Цифровая подпись в РФ

Значит где-то должна быть общая база публичных ключей всех подпись получивших.

Нет.

Далее мне эта контора отправляет документ с подписью, где мне этот документ проверять?

У себя. У тебя есть открытый ключ этой конторы, ты проверяешь подпись. Сам.

Есть ли какой-то сервис эцп.ru

Есть, например, КонтурСайн, но он делает то же самое. Подпись можно поставить и проверить без него, в этом смысл подписи.

Соглсано 63-ФЗ УЦ должен вести реестр выданных сертификатов, но вот про его пубичность что-то ничего не припомню.

По идее можешь написать в УЦ письмо - должны ответить. Тем более если тебе для кого-то еще инфа думаю бумажкой будет надежнее)

У себя. У тебя есть открытый ключ этой конторы, ты проверяешь подпись. Сам.

В том и дело, ключа нет открытого. Речь идет про взаимодействие с банком. Нужно получить от него подтверждение некоторых вещей, соответственно, без подписи - филькина грамота. Сперва думалось, что публичный ключ должны публиковать где-то на сайте, но пустота. При этом поддержка некоторых банков, говорит, что подписи ставят, на вопрос: «где публичный ключ»?, девочка говорит: «на сайте». Но ничего там нет, я не уверен, что мы говорили с ней об одних и тех же вещах

Нет

Не думаю. При получении КЭП лицо имеет право писать во всякие гос органы, следовательно, они то точно базой открытых ключей владеют. Давать её наружу всем желающим - необходимо, мне так кажется

Соглсано 63-ФЗ УЦ должен вести реестр выданных сертификатов, но вот про его пубичность что-то ничего не припомню.

В общем родилось какое-то непотребное недоразумение. Мне не ясен смысл таких подписей. Для общения с гос органами (которые владеют закрытой базой ключей и никому не показывают)? Не очень надо. Для «общения» между частными субъектами, которым нужно обменяться ключами? Супер, но чем их не устроит gpg - не ясно.

Мне не ясен смысл таких подписей.

Для придания электронным документам юридической значимости на территории РФ.

Родилось что родилось. Где-то объем бумажных бумаг реально уменьшился (поработал с Белоруссией - вот там без ЭП многое что у нас 100% электронно и это боль). С бюджетом если столкнешься тогда увидишь где применяется)

И госорганы не владеют никакой базой. Есть УЦ - всё у них, есть органы которые эти УЦ регулируют - у них не всё но если надо имеют право достать. Как-то так.

У тебя есть открытый ключ этой конторы, ты проверяешь подпись.

Где его взять?

Для придания электронным документам юридической значимости на территории РФ.

Какая же тут значимость, когда ты не можешь проверить подпись контрагента (не знаешь, что это действительно его публичный ключ), он тебе любую лабуду вышлет, а потом скажет, что подпись не моя.

Вот если бы подпись можно было проверить, то вот мы с тобой прям на форуме могли бы договор о чем-то состряпать и подписать своими подписями и никто бы не отвертелся, что мол то не я был, вот это было бы дело. А без базы ключей - фигня какая-то. Что-то для бюджетников, дополнения к бумажкам)

Если тебе на файле проверить подпись (прикрепленную или открепленную) есть вот такой ресурс: https://fzs.roskazna.ru/public/validate-sign

А так вообще про что ты пишешь:

Вот если бы подпись можно было проверить, то вот мы с тобой прям на форуме могли бы договор о чем-то состряпать и подписать своими подписями и никто бы не отвертелся, что мол то не я был, вот это было бы дело.

Это делается не на произвольном форуме, а на определенной площадке, если о торгах речь. Средствами площадки можно проверить ЭП.

Какая же тут значимость, когда ты не можешь проверить подпись контрагента (не знаешь, что это действительно его публичный ключ), он тебе любую лабуду вышлет, а потом скажет, что подпись не моя.

