Журнал о системах электронного документооборота (СЭД)
События и новости

Так нужна ли при получении госуслуг физлицу электронная подпись?

  48 комментариев Добавить в закладки

C февраля 2017 года портал госуслуг перестанет требовать электронную цифровую подпись (ЭЦП) для получения 266 услуг. Об этом RT рассказал член рабочей группы при президенте России по развитию интернета Илья Массух.

«Ряд госуслуг на портале сейчас предоставляется с требованием ЭЦП. Для этого нужны деньги (Прим. ред.: стоимость ЭЦП для физлиц в среднем — от 1 до 2,5 тыс. рублей в год.), что представляет финансовое препятствие для граждан, которые пользуются сервисом. После снятия этого требования люди будут получать эти госуслуги при обычной авторизации на сайте. Например, это справка об отсутствии судимости или подача налоговой декларации по форме 3-НДФЛ», — пояснил Массух.

Между тем в Минкомсвязи не так категоричны.

«Большинство услуг и сервисов на портале требуют только простой электронной подписи, однако некоторые услуги, действительно, нужно подписывать квалифицированной электронной подписью. На сегодняшний день это необходимая технология, и она продолжит действовать», — заявил замглавы Минкомсвязи России Алексей Козырев. На сайте Минкомсвязи приведен весь список госуслуг, для которых нужна ЭЦП (XLSX,  187,5 КБ).

Например, обращения в трудовые инспекции, правила подачи которых изменились, и теперь могут проводиться через сайт госуслуг, но не требуют электронной подписи.

Граждане и Президент

Отметим, тема снятия ограничений была поднята президентом Владимиром Путиным летом 2016 года. В числе прочего он поручил правительству «обеспечить формирование условий качественного предоставления услуг в электронной форме за счёт... устранения ограничений на использование документов, выдаваемых органами и организациями в электронной форме». Именно это поручение и разъяснил Массух.

Платная ЭП для физических лиц вызывает недовольства граждан. Их мнение поддерживает и Генпрокуратура. Например, в Генпрокуратуре признали, что правила обжалования водительских штрафов фактически нарушают права автовладельцев. А проблема в том, что граждане вынуждены оформлять дорогостоящую электронно-цифровую подпись, чтобы обжаловать постановления в электронном виде.

 

Как и когда изменятся правила использования портала пока не очевидно. Эксперты считают, что отмена требования ЭЦП у физлиц может привести к спаду выручки организаций, которые продают электронные подписи для граждан. С другой стороны, это повысит удовлетворенность пользования электронными госуслугами и сократит преграды.

 

 

 

Ещё материалы автора
Похожие записи
Комментарии (48)
Александр Валеев 16 января 2017 г. 08:22  
«Большинство услуг и сервисов на портале требуют только простой электронной подписи, однако некоторые услуги, действительно, нужно подписывать квалифицированной электронной подписью. На сегодняшний день это необходимая технология, и она продолжит действовать», — заявил замглавы Минкомсвязи России Алексей Козырев. На сайте Минкомсвязи приведен весь список госуслуг, для которых нужна ЭЦП (XLSX,  187,5 КБ).

Многие опубликовали новость о госуслугах. Но о том, понадобится ли еще КЭП, только здесь. Спасибо

Вадим Майшев 16 января 2017 г. 11:27  

Не особо авторы/журналисты утруждают себя использовать правильные термины: тут и "стоимость ЭЦП" - ЭЦП уж 5 лет по закону нет, да и ЭЦП "не продается" (УЦ продают сертификаты).

Никто еще не видел в природе живьем простую электронную подпись, а будто бы только она "устраняет ограничения на использование документов, выдаваемых органами и организациями в электронной форме" :-)

А проблема в том, что граждане вынуждены оформлять дорогостоящую электронно-цифровую подпись, чтобы обжаловать постановления в электронном виде.

Кто решил, что она дорогостоящая? В сравнении с чем? В государстве нет ничего бесплатного! Давно были у нотариуса/врача/... или оплачивали пошлины за "услуги" государства, живущего на деньги налогоплательщиков? И никто (пока) не запрещает использовать неэлектронные варианты взаимодействия!

