Об ЭП и УЦ
Please open Telegram to view this post
VIEW IN TELEGRAM
April 10
Forwarded from Новости КриптоПро
КриптоПро Fox - браузер для Android на основе Mozilla Firefox с поддержкой одностороннего ГОСТ TLS и встроенным браузерным плагином КриптоПро - опубликован в RuStore и Huawei AppGallery. Управление ключами и сертификатами доступно на странице КриптоПро WebTools. Подробности и обсуждение в ветке форума.
April 11
April 11
Как украсть миллионы с помощью поддельной ЭЦП: крупный ритейлер выиграл суд против удостоверяющего центра или выдача квала психу
Сегодня мне попалась на глаза статья с таким содержанием. Решение суда конечно же было найдено в картотеке арбитража.
Иск Леруа Мерлен о признании недействительным заявления, представленного доверенному лицу УЦ на изготовление квалифицированного сертификата, признании недействительной с момента создания квалифицированную электронную подпись, признании недействительным с момента создания квалифицированного сертификата к УЦ Калуга Астрал был подан в январе 2024 года. В феврале 2025 иск удовлетворен.
Как указывает ООО «Ле Монлид» (это новое название Леруа), без его ведома и согласия был создан квалифицированный сертификат организации ООО «Леруа Мерлен Восток» на имя менеджера по закупкам Двойнишникова А.А. Истец не обращался к ответчикам для получения сертификата на имя Двойнишникова А.А. Основанием выдачи сертификата послужило заявление от 24.07.2023 и доверенность от 24.07.2023, подписанные неустановленным лицом от имени генерального директора ООО «Леруа Мерлен Восток» Дефассье Л.Л.К. с проставлением печати ООО «Леруа Мерлен Восток».
Далее ещё интереснее. Всудебном заседании, состоявшемся 22.05.2024, Двойнишников А.А. указал, что он никогда не работал в ООО «Леруа Мерлен Восток», сертификат получил по просьбе некоего Алексея Анисимовича за деньги, все документы для получения были переданы Двойнишникову А.А. также Алексеем Анисимовичем. Сертификат Двойнишников А.А. не пользовалс, никакие документы не подписывал, товары от поставщиков не получал.
В судебном заседании 22.05.2024 Двойнишников А.А. представил в материалы дела копии выписки из амбулаторной карты и справки ФГБУЗ «Психиатрическая больница № 1», согласно которым он наблюдается врачом-психиатром с диагнозом «шизотипическое расстройство», а также находится на диспансерном наблюдении в Психоневрологическом диспансере № 18 в связи с психическим расстройством.
Двойнишников А.А заблокировал сертификат [прим. @ep_uc, действительно псих, как можно таким образом повлиять на работоспособность отозванного сертификата) через Госуслуги в середине сентября 2023 года, так как не получил обещанные денежные средства от Алексея Анисимовича.
Доверенное лицо УЦ подало апелляцию, но проиграло.
Данный кейс показывает несколько проблем нашей сферы:
🔹 страхование ответственности УЦ
🔹выдача сертификатов недееспособным - как это проверить УЦ?
Сегодня мне попалась на глаза статья с таким содержанием. Решение суда конечно же было найдено в картотеке арбитража.
Иск Леруа Мерлен о признании недействительным заявления, представленного доверенному лицу УЦ на изготовление квалифицированного сертификата, признании недействительной с момента создания квалифицированную электронную подпись, признании недействительным с момента создания квалифицированного сертификата к УЦ Калуга Астрал был подан в январе 2024 года. В феврале 2025 иск удовлетворен.
Как указывает ООО «Ле Монлид» (это новое название Леруа), без его ведома и согласия был создан квалифицированный сертификат организации ООО «Леруа Мерлен Восток» на имя менеджера по закупкам Двойнишникова А.А. Истец не обращался к ответчикам для получения сертификата на имя Двойнишникова А.А. Основанием выдачи сертификата послужило заявление от 24.07.2023 и доверенность от 24.07.2023, подписанные неустановленным лицом от имени генерального директора ООО «Леруа Мерлен Восток» Дефассье Л.Л.К. с проставлением печати ООО «Леруа Мерлен Восток».
Далее ещё интереснее. Всудебном заседании, состоявшемся 22.05.2024, Двойнишников А.А. указал, что он никогда не работал в ООО «Леруа Мерлен Восток», сертификат получил по просьбе некоего Алексея Анисимовича за деньги, все документы для получения были переданы Двойнишникову А.А. также Алексеем Анисимовичем. Сертификат Двойнишников А.А. не пользовалс, никакие документы не подписывал, товары от поставщиков не получал.
