Какой смысл в «облачной ЭЦП»?

Какой в этом смысл, если её может подделать оператор системы? По сути это то же самое, что просто поставить галочку.

Да.

<рифма авторства Киркорова>

Твою подпись на листике подделать ещё легче. Можешь конечно не пользоваться этой «облачной эцп» — будешь ходить ногами с бумажками и отстаивать очереди.

Какой в этом смысл

Внутри РФ вполне себе секьюрно. Подделывать эту подпись со стороны налоговой - им заняться нечем что-ли?

Ну то же самое можно утверждать просто о проставленной галочке.

А тут уже надо трезво оценивать риски и количество труда для их преодоления. Если риск меньше, чем рандомно получить кирпичом по голове выйдя из падика + 500т.р. на адвоката, то это равняется «никогда».

Какой в этом смысл

Соблюдение бюрократии при избавлении от реальной сути.

Если за подделку ЭЦП тебе отвалят миллиончик с отжатой квартиры, то нет повода не подделать.

Если за подделку ЭЦП тебе отвалят миллиончик с отжатой квартиры, то нет повода не подделать.

Тем, кто оформляет сделки по продаже собственной недвижимости с помощью облачных ЭЦП (приватный ключ хранится в облаке) - таким место в дурке. Ну а для каких-то менее рисковых мероприятий - типа подписать удаленно заявление на отпуск в своей конторе - вполне…

Например, мне на работе такую сделали для того, чтобы заявления на отпуск подписывать

Для чего существует электронная подпись? - чтобы у вас позже не возникало желания что-либо подписанное оспорить или пожалиться на конкретного исполнителя вашей просьбы. Подразумевается, что сотрудник отдела кадров вашей конторы не имеет доступа к вашему приватному ключу - этот доступ есть только у админов или отдела безопасности. А вот проверить подпись он может - и потом с чистой совестью пустить документ далее по этапу.

Смысл в том, что оператор как раз подделать и не сможет. Админ, может, и может, но ему зачем - поменять тебе дату отпуска?

Плюс, не знаю как у вас в отделе кадров, а на сайте ФНС облачную подпись можно выгрузить, и если налоговая вдруг скажет, что вы никаких сведений не подавали, предъявить им файлик с данными, включая подписанную их же сертификатом содержимое, дату и время.

Таким образом, воспользоваться твоей подписью может любой, кто завладел твоим аккаунтом, а вот отозвать такую подпись не сможет уже никто.

Ну и продажа квартир, написание завещаний, регистрация брака и прочее подобное - облачной подписью не подписывается, там требуется квалифицированная ЭП на неизвлекаемом носителе.

Смысл в том, что оператор как раз подделать и не сможет. Админ, может, и может, но ему зачем - поменять тебе дату отпуска?

Админ это сотрудник «оператора». И не чтобы поменять, а чтобы подписать какой-то вообще левый документ, про существование которого ты и не подозреваешь.

ЭЦП зашифрована и закрыта passphrase’ом, сама по себе - бесполезный набор байтиков. Потому хранить её можно хоть на публичной шаре на все интернеты, подписать ей ничего нельзя без открытия контейнера.

Ты не следишь за руками. Не в дурке, а в тюряге, но сначала тебе придётся их найти и засудить.

Админ это сотрудник «оператора».

У меня парсер сломался. Оператор это уже человек.

И не чтобы поменять, а чтобы подписать какой-то вообще левый документ, про существование которого ты и не подозреваешь.

Отправит меня в отпуск в декабре? :D

Оператор это организация, отвечающая за систему. Вот например, автор темы пишет

Ещё на сайте ФНС есть для отчётов о зарубежных счетах.

Оператор «сайта ФНС» - это сама ФНС. И если ты подарил ФНС свой приватный ключ, то она может от твоего имени подписать им всякие налоговые бумаги. В то время как суть этого ключа как раз в том, чтобы налоговая не могла самовольно такое сделать.

Отправит меня в отпуск в декабре? :D

Нет, подпишет от твоего имени урезание зарплаты до 1 МРОТ и согласие работать на таких условиях в следующие 10 лет под угрозой штрафа за попытку уволиться.

Ну, может прямо такое законы не позволят, но общий смысл думаю понятен.

Так поэтому и не применяют облачную ЭЦП нигде кроме ни к чему не обязывающих вещей.

