Смотрю документы по работе с ЭЦП для налоговой. С ума можно сойти: МОЙ ЗАКРЫТЫЙ КЛЮЧ создаётся на компьютере поставщика услуг. Уму не постижимо. А работать надо. Народ, никто не сталкивался с данной проблемой и как решали?
bivshii А ты видел, что собой представляет пароль, с которым ты телнетишься? Посмотри, будешь удивлен
На самом деле вполне постижимо. Весь процесс работы с Абонентом системы (клиентом) жестко регламентирован инструкциями ФАПСИ, действующими законами и постановлениями. Начиная от формы документов и правилами документооборота и заканчивая процессом собственно изготовления ключей - все действия оператора описаны в инструкциях и являются предметом проверки государственных контролирующих органов. Процесс изготовления ключей подробно описан в соответствующей регламентирующей инструкции, где приведены жесткие требования - начиная с соответствия помещения, требования к компьютеру и ПО на котором создаются ключи, действия оператора, присутствие заказчика при изготовлении ключей, последующий инструктаж, и проч. и проч... Т.е. существующий порядок изготовления ключей является НЕ самодеятельностью и самодурством каждого конкретного оператора, а жестко регламентирован ЗАКОНОДАТЕЛЬСТВОМ. Конфиденциальность информации стоит на первом месте, и стоит немалых денег в повседневной деятельности оператора. Хотел привести выдержки из регламентных док-тов, но некогда, укажу только: "ИНСТРУКЦИЯ о допуске представителей государственных контрольных органов". "В соответствии с требованиями Инструкции ... ФАПСИ государственный контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации осуществляют федеральные органы правительственной связи и информации, органы криптографической защиты министерства по налогам и сборам РФ (далее государственные контрольные органы)... ... ... ... В ходе проверки возможность и форму доступа государственных контрольных органов к содержанию конфиденциальной информации определяет ... При этом ЗАПРЕЩЕН доступ: - к ключевой информации; - к сведениям, не входящим в перечень вопросов изложенных в предписании".
Jazzer Я, к сожалению, не знаком с данными инструкциями ФАПСИ, но отлично знаю, как вопросы с ЭЦП решаются в банковской сфере. Ты хочешь сказать, что ЦБ РФ в своей работе кладёт на ФАПСИ ? Если я создаю себе закрытый ключ, то его создаю Я, на СВОЕЙ машине и за то, чтобы он не попал к другим людям отвечаю Я. А как получается в данном случае? Предположим, моим ключом подписали недостоверные данные. Где хоть какая-то гарантия, что этот ключ не попал к посторонним от поставщика услуг? Как мне докажут, что они не виноваты, если МОЙ ЗАКРЫТЫЙ ключ существовал на их машине в виде файла?
Есть принципиальная разница - в случае банк-клиент оформление процедуры передачи данных является частным делом двух частных юр.лиц. Государство в лице (скажем ФАПСИ, не знаю предмета...) удостоверило, что заявленная банкирами процедура отвечает потребному уровню безопасности, но не гарантирует выполения этой процедуры всегда и везде. В случае с налоговой ситуация иная - государство хочет быть уверенным, что его (государства) денежки-налоги будут учитываться точно и без ошибок, без потенциальной лазейки - "у вас программа позволяет передавать черт-те-что от моего имени". Посему работа оператора изначально организована в жестких рамках ЗАКОНА, выполнение которого КОНТРОЛИРУЕТСЯ. Представим, что некий злоумышленник захотел передать некий отчет-баланс от имени и за подписью жертвы-организации (хотя сложно представить, зачем это может понадобиться). Вопрос - какие бонусы нужно предложить оператору, чтобы он нарушил практически все правила, установил на машине - генератре ключей некий шпионский софт для копирования генерящихся ключей, дождался визита представителя жертвы (которая когда-нибудь придет генерить ключи), и совершил копирование (кражу) ключа. В этом случае оператор получает лишение всех и всяческих лицензий и разрешений, затраты на ведение дела оказываются убыточными, фирма прекращает деятельность а руководство и персонал попадают под следствие?... Бессмысленно (IMHO)...
Jazzer Какой банк-клиент??? Те же ЭЦП действуют внутри системы Банка России. Передаём, например, отчёт по НДС с разницей на пару десятков миллионов и сажаем всё руководство фирмы. Какой софт??? Ключ- это файл. Сколько ты знаешь способов, чтобы незаметно скопировать файл в ещё одну директорию? Или просто восстановить после удаления. Или прочитать кластер. Зато теперь программа позволяет передавать черте-кому от моего имени. Если ты вообще что-нибудь читал по вопросам шифрования с открытым ключом, то должен знать, что любая возможность доступа неуполномоченнных лиц к закрытому ключу - это его безусловная компроментация.
Чистая правда!... Вы правы!... Но почему Вы считаете, что сотрудник занимающийся работой по генерации ключей является "неуполномоченным"? Очень даже уполномочен, прошел инстанции, обучен, зарегистрирован и проч. В сущности, по закону, ЭЦП можно создать самому клиенту, но с соблюдением некоторых требований (установленных опять-же закондательством), если будет время - найду соотв. документ и выложу (с согласия модератора).
Jazzer Не надо документа. Я читал закон об ЭЦП, и, действительно, всё по закону. Но вопрос. Что-то случилось и обе стороны говорят- мы не виноваты. Невозможно однозначно определить, откуда была утечка информации... При утечке данных из регистрирующей организации эту утечку доказать абсолютно невозможно. Потому что все сертифицированы, допущены и такого не может быть никогда.
чет насколько я помню - после генерации этого самого файлика изготавливалась супер-пупер дискетка с этим файликом и отдавалась клиенту (скопировать дискету конечно было можно всякими там приблудами типа дискдупе и т.п. но это уже было на совести клиента целиком и полностью)... а при простом копировании этого файлика - подпись уже не работала.
Дискета копируется совершенно свободно, более того, рекомендуется использовать в работе копию дискеты с ключем, оригинал держать в сейфе. Спасибо за вопросы, если появятся дополнительные - велкам (если модератор не сочтет рекламой ), видимо много неясного остается за кадром.
Кто пользуется для Гос.услуг,подачи декларации. Где приобретали,как быстро? Цены везде одинаковые? У дилеров в Волгограде или с Москвы тянули?