Роман Гудков 19 января 2017 г. 16:42  

Отмена ЭП для получения госуслуг - верный шаг. Для некоторых и регистрация на портале госуслуг вызывает значительные сложности, не говоря уже об использовании ЭП. 

Хотя можно обратиться в МФЦ - там зарегистрируют. По факту при таком способе человек пройдет идентификацию, а зачем тогда КЭП? Еще и при входе на портал вводится логин/пароль (простая ЭП по сути). Прошли идентификацию, а еще с нас просят КЭП.

На сайте Минкомсвязи приведен весь список госуслуг, для которых нужна ЭЦП (XLSX,  187,5 КБ).

По этому списку похоже, что он включает оформление/выдачу документов, влекущих финансовые последствия, требующих особого контроля со стороны государства в связи с использованием национального богатства, обеспечения безопасности (например, использование водных, земельных ресурсов, надзор в сфере строительства). Такие отношения, как правило, требуют использования в электронных документах аналогов собственноручной подписи - т.е. только КЭП.

Мысль хорошая, но все-таки не стоит ожидать, что ЭП не понадобится совсем. Где электронный документооборот - там будет ЭП, других инструментов нет.

Исхаков Роберт 22 января 2017 г. 22:16  
Никто еще не видел в природе живьем простую электронную подпись

Вадим, а можно посмотреть живьем на КЭП?)

Вадим Майшев 23 января 2017 г. 11:31  

Вы сами себе противоречите:

Отмена ЭП для получения госуслуг - верный шаг.

и

Еще и при входе на портал вводится логин/пароль (простая ЭП по сути). 

и

Такие отношения, как правило, требуют использования в электронных документах аналогов собственноручной подписи - т.е. только КЭП.

Законодатель любую электронную подпись считает АСП!

Вадим, а можно посмотреть живьем на КЭП?)

Роберт, разумеется! УКЭП (как и УНЭП) это криптосообщение, которое "зависит" от подписанного документа. Можно ее "пощупать", а имея средство электронной подписи, и проверить ее, в т.ч. убедиться в действительности сертификата подписанта. Когда говорят про ПЭП, создаваемую "с помощью" логинов/паролей, забывают, что любая электронная подпись - это, прежде всего, "информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию". Пока никто не показал эту "информацию", являющуюся ПЭП, и не продемонстрировал, как ее можно проверить. Где-то тут были попытки представить хэш за ПЭП, но это не ПЭП, т.к. для расчета хэша нужно иметь криптосредство, а это уже минимум УНЭП.

Иван Чурбаков 23 января 2017 г. 12:24  
любая электронная подпись - это, прежде всего, "информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию"

Под это определение вполне подпадает поле в базе данных о том, под каким логином заходил пользователь, создавший информацию (например, история в СЭД). Информация в нем получается без использования хэш-функции, но вполне "присоединена" к документу. Неизменность документа при этом не обеспечивает, конечно.

Вадим Майшев 23 января 2017 г. 14:31  
Под это определение вполне подпадает поле в базе данных о том, под каким логином заходил пользователь, создавший информацию (например, история в СЭД). Информация в нем получается без использования хэш-функции, но вполне "присоединена" к документу. Неизменность документа при этом не обеспечивает, конечно.

Т.е. если в таком поле БД будет написано "ПЭП=С приветом Вася", то ответственность "за все" будет нести Вася?

А если Вася против того, что в некотором поле БД некто напишет его логин? Он будет правовыми способами доказывать свою непричастность к ЭД. В конечном счете, в суд будете предъявлять запись поля БД? Как докажете связь содержимого поля БД с авторством Васи (для оценки доказательств используется почерковедческая экспертиза традиционных документов и экспертиза действительности электронной подписи для электронных документов)?

Не надо путать аутентификацию в информационных системах и обеспечение юридической силы электронных документов с применением электронной подписи...

Исхаков Роберт 23 января 2017 г. 23:43  
Роберт, разумеется!

