Forwarded from Новости КриптоПро
Мы получили выписку из положительного заключения ФСБ России на доработанную версию СКЗИ «КриптоПро CSP» 5.0 R3 (5.0 R3+, сборка 13003) по классам КС1, КС2 и КС3.
Ключевыми особенностями обновленной версии «КриптоПро CSP» являются:
🔹поддержка индивидуальных ключевых носителей «РусТокен-Lite-A» и «РусТокен-Lite-AC» при работе СКЗИ под управлением ОС семейств Windows, Linux и FreeBSD;
🔹поддержка версий мобильных ОС — Android 15 и IOS (включая iPadOS) 18;
🔹повышение производительности выполнения криптографических операций при взаимодействии СКЗИ «КриптоПро CSP» с ПАКМ «КриптоПро HSM»
Подробнее о содержании выписки в нашем информационном письме.
Ключевыми особенностями обновленной версии «КриптоПро CSP» являются:
🔹поддержка индивидуальных ключевых носителей «РусТокен-Lite-A» и «РусТокен-Lite-AC» при работе СКЗИ под управлением ОС семейств Windows, Linux и FreeBSD;
🔹поддержка версий мобильных ОС — Android 15 и IOS (включая iPadOS) 18;
🔹повышение производительности выполнения криптографических операций при взаимодействии СКЗИ «КриптоПро CSP» с ПАКМ «КриптоПро HSM»
Подробнее о содержании выписки в нашем информационном письме.
Сертификат КЭП по биометрии. Статистика
Сегодня вышло интервью заместителя генерального директора Центра биометрических технологий Евгения Семенова, в котором он сообщил:
Полмиллиона заявителей воспользовались удалённой идентификацией через ЕБС за три последних года. Всего подтвержденная биометрия у 3 млн.чел.
Основной объем выдачи приходится на последние полтора года: активно используются сервисы коммерческих УЦ, так и Госключ, сервис УЦ ФНС России. Анализ цифр по выдаче сертификатов КЭП показывает долю биометрии - около 1,5 %, есть куда расти.
📱 Об ЭП и УЦ
Сегодня вышло интервью заместителя генерального директора Центра биометрических технологий Евгения Семенова, в котором он сообщил:
Более 500 тысяч человек воспользовались биометрией для оформления электронной подписи.
Полмиллиона заявителей воспользовались удалённой идентификацией через ЕБС за три последних года. Всего подтвержденная биометрия у 3 млн.чел.
Основной объем выдачи приходится на последние полтора года: активно используются сервисы коммерческих УЦ, так и Госключ, сервис УЦ ФНС России. Анализ цифр по выдаче сертификатов КЭП показывает долю биометрии - около 1,5 %, есть куда расти.
Please open Telegram to view this post
VIEW IN TELEGRAM
ura.news
Деньги на счетах защитят биометрией
Новый способ спасет от махинаций с микрокредитами
А наш канал напоминает, что это ещё один повод руководителям таких компаний вспомнить, где находится их ключ электронной подписи и забрать токен у бухгалтера, либо подписать Заявление о прохождении плановой процедуры подтверждения КЭП или НЭП Госключа.
Заявление о прохождении плановой процедуры подтверждения должно быть подписано руководителем организации или уполномоченным лицом на едином портале усиленной квалифицированной электронной подписью или усиленной неквалифицированной электронной подписью
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from НеКасперский
Сертификаты всем
В удостоверяющем центре
Исследователь показал, как можно получить сертификат для домена через простую манипуляцию с DNS-записями. В основе лежит баг в системе проверки домена при подтверждении через DNS TXT. Во время валидации метод ошибочно маркировал домен из email-адреса как проверенный, даже если запрашивался совсем другой домен.
Это открывало возможность получать сертификаты для популярных email-сервисов, например
Ещё раз, вы могли получить ЛЮБОЙ корневой сертификат просто потому что ваш email с верифицированным доменом и не важно каким. Хоть
НеКасперский
В удостоверяющем центре
SSL.com найдена уязвимость, позволявшая получить сертификаты для чужих доменов через обычный доступ к email.Исследователь показал, как можно получить сертификат для домена через простую манипуляцию с DNS-записями. В основе лежит баг в системе проверки домена при подтверждении через DNS TXT. Во время валидации метод ошибочно маркировал домен из email-адреса как проверенный, даже если запрашивался совсем другой домен.
Это открывало возможность получать сертификаты для популярных email-сервисов, например
gmail.com, или целенаправленно атаковать корпоративные домены через компрометацию почты сотрудников.Ещё раз, вы могли получить ЛЮБОЙ корневой сертификат просто потому что ваш email с верифицированным доменом и не важно каким. Хоть
@mail.ru, хоть @gmail.com, сертификат ваш.SSL.com отключил проблемный метод проверки и отозвал 11 выданных сертификатов. Полный отчет о расследовании обещают выкатить до 2 мая.НеКасперский
Криптоплагины и расширения браузеров: что важно знать 🔐
Чтобы работать с электронной подписью в веб-интерфейсе, нужны:
🔹 Криптопровайдер
🔹 Криптоплагин
🔹 Расширение браузера
🔹 Драйвер токена (опционально - для токенов с криптографией на борту)
Первые три пункта обязательны — без любого из них система не пройдёт проверку.
В чём проблема с новыми версиями?
В последние дни многие сталкиваются с ошибками в ЛК ФНС и ГИС при использовании cadesplugin 2.0.15400.0.
Но проблема не в самом плагине! Дело в расширении браузера.
