Россия: электронная подпись стала доступной для обычных граждан Опции

сам ключик 300 рублей, а за пользование сколько будут брать? там за один документ как и при сдаче налоговой отчетности через интернет по 700 рублей ?))
Если что то вводят жди подвоха, в России иначе нельзя.
С каждым новым отчетным кварталом все больше и больше убеждаюсь, что родился и живу в стране идиотов!

Это только в России такое возможно:
За непредставление формы-4 ФСС РФ страхователя оштрафуют дважды
Минздравсоцразвития России в письме от 22.02.2011 № 507−19 сообщает, что за непредставление формы-4 ФСС РФ страхователь будет оштрафован дважды. Так как форма содержит разделы по двум видам страхования: по обязательному социальному страхованию на случай временной нетрудоспособности и в связи с материнством и по обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний.
Скоро за одно неверное действие будут штрафовать по три раза
А если учесть что мелкий бизнес чаще ошибается, то явно проглядывается политика помощи проблем в виде гильотины

Давай те, раз уж синьюз не озаботилось рассказать, что же такое ЭЦП и с чем его едят, расскажем о том, что такое ЭЦП.

Что такое подпись прежде всего, возьмем из вики:

По́дпись — уникальная совокупность символов, написанных от руки, с применением определенных оформительных приёмов, служащая для идентификации человека.

Вроде как тут всё ясно, закорючка типа "крестик", тоже подпись.

Теперь, обратимся в век цифровых технологий. Посмотрим сначала понятие хеширования:

Хеширование (иногда хэширование, англ. hashing) — преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины.

Нас в данном случае будет интересовать подвид - криптографическое хеширование. Если на пальцах, то это по какому либо паролю я могу создать некий хеш от данных, да так, что мой пароль обратно не восстановят(а точнее, восстановить можно, но крайне долго, я к тому времени уже до нирваны доведу себя). Самая слабое звено тут, это пароль.

Суть в том, что пароль можно комбинировать некой цифровой подписью(сертификатом). Выдают подпись длиной в 256-4096 байт. Что в общем-то не мало. Т.е. пароль накладывается на подпись, далее создается хеш. Но, вот не задача, если подпись на флешке, то толку от этой процедуры в общем-то нуль. Т.к. с флешки можно по быстрому всё скопировать. Вот тут электроника сделала ключ защиты (guardant, rutoken и прочая гадость). Штука эта из себя представляет микроконтроллер работающий по usb (бывали lpt). Суть его в том, что в сам контроллер можно записать подпись подпись, но считать её нельзя. В том числе и методом рентгеноскопии(так устроен микроконтроллер, можно почитать у nxp).

К контроллеру есть ряд вызовов, среди которых создание хеша от данных. Т.е. возможно скормить в нутро контроллера любой цифровой документ, ввести пароль и создать его хеш. Получается, так, что без этой "флешки" даже со знанием пароля подпись поставить нельзя.

Так же существует вызов "шифрануть всё нафиг".

Теперь остается подпись распечатать и засунуть в жо... банковскую ячейку в швейцарском банке. Конечно, всё можно обойти, например сидящий в машине троян, может по-сниффать ваш пароль и сделать вызов к флешке. Но и тут есть методы борьбы. Самое стрёмное, что вам могут подменить документ к подписи.

2 Умелец. Мелкий бизнес у нас душат с путинистических времен так, что мне проще сделать говно и отравить сотню другую детей, заработать на этом дофига бабок, и подставить "тетю Клаву из 3-его ларька". Чем делать хорошую вещь. Но совесть моя этого не позволяет. Хотя часто приходится слышать и видеть как делают такую вот фигню. Но там, всё по закону. А закон теперь в России такой, у кого круче крыша, тот и прав. Бандиты, возможно, стали культурнее полицаев. И с ними удобнее работать. Жаль, что у полицаев, наверное, крыша больше.

Паспорт со встроенной смарткартой надо давать в руки, а ПИН высылать почтой по адресу регистрации. Таким образом будет безопаснее. Да, ждать надо, но безопаснее - так прозрачнее где гражданин проживает.
На смарткарте, которую можно вытащить из паспорта, будет и сертификат. А с Майкрософт надо работать на тему внесения наших российских сертификационных центров в лист доверия. То же и с Эппл и Убунту, Google Android, hp WebOS.
А эти все флешки за 300 руб обернутся identity theft. Бомжи будут продавать файлики, особенно когда электронное голосование начнётся...

Разумеется, ключи сгенерированные на оборудовании клиента заверяться не будут?
Удостоверяющему центру нужно предоставить копию клиентского ключика организации у которой они прошли сертификацию (ФСБ) "на всякий случай"?

Угу, очередной фэйл. Ждём, когда кто-нибудь всё же прочитает книжку по криптографии
прежде чем законы писать.

Прикольнее другое.
...