Вадим.  Пощупать и посмотреть УКЭП можно только в рамках системы с использованием средств ЭП. Я ровно тоже могу сказать и о простой электронной подписи). Простая электронная подпись работает в рамках системы, в которой мы договорились, что она может использоваться. Вопрос применения простой ЭП -  это не технологический вопрос, по-моему, это методологический вопрос. (Не знаю, смог ли я правильно сформулировать по-русски))) И простая электронная подпись в СЭД уже давно используется) Например, в "канцелярских сэд" уже давно можно нажимать на кнопочку "Согласовано" при работе с проектом документа. И при надобности можно получить информацию: кто, когда, с какого места нажимал эту кнопочку, и пользователю при запросе можно выдавать в удобном окошечке эту информацию) И привязать нажатие на кнопочку к ЭД в СЭД тоже можно. Но повторюсь, эта ПЭП будет работать в рамках конкретной СЭД, где средством ПЭП будут выступать компоненты СЭД. А вопрос про то, что кем-то вдруг в БД может быть записано про "Васю Пупкина" взамен Пети Уткина я отнесу к организации "доверенной среды". Я нечто подобное могу спросить и про систему где УКЭП используется.

Могут ли жить системы, где используется ПЭП? А почему нет? Вот пример аналогия. У нас в России более 100 млн жителей и у подавляющего большинства из них стоят дверные замки, которые вскрываются за минуты)))  И это -"вскрываются за минуты" совсем не мешает существовать этой системе). И еще пример. Да, действительно, мы иногда пользуемся услугами нотариуса, но в подавляющем большинстве случаев мы используем свою бесплатную рукописную подпись)

Вадим Майшев 24 января 2017 г. 10:51  
Например, в "канцелярских сэд" уже давно можно нажимать на кнопочку "Согласовано" при работе с проектом документа. И при надобности можно получить информацию: кто, когда, с какого места нажимал эту кнопочку, и пользователю при запросе можно выдавать в удобном окошечке эту информацию)

Нажимать можно :-) . Но подпись-то отсутствует как таковая. И информация в журналах учета, где отображаются события в системе, не может считаться электронной подписью.

Я нечто подобное могу спросить и про систему где УКЭП используется.

В отличии от ПЭП в ИС без криптографии, УКЭП может быть проверена (и проведена экспертиза) с использованием сертифицированных СЭП, и в отрыве от ИС (нормальные системы имеют механизмы экспорта документов и подписей, для их проверки альтернативными средствами - не все же используют нестандартные криптосообщения или только картинкой сигнализируют о наличии, и даже о действительности, подписи). 

Могут ли жить системы, где используется ПЭП?

Конечно, и я не против. Только пока их нет, т.к. пока нет технологий, альтернативных криптографическим.

Вот пример аналогия. У нас в России более 100 млн жителей и у подавляющего большинства из них стоят дверные замки, которые вскрываются за минуты)))  И это -"вскрываются за минуты" совсем не мешает существовать этой системе).

Допускаю, что я не внятно объяснил выше. Попробую еще раз...

Вопрос к ПЭП на логинах/паролях в данном месте не в том, что она надежнее или НЕ надежнее криптографии (и криптографические методы отличаются - поэтому используются в УКЭП только сертифицированные средства, и лицензирование рынка, и аккредитация УЦ). Я лишь о том, что идут разговоры про существование ПЭП, а ее (собственно электронную подпись) никто не видел ни разу. Вот появится технология - будут смотреть, изучать, оценивать уровень надежности, возможность применения в "незначимых" ИС и т.д. и т.п. А пока что обычную аутентификацию (собственно не защищающую документы) пытаются заменить модным термином ПЭП :-) Кстати, и подпись-то нужна не везде, и не всегда, а только там где действительно появляются документы. И банковские карты в банкоматах/терминалах/POS тристалет работают на аутентификации по PIN.

На ЕПГУ много ли документов транспортируется? Может потому и не нужна подпись на ЕПГУ, а достаточно аутентификации по логину/паролю. Хотя и тут засада с безопасностью - 21 век на дворе, а персональные данные всех (а нет - только тех, кто подключился) граждан страны защищены паролем, передаваемым по незащищенному каналу, но это другая тема. Не говоря уж о том, что невозможно обеспечить достоверность определения автора (чего будто бы делает ПЭП) не убедившись в целостности/подлинности (чего не должна делать ПЭП) документа.