📌 КриптоПро CSP 5.0.13455 ставит плагин 2.0.15400 с расширением под manifest v3, который пока не поддерживается многими системами (страница проверки manifest 3 поддерживает, поэтому тест проходит).
Как исправить?
✅ Установите расширение для manifest v2 вручную и включите его в настройках браузера.
⚠ Важно: Не ставьте свежие, но несертифицированные сборки КриптоПро CSP без необходимости — это может привести к невозможности работы с вашими сервисами.
Если у вас были похожие проблемы — пишите в комментариях! 👇
📱 Об ЭП и УЦ
Чтобы работать с электронной подписью в веб-интерфейсе, нужны:
🔹 Криптопровайдер
🔹 Криптоплагин
🔹 Расширение браузера
🔹 Драйвер токена (опционально - для токенов с криптографией на борту)
Первые три пункта обязательны — без любого из них система не пройдёт проверку.
В чём проблема с новыми версиями?
В последние дни многие сталкиваются с ошибками в ЛК ФНС и ГИС при использовании cadesplugin 2.0.15400.0.
Но проблема не в самом плагине! Дело в расширении браузера.
📌 КриптоПро CSP 5.0.13455 ставит плагин 2.0.15400 с расширением под manifest v3, который пока не поддерживается многими системами (страница проверки manifest 3 поддерживает, поэтому тест проходит).
Как исправить?
✅ Установите расширение для manifest v2 вручную и включите его в настройках браузера.
⚠ Важно: Не ставьте свежие, но несертифицированные сборки КриптоПро CSP без необходимости — это может привести к невозможности работы с вашими сервисами.
Если у вас были похожие проблемы — пишите в комментариях! 👇
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
УЦ ФНС России сообщает о возможности получения квалифицированных сертификатов юридических лиц и индивидуальных предпринимателей с использованием мобильного приложения «Госключ».
ВАЖНО! Получение указанных квалифицированных сертификатов производится при личном присутствии в месте выдачи УЦ ФНС России, а также при условии использования версии мобильного приложения «Госключ» не ниже 2.3.5.
Please open Telegram to view this post
VIEW IN TELEGRAM
Закон_63_ФЗ_цветная_редакция_от_21_04_2025.pdf
843.8 KB
Полтора года не было актуализации "цветной редакции" - с 457-ФЗ, между ними ещё был 521-ФЗ в конце прошлого года, но он внес лишь редакторские правки.
Сейчас изменений тоже не так много - норма про сертификаты для госорганов вне ЕГРЮЛ, а также устранение прошлых ошибок, которые были допущены 5 и 10 лет назад.
Изменения, внесенные 94-ФЗ, вступают в силу 1 сентября 2025 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
1
Об ЭП и УЦ
🛡Закон о противодействии кибермошенничеству в действии - Госуслуги ограничивают доступ к Госключу на 72 часа при подозрении на действия мошенников При этом вход через ЕСИА на иные сайты работает. Вернуть доступ можно через МФЦ, только до них важно донести…
А может это ложная тревога и многие блокировки являются необоснованными? Никакой аналитики на этот счёт найти не удалось. Поддержка пишет:
Но какие конкретно действия фрод-мониторинга считаются подозрительными?
При подозрительных действиях в вашем личном кабинете на Госуслугах портал ограничивает вход на другие сайты. Доступ будет разблокирован в течение 72 часов.
Но какие конкретно действия фрод-мониторинга считаются подозрительными?
🔐 ВС РФ защитил клиентов банков: кредиты, оформленные мошенниками, признаны ничтожными
Верховный Суд РФ в своём первом обзоре судебной практики 2025 года постановил: кредитные договоры, заключённые без ведома клиента через мобильное приложение банка, не имеют юридической силы .
Суть дела
- Клиентка банка не заключала кредитный договор — от её имени действовали мошенники.
- Деньги были мгновенно переведены на счёт неустановленного лица.
- Нижестоящие суды изначально встали на сторону банка, но Верховный Суд отменил их решения, указав на нарушения. Причём решение Верховного Суда датировано июлем 2023 года, а в обзор судебной практикой оно включено только в апреле 2025 года.
Ключевые выводы ВС РФ
✔️ Кредит требует волеизъявления — если клиент не участвовал в сделке, договор ничтожен .
✔️ Банк обязан доказать, что клиент добровольно согласился на кредит. Если этого нет — сделка незаконна.
✔️ Мошеннические действия (взлом аккаунта, переадресация SMS) аннулируют договор .
Далее уже по классике - тот же суд первой инстанции, тот же судья, но решение уже противоположное.
Верховный Суд РФ в своём первом обзоре судебной практики 2025 года постановил: кредитные договоры, заключённые без ведома клиента через мобильное приложение банка, не имеют юридической силы .
Суть дела
- Клиентка банка не заключала кредитный договор — от её имени действовали мошенники.
Кредитный договор подписан простой электронной подписью заемщика по коду №
- Деньги были мгновенно переведены на счёт неустановленного лица.
- Нижестоящие суды изначально встали на сторону банка, но Верховный Суд отменил их решения, указав на нарушения. Причём решение Верховного Суда датировано июлем 2023 года, а в обзор судебной практикой оно включено только в апреле 2025 года.
Ключевые выводы ВС РФ
✔️ Кредит требует волеизъявления — если клиент не участвовал в сделке, договор ничтожен .
✔️ Банк обязан доказать, что клиент добровольно согласился на кредит. Если этого нет — сделка незаконна.
✔️ Мошеннические действия (взлом аккаунта, переадресация SMS) аннулируют договор .
Далее уже по классике - тот же суд первой инстанции, тот же судья, но решение уже противоположное.