О том, что по закону об электронной подписи, её сохранность должен обеспечивать её владелец

Openssl?

Но если тебе потом надо будет с каким-нить крипто-про это женить то суорее всего ничего не выйдет. У этих поделок обычно хранилища и форматы кривые.

У этих поделок обычно хранилища и форматы кривые.

Надо уточнить только что openssl тоже в этом списке - поделка с кривыми форматами.

И вообще автор спрашивал в первую очередь про другое - он хочет чтобы ответственная организация (видимо, гос) выдала ему сертификат на приватный ключ который он хочет сгенерить сам на своём железе. Примет ли она .csr от openssl?

Как обеспечить конфиденциальность закрытого ключа электронной подписи, чтобы к нему технически не имел доступ удостоверяющий центр

Я когда несколько раз получал - ключ с моего компа никуда не передавался. У каких УЦ передача закрытого ключа норма?

Я в штук 7 удостоверяющих центров писал похожий на топик текст, ни один УЦ не сказал, что да, можно с помощью файла-запроса получить сертификат ЭП. А что у вас за такой хороший УЦ? Я посмотрю, может и ему писал. И вы с помощью файла-запроса получали сертификат, и если нет, то как?

Внезапно, Федеральное Казначейство РФ делает сертификаты по CSR, секретный ключ остаётся у тебя. Но чтобы получить ЭЦП у них, нужно быть должностным лицом в госконторе :D

закрытого ключа электронной подписи, чтобы к нему технически не имел доступ удостоверяющий центр

Так и так не имеет же.

Подаешь запрос, в УЦ улетает req-файл. А сам на своей стороне хранишь надежно как разумеешь уже сам.

В Казахстане так делают.

Возможно они просто не поняли что ты хочешь - у них есть описанная бюрократическими терминами процедура и они не могут её сопоставить с твоим текстом.

В каком конкретно удостоверяющем центре такая схема официально работает для физических лиц? И где тут у вас про самостоятельную генерацию закрытого ключа физическим лицом?

И где тут у вас про самостоятельную генерацию закрытого ключа физическим лицом?

Дык это в 63-фз прописано.

Для физ делал например в контуре — генерация на моём рабочем месте происходит.

Судя по тому, что написано на сайте Контура, им нужен удаленный доступ к рабочему месту физлица. Можно ли подъехать в московский офис контура со своим мобильным рабочим местом и сделать у них в офисе, передав на флешке сгенерированный файл-запрос?

Как обеспечить конфиденциальность закрытого ключа электронной подписи, чтобы к нему технически не имел доступ удостоверяющий центр, а только владелец сертификата электронной подписи?

У нас используется EasyDocs в качестве тех, кто предоставляет УКЭП. И насколько я понял, ключ хранятся только на телефоне, где настроена подпись. Можно сделать бэкап, но там четко прописано, что если протерял (удалил приложение, потерял телефон, стер бэкапы), то подпись будет не восстановить, и нужно выпускать новую.

Судя по тому, что написано на сайте Контура, им нужен удаленный доступ к рабочему месту физлица.

Это где такое? Предыдущая тоже была в Контуре, и никакого доступа я не предоставлял.

Можно ли подъехать в московский офис контура со своим мобильным рабочим местом и сделать у них в офисе, передав на флешке сгенерированный файл-запрос?

Ехать в любом случае приходится в обоих случаях → надо личность подтвердить.

Ну вот я нашел, что они мне ответили:

Добрый день!

Чтобы получить с нашей помощью УКЭП ФЛ лица, понадобятся документ, удостоверяющий личность, СНИЛС и ИНН. Заявление на выпуск и расписка о получении могут быть подписаны действующей УКЭП или лично при визите в Сервисный центр. Закрытый ключ подписи формируется на выбранный вами носитель, на вашем компьютере с помощью ПО «Личный кабинет УЦ Контур». В сервисный центр его приносить не нужно.

Что за ПО такое «Личный кабинет»? Даже в обыденном понимании — это что-то на стороне их сайта, а это значит, что нужен как минимум доступ в сеть, и что ключ генерируется на сайте личного кабинета.

Что за ПО такое «Личный кабинет»?

В браузере зайти надо туда на сайте в Диадоке. Вроде бы требуется поставить плагин в хромого, чтобы подпись сработала.

Судя по тому, что написано на сайте Контура, им нужен удаленный доступ к рабочему месту физлица.

Где ты такое вычитал..?

Делал так. Сначала регистрация лк, потом подтверждение личности через мфц. После подтверждения в лк открывается возможность сгенерить запрос на серт. Генерится запрос, подтверждается выпуском серта со стороны уц. Всё. Оплата не помню на каком этапе, но всё кроме подтверждения личности делается спокойно со своего места.

Может быть «помощь» на месте сотрудниками контура — это доп. услуга. И кстати опять де согласно 63-му даже если тебе сотрудник уц помогает сгенерить он должен это делать только при твоем личном присутствии. При этом ты можешь (по идее даже должен) самостоятельно выбирать носитель и вводить пароль — если сам уцшник что-то натыкал то по идее это нарушение.

ключ генерируется на сайте личного кабинета.

Ну сайт это просто ПО. Сам ключ технически генерится на твоем ПК посредством крипто про или какой ты там хочешь криптопровайдер. Никуда твой приватный ключ не передается, только файл запроса.

Вообще тебе же в любом случае надо чем-то эту подпись сгенерить. В EasyDocs надо в прилоении рандомно тыкать в экран, чтобы нагенерить рандомности, а Диадоке вроде плагин браузера этим занимается.

