1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

ЭЦП для налоговой- изначальная компроментация ключей

Тема в разделе "Софт", создана пользователем bivshii, 05.08.03.

  1. bivshii

    bivshii Активный участник

    753
    3
    Смотрю документы по работе с ЭЦП для налоговой.
    С ума можно сойти: МОЙ ЗАКРЫТЫЙ КЛЮЧ создаётся на компьютере поставщика услуг.
    Уму не постижимо.
    А работать надо. Народ, никто не сталкивался с данной проблемой и как решали?
     
  2. micron

    micron Участник Команда форума

    11.639
    79
    Там еще много сюрпризов, с которыми придется столкнуться. :poh:
     
  3. Fl@sh

    Fl@sh Активный участник

    655
    0
    bivshii
    А ты видел, что собой представляет пароль, с которым ты телнетишься? Посмотри, будешь удивлен :)
     
  4. Jazzer

    Jazzer Активный участник

    2.684
    10
    На самом деле вполне постижимо.
    Весь процесс работы с Абонентом системы (клиентом) жестко регламентирован инструкциями ФАПСИ, действующими законами и постановлениями. Начиная от формы документов и правилами документооборота и заканчивая процессом собственно изготовления ключей - все действия оператора описаны в инструкциях и являются предметом проверки государственных контролирующих органов.

    Процесс изготовления ключей подробно описан в соответствующей регламентирующей инструкции, где приведены жесткие требования - начиная с соответствия помещения, требования к компьютеру и ПО на котором создаются ключи, действия оператора, присутствие заказчика при изготовлении ключей, последующий инструктаж, и проч. и проч...
    Т.е. существующий порядок изготовления ключей является НЕ самодеятельностью и самодурством каждого конкретного оператора, а жестко регламентирован ЗАКОНОДАТЕЛЬСТВОМ. Конфиденциальность информации стоит на первом месте, и стоит немалых денег в повседневной деятельности оператора.

    Хотел привести выдержки из регламентных док-тов, но некогда, укажу только:
    "ИНСТРУКЦИЯ
    о допуске представителей государственных контрольных органов".

    "В соответствии с требованиями Инструкции ... ФАПСИ государственный контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации осуществляют федеральные органы правительственной связи и информации, органы криптографической защиты министерства по налогам и сборам РФ (далее государственные контрольные органы)...
    ... ... ...
    В ходе проверки возможность и форму доступа государственных контрольных органов к содержанию конфиденциальной информации определяет ... При этом ЗАПРЕЩЕН доступ:
    - к ключевой информации;
    - к сведениям, не входящим в перечень вопросов изложенных в предписании".
     
  5. bivshii

    bivshii Активный участник

    753
    3
    Jazzer
    Я, к сожалению, не знаком с данными инструкциями ФАПСИ, но отлично знаю, как вопросы с ЭЦП решаются в банковской сфере. Ты хочешь сказать, что ЦБ РФ в своей работе кладёт на ФАПСИ ? Если я создаю себе закрытый ключ, то его создаю Я, на СВОЕЙ машине и за то, чтобы он не попал к другим людям отвечаю Я.
    А как получается в данном случае? Предположим, моим ключом подписали недостоверные данные. Где хоть какая-то гарантия, что этот ключ не попал к посторонним от поставщика услуг? Как мне докажут, что они не виноваты, если МОЙ ЗАКРЫТЫЙ ключ существовал на их машине в виде файла?
     
  6. Jazzer

    Jazzer Активный участник

    2.684
    10
    Есть принципиальная разница - в случае банк-клиент оформление процедуры передачи данных является частным делом двух частных юр.лиц. Государство в лице (скажем ФАПСИ, не знаю предмета...) удостоверило, что заявленная банкирами процедура отвечает потребному уровню безопасности, но не гарантирует выполения этой процедуры всегда и везде.
    В случае с налоговой ситуация иная - государство хочет быть уверенным, что его (государства) денежки-налоги будут учитываться точно и без ошибок, без потенциальной лазейки - "у вас программа позволяет передавать черт-те-что от моего имени". Посему работа оператора изначально организована в жестких рамках ЗАКОНА, выполнение которого КОНТРОЛИРУЕТСЯ.
    Представим, что некий злоумышленник захотел передать некий отчет-баланс от имени и за подписью жертвы-организации (хотя сложно представить, зачем это может понадобиться).
    Вопрос - какие бонусы нужно предложить оператору, чтобы он нарушил практически все правила, установил на машине - генератре ключей некий шпионский софт для копирования генерящихся ключей, дождался визита представителя жертвы (которая когда-нибудь придет генерить ключи), и совершил копирование (кражу) ключа. В этом случае оператор получает лишение всех и всяческих лицензий и разрешений, затраты на ведение дела оказываются убыточными, фирма прекращает деятельность а руководство и персонал попадают под следствие?... Бессмысленно (IMHO)...
     
  7. bivshii

    bivshii Активный участник

    753
    3
    Jazzer
    Какой банк-клиент???
    Те же ЭЦП действуют внутри системы Банка России.
    Передаём, например, отчёт по НДС с разницей на пару десятков миллионов и сажаем всё руководство фирмы.
    Какой софт??? Ключ- это файл. Сколько ты знаешь способов, чтобы незаметно скопировать файл в ещё одну директорию? Или просто восстановить после удаления. Или прочитать кластер.
    Зато теперь программа позволяет передавать черте-кому от моего имени.
    Если ты вообще что-нибудь читал по вопросам шифрования с открытым ключом, то должен знать, что любая возможность доступа неуполномоченнных лиц к закрытому ключу - это его безусловная компроментация.
     
  8. Jazzer

    Jazzer Активный участник

    2.684
    10
    Чистая правда!... Вы правы!...
    Но почему Вы считаете, что сотрудник занимающийся работой по генерации ключей является "неуполномоченным"? Очень даже уполномочен, прошел инстанции, обучен, зарегистрирован и проч.
    В сущности, по закону, ЭЦП можно создать самому клиенту, но с соблюдением некоторых требований (установленных опять-же закондательством), если будет время - найду соотв. документ и выложу (с согласия модератора).
     
  9. bivshii

    bivshii Активный участник

    753
    3
    Jazzer
    Не надо документа. Я читал закон об ЭЦП, и, действительно, всё по закону. Но вопрос.
    Что-то случилось и обе стороны говорят- мы не виноваты. Невозможно однозначно определить,
    откуда была утечка информации... При утечке данных из регистрирующей организации эту
    утечку доказать абсолютно невозможно. Потому что все сертифицированы, допущены и такого не может быть никогда.
    :(
     
  10. Гость

    Гость Гость

    чет насколько я помню - после генерации этого самого файлика изготавливалась супер-пупер дискетка с этим файликом и отдавалась клиенту (скопировать дискету конечно было можно всякими там приблудами типа дискдупе и т.п. но это уже было на совести клиента целиком и полностью)... а при простом копировании этого файлика - подпись уже не работала.
     
  11. Jazzer

    Jazzer Активный участник

    2.684
    10
    Дискета копируется совершенно свободно, более того, рекомендуется использовать в работе копию дискеты с ключем, оригинал держать в сейфе.
    Спасибо за вопросы, если появятся дополнительные - велкам (если модератор не сочтет рекламой :) ), видимо много неясного остается за кадром.