LINUX.ORG.RU
ФорумTalks

Медведев узаконил электронную подпись


0

1

Президент России Дмитрий Медведев подписал Федеральный закон «Об электронной подписи», принятый Госдумой 25 марта 2011г. и одобренный Советом Федерации 30 марта 2011г. Об этом сообщает пресс-служба главы российского государства.

Необходимость нового документа обусловлена тем, что положения действующего закона об электронной подписи не соответствуют современным принципам регулирования электронных подписей, которые действуют в европейских государствах.

На сегодняшний день законодательство допускает использование только одной технологии электронной подписи (основанной на технологии асимметричных ключей подписи) и делает необходимой иерархическую систему удостоверяющих центров. В сферу регулирования закона об электронной подписи не включены отношения, которые не являются гражданско-правовыми сделками, также законом не допускается электронная подпись юридических лиц.

Читать полностью: http://top.rbc.ru/society/06/04/2011/571520.shtml

★★★

http://ibash.org.ru/quote.php?id=13945

e386: aaа, блин, только что показали, как президент поставил «электронную подпись» под распоряжением. СТИЛУСОМ НА ЭКРАНЕ!!! Они вообще понимают, что такое «электронная подпись»???? Пойду, отсканирую подпись директора, и начну приказы на премии себе выписывать!!! А что, президент же так делает...

ZenitharChampion ★★★★★
()

Для использования ЭЦП надо будет проприетарщину в вайне запускать (как у втб24) и передавать данные по измененному до несовместимости SSL?

shahid ★★★★★
()

Кто в теме - как это вообще будет выглядеть? Любой гражданин или организация может получить квалифицированную эцп? Где? Как? Что делать в случае её утери? Что можно с ней делать, что подписывать?

Xellos ★★★★★
()
Ответ на: комментарий от shahid

а еще платить денюжку государевым монополистам ака спецслужбам

Karapuz ★★★★★
()
Ответ на: комментарий от Xellos

> Кто в теме - как это вообще будет выглядеть?

в системе webmoney уже давно юридически значимые документы подтверждаются ЭЦП

Любой гражданин или организация может получить квалифицированную эцп?

Можно получить там же, в webmoney, импортировать её в криптотокен, затем подписать ЭЦП какой нибудь документ и валидировать подпись на портале гос услуг. Можно в одном из УЦ

Что делать в случае её утери?

Процедура восстановление доступа в webmoney, в этом случае старая подпись становится не действительной с новым ключём начиная с даты отзыва в УЦ не знаю как происходит

Что можно с ней делать, что подписывать?

любые электронные документы, файлы, соглашаться с условиями, контракты..

Deleted
()
Ответ на: комментарий от Manhunt

> Потрясающее поле для мошенничества.

Только если украсть эту подпись, которая как правило на физическом носителе (раньше были дискеты, сейчас USB криптотокены) и узнать 4-8 значный пин код к токену.

Deleted
()
Ответ на: комментарий от Deleted

в системе webmoney уже давно юридически значимые документы подтверждаются ЭЦП

в системе webmoney

в системе вебмани процветает беспредел, что делает ее для свободных людей не желающих анального зонда наиболее привлекательной)

stevejobs ★★★★☆
()
Ответ на: комментарий от Deleted

> Только если украсть эту подпись, которая как правило на физическом носителе (раньше были дискеты, сейчас USB криптотокены) и узнать 4-8 значный пин код к токену.

Да брось. Ставишь троянец. Считываешь при случае пин. Когда лошара в очередной раз вставит себе хардварный ключик, подписываешь этим ключиком и пином дарственную насчет его квартиры...

Manhunt ★★★★★
()
Ответ на: комментарий от stevejobs

> в системе вебмани процветает беспредел, что делает ее для свободных людей не желающих анального зонда наиболее привлекательной)

Нормально пользуюсь системой, не вижу никакого беспредела, вы конечно можете пользоваться тем чем вам удобнее.