Сайт — это не просто ПО, а ПО, которое крутится на веб-сервере удостоверяющего центра и полностью под его контролем — в том числе то, что выполняется на фронтенде, то есть все JavaScript и команды для плагинов браузера. Вы что-то слишком сильно доверяете удостоверяющему центру, не видите, как его вендор-локи услужливо держат вашу конфиденциальную информацию в его руках. Кроме того, что это буквально опасная технически схема, так это еще и не в духе свободного ПО, хотя бы с точки зрения Ричарда Столмана: сайт это не «просто ПО», а Software-as-a-Service, против которого он уже давно публиковал свои весьма весомые аргументы.

Продолжение переписки с удостоверяющим центром:

Добрый день!

 

Отвечаем на ваши вопросы:

1. Какая конкретно сетевая активность нужна на этапах генерации на стороне клиента закрытого ключа и файла-запроса?

- Подключение к сети Интернет по выделенному каналу либо по коммутируемым линиям связи с использованием модема (минимальная скорость подключения не менее 128 Кбит/сек, рекомендуемая скорость — от 1 Мбит/сек).

...

3. Есть ли какие-нибудь другие программы, совместимые с вашим удостоверяющим центром? Утилита openssl из одноименного пакета совместима, и если да, то какие версии?

- К сожалению, такой информации у нас нет, вероятно, что такие программы есть.

4. Можно ли как-то отправить Вам этот файл запроса именно как файл? И можно ли принести его оффлайн очно, на флешке или оптическом носителе, при посещении офиса вашего удостоверяющего центра?

- К сожалению, такого сделать нельзя.

Вы что-то слишком сильно доверяете удостоверяющему центру, не видите, как его вендор-локи услужливо держат вашу конфиденциальную информацию в его руках.

Так он по закону и так держит твою конфиденциальную инфу.. И за надежность хранения эти центры достаточно крепко имеют.

УЦ нет никакого смысла хранить ваши приватные ключи, это слишком большая ответственность. Не уверен как везде сейчас но до большой чистки (пару лет назад РЕЗКО сократилось количество УЦ из-за разных косяков) были проблемы из разряда «не очень хорошо понимающему человеку помогли сгенерить ключ с неболшими нарушениями». Мне за достаточно большой период не известно ни одного случая чтобы сотрудник УЦ угнал именно закрытую часть и что-то там с ней сделал - он там в таком количестве документов под своим фио фигурирует что это просто банально первый человек с которого спросят. 😂

Вот эти вопросы которые ты озучил более корректно будет задать разработчику сертифицированных средств СКЗИ - вот они тебе, по идее, должны рассказать как происходит генерация ключа, как гарантируется его не передача в момент генерации и т.п. Софт УЦ - это, грубо, просто надстройка над криптографическими решениями, которые сертифицируются (читай - проверяются на утечки и уязвимости) ФСБ.

Если нет доверия к самим сертификатам и проверкам - ну тут такое. Только юрисдикцию менять)

УЦ нет никакого смысла хранить ваши приватные ключи

Ну а где же хранятся приватные ключи, например, в случае использования облачной ЭП, для которой, по-моему, уже были даже приняты стандарты?

Облачная ЭЦП не сертифицирована.

Облачная ЭЦП не сертифицирована.

Сертифицирована она или нет — не мешает хранить приватные ключи от неё на стороне удостоверяющего центра, разве нет?

Сертифицирована она или нет

Это значит что тебя никто ей не может заставить пользоваться)

Я же тебе описал процесс как делал. Если сомневаешься в надеждности - тут смысл ковырять документы и задавать вопросы создателям средств защиты, токенов и т.п. Пользуйся тем, что сочтешь на основании своих исследований надежным - в таком случае точно будешь знать где хранится твой приватный ключ и сколько (если вообще) у него есть копий.

Это значит что тебя никто ей не может заставить пользоваться)

Так себе удовольствие. Но и в этом случае есть вопросы: без УКЭП, например, уже не зайдёшь в nalog.ru и не посмотришь, числится у тебя какая-то задолжность по налогам или нет. Альтернатива обычной ЭП — Госключ, и я специально узнавал: этот Госключ нельзя скопировать на неотчуждаемый токен, но можно например, использовать на смартфоне, причем непонятно где он там хранится: то ли в облаке Госключа, то ли «где-то там на смартфоне», и уж тем более при этом не понятно, как им управлять, как его защищать от доступа постороннего ПО.

без УКЭП, например, уже не зайдёшь

Так сделай квалик, в УЦ в которым ты уверен на своем железе с использованием ПО которому доверяешь)

использовать на смартфоне

Вот эта идея мне лично прям сильно меньше нравится) Ковырялся с ним, если по какой-то причине нужен квалик на смарте (такие ситуации есть) - есть более прозрачные решения.

Так сделай квалик, в УЦ в которым ты уверен на своем железе с использованием ПО которому доверяешь)

Ну вот про это же и мой топикстарт. К сожалению, ответа я так и не получил, как нормально воспользоваться всеми этими цифровыми благами.

как нормально воспользоваться всеми этими цифровыми

Как в душу плюнул сейчас. Ладно, пока.

Извиняюсь, если насолил. По поводу разговора по душам: удалось пообщаться, да. Но я бы всё-таки хотел, чтобы была и практическая польза. Тему читаю не только я, кто-то уже добавил её в избранное.

Тем временем, я написал в поддержку КриптоАРМ: может они знают, какие удостоверяющие центры принимают файлы-запросы от физлиц, сгенерированные КриптоАРМ, жду ответа от них.

Ну а где же хранятся приватные ключи, например, в случае использования облачной ЭП, для которой, по-моему, уже были даже приняты стандарты?

В идеале ключи хранятся в hsm, из которого их вытащить уже невозможно. Далее только ты ему хеш - он тебе подпись. Например гугель даёт такую услугу.

Это почему облачная эцп не сертифицирована? Что именно ей мешает в этом