к личному кабинету налогоплательщика для физических лиц с вашей учётной записью, обратитесь в Центр телефонного обслуживания портала Госуслуг по телефону: 8 800 100-70-10 (круглосуточно, звонок по России бесплатный) или на электронный почтовый адрес [email protected]»".
В 2011 году ещё не было ЕСИА, и другого способа кроме как подтвердить доступ кодом, полученным по почте, не было.
Тогда мне нужно было РАСПОДТВЕРДИТЬ свою учетную запись, чтобы потом подтвердить заново. Данная процедура РАСПОДТВЕРЖДЕНИЯ нигде не было описана, всё только на словах техподдержки. Процедура - расподтверждения сделана специально для налоговой, т.к. пользователи ЕПГУ 2011 годов просто не могли через ЕСИА авторизоваться на их сайте. В общем позвонил в ТП, сообщил СНИЛС, ФИО, дату рождения, они оставляют заявку, всё долго, по нескольку раз уточняют данные. По результатам заявки на почту приходит сообщение:
"Расподтверждение УЗ. СНИЛС
Уважаемый пользователь!
Просьба ответным письмом подтвердить, что Вы запрашиваете выполнение процедуры снятия признака подтверждения для Вашей учетной записи.
Обращаем внимание, что после выполнения этой процедуры Вам станет недоступна часть функций портала, доступная только для подтвержденных учетных записей, а так же Вы будете исключены из всех организаций и групп доступа в ЕСИА.
Для получения доступа к этим функциям и авторизации на портале Федеральной налоговой службы Вам снова потребуется подтвердить учетную запись одним из удобных способов:
– обратившись в удобный Вам Центр обслуживания;
– с помощью электронной подписи или универсальной электронной карты – УЭК.
Для сохранения истории взаимодействия при последующей переписке по данному запросу просим сохранять тему письма.
С уважением,
Центр поддержки пользователей
Единого портала государственных и муниципальных услуг
8(800)100-70-10
[email protected]
www.gosuslugi.ru"
После того, как написал согласие пришло второе письмо:
"Для решения Вашего вопроса необходимо выполнить процедуру снятия признака подтверждения для Вашей учетной записи.
Обращаем внимание, что после выполнения этой процедуры Вам станет недоступна часть функций портала, доступная только для подтвержденных учетных записей, а так же Вы будете исключены из всех организаций и групп доступа в ЕСИА.
Для получения доступа к этим функциям и авторизации на портале Федеральной налоговой службы Вам снова потребуется подтвердить учетную запись одним из удобных способов:
Вы когда-нибудь слышали такой термин "расподтверждение"? С этим термином я столкнулся в феврале 2016 года.
В 2011 году зарегистрировался на Едином портале госуслуг, тогда же подтвердил личность единственным доступным способом - паролем из заказного письма. Спустя 5 лет понадобилось использовать ЕПГУ для получения ИНН. Хорошо помнил, что была тогда услуга под названием "Постановка на учет физического лица, не являющегося индивидуальным предпринимателем, в налоговом органе на основании заявления" ещё в конце 2015 года, а тогда весь портал пересмотрел - нет. Звоню в ТП ЕПГУ. Дословно - налоговая служба убрала данную услугу с ЕПГУ, получить её можно на сайте налоговой службы. Единый портал госуслуг не такой-то и не Единый. Что ж, пытался авторизоваться на nalog.ru через ЕСИА, мне пишут:
"Уважаемый пользователь! Авторизация с использованием учётной записи Госуслуг возможна только для тех пользователей, которые выполнили подтверждение личности на Госуслугах при личном посещении центров обслуживания или с помощью квалифицированной электронной подписи.
Вы осуществили подтверждение личности на Госуслугах, воспользовавшись кодом активации, направляемым Почтой России и ваша учётная запись сейчас не может быть использована для авторизации в сервисе «Личный кабинет налогоплательщика для физических лиц.
Для решения вопроса о получении доступа к личному кабинету налогоплательщика для физических лиц с вашей учётной записью, обратитесь в Центр телефонного обслуживания портала Госуслуг по телефону: 8 800 100-70-10 (круглосуточно, звонок по России бесплатный) или на электронный почтовый адрес [email protected]»".
В 2011 году ещё не было ЕСИА, и другого способа кроме как подтвердить доступ кодом, полученным по почте, не было.