В общем случае вы не можете проверить и подпись на бумажке. У подобной подписи другое назначение - это копия внутреннего документа банка. Если у вас возникают сомнения в происхождении документа - вы должны обращаться в контролирующие органы, а не проверять подпись самостоятельно

Вот если бы подпись можно было проверить, то вот мы с тобой прям на форуме могли бы договор о чем-то состряпать и подписать своими подписями и никто бы не отвертелся, что мол то не я был, вот это было бы дело.

И тут тоже проверка подписей не ваше дело.

Открытый ключ (точнее, сертификат X509, содержащий его) отправляется вместе с подписью (например, в формате CMS). Сам сертификат должен быть подписан одним из УЦ отсюда: https://e-trust.gosuslugi.ru/#/portal/accreditation/accreditedcalist

ЭЦП в России нужна не доя проверки подлинности. А для того, чтобы нужным людям бабло заносили.

Это уже что-то. Осталось только понять как проверить подпись сертификата, задача проще, чем единая база ключей каждого субъекта. Вместо неё - база ключей УЦ

Далее мне эта контора отправляет документ с подписью

В каком виде она тебе отправляет и по какому каналу связи?

По открытому, в любом виде. А в чем тут проблема?

Почему проблема? Уточняю чтобы тебе на твой же вопрос ответить.

Только без всяких госуслуг, или копропро, этот документ должны проверить зарубежом.

Это по любому их проблема. Вкратце юридическая суть того, как это должно происходить - в п.3,п.4 ст.7 63-ФЗ. То есть должна быть доверенная третья сторона, решающая вопросы взаимного удостоверения эцп - либо в соответствии с межгосударственными договорами, либо в соответствии с договоренностью между сторонами контракта. Пример:

«До публикации поправок признание иностранных электронных подписей было возможно только при наличии межправительственного договора‎. При этом у России не было таких соглашений ни с одной страной. Теперь компании смогут обмениваться документами на основе соглашений между хозяйствующими субъектами каждой страны. В соглашении нужно будет указать требования к электронной подписи. Российские компании и их партнеры смогут существенно сократить издержки на обмен бумажными документами, а также ускорить заключение сделок. Например, в Контуре уже отработан сам процесс передачи документов в пилоте с Китаем. Сначала электронный документ подписывается в сервисе ЭДО Контур.Диадок. Китайский оператор ЭДО Sheca помогает местной компании подписать документ в своей системе Letusign. Затем документ и подпись удостоверяется квитанцией доверенной третьей стороны, аккредитованного УЦ или иных лиц, уполномоченных сторонами соглашения. Проверяется соответствие электронных подписей требованиям указанного соглашения.»

В том и дело, ключа нет открытого. Речь идет про взаимодействие с банком. Нужно получить от него подтверждение некоторых вещей, соответственно, без подписи - филькина грамота.

Подпись содержит открытый ключ. Всегда ваш, К.О. :-)

Где его взять?

Подпись содержит открытый ключ.

Да, тебе нужно прочитать подпись, узнать, каким УЦ она удостоверена, и использовать сертификат УЦ для проверки подписи.

Причём сертификат УЦ тоже входит в подпись, тебе надо только проверить, тот ли это сертификат.

А, пфф, тогда проблемы нет. Если метаинфа подписана УЦ.

Где-то объем бумажных бумаг реально уменьшился

У нас раньше курьер иногда по два раза в день приезжал за бумажками для перевозки в Москву. Особенно когда чего-то не правильно написали в каком-нить акте и надо было срочно править и везти. А сейчас раз в две или три недели. Да и с удалёнкой и разнесёнными по стране сотрудниками была полная ж, им надо было регулярно в том или ином виде приезжать и подписывать кипу бумаг. Сейчас

Добрый день!
Вам направили новый кадровый документ.
Чтобы ознакомиться с ним и подписать, перейдите по ссылке. 

Да, у меня где-то хранится стопка бумажных договоров за 23-й год. За 24-й год ничего.