Скажите по совести. Ляпсус, почему вы пишете о том, чего вы в жизни не видели и о чем не имеете ни малейшего представления? © И.Ильф и Е.Петров

Почему бы Вам, прежде чем писать глупости, не узнать что такое ЭЦП?
Почему бы Вам не ознакомиться с сайтом гос. услуг и подумать, какие такие услуги можно "назаказывать", чтобы принести реальный ущерб клиенту?
Почему бы Вам не поставить себе Linux и не жить в постоянной тревоге о том, что Ваши данные могут быть украдены?

Ах да, действительно: Электронной Цифровой Подписи в России теперь не существует. Есть Электронная Подпись. Виноват... ах виноват.

Давайте все же по сути, и классиков оставим литературе.
Чем не устроит новый закон последовательность символов
Вася Пупкин используемая в качестве простой электронной подписи?

Что до сайта госуслуг - вы, если жамкали кнопочку "Согласен с условиями", нашли в этих условиях перечень услуг, которые можно получить предъявив вашу "электронную подпись", основанную на пароле?

сайт кстати, в настоящее время отдыхает.

lexs_99, вы регистрацию на этом портале видели? Как она по вашему выглядит?

видели.
после регистрации личных данных, помню, было предложено согласиться с условиями. Кажется. авансом на все хорошее. Списка услуг, которые возможно получить подписавшись под "Соглашением" как-то не заметил. А они там были?

> При наличии мировой сети корневых центров сертификации можно было бы влиться в эту сеть,
> ради единого стандарта и унификации

Ну как же это - влиться!
А вдруг они потом откажутся выполнять постановления наших регулирующих органов?!

Что-то я не вижу защищённой сети передачи данных, без которой сертификат может быть похищен/скомпрометирован на этапе выдачи.
Кроме того не видно никаких подвижек в госорганах/банках для принятия вместо моей закорючки ЭЦП, а без этого закон будет работать только наполовину.

Что значит "скомпрометирован сертификат"? Кому он нахрен нужен? Сертификат - это открытый ключ, удостоверенный УЦ (ЦС) со сроками действия и т.п. лабудой. ЭЦП же накладывается при использовании секретного ключа, который никому не передается и в теории есть только у владельца, который его и генерирует вместе с открытым. В теории, потому что нет гарантий что кто-то не скопирует этот ключ непосредственно с носителя, но тут прочитайте пост icegreg - там расписано. Если нужна матчасть - читайте про ассиметричные алгоритмы.

До некоторых пор у Сберабанка присутствуют ключи на дискетах 1'44 (да-да это тот - нами любимый ViPNet Client) ;)

Тот же сбербанк очень скоро будет (а некоторые отделения уже начали) выдавать своим клиентам TouchMemory + считыватель, для хранения секретных ключей. Это надежней и удобней дискет/флешек, не говоря уже о том, что процедура копирования значительно усложняется - ключ при изготовлении завязывается на некоторые уникальные аппаратные признаки каждой таблетки. ViPNet Client, как и ФПСУ-IP/Клиент, кстати, всего лишь транспорты, ЭЦП там собственная в клиент-СБ (Бикрипт КСБ-С разработки инфокрипта).

видели.
после регистрации личных данных, помню, было предложено согласиться с условиями. Кажется. авансом на все хорошее. Списка услуг, которые возможно получить подписавшись под "Соглашением" как-то не заметил. А они там были?

Стало быть заказное письмо на ваше имя с кодом для подтверждения регистрации вы тоже видели, или вы до этого не дошли?

Разумеется, ключи сгенерированные на оборудовании клиента заверяться не будут?

Если ключ подписан одним из корневых центров - почему бы и нет.....

Стало быть заказное письмо на ваше имя с кодом для подтверждения регистрации вы тоже видели, или вы до этого не дошли?

конечно не дошли.

Разумеется, ключи сгенерированные на оборудовании клиента заверяться не будут?

Если ключ подписан одним из корневых центров - почему бы и нет.....

Что значит "ключ подписан одним из корневых центров"? Как данную фразу соотнести с возможностью получения сертификата от аккредитованного УЦ на открытый ключ пары, сгенерированной на оборудовании клиента?

Если к аккредитованным УЦ выдвигается требование хранения "резервных копий" закрытых ключей - не будут заверяться. Закрытый ключ получаем от УЦ вместе с сертификатом.

Кто-нибудь из имеющих представление о технологиях с текстом закона знакомился? Что там слышно на тему требований к УЦ?

Не менее любопытно, сохраняются ли требования по криптоалгоритмам, используемым для усиленных и/или квалифицированных подписей?

А то получится, что кроме "флешки за 300 руб" с записанной "подписью" (фраза из статьи, сорри ), нужно будет прикупить ещё какой-нибудь КриптоПро за ~600 р. - это ещё, если для используемого клиентом софта найдётся реализующий нужные алгоритмы криптопровайдер, иначе воспользваться "подписью" будет невозможно...

давно пора было уже)) главное теперь людям доходчиво разъяснить))

сам ключик 300 рублей, а за пользование сколько будут брать? там за один документ как и при сдаче налоговой отчетности через интернет по 700 рублей ?))

Обязательно платить 700 рублей? Мне кажется, можно пешком в налоговую сходить.

Сообщение отредактировал Al7 - 17.4.2011, 14:05