Сергей Бушмелев 24 января 2017 г. 11:11  
это методологический вопрос

Как бы ни хотелось Вам так думать, это - вопрос права. Официально толковать нормы право может только Конституционный Суд. Во всех иных случаях то или иное толкование права - это позиция стороны в споре.

В законе об ЭП есть такое определение ПЭП: информация в электронной форме, которая присоединена (!!!!!!!!!!!!!) к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Если вы пойдете в суд, и будете утверждать, что логи действий пользователей (нажимание разных кнопочек), сохраняемые в СЭД - и есть ПЭП, то придется доказывать, что логи присоединены именно к подписываемому документу и однозначно определяют лицо. Где неопровержимые доказательства, что сам документ не был подменен позднее, а сами логи не были подправлены разработчиками или сисадминами? То есть вам придется доказывать, что в принципе математически невозможно изменить после подписания или документ или ПЭП, чтобы это не осталось незамеченным. Мне не известен какой-то другой способ связывания двух кусков электронных данных, как ассиметричное криптопреобразование. Но это уже УЭП.

В ПЭП все прекрасно, кроме того, что это пока технически нереализуемо.

У нас в России более 100 млн жителей и у подавляющего большинства из них стоят дверные замки, которые вскрываются за минуты)))

Потому, что люди еще не обжигались. Так же и СЭД - пока нет споров по поводу документов в СЭД, их авторства и неизменности, кнопочек "Согласовать" и Подписать" хватает. После проигранного спора организация, скорее всего, задумается о более адекватном способе минимизации своих рисков.

Исхаков Роберт 24 января 2017 г. 13:03  
После проигранного спора организация, скорее всего, задумается о более адекватном способе минимизации своих рисков

Подсчитают расходы на покупку средств ЭП, ежегодные расходы на покупку ключей с сертификатами для каждого пользователя, расходы на построение доверенный среды ЭП и решат оставить как есть)))

Исхаков Роберт 24 января 2017 г. 13:41  
В законе об ЭП есть такое определение ПЭП

Не будем придираться, что сформулированное Вами - это определение ЭП))

Про "присоединение".  Я Вам, например, в рамках технологии ЭП в СЭД могу сказать, что там все замечательно присоединяется))) Открываем карточку электронного документа, переходим на закладку "Подписи" и видим это присоединение. И это "присоединение", авторство, целостность, дата формирования ЭП будет контролироваться СЭДом. И мне этого будет достаточно в рамках данной системы. Понимаете, не надо стараться технологию УКЭП натягивать на технологию ПЭП. Иначе мы получим дорогую технологию ЭП, которая не будет использоваться массово ни организациями ни гражданами. 

Кстати) В организации я скорее всего столкнусь с ситуацией компрометации ключа электронной подписи, чем с ситуацией, в которой админ лезет в базу данных СЭД и правит запись таблицы, где зафиксирован факт нажатия на кнопку "Подписать" Ивановым Иваном Ивановичем". 

Исхаков Роберт 24 января 2017 г. 14:00  
с использованием сертифицированных СЭП, и в отрыве от ИС (нормальные системы имеют механизмы экспорта документов и подписей, для их проверки альтернативными средствами

Почему Вы считаете, что ПЭП должна обладать этим свойством - "проверка ее вне системы формирования"? Если уж возникла необходимость экспертизы, то пусть эксперт приходит в нашу организацию и проверяет ЭП в рамках нашей СЭД. Это простая ЭП и не надо стараться из нее сделать аналог УКЭП.

Вадим Майшев 24 января 2017 г. 15:38  
Это простая ЭП и не надо стараться из нее сделать аналог УКЭП.

Роберт, все в точности до наоборот!

Жили люди, не тужили, работали с аналогами собственноручной подписи по ст.160 ГК РФ, а с электронными документами - с учетом 1-ФЗ. Договаривались, в зависимости от уровня требований к документам, что крестик или "С приветом Вася!" или "Юстас" или еще что-то - это АСП Васи (кстати, это можно продолжать делать и сейчас!). Но кто-то предложил это нечто (на основе логинов/паролей), не являющееся электронной подписью как таковой, в масштабах страны назвать ПРОСТОЙ ЭЛЕКТРОННОЙ ПОДПИСЬЮ, не предложив технологию, и уравнять в правах с обычной криптографической электронной цифровой подписью. Эту картину мы и наблюдаем, и еще долго будем расхлебывать...