Да, лучше быть здоровым и богатым, чем бедным и больным, и пользоваться квалифицированной усиленной ЭЦП с неизвлекаемым ключом и многофакторной авторизацией. Но ситуации бывают разные и уровень угрозы тоже. В случае налоговой, например, налогоплательщик может физически не находиться в РФ и не иметь возможности получить нормальную подпись, облачная лучше чем просто галочка — можно доказать, что данные ты на сайт отправил. В случае работодателя тебя могут отправить в отпуск в декабре и с подписью, и без подписи, но опять же, ты можешь доказать, что заявление подавал, если вдруг тебя поставили в очередь куда-то не туда.

Облачную ЭЦП можно перехватить при выпуске, так что я бы тут не обольщался на счёт пароля.

Это если мы предполагаем злой умысел со стороны администратора ИС. Если нет — тогда твой аргумент хорош.

UPD: хотя, если облачная ЭЦП создаётся прямо в браузере, а не в облаке и тебе хватит квалификации это проверить, то это тоже аргумент. Но ТС сказал, что она создаётся в облаке.

ты можешь доказать, что заявление подавал, если вдруг тебя поставили в очередь куда-то не туда.

По-моему это всё ничто по сравнению с отсутствием возможности доказать, что заявление ты НЕ подавал и его выдумала другая сторона. И вообще, «доказать что подавал заявление» это не твоя подпись нужна, а подпись той стороны, подтвердившей получение.

пользоваться квалифицированной усиленной ЭЦП с неизвлекаемым ключом и многофакторной авторизацией

А ключ в виде обычного файла, но хранящегося у тебя, а не у заинтересованной другой стороны, не бывает?

Это если мы предполагаем злой умысел со стороны администратора ИС. Если нет — тогда твой аргумент хорош.

Подпись нужна как раз для защиты от администратора ИС, это единственная её функция. Если ты ему доверяешь - выпиши ему сразу доверенность просто ставить галочки за тебя.

создаётся в облаке

понятное дело, что если всё server-side - сливай воду. Но в принципе, браузерные JS-библиотеки для работы с созданием/открытием/подписью существуют и не так чтобы редко применяются.

И вообще, «доказать что подавал заявление» это не твоя подпись нужна, а подпись той стороны, подтвердившей получение.

Так она там и есть, если мы говорим про налоговую.

это единственная её функция.

Понятно, можешь дальше не писать.

Так сделай не облачную. Неэкспортируемую на проинициализированном тобой с твоими пароле токене.

Неэкспортируемую

Отлично превращается в экспортируемую парой нехитрых утилит.

Да ладно, расскажи-ка.

Собственно. frunobulax наверное хотел сказать «неизвлекаемый», но когда я спросил про это в УЦ на меня посмотрели как на дурачка, мол что это такое. Говорят помогает волшебная фраза «как для ЕГАИС»

Кто где есть? Ещё раз:

1) если ты хочешь зафиксировать факт приёма твоего заявления, то нужна подпись организации, его принявшей, и к этой теме (про «облачные ЭЦП») это никак не относится

2) твоя подпись нужна для того, чтобы кто-то посторонний мог доказать, что некий документ, который ты ей подписал, действительно издан тобой; в случае «облачной подписи» документ от твоего имени можешь легитимно издавать не только ты, но и оператор облака, где эта подпись хранится; если оператор облака и сторона, которая хочет что-то про тебя доказать - одно и то же лицо - то смысл затеи полностью теряется

Это которая работает только в ОС на букву Ш?

у тебя же есть pin/pass для неё?
если нет - то ссзб(
по закону, емнип, без pin/pass[/otp/2fa] вроде запрещены эни эцп/серты в юр/фин значимых операциях.

Такое кунг-фу (по крайней мере у меня) работает только на древниз ревизиях токенов.

Ммм. Нет. Регулярно пользуюсь из онтопика.

Какой в этом смысл, если её может подделать оператор системы?

В том, что:

По сути это то же самое, что просто поставить галочку.

Без галочки никак.

Какой в этом смысл, если её может подделать оператор системы? По сути это то же самое, что просто поставить галочку.

Кстати. Если я не совсем из тренда выпал - ФСБ облачные решение не сертифицирует как усиленную квалифицированную ЭП. То есть где-то за пределами той системы где она тебе выдана она как минимум юр. силы не имеет, а может и технически невозможно подписать (издана на стороннем корневом, который не подписан головным УЦ).