Deleted
()
Ответ на: комментарий от Xellos

Работаю с ВТБ24. У них телебанк (интернет-банкинг) работает через любой браузер. Вход в систему и подтверждение распоряжений можно производить по одноразовым паролям и/или по персональному сертификату ЭЦП. Подпись ЭЦП полностью эквивалентна к обычной подписи, поэтому можно стрелять себе в ногу, т.е. отправлять миллиарды в банановую республику, оформлять некоторые кредиты, делать вклады — никто слова поперек не скажет. Если же работать без ЭЦП, то объемы операций ограничены по объемам, плюс есть некоторые другие ощутимые ограничения.

Сертификат - обычный SSL-сертификат. Там в кодировке 1251 указаны ФИО владельца. Ключ для сертификата отдельно

Получение сертификата ЭЦП в втб24 относительно простое: надо скачать отечественную проприетарную приблуду (inter-pro client), запустить в вайне, и в ней сгенерить секретный ключ согласно мануалу. Из ключа сделать Certificate Request (.csr). CSR закоммиттить в телебанк, в ответ получить подписанный сертификат. После получения сертификата надо его распечатать. С распечаткой сертификата прийти в банк и расписаться. Ну и в тулзу inter-pro этот сертификат загнать, в браузере указать прокси 127.0.0.1:порт и вперед.

При необходимости подписывания операций эта тулза перехватывает запрос браузера, выдает подтверждающее окошко, затем спрашивает пароль от секретного ключа, и потом отправляет типа-подписанный запрос на сервер телебанка.

Короче, данная подпись ограничена одним предприятием. Если потерял, то звонишь поддержку банка и говоришь, что потерял — они отзывают сертификат.

shahid ★★★★★
()
Ответ на: комментарий от Manhunt

> Да брось. Ставишь троянец. Считываешь при случае пин. Когда лошара в очередной раз вставит себе хардварный ключик, подписываешь этим ключиком и пином дарственную насчет его квартиры...

Подобного типа атака из области фантастики. Токенов сотни, каждый со своим интерфейсом в большинстве своём интерфейс закрыт. Для атаки надо знать что у человека токен (может быть иной носитель), надо впарить человеку трояна, надо выждать когда человек 2 раза воткнёт токен, надо заготовить документ с реквизитами, надо знать реквизиты.. в общем у вас слишком большое воображение.

Deleted
()
Ответ на: комментарий от Deleted

всё это можно сделать при желании. А желание найдется ;)

stevejobs ★★★★☆
()

Когда я читаю такие заголовки так и просится:

Медведев, самодержец всеросийский и прочее и прочее и прочее, повелевает своим указом за своей подписью, отныне считать электронную подпись.....

r ★★★★★
()
Ответ на: комментарий от Deleted

> Токенов сотни, каждый со своим интерфейсом в большинстве своём интерфейс закрыт.

Сертифицированных - единицы.

надо впарить человеку трояна


С виндой это не очень большая проблема. Впаривают не то что за квартиру, а за отключающую порнобаннер смс-ку.

надо выждать когда человек 2 раза воткнёт токен


Троян сам выждет, plug&play во все поля.

надо знать реквизиты..


Придется немного погрепать по жесткому диску в поисках документов.

надо заготовить документ с реквизитами


Заполнить шаблон. C этим жулик, конечно же, не справится :D

в общем у вас слишком большое воображение


Это ваши менее красноглазые родственники будут объяснять в судебном иске по поводу дарственной, которую тихо и незаметно подписали 4 года назад.

Manhunt ★★★★★
()
Ответ на: комментарий от Manhunt

> Это ваши менее красноглазые родственники будут объяснять в судебном иске по поводу дарственной, которую тихо и незаметно подписали 4 года назад.

Угу. Но только в том случае, если владеле ЭЦП пойдёт в министерство недвижимости с сертификатом (или что там у нас) и подпишет бумагу: «прошу считать действительной использование электронной подписи номер 0B:94:BD:... для подписывания документов на дарение квартир».

shahid ★★★★★
()
Ответ на: комментарий от shahid

> Но только в том случае, если владелец ЭЦП пойдёт в министерство и подпишет бумагу: «прошу считать действительной использование электронной подписи номер 0B:94:BD:... для подписывания документов на дарение квартир»

Хочется верить, что дела обстоят именно так.