Тогда мне нужно было РАСПОДТВЕРДИТЬ свою учетную запись, чтобы потом подтвердить заново. Данная процедура РАСПОДТВЕРЖДЕНИЯ нигде не было описана, всё только на словах техподдержки. Процедура - расподтверждения сделана специально для налоговой, т.к. пользователи ЕПГУ 2011 годов просто не могли через ЕСИА авторизоваться на их сайте. В общем позвонил в ТП, сообщил СНИЛС, ФИО, дату рождения, они оставляют заявку, всё долго, по нескольку раз уточняют данные. По результатам заявки на почту приходит сообщение:
"Расподтверждение УЗ. СНИЛС
Уважаемый пользователь!
Просьба ответным письмом подтвердить, что Вы запрашиваете выполнение процедуры снятия признака подтверждения для Вашей учетной записи.
Обращаем внимание, что после выполнения этой процедуры Вам станет недоступна часть функций портала, доступная только для подтвержденных учетных записей, а так же Вы будете исключены из всех организаций и групп доступа в ЕСИА.
Для получения доступа к этим функциям и авторизации на портале Федеральной налоговой службы Вам снова потребуется подтвердить учетную запись одним из удобных способов:
– обратившись в удобный Вам Центр обслуживания;
– с помощью электронной подписи или универсальной электронной карты – УЭК.
Для сохранения истории взаимодействия при последующей переписке по данному запросу просим сохранять тему письма.
С уважением,
Центр поддержки пользователей
Единого портала государственных и муниципальных услуг
8(800)100-70-10
[email protected]
www.gosuslugi.ru"
После того, как написал согласие пришло второе письмо:
"Для решения Вашего вопроса необходимо выполнить процедуру снятия признака подтверждения для Вашей учетной записи.
Обращаем внимание, что после выполнения этой процедуры Вам станет недоступна часть функций портала, доступная только для подтвержденных учетных записей, а так же Вы будете исключены из всех организаций и групп доступа в ЕСИА.
Для получения доступа к этим функциям и авторизации на портале Федеральной налоговой службы Вам снова потребуется подтвердить учетную запись одним из удобных способов:
– обратившись в удобный Вам Центр обслуживания;
– с помощью электронной подписи или универсальной электронной карты – УЭК.
Просьба ответным письмом подтвердить, что Вы запрашиваете выполнение процедуры снятия признака подтверждения и предоставить следующие данные:
Адрес регистрации /проживания, указанный в Вашем профиле.
Для сохранения истории взаимодействия при последующей переписке по данному запросу просим сохранять тему письма.
Благодарим за обращение на Единый портал государственных и муниципальных услуг.
Анализ поступающих вопросов и предложений помогает нам улучшать работу Портала".
Прошло почти 10 лет, технологии ушли вперёд, сейчас в личный кабинет ФНС можно зайти по квалу с телефона. А на Госуслуги по квалу с телефона зайти нельзя, наверное должно пройти ещё 10 лет, чтобы это стало возможным.
– с помощью электронной подписи или универсальной электронной карты – УЭК.
Просьба ответным письмом подтвердить, что Вы запрашиваете выполнение процедуры снятия признака подтверждения и предоставить следующие данные:
Адрес регистрации /проживания, указанный в Вашем профиле.
Для сохранения истории взаимодействия при последующей переписке по данному запросу просим сохранять тему письма.
Благодарим за обращение на Единый портал государственных и муниципальных услуг.
Анализ поступающих вопросов и предложений помогает нам улучшать работу Портала".
Прошло почти 10 лет, технологии ушли вперёд, сейчас в личный кабинет ФНС можно зайти по квалу с телефона. А на Госуслуги по квалу с телефона зайти нельзя, наверное должно пройти ещё 10 лет, чтобы это стало возможным.
Telegram
Об ЭП и УЦ
✅Тестирование КриптоПро Fox для Android
Завершил тестирование КриптоПро Fox - экспериментального приложения от КриптоПро, представляющего браузер на базе Firefox с поддержкой КриптоПро ЭЦП Browser plug-in (версия криптопровайдера 5.0.13316 - 5.0 R4, нес…
Завершил тестирование КриптоПро Fox - экспериментального приложения от КриптоПро, представляющего браузер на базе Firefox с поддержкой КриптоПро ЭЦП Browser plug-in (версия криптопровайдера 5.0.13316 - 5.0 R4, нес…
Минцифры в инициативном порядке был разработан проект постановления Правительства в части использования ключей электронной подписи и квалифицированных сертификатов.