Некоторые площадки «маскируют» своей эп отдаваемые файлы.

Т.е. где-то в недрах самой базы на документе стоит например две подписи сторон, но пользователю отдается файл подписанный одной подписью - самой площадки. Ссылок на нормативку сходу не дам, но было дело раскапывали - так нынче допустимо)

Для общения с гос органами (которые владеют закрытой базой ключей и никому не показывают)?

С какого перепуга ты решил, что кто-то владеет базой каких-то ключей? Для работы с подписью не нужно никаких баз ключей, достаточно публичного ключа подписанта.

Не очень надо.

Топ-аналитика от топ-аналитика.

Т.е. площадка выступает третьей стороной? Я не сталкивался, но в подписи всё равно должен быть открытый ключ - ключ этой площадки. И какой-то УЦ.

Т.е. площадка выступает третьей стороной?

Да. В подписи открытый ключ площадки без фио, выданный аккредитованным УЦ.

Поэтому автора и спросил как ему что пришло, но я так понимаю ему просто тему пообсасывать. Как правило на грамотно составленный вопрос и площадки и УЦ отвечают бодро.

С какого перепуга ты решил, что кто-то владеет базой каких-то ключей? Для работы с подписью не нужно никаких баз ключей, достаточно публичного ключа подписанта.

История один в один как с SSL сертификатами, ты же не будешь спрашивать: «зачем нужны корневые сертификаты»? Если нельзя сопоставить подпись с конкретным субъектом, то нужность данной истории около нуля. А для этого нужны базы

Это по любому их проблема

Это моя проблема, в случае необходимости мне нужно доказать, что свою часть сделки я выполнил. Никто не будет копаться в п3,…п100500.

Звонил в УЦ, порекомендовали воспользловаться онлайн сервисами для проверки подписи. На вопрос: «почему эти сервисы/а если это какой-то левый сервис/есть ли какой-то авторитетный источник где-то закрепленный»? разгоор скатился в госуслуги.

Я попробую, конечно, но должна быть база публичных ключей УЦ, возможно даже с прописанным адресом в законе. А так ходить по всяким помойкам и чекать ключи - ну такое себе

Звонил в УЦ, порекомендовали воспользловаться онлайн сервисами для проверки подписи. На вопрос: «почему эти сервисы/а если это какой-то левый сервис/есть ли какой-то авторитетный источник где-то закрепленный»? разгоор скатился в госуслуги.

Я тебе ссылку дал на авторитетный сервис гос. уц, который по закону обязан такой сервис предоставить. Что характерно, он даже работает (по первости через раз было).

Я попробую, конечно, но должна быть база публичных ключей УЦ

Кому должна?

Кому должна?

Здравому смыслу. Чтобы вся эта история с подписями имела смысл и доверие. За ссылку спасибо

Там есть такой момент – в составе серта имеется как минимум ФИО, СНИЛС и ИНН – эта связка по некоторым мнениям попадает под понятие персональных данных. Из-за этого УЦ стремятся так работу организовывать чтобы по минимуму эти данные разглашать, тем более в формате полных списков или баз.

Считаю тут есть коллизия между понятием перс. данных и технологии криптозащиты с открытым ключом, но тут возвращаясь к первому посту – имеем что имеем.

Понятно, ты ничего не знаешь о PKI, сертификата и подписях.

Подсказка: базы не нужны.

Базы есть у уц, ты это отрицаешь? Они не знают кому подписи раздали? Общедоступной должна быть база открытых собственных ключей этих самых уц, которыми они подписывают сертификаты идкшие вместе с подписанными доками. Все это и так есть тут вопрос к доступу к этим данным. Не исключаю, что я вообще ничего не понимаю и картину сложил ложную

Это моя проблема, в случае необходимости мне нужно доказать, что свою часть сделки я выполнил.