В судебном заседании 22.05.2024 Двойнишников А.А. представил в материалы дела копии выписки из амбулаторной карты и справки ФГБУЗ «Психиатрическая больница № 1», согласно которым он наблюдается врачом-психиатром с диагнозом «шизотипическое расстройство», а также находится на диспансерном наблюдении в Психоневрологическом диспансере № 18 в связи с психическим расстройством.
Двойнишников А.А заблокировал сертификат [прим. @ep_uc, действительно псих, как можно таким образом повлиять на работоспособность отозванного сертификата) через Госуслуги в середине сентября 2023 года, так как не получил обещанные денежные средства от Алексея Анисимовича.
Доверенное лицо УЦ подало апелляцию, но проиграло.
Данный кейс показывает несколько проблем нашей сферы:
🔹 страхование ответственности УЦ
🔹выдача сертификатов недееспособным - как это проверить УЦ?
https://abireg.ru
Как украсть миллионы с помощью поддельной ЭЦП: крупный ритейлер выиграл суд против удостоверяющего центра
Девятый арбитражный апелляционный суд поставил точку в деле о поддельной электронной подписи, выданной от имени ООО «Ле Монлид» (бывший «Леруа Мерлен Восток»).
April 11
Электронная подпись в космосе
🧑🚀12 апреля 1961 года наш соотечественник Юрий Алексеевич Гагарин открыл путь в космос. Полёт на корабле «Восток» продолжался всего 1 час 48 минут, но стал одним из самых знаковых событий мировой истории. Поздравляю вас с Днём космонавтики!
А тем временем в 2012 году на борту Международной космической станции использовался программно-аппаратный комплекс КриптоТри. Удобный был комплект - КриптоПро CSP, КриптоАРМ и ключевой носитель Рутокен. Кто его использовал?
Программное обеспечение было установлено на борту МКС и в Центре подготовки космонавтов имени Ю.А. Гагарина на Земле. Космонавтам, работающим на борту МКС, и сотрудникам Центра подготовки космонавтов выдавали Рутокен с ключами и сертификатами.
Это было в 2012 году, за прошедшее время изменилось законодательство, ГОСТ, появилось новое поколение средств электронной подписи, а КриптоТри устарел. Какие сейчас средства электронной подписи используют космонавты информации нет...
🧑🚀12 апреля 1961 года наш соотечественник Юрий Алексеевич Гагарин открыл путь в космос. Полёт на корабле «Восток» продолжался всего 1 час 48 минут, но стал одним из самых знаковых событий мировой истории. Поздравляю вас с Днём космонавтики!
А тем временем в 2012 году на борту Международной космической станции использовался программно-аппаратный комплекс КриптоТри. Удобный был комплект - КриптоПро CSP, КриптоАРМ и ключевой носитель Рутокен. Кто его использовал?
Программное обеспечение было установлено на борту МКС и в Центре подготовки космонавтов имени Ю.А. Гагарина на Земле. Космонавтам, работающим на борту МКС, и сотрудникам Центра подготовки космонавтов выдавали Рутокен с ключами и сертификатами.
Это было в 2012 году, за прошедшее время изменилось законодательство, ГОСТ, появилось новое поколение средств электронной подписи, а КриптоТри устарел. Какие сейчас средства электронной подписи используют космонавты информации нет...
April 12
April 13
Расподтверждение учётной записи Госуслуг в 2016 году
Вы когда-нибудь слышали такой термин "расподтверждение"? С этим термином я столкнулся в феврале 2016 года.
В 2011 году зарегистрировался на Едином портале госуслуг, тогда же подтвердил личность единственным доступным способом - паролем из заказного письма. Спустя 5 лет понадобилось использовать ЕПГУ для получения ИНН. Хорошо помнил, что была тогда услуга под названием "Постановка на учет физического лица, не являющегося индивидуальным предпринимателем, в налоговом органе на основании заявления" ещё в конце 2015 года, а тогда весь портал пересмотрел - нет. Звоню в ТП ЕПГУ. Дословно - налоговая служба убрала данную услугу с ЕПГУ, получить её можно на сайте налоговой службы. Единый портал госуслуг не такой-то и не Единый. Что ж, пытался авторизоваться на nalog.ru через ЕСИА, мне пишут:
"Уважаемый пользователь! Авторизация с использованием учётной записи Госуслуг возможна только для тех пользователей, которые выполнили подтверждение личности на Госуслугах при личном посещении центров обслуживания или с помощью квалифицированной электронной подписи.
