/ Регистрация

  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

ЭЦП для налоговой- изначальная компроментация ключей

Тема в разделе "Софт", создана пользователем bivshii, 05.08.03.

  1. 05.08.03 #1
    bivshii

    bivshii Активный участник

    838
    34
    Смотрю документы по работе с ЭЦП для налоговой.
    С ума можно сойти: МОЙ ЗАКРЫТЫЙ КЛЮЧ создаётся на компьютере поставщика услуг.
    Уму не постижимо.
    А работать надо. Народ, никто не сталкивался с данной проблемой и как решали?
     
  2. 05.08.03 #2
    micron

    micron Участник Команда форума

    15.629
    1.307
    Там еще много сюрпризов, с которыми придется столкнуться. :poh:
     
  3. 05.08.03 #3
    Fl@sh

    Fl@sh Активный участник

    681
    6
    bivshii
    А ты видел, что собой представляет пароль, с которым ты телнетишься? Посмотри, будешь удивлен :)
     
  4. 05.08.03 #4
    Jazzer

    Jazzer Активный участник

    2.693
    15
    На самом деле вполне постижимо.
    Весь процесс работы с Абонентом системы (клиентом) жестко регламентирован инструкциями ФАПСИ, действующими законами и постановлениями. Начиная от формы документов и правилами документооборота и заканчивая процессом собственно изготовления ключей - все действия оператора описаны в инструкциях и являются предметом проверки государственных контролирующих органов.

    Процесс изготовления ключей подробно описан в соответствующей регламентирующей инструкции, где приведены жесткие требования - начиная с соответствия помещения, требования к компьютеру и ПО на котором создаются ключи, действия оператора, присутствие заказчика при изготовлении ключей, последующий инструктаж, и проч. и проч...
    Т.е. существующий порядок изготовления ключей является НЕ самодеятельностью и самодурством каждого конкретного оператора, а жестко регламентирован ЗАКОНОДАТЕЛЬСТВОМ. Конфиденциальность информации стоит на первом месте, и стоит немалых денег в повседневной деятельности оператора.

    Хотел привести выдержки из регламентных док-тов, но некогда, укажу только:
    "ИНСТРУКЦИЯ
    о допуске представителей государственных контрольных органов".

    "В соответствии с требованиями Инструкции ... ФАПСИ государственный контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации осуществляют федеральные органы правительственной связи и информации, органы криптографической защиты министерства по налогам и сборам РФ (далее государственные контрольные органы)...
    ... ... ...
    В ходе проверки возможность и форму доступа государственных контрольных органов к содержанию конфиденциальной информации определяет ... При этом ЗАПРЕЩЕН доступ:
    - к ключевой информации;
    - к сведениям, не входящим в перечень вопросов изложенных в предписании".
     
    Grommy нравится это.
  5. 05.08.03 #5
    bivshii

    bivshii Активный участник

    838
    34
    Jazzer
    Я, к сожалению, не знаком с данными инструкциями ФАПСИ, но отлично знаю, как вопросы с ЭЦП решаются в банковской сфере. Ты хочешь сказать, что ЦБ РФ в своей работе кладёт на ФАПСИ ? Если я создаю себе закрытый ключ, то его создаю Я, на СВОЕЙ машине и за то, чтобы он не попал к другим людям отвечаю Я.
    А как получается в данном случае? Предположим, моим ключом подписали недостоверные данные. Где хоть какая-то гарантия, что этот ключ не попал к посторонним от поставщика услуг? Как мне докажут, что они не виноваты, если МОЙ ЗАКРЫТЫЙ ключ существовал на их машине в виде файла?
     