Топик наискось прочитал, если прям реально волнуешься – найди безопасников своей конторы и скажи что хочешь на внешнем носителе свой ключ. Токены сейчас свободно физикам продаются через банальный озон с вб.

Работает на всех, что записаны в «контейнер» криптопро.

Пруфцов бы)

Какой в этом смысл, если её может подделать оператор системы?

Вот тут разгорелась дискуссия просто из-за слишком упрощенных представлений об этой самой «системе». Следует четко осознать, что область действия такой ЭЦП - это только та «контора», где вам её выдали. И в этой конторе существует определенное разграничение прав доступа к информации. Не существует какого-то одного «оператора» системы - есть разные должности, с разными правами и возможностями. Сотрудник отдела кадров ничего подделать не может - он может просто проверить подпись и обслужить ваше заявление! Вы, в свою очередь, подав заявление можете скачать себе его копию, подписанную как вами так и, скорее всего, еще какой-либо ЭЦП (например, того же кадровика). Таким образом, каждый может спокойно дальше жить и работать/отдыхать. Всё это - просто автоматизация бюрократии и отказ от бумажного документообмена. Не более.

Конечно, есть админы, ну или там сотрудники СБ, которые могут что-то подделать - но они-то входят в число тех «избранных», кто как раз и следит за электронным порядком. И принимают их на работу с соответствующим инструктажем об ответственности. Подделывать чью-то подпись на заявлении для них чревато очень большими жизненными последствиями и невозможностью найти работу по специальности.

Так идея ЭЦП и подразумевает гарантии третьих лиц, которые подтверждают валидность твоего ясного сознания и твердой воли. А вот сами по себе их гарантии - просто репутация или злая воля, опущенная на тебя свыше. И при этом третьи лица ни за что не отвечают.

А вот подпись ручкой подделать не так просто, как эцп.

И при этом третьи лица ни за что не отвечают.

Откуда такие сказки?

А вот подпись ручкой подделать не так просто, как эцп.

Мутную экспертизу подкупить проще чем УЦ, если в левой закорючке вообще возникнут сомнения.

Контейнеры криптопро тем и отличаются от нормальных аппаратных средств, что все манипуляции с приватным ключом выполняются хостом, для чего этот ключ извлекается.

На практике, если ты не приложишь дополнительных условий при договоре с УЦ, даже если твой токен поддерживает всю нужную криптографию самостоятельно - ключ всё равно будет сгенерирован на хосте и записан в «защищённое хранилище» как на флешку. Nuff said.

Потому что ЭЦП это проявление твоего ясного сознания и твердой воли. И если оно приложено, то это означает только то, что оно приложено. Возможно даже тобой.

С ручной подписью есть варианты других экспертиз. С ЭЦП только УЦ.

Смешное

Ну и продажа квартир, написание завещаний, регистрация брака и прочее подобное - облачной подписью не подписывается, там требуется квалифицированная ЭП на неизвлекаемом носителе.

Рассказываю. Покупал я квартиру (ок, «ДДУ» заключал) у крупного застройщика «Инград» в их центральном офисе где-то на Садовом кольце. Несколько лет назад.

Девушка риэлтор даёт мне конторский ноутбук - мол, вводите $неПомнюУжеЧто для выпуска сертификата. Винда десятая, всё как полагается, винрар и какая-то игрушка на рабочем столе…

Там схема такая, что некий «Технокад» (кажется) выпускает им условно левую подпись под честное слово, «облачную» тоже, которая потом используется в общении с Росреестром.

Когда я вытащил свой ноутбук, у девушки была полная непонятка - вероятно, я такой был первый.

В итоге сделал таки подпись эту фейковую (совсем уж ссать против ветра смысла не было), но сам на своей технике хотя бы.

Вот такие реалии.

Уверен, что реальные вторичные покупки/продажи риэлторы проводят как-то подобным образом.

Настоящее использование ЭП слишком сложно для «обычных людей». Если люди переводят много денег некоему анонимусу, позвонившему им - о чём тут говорить.

Так поэтому и не применяют облачную ЭЦП нигде кроме ни к чему не обязывающих вещей

Обмен документами с налоговой - это ничего не обязывающие вещи?