Вы осуществили подтверждение личности на Госуслугах, воспользовавшись кодом активации, направляемым Почтой России и ваша учётная запись сейчас не может быть использована для авторизации в сервисе «Личный кабинет налогоплательщика для физических лиц.
Для решения вопроса о получении доступа к личному кабинету налогоплательщика для физических лиц с вашей учётной записью, обратитесь в Центр телефонного обслуживания портала Госуслуг по телефону: 8 800 100-70-10 (круглосуточно, звонок по России бесплатный) или на электронный почтовый адрес support@gosuslugi.ru»".
В 2011 году ещё не было ЕСИА, и другого способа кроме как подтвердить доступ кодом, полученным по почте, не было.
Тогда мне нужно было РАСПОДТВЕРДИТЬ свою учетную запись, чтобы потом подтвердить заново. Данная процедура РАСПОДТВЕРЖДЕНИЯ нигде не было описана, всё только на словах техподдержки. Процедура - расподтверждения сделана специально для налоговой, т.к. пользователи ЕПГУ 2011 годов просто не могли через ЕСИА авторизоваться на их сайте. В общем позвонил в ТП, сообщил СНИЛС, ФИО, дату рождения, они оставляют заявку, всё долго, по нескольку раз уточняют данные. По результатам заявки на почту приходит сообщение:
"Расподтверждение УЗ. СНИЛС
Уважаемый пользователь!
Просьба ответным письмом подтвердить, что Вы запрашиваете выполнение процедуры снятия признака подтверждения для Вашей учетной записи.
Обращаем внимание, что после выполнения этой процедуры Вам станет недоступна часть функций портала, доступная только для подтвержденных учетных записей, а так же Вы будете исключены из всех организаций и групп доступа в ЕСИА.
Для получения доступа к этим функциям и авторизации на портале Федеральной налоговой службы Вам снова потребуется подтвердить учетную запись одним из удобных способов:
– обратившись в удобный Вам Центр обслуживания;
– с помощью электронной подписи или универсальной электронной карты – УЭК.
Для сохранения истории взаимодействия при последующей переписке по данному запросу просим сохранять тему письма.
С уважением,
Центр поддержки пользователей
Единого портала государственных и муниципальных услуг
8(800)100-70-10
support@gosuslugi.ru
www.gosuslugi.ru"
После того, как написал согласие пришло второе письмо:
"Для решения Вашего вопроса необходимо выполнить процедуру снятия признака подтверждения для Вашей учетной записи.
Обращаем внимание, что после выполнения этой процедуры Вам станет недоступна часть функций портала, доступная только для подтвержденных учетных записей, а так же Вы будете исключены из всех организаций и групп доступа в ЕСИА.
Для получения доступа к этим функциям и авторизации на портале Федеральной налоговой службы Вам снова потребуется подтвердить учетную запись одним из удобных способов:
Вы когда-нибудь слышали такой термин "расподтверждение"? С этим термином я столкнулся в феврале 2016 года.
В 2011 году зарегистрировался на Едином портале госуслуг, тогда же подтвердил личность единственным доступным способом - паролем из заказного письма. Спустя 5 лет понадобилось использовать ЕПГУ для получения ИНН. Хорошо помнил, что была тогда услуга под названием "Постановка на учет физического лица, не являющегося индивидуальным предпринимателем, в налоговом органе на основании заявления" ещё в конце 2015 года, а тогда весь портал пересмотрел - нет. Звоню в ТП ЕПГУ. Дословно - налоговая служба убрала данную услугу с ЕПГУ, получить её можно на сайте налоговой службы. Единый портал госуслуг не такой-то и не Единый. Что ж, пытался авторизоваться на nalog.ru через ЕСИА, мне пишут:
"Уважаемый пользователь! Авторизация с использованием учётной записи Госуслуг возможна только для тех пользователей, которые выполнили подтверждение личности на Госуслугах при личном посещении центров обслуживания или с помощью квалифицированной электронной подписи.
Вы осуществили подтверждение личности на Госуслугах, воспользовавшись кодом активации, направляемым Почтой России и ваша учётная запись сейчас не может быть использована для авторизации в сервисе «Личный кабинет налогоплательщика для физических лиц.
Для решения вопроса о получении доступа к личному кабинету налогоплательщика для физических лиц с вашей учётной записью, обратитесь в Центр телефонного обслуживания портала Госуслуг по телефону: 8 800 100-70-10 (круглосуточно, звонок по России бесплатный) или на электронный почтовый адрес support@gosuslugi.ru»".