  6. 05.08.03 #6
    Jazzer

    Jazzer Активный участник

    2.693
    15
    Есть принципиальная разница - в случае банк-клиент оформление процедуры передачи данных является частным делом двух частных юр.лиц. Государство в лице (скажем ФАПСИ, не знаю предмета...) удостоверило, что заявленная банкирами процедура отвечает потребному уровню безопасности, но не гарантирует выполения этой процедуры всегда и везде.
    В случае с налоговой ситуация иная - государство хочет быть уверенным, что его (государства) денежки-налоги будут учитываться точно и без ошибок, без потенциальной лазейки - "у вас программа позволяет передавать черт-те-что от моего имени". Посему работа оператора изначально организована в жестких рамках ЗАКОНА, выполнение которого КОНТРОЛИРУЕТСЯ.
    Представим, что некий злоумышленник захотел передать некий отчет-баланс от имени и за подписью жертвы-организации (хотя сложно представить, зачем это может понадобиться).
    Вопрос - какие бонусы нужно предложить оператору, чтобы он нарушил практически все правила, установил на машине - генератре ключей некий шпионский софт для копирования генерящихся ключей, дождался визита представителя жертвы (которая когда-нибудь придет генерить ключи), и совершил копирование (кражу) ключа. В этом случае оператор получает лишение всех и всяческих лицензий и разрешений, затраты на ведение дела оказываются убыточными, фирма прекращает деятельность а руководство и персонал попадают под следствие?... Бессмысленно (IMHO)...
     
  7. 05.08.03 #7
    bivshii

    bivshii Активный участник

    838
    34
    Jazzer
    Какой банк-клиент???
    Те же ЭЦП действуют внутри системы Банка России.
    Передаём, например, отчёт по НДС с разницей на пару десятков миллионов и сажаем всё руководство фирмы.
    Какой софт??? Ключ- это файл. Сколько ты знаешь способов, чтобы незаметно скопировать файл в ещё одну директорию? Или просто восстановить после удаления. Или прочитать кластер.
    Зато теперь программа позволяет передавать черте-кому от моего имени.
    Если ты вообще что-нибудь читал по вопросам шифрования с открытым ключом, то должен знать, что любая возможность доступа неуполномоченнных лиц к закрытому ключу - это его безусловная компроментация.
     
  8. 05.08.03 #8
    Jazzer

    Jazzer Активный участник

    2.693
    15
    Чистая правда!... Вы правы!...
    Но почему Вы считаете, что сотрудник занимающийся работой по генерации ключей является "неуполномоченным"? Очень даже уполномочен, прошел инстанции, обучен, зарегистрирован и проч.
    В сущности, по закону, ЭЦП можно создать самому клиенту, но с соблюдением некоторых требований (установленных опять-же закондательством), если будет время - найду соотв. документ и выложу (с согласия модератора).
     
  9. 05.08.03 #9
    bivshii

    bivshii Активный участник

    838
    34
    Jazzer
    Не надо документа. Я читал закон об ЭЦП, и, действительно, всё по закону. Но вопрос.
    Что-то случилось и обе стороны говорят- мы не виноваты. Невозможно однозначно определить,
    откуда была утечка информации... При утечке данных из регистрирующей организации эту
    утечку доказать абсолютно невозможно. Потому что все сертифицированы, допущены и такого не может быть никогда.
    :(
     
  10. 05.08.03 #10
    Гость

    Гость Гость

    чет насколько я помню - после генерации этого самого файлика изготавливалась супер-пупер дискетка с этим файликом и отдавалась клиенту (скопировать дискету конечно было можно всякими там приблудами типа дискдупе и т.п. но это уже было на совести клиента целиком и полностью)... а при простом копировании этого файлика - подпись уже не работала.
     
  11. 06.08.03 #11
    Jazzer

    Jazzer Активный участник

    2.693
    15
    Дискета копируется совершенно свободно, более того, рекомендуется использовать в работе копию дискеты с ключем, оригинал держать в сейфе.
    Спасибо за вопросы, если появятся дополнительные - велкам (если модератор не сочтет рекламой :) ), видимо много неясного остается за кадром.
     
  12. 20.07.18 #12
    Vovok

    Vovok Активный участник

    16.232
    600
    Кто пользуется для Гос.услуг,подачи декларации. Где приобретали,как быстро? Цены везде одинаковые? У дилеров в Волгограде или с Москвы тянули?
     
  13. 20.07.18 #13
    xoxot07

    xoxot07 Активный участник

    10.182
    889
    @Vovok, подпись для подачи генерируется в лк совершенно бесплатно.
     
сергей дягилев теплоход отзывы | бинокуляры для стоматолога | топ 5 аниме 18 | андрей грязнов актер | купить качели садовые недорого