Это доказывается не подписью, а организационным оформлением всего сопутствующего этой подписи. Без договора о признании подписи и третьей доверенной стороны ваша ЭЦП для иностранцев - просто подпись. Официально она имеет силу лишь в пределах одного государства.

Поэтому у вас два варианта. Либо вы обставляете договор всем необходимым, либо работаете на доверии. В случае конфликтов вам так или иначе придется привлекать официальные органы и хорошо если лишь одной страны.

том и дело, ключа нет открытого

Ну конечно…

Недавно заказывал выписку ЕГРН и к нему прилагался открытый ключ. При этом была пометка, что если файл распечатать, то в распечатанном виде он недействителен, только при передаче в виде файлам ключом. Если хочется бумажку, то иди в МФЦ и называй номер заявки,тогда они распечатают и поставят печать.

Это мы уже выяснили. Вокруг вообще мало кто понимают как все организованно, даже сотрудники банка дают неверную инфу. Видики на ютубе - вообще смех, по 20 мин треп о какой-то воде, вопросы, которые у меня были - так и не пояснил там (не в смысле профильный видиков о крипте или подписях, а как система устроена в РФ)

Базы есть у уц, ты это отрицаешь?

Нет. А у твоего браузера их нет. А до всякого Certificate Transparency баз могло не быть и у УЦ.

Они не знают кому подписи раздали?

Не обязаны.

Общедоступной должна быть база открытых собственных ключей этих самых уц, которыми они подписывают сертификаты идкшие вместе с подписанными доками.

Кому должна, почему должна? Потому что на народные деньги сделана?

Все это и так есть

Не факт.

тут вопрос к доступу к этим данным. Не исключаю, что я вообще ничего не понимаю и картину сложил ложную

Есть такое ощущение.

Вокруг вообще мало кто понимают как все организованно, даже сотрудники банка дают неверную инфу.

Это потому, что вы зачем-то полезли как технарь в область, которая не нужна ни вам, ни сотрудникам банка. Вас должны волновать организационные и юридические аспекты функционирования подписей, а не технические.

Мало того, эти вопросы должны решаться не на форуме, а между вами и второй стороной. У них спрашивайте, с ними договаривайтесь, уточняйте неясные вопросы сотрудничества с ними. Бизнесу, банкам все эти технические детали - «закрытый ключ, открытый ключ» - обычно неинтересны.

Был у меня такой случай с выпиской из Росреестра. Принес в организацию распечатанную выписку и PDF-файл выпиской с файлом сигнатуры на флешке, договорился со специалистом чтобы он сам сравнил распечатку с PDF-файлом, проверил на странице Росреестра подпись, распечатал результат проверки и приложил к распечатке выписки. Все проверки прошли, все стороны были довольны, вопросов больше не задавали.

Зачем тебе база всех, когда есть цепочка сертификатов с корнем от Минцифры России?

Ивообще… Видел у коммерческих CA услугу по выдаче сертификатов для s/mime. Может это тебе надо?

Общедоступной должна быть база открытых собственных ключей этих самых уц

С какой целью? Есть как минимум список самих УЦ, можешь пройтись собрать сам :)

Ну, реестр отозванных ключей должен же быть? Или там срок действия совсем небольшой?

Подсказка: базы не нужны.

Два слова: CRL и CRT.

Скорее всего, да. Их ведут уц, не банки же.

Тебе не нужна база всех ключей. Тебе нужен только сертификат УЦ. Ну и crl, if any. Сами ключи могут вообще меняться каждый месяц.

Не путай ТСа, ему бы сначала с азами разобраться.

Если вместе с подписанным доком идёт сертификат подписанный у уц и финально единым минцифры, то супер. У меня пока нет ни одного дока подписанного, когда будет, то поковыряю и станет ясно что там за подписи стоят и сколько, наверное.

Я об этом говорил ранее, что должен быть список всех открытых ключей в одном месте. Требовать самостоятельно ходить и искать ключи - полный бред.