В 2011 году ещё не было ЕСИА, и другого способа кроме как подтвердить доступ кодом, полученным по почте, не было.
Тогда мне нужно было РАСПОДТВЕРДИТЬ свою учетную запись, чтобы потом подтвердить заново. Данная процедура РАСПОДТВЕРЖДЕНИЯ нигде не было описана, всё только на словах техподдержки. Процедура - расподтверждения сделана специально для налоговой, т.к. пользователи ЕПГУ 2011 годов просто не могли через ЕСИА авторизоваться на их сайте. В общем позвонил в ТП, сообщил СНИЛС, ФИО, дату рождения, они оставляют заявку, всё долго, по нескольку раз уточняют данные. По результатам заявки на почту приходит сообщение:
"Расподтверждение УЗ. СНИЛС
Уважаемый пользователь!
Просьба ответным письмом подтвердить, что Вы запрашиваете выполнение процедуры снятия признака подтверждения для Вашей учетной записи.
Обращаем внимание, что после выполнения этой процедуры Вам станет недоступна часть функций портала, доступная только для подтвержденных учетных записей, а так же Вы будете исключены из всех организаций и групп доступа в ЕСИА.
Для получения доступа к этим функциям и авторизации на портале Федеральной налоговой службы Вам снова потребуется подтвердить учетную запись одним из удобных способов:
– обратившись в удобный Вам Центр обслуживания;
– с помощью электронной подписи или универсальной электронной карты – УЭК.
Для сохранения истории взаимодействия при последующей переписке по данному запросу просим сохранять тему письма.
С уважением,
Центр поддержки пользователей
Единого портала государственных и муниципальных услуг
8(800)100-70-10
support@gosuslugi.ru
www.gosuslugi.ru"
После того, как написал согласие пришло второе письмо:
"Для решения Вашего вопроса необходимо выполнить процедуру снятия признака подтверждения для Вашей учетной записи.
Обращаем внимание, что после выполнения этой процедуры Вам станет недоступна часть функций портала, доступная только для подтвержденных учетных записей, а так же Вы будете исключены из всех организаций и групп доступа в ЕСИА.
Для получения доступа к этим функциям и авторизации на портале Федеральной налоговой службы Вам снова потребуется подтвердить учетную запись одним из удобных способов:
April 13
– обратившись в удобный Вам Центр обслуживания;
– с помощью электронной подписи или универсальной электронной карты – УЭК.
Просьба ответным письмом подтвердить, что Вы запрашиваете выполнение процедуры снятия признака подтверждения и предоставить следующие данные:
Адрес регистрации /проживания, указанный в Вашем профиле.
Для сохранения истории взаимодействия при последующей переписке по данному запросу просим сохранять тему письма.
Благодарим за обращение на Единый портал государственных и муниципальных услуг.
Анализ поступающих вопросов и предложений помогает нам улучшать работу Портала".
Прошло почти 10 лет, технологии ушли вперёд, сейчас в личный кабинет ФНС можно зайти по квалу с телефона. А на Госуслуги по квалу с телефона зайти нельзя, наверное должно пройти ещё 10 лет, чтобы это стало возможным.
– с помощью электронной подписи или универсальной электронной карты – УЭК.
Просьба ответным письмом подтвердить, что Вы запрашиваете выполнение процедуры снятия признака подтверждения и предоставить следующие данные:
Адрес регистрации /проживания, указанный в Вашем профиле.
Для сохранения истории взаимодействия при последующей переписке по данному запросу просим сохранять тему письма.
Благодарим за обращение на Единый портал государственных и муниципальных услуг.
Анализ поступающих вопросов и предложений помогает нам улучшать работу Портала".
Прошло почти 10 лет, технологии ушли вперёд, сейчас в личный кабинет ФНС можно зайти по квалу с телефона. А на Госуслуги по квалу с телефона зайти нельзя, наверное должно пройти ещё 10 лет, чтобы это стало возможным.
Telegram
Об ЭП и УЦ
✅Тестирование КриптоПро Fox для Android
Завершил тестирование КриптоПро Fox - экспериментального приложения от КриптоПро, представляющего браузер на базе Firefox с поддержкой КриптоПро ЭЦП Browser plug-in (версия криптопровайдера 5.0.13316 - 5.0 R4, нес…
Завершил тестирование КриптоПро Fox - экспериментального приложения от КриптоПро, представляющего браузер на базе Firefox с поддержкой КриптоПро ЭЦП Browser plug-in (версия криптопровайдера 5.0.13316 - 5.0 R4, нес…
April 13
April 14
Получение квалифицированного сертификата Госключа по биометрии ограничено на iOS версии 18.4, вышедшей 31.03.2025, из-за недокументированных изменений, на предшествующих версиях и других платформах таких ограничений нет.