Еще раз. Если нужна "а-ля электронная подпись" в СЭД, договаривайтесь с Василием, что если в логе СЭД будет написано "во время Ч Вася подписал документ.txt", то сама эта запись является АСП Василия под документом документ.txt. НУ НЕТ ТУТ НИКАКОЙ ЭЛЕКТРОННОЙ ПОДПИСИ! И никто никогда ни с какой экспертизой ЭП в СЭД к вам не придет.

Исхаков Роберт 24 января 2017 г. 16:17  
уравнять в правах с обычной криптографической электронной цифровой подписью.

Разве?

---Но кто-то предложил это нечто (на основе логинов/паролей), не являющееся электронной подписью как таковой, в масштабах страны назвать ПРОСТОЙ ЭЛЕКТРОННОЙ ПОДПИСЬ---

А я Вам объясню почему такое произошло. Потому что технологию УКЭП массово гражданам и организациям использовать практически невозможно: дорого, неунифицировано, бардак с терминологией.

Исхаков Роберт 24 января 2017 г. 16:55  
то сама эта запись является АСП

Ну, нравится Вам АСП, называйте АСП))) Но в законе написано ПЭП.))) А про присоединение, я выше написал. На уровне представления данных (документов) "СЭД" все прекрасно присоединяется)))

Вадим Майшев 25 января 2017 г. 11:12  
Потому что технологию УКЭП массово гражданам и организациям использовать практически невозможно: дорого, неунифицировано, бардак с терминологией.

Тут не соглашусь. ЭЦП/КЭП - все унифицировано и терминологически стандартно (пока не добавили технологически отсутствующую ПЭП), и даже в НЭП все соблюдено. Дорого - это относительно чего? Если хочется "бесплатно", то это может быть сделано только государством, но опять таки за счет ВСЕХ налогоплательщиков, а не тех граждан, кому это действительно нужно, и мы можем только догадываться, какие у государства будут траты из бюджета на это. В части невозможности - все возможно и массово используется (и уже давно и стабильно) там, где это целесообразно (в т.ч. экономически выгодно), не надо людей вводить в заблуждение. Проблемы у ЭЦП были (в части единого пространства доверия), в КЭП их решили, в части дополнительных требований различных государственных ИСОП к квалисерту - до конца пока не смогли, но это другая песнь. Не забываем, что подпись нужна для защиты документов, придания им, в конечном счете, юридической силы, не нужно результаты идентификации/аутентификации/авторизации или действий пользователя в ИС считать подписью.

но в подавляющем большинстве случаев мы используем свою бесплатную рукописную подпись)

И электронная подпись тоже бесплатна, конечно средство ЭП и услуги УЦ в большинстве случаев дороже шариковой ручки, но ручка не может "придать" документу скорость электромагнитной волны и иные электронные удобства.

А про присоединение, я выше написал.
И это "присоединение", авторство, целостность, дата формирования ЭП будет контролироваться СЭДом. И мне этого будет достаточно в рамках данной системы.

Нет в этом "присоединении" электронной подписи электронного документа, это обычный журнал учета/log. Если достаточно журнала учета, то электронная подпись документа (ни КЭП, ни НЭП, ни ПЭП) и не нужна! Тема исчерпана.

Исхаков Роберт 25 января 2017 г. 17:18  
Тут не соглашусь. ЭЦП/КЭП - все унифицировано и терминологически стандартно

Спасибо за замечание за мою не точно выраженную мысль. Про унификацию я тоже подумал после написания, что некорректно выразился. Что имелось ввиду.  Часто совсем недостаточно бывает получения одного ключа с сертификатом. Если я не ошибаюсь, разные торговые площадки требуют разных ключей с сертификатами. Это только один пример. Поправьте если не прав.

Про терминологический бардак. Имелось ввиду некорректное использование терминологии "даже регулятором на сайте". Это же близко к Вашим высказываниям?