Обратив внимание на неточность формулировок были направлены предложения:
В пункта 2 проекта Требований говорится, что Квалифицированные сертификаты, указанные в пункте 1 настоящих требований, подлежат анализу (разбору) на их соответствие требованиям законодательства Российской Федерации, включая требования к их форме, содержанию, средствам удостоверяющего центра и средствам электронной подписи, использованным при их подписании.
Обязательной проверке подлежат все расширения таких квалифицированных сертификатов в соответствии с установленной уполномоченным удостоверяющим центром политикой безопасности. При этом должны анализироваться:
- расширения квалифицированного сертификата, содержащие сведения о классе средств удостоверяющего центра, с использованием которых он был создан, и сведения о классе средств электронной подписи владельца квалифицированного сертификата на соответствие установленной политике безопасности;
- расширения квалифицированного сертификата, содержащие наименование средств электронной подписи и средств удостоверяющего центра, которые использованы для создания ключа электронной подписи, ключа проверки электронной подписи, этого квалифицированного сертификата, наименование средства электронной подписи, используемого владельцем квалифицированного сертификата, а также
- реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным законодательством Российской Федерации.
1. В пункте говорится про "расширения квалифицированного сертификата, содержащие наименование средств электронной подписи и средств удостоверяющего центра, которые использованы для создания ключа электронной подписи, ключа проверки электронной подписи, этого квалифицированного сертификата",
но средства УЦ не принимают участие в создании ключа ЭП и ключа проверки ЭП. Создание ключа ЭП и ключа проверки ЭП осуществляется с использованием средства ЭП владельца квалифицированного сертификата. А сам квалифицированный сертификат создаётся с использованием средств УЦ.
2. Отсутствует проверка расширения квалифицированного сертификата удостоверяющего центра содержащее срок действия ключа электронной подписи. Проверка требуется, чтобы убедиться, что сертификат пользователя не был создан уже после окончания периода в течение которого ключ ЭП УЦ использовался для целевых функций УЦ (подписание сертификатов пользователей и CRL).
Я обратив внимание, что средства УЦ не принимают участие в создании ключа ЭП и ключа проверки ЭП, а также предложил анализировать срок действия закрытого ключа УЦ, т.к. известны случаи, когда УЦ осуществляли выдачу сертификатов с нарушением этого срока.
Какие были получены ответы, как и ожидаемо - ни одно предложение не было учтено.
Ответы - наборы слов, я про некорректность формулировок, мне про передачу информации о средстве ЭП в адрес удостоверяющего центра. Про закрытый ключ получилось совсем красиво, оказывается данная норма является необязательной, но на самом деле она обязательна для всех УЦ с 01.09.2024, когда вступили в силу изменения в 795 приказ ФСБ России, канал про это подробно рассказывал 8 месяцев назад.
Please open Telegram to view this post
VIEW IN TELEGRAM
Получение квалифицированного сертификата Госключа по биометрии ограничено на iOS версии 18.4, вышедшей 31.03.2025, из-за недокументированных изменений, на предшествующих версиях и других платформах таких ограничений нет.
Для получения квалифицированного сертификата владельцам iOS версии 18.4 можно воспользоваться идентификацией по загранпаспорту нового поколения или посетить точку очной идентификации.
Для получения квалифицированного сертификата владельцам iOS версии 18.4 можно воспользоваться идентификацией по загранпаспорту нового поколения или посетить точку очной идентификации.
Forwarded from Новости КриптоПро
Вышла промежуточная версия КриптоПро CSP 5.0 R4 (сборка 5.0.13455 Valkyrie). Список изменений и ссылки на скачивание. Из интересного:
🔹 в плагине добавлена поддержка расширения Extension for CAdES Browser Plug-in на Manifest V3
🔹 в плагине сделаны доработки, необходимые для его использования в Цифровом рубле
🔹 проверка цепочки по OCSP больше не требует лицензии на OCSP-клиент
🔹 увеличена производительность в том числе на arm64
🔹 создан пакет cprocsp-pam-cryptopro для аутентификации в Linux по ключам КриптоПро
🔹 в плагине добавлена поддержка расширения Extension for CAdES Browser Plug-in на Manifest V3
🔹 в плагине сделаны доработки, необходимые для его использования в Цифровом рубле
🔹 проверка цепочки по OCSP больше не требует лицензии на OCSP-клиент
🔹 увеличена производительность в том числе на arm64
🔹 создан пакет cprocsp-pam-cryptopro для аутентификации в Linux по ключам КриптоПро
4