Для получения квалифицированного сертификата владельцам iOS версии 18.4 можно воспользоваться идентификацией по загранпаспорту нового поколения или посетить точку очной идентификации.
Для получения квалифицированного сертификата владельцам iOS версии 18.4 можно воспользоваться идентификацией по загранпаспорту нового поколения или посетить точку очной идентификации.
April 14
Forwarded from Новости КриптоПро
Вышла промежуточная версия КриптоПро CSP 5.0 R4 (сборка 5.0.13455 Valkyrie). Список изменений и ссылки на скачивание. Из интересного:
🔹 в плагине добавлена поддержка расширения Extension for CAdES Browser Plug-in на Manifest V3
🔹 в плагине сделаны доработки, необходимые для его использования в Цифровом рубле
🔹 проверка цепочки по OCSP больше не требует лицензии на OCSP-клиент
🔹 увеличена производительность в том числе на arm64
🔹 создан пакет cprocsp-pam-cryptopro для аутентификации в Linux по ключам КриптоПро
🔹 в плагине добавлена поддержка расширения Extension for CAdES Browser Plug-in на Manifest V3
🔹 в плагине сделаны доработки, необходимые для его использования в Цифровом рубле
🔹 проверка цепочки по OCSP больше не требует лицензии на OCSP-клиент
🔹 увеличена производительность в том числе на arm64
🔹 создан пакет cprocsp-pam-cryptopro для аутентификации в Linux по ключам КриптоПро
April 14
April 15
• infosec - это один из самых ламповых каналов по информационной безопасности, где говорят об истории ИТ, публикуют актуальные новости и пишут технический материал на разные темы:
- Что из себя представляет официально взломанный iPhone от Apple?
- Кому и для чего выдавалось разрешение на ношение сотового телефона?
- Бесплатные курсы для ИБ специалистов на различные темы;
- Бесплатный бот, который проверит файлы на предмет угроз более чем 70 антивирусами одновременно.
• Присоединяйся, у нас интересно: @it_secur
Реклама. ИП Аминов Б.Э. ИНН: 667114971959, erid: 2VtzqwYBZTf
- Что из себя представляет официально взломанный iPhone от Apple?
- Кому и для чего выдавалось разрешение на ношение сотового телефона?
- Бесплатные курсы для ИБ специалистов на различные темы;
- Бесплатный бот, который проверит файлы на предмет угроз более чем 70 антивирусами одновременно.
• Присоединяйся, у нас интересно: @it_secur
Реклама. ИП Аминов Б.Э. ИНН: 667114971959, erid: 2VtzqwYBZTf
April 15
🛡Закон о противодействии кибермошенничеству в действии - Госуслуги ограничивают доступ к Госключу на 72 часа при подозрении на действия мошенников
При этом вход через ЕСИА на иные сайты работает.
Вернуть доступ можно через МФЦ, только до них важно донести информацию, что нужно не вернуть доступ к Госключу, а полноценный доступ к учетной записи. Для этого сотрудникам МФЦ сказать ключевую фразу "Восстановление доступа к УЗ ЕСИА".
Минцифры ранее сообщало, что при подозрении на взлом аккаунта будет ограничена возможность войти с помощью Госуслуг на "чувствительные ресурсы"(огласите весь список, пожалуйста) . Например, нельзя будет авторизоваться на сайтах микрофинансовых организаций или активировать Госключ, который входит в число "чувствительных" ресурсов.
При сбросе пароля и восстановлении доступа в МФЦ личность повторно будет подтверждена и доступ будет восстановлен ко всем функциям.
При этом вход через ЕСИА на иные сайты работает.
Вернуть доступ можно через МФЦ, только до них важно донести информацию, что нужно не вернуть доступ к Госключу, а полноценный доступ к учетной записи. Для этого сотрудникам МФЦ сказать ключевую фразу "Восстановление доступа к УЗ ЕСИА".
Минцифры ранее сообщало, что при подозрении на взлом аккаунта будет ограничена возможность войти с помощью Госуслуг на "чувствительные ресурсы"
При сбросе пароля и восстановлении доступа в МФЦ личность повторно будет подтверждена и доступ будет восстановлен ко всем функциям.
April 15
April 16
April 16
April 16