И не говорите, что технология замечательная, люди "плохие". Меня отдельная замечательная технология не интересует. Меня интересует в ЦЕЛОМ СИСТЕМА использования этой технологии.

-----И электронная подпись тоже бесплатна----

Ок, ТЕХНОЛОГИЯ использования УКЭП дорога. И если электронный сервис будет требовать от гражданина использования УКЭП, то этим сервисом граждане практически пользоваться не будут.

Внутри организации всем сотрудникам организации в рамках внутреннего электронного документооборота никогда не будут выданы ключи и сертификаты для формирования УКЭП. Это дорого. 

 

 

это обычный журнал учета/log

Да дался Вам этот лог))) В СЭД технология простой ЭП - это отдельный сервис. Это не аналог, например, журнала регистрации событий в ОС. 

И в заключении дискуссии. С точки зрения адепта традиционной рукописной подписи (не меня) УКЭП - это тоже не подпись))). Он Вам скажет: МОЯ подпись - это то, что могу сформировать ТОЛЬКО Я. Она зависит от моих биометрических характеристик. А УКЭП - это не ПОДПИСЬ. Там нет нормального "присоединения"))) АВТОРА к подписи))).  Что это за технология в рамках которой техничка, которая зашла помахать тряпкой в кабинет генерального директора, при определенных условиях сможет подписать документ организации от имени этого генерального директора?))) 

Так что вопрос "а что такое подпись" -  это вопрос в том числе и веры)))

Спасибо за Ваши аргументированные замечания.

Вадим Майшев 26 января 2017 г. 09:56  
Часто совсем недостаточно бывает получения одного ключа с сертификатом.

Да, разные организаторы/операторы информационных систем требуют разные сертификаты: кому то нужен неквалифицированный, кому-то квалифицированный, но с дополнительным требованием (обычно тут можно совместить все в одном сертификате). В ИСОП, как правило, доптребований к квалисерту нет. 

Меня отдельная замечательная технология не интересует. Меня интересует в ЦЕЛОМ СИСТЕМА использования этой технологии.

Любая система состоит из разных технологий/средств. Если на Серверы, ПК, сетевое оборудование, ОС, СУБД, ПО СЭД, услуги ISP деньги нашли, а на СКЗИ и услуги УЦ (и МЭ, IDS/IPS, антивирус,...) нет, то неправильно определена стоимость системы вцелом. Это касается всех систем, от локальных СЭД до крупных государственных интернет порталов. Если в сегменте G2B государство как бы не считает затраты бизнеса, в G2C так уже не сделаешь (тут стоимость ПК/ПО и услуг ISP подразумеваются, но никто о них не задумывается, а СКЗИ и услуги УЦ - обижают/заставляют покупать никому не нужное, но по сути они ничем не отличаются, к примеру, от необходимости покупки ПК/ОС/антивируса и услуг ISP).

И если электронный сервис будет требовать от гражданина использования УКЭП, то этим сервисом граждане практически пользоваться не будут.

В сегменте B2B, да и в G2C и B2C все работает, как уже ранее говорил, если есть экономическая целесообразность (и подают документы для поступления в столичные вузы, и регистрируют из Ижевска сделки с недвижимостью во Владивостоке, и т.д.).

Внутри организации всем сотрудникам организации в рамках внутреннего электронного документооборота никогда не будут выданы ключи и сертификаты для формирования УКЭП. Это дорого. 

Да, это экономически нецелесообразно, если нет документов, точнее создания документов или юридически значимых действий с ними. Обычно достаточно журналов учета.

В СЭД технология простой ЭП - это отдельный сервис. Это не аналог, например, журнала регистрации событий в ОС.

Разве? Любая программа может писать любые события с нужной детализацией в журнал приложений ОС или в некий свой. Разница в том, что документ обычно может быть передан из одной системы в другую в согласованном формате (передан в другую организацию, в суд). Вот тут ему нужна подпись, а не запись в журнале.

После снятия этого требования люди будут получать эти госуслуги при обычной авторизации на сайте.