Manhunt ★★★★★
()
Ответ на: комментарий от Manhunt

> Хочется верить, что дела обстоят именно так.

Этот закон вроде как не меняет порядок использования подписи.

Сейчас порядок такой: есть частные конторы (с лицензиями ФСТЭК на разработку ПО для работы с конфиденциальной инфой, криптографией и т.д.) Это поставщики софта с ЭЦП. Их десятки/сотни в стране. Их софт также проходит сертификацию ФСТЭК на соответствие требованиям ГОСТов по защите информации. Там требуются всякие изолированные окружения, сертифицированные алгоритмы криптографического преобразование и много чего ещё.

Также в стране есть банки, министерства, налоговые, которые хотят получать документы от физ/юр лиц (клиентов) в электронном виде с пометкой «валидно, инфа 100%». Это предприятия.

И есть сами физ/юр.лица, которые не хотят стоять в очередях и работать через интернет. Это клиенты.

Предприятие заключает контракт с поставщиком. Поставщик разворачивает на территории Предприятия платформу для обработки ЭЦП. Предприятие вешает объяву для своих клиентов: «качаем вот эту тулзу, вот тут берем сертификаты, вот тут курим мануал». Клиенты делают эти действия, и все счастливы.

Это втб так работает и несколько других контор. См. мой коммент выше.

shahid ★★★★★
()
Ответ на: комментарий от Artificial_Thought

> А подпись OpenPGP признаётся теперь или нет?

ЕМНИП, у PGP не предусмотренно в протоколах такого понятия как CA, а в законе это прописано. В pgp сети доверия. Поэтому полноценной ЭЦП на территории РФ оно признано не будет — не пройдёт сертификацию.

shahid ★★★★★
()
Ответ на: комментарий от Deleted

> Подобного типа атака из области фантастики. Токенов сотни, каждый со своим интерфейсом в большинстве своём интерфейс закрыт. Для атаки надо знать что у человека токен (может быть иной носитель), надо впарить человеку трояна, надо выждать когда человек 2 раза воткнёт токен, надо заготовить документ с реквизитами, надо знать реквизиты.. в общем у вас слишком большое воображение.

Это у тебя оно, наоборот, отсутствует. Атака будет проводится не на конкретного человека, а по площадям. Берем самый популярный банк, и разкручиваем, какие там по дефолту немытыми массами используются токены, какой банк-клиент, как в нем автоматически сформировать платежку и так далее. Дальше начинаем распространять трояна, и собирать жертв.

gods-little-toy ★★★
()
Ответ на: комментарий от shahid

>прошу считать действительной использование электронной подписи номер 0B:94:BD:... для подписывания документов на дарение квартир

То есть это я на каждый чих должен буду тащиться чёрт знает куда, и писать _бумажку_, в которой я «разрешаю» признание моей ЭЦП аналогом собственноручной подписи?! Ой ё...

Xellos ★★★★★
()
Ответ на: комментарий от shahid

> Для использования ЭЦП надо будет проприетарщину в вайне запускать (как у втб24)

Нет, зачем? Какая разница проверяющему, в какой софтине оно подписано? Главное, чтоб число/числа на выходе было корректны.

segfault ★★★★★
()
Ответ на: комментарий от Xellos

> То есть это я на каждый чих должен буду тащиться чёрт знает куда, и писать _бумажку_, в которой я «разрешаю» признание моей ЭЦП аналогом собственноручной подписи?! Ой ё...

Для «каждого чиха» никто не отменял обычную подпись. ЭЦП нужна для часто осуществляемых автоматизированных операций.

segfault ★★★★★
()
Ответ на: комментарий от segfault

Для «каждого чиха» никто не отменял обычную подпись

То есть мы остались в 20 веке, а все заявления президента - популизм? Не, я так и думал, конечно, но не думал что до такой степени.

Xellos ★★★★★
()
Ответ на: комментарий от segfault

Я-то думал, что я сейчас могу куда-то прийти, показать паспорт, получить флешку с ключом, и наступит щастье. Надо тебе официальное электронное письмо президенту написать - пжжалста. Надо тебе в налоговую запрос сделать - пжжалста. Надо тебе в ЖЭК, в конце концов, запрос сделать - пжжалста. Вот тогда я скажу - да, в России есть электронная подпись.

Xellos ★★★★★
()
Ответ на: комментарий от Xellos

> Я-то думал, что я сейчас могу куда-то прийти, показать паспорт, получить флешку с ключом, и наступит щастье.

Вообще-то не флешку, а электронный USB-ключ.

Надо тебе в ЖЭК, в конце концов, запрос сделать - пжжалста. Вот тогда я скажу - да, в России есть электронная подпись.

Ха! Для этого нужно в том же ЖЭКе документооборот сделать электронным. А электронную подпись прикрутить - это уже пустяк.

segfault ★★★★★
()
Ответ на: комментарий от segfault

Ну да. А без электронного документооборота - нах оно мне сдалось-то?

Xellos ★★★★★
()
Ответ на: комментарий от gods-little-toy

> Берем самый популярный банк, и разкручиваем, какие там по дефолту немытыми массами используются токены, какой банк-клиент, как в нем автоматически сформировать платежку и так далее. Дальше начинаем распространять трояна, и собирать жертв.

Подобная атака нигде не проводилась и врядли будет проводится в виду сложности, огромной затратности и паливности. если бы подобное могли бы сделать вы, вы бы сейчас сидели на багамах, а не на LOR-е

Deleted
()
Ответ на: комментарий от shahid

Ключ для сертификата отдельно

Какой именно ключ и почему отдельно?

iZEN ★★★★★
()
Ответ на: комментарий от Deleted

>> Потрясающее поле для мошенничества.

Только если украсть эту подпись, которая как правило на физическом носителе (раньше были дискеты, сейчас USB криптотокены) и узнать 4-8 значный пин код к токену.

У вас просто никогда не крали деньги с webmoney.

adepto
()
Ответ на: комментарий от adepto

> У вас просто никогда не крали деньги с webmoney.

Верно, не крали, у меня e-num авторизация в системе.

Deleted
()

На каждого хомяка по GPG ключу?

darkshvein ☆☆
()
Ответ на: комментарий от Deleted

>Верно, не крали, у меня e-num авторизация в системе.

Видимо это безопасно, раз вы это утверждаете. Но вам не кажется, что избыточные меры безопасности призваны закрыть (а в некоторых случаях и скрыть) ошибки в проектировании самой системы?

adepto
()
Ответ на: комментарий от Deleted

в системе вебмани процветает беспредел, что делает ее для свободных людей не желающих анального зонда наиболее привлекательной)

Нормально пользуюсь системой, не вижу никакого беспредела

Беспредел там заключается в том, что в этой системе невозможно удалить аккаунт или стереть свои паспортные данные. Webmoney вцепляется в персональные данные мертвой хваткой. И вообще с их чудовищными процентами ими пользоваться бессмысленно - сейчас полно других нормальных платежных систем.

sign
()
Ответ на: комментарий от adepto

> Видимо это безопасно, раз вы это утверждаете. Но вам не кажется, что избыточные меры безопасности призваны закрыть (а в некоторых случаях и скрыть) ошибки в проектировании самой системы?

Нет, мне почему то не кажется что добавление более защищённого замка на дверь квартиры скрывает ошибки в проэкте квартиры )

Deleted
()
Ответ на: комментарий от sign

> Беспредел там заключается в том, что в этой системе невозможно удалить аккаунт или стереть свои паспортные данные. Webmoney вцепляется в персональные данные мертвой хваткой.

А то что так же нельзя удалить запись о вашем рождении в роддоме или там в паспортном столе вас не смущает? Касательно webmoney тут затрагиваются финансовые операции, они должны храниться столько сколько система посчитает нужным их хранить. С чем вы и соглашаетесь когда кликаете OK на договоре обслуживания.

И вообще с их чудовищными процентами ими пользоваться бессмысленно - сейчас полно других нормальных платежных систем.

Идите в другие нормальные, меня устраивает те которыми пользуюсь я.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.