Наконец-то разобрались, что подпись нужна для подписания документа, а если в ЕПГУ документа как такового нет, то и средства электронной подписи не нужны, достаточно идентификации/аутентификации/авторизации (но и ее нужно делать а) по защищенному каналу, и б) с соответствующим органом власти/местного самоуправления).

Исхаков Роберт 26 января 2017 г. 12:24  
После снятия этого требования люди будут получать эти госуслуги при обычной авторизации на сайте.

Это не мое) Я другим закончил)

Вадим Майшев 26 января 2017 г. 14:56  
Это не мое) Я другим закончил)

Это из исходной темы :-)

Исхаков Роберт 26 января 2017 г. 21:44  
И электронная подпись тоже бесплатна, конечно средство ЭП и услуги УЦ в большинстве случаев дороже шариковой ручки

P.S Это, конечно, шедевр) Вообщем покупай средства ЭП и каждый год Ключ ЭП с сертификатом и ты получишь каждый год возможность формировать БЕСПЛАТНУЮ ЭП))))

Сергей Бушмелев 27 января 2017 г. 01:37  

 

Это, конечно, шедевр)

Странно, что вас развеселила достаточно простая мысль. Квалифицированная электронная подпись (совокупность байт, сгенерированная при помощи сертификата и криптосредств для подписываемого документа) действительно бесплатна. Я не встречал, чтобы УЦ или производитель криптосредств брал деньги за каждую подпись. Вы же не называете электронной подписью сертификат? Этим пусть грешат неспециалисты :) 

Вообщем покупай средства ЭП и каждый год Ключ ЭП с сертификатом

И ведь покупают, потому что при помощи этих инструментов можно подписать документ и отправить его через оператора ЭДО или участвовать в электронных торгах. И знаете, плата за сертификат и криптосредства может быть на порядки меньше затрат на отправку документов почтой, я уже не говорю о повышении скорости доставки, что прямо может повлиять на сокращение сроков оплаты товара. Так что здесь тоже мне лично непонятно, что вы нашли смешного.

 

и решат оставить как есть

ну, если у них цена риска меньше стоимости использования КЭП, то да. Только, возможно, в этом случае вообще можно обойтись без электронной подписи - хватит авторизации пол логину/паролю и т.п.

 

в рамках технологии ЭП в СЭД могу сказать, что там все замечательно присоединяется))) Открываем карточку электронного документа, переходим на закладку "Подписи" и видим это присоединение. И это "присоединение", авторство, целостность, дата формирования ЭП будет контролироваться СЭДом. И мне этого будет достаточно в рамках данной системы.

Так замечательно присоединяется, что можно (админу или разработчику) спокойно заменить в базе файл, к которому "присоединены" эти ваши закладки и кнопочки, что рядовому пользователю только останется развести руками. Если то, что вы называете ПЭП, не может гарантировать неизменность документа после подписания и авторство, то это не подпись - это дрянь какая-то. Все приведенные вами "технологии" как раз не могут гарантировать НЕВОЗМОЖНОСТЬ изменения документа после подписания. А если не могут - это не подпись. 

Понятно, что в подавляющем большинстве случаев никто не будет подменять подписанные "тем, что вы называете ПЭП" документы в СЭД - это может быть экономически бессмысленным. И споров, когда потребуется в суде однозначно доказывать неизменность документа после его "подписания", тоже может не быть. И этих ваших кнопочек и вкладок будет действительно достаточно чтобы пользователи поверили, что изменить "подписанные" документы в СЭД нельзя. Потому, что это никому не нужно. И КЭП может быть в рамках этой системы не нужна, потому, что это лишние затраты. Если нечего охранять, зачем тратиться на дорогостоящие замки?

Но это не повод называть эти СЭД-ухищрения электронной подписью, пусть даже и простой, поскольку они МАТЕМАТИЧЕСКИ, ОДНОЗНАЧНО, ДОКАЗЫВАЕМО, ПРОВЕРЯЕМО не могут гарантировать неизменность документа после подписания и его авторство.

Собственно, это я и хотел сказать.  

Исхаков Роберт 27 января 2017 г. 18:54  

------Странно, что вас развеселила достаточно простая мысль. Квалифицированная электронная подпись (совокупность байт, сгенерированная при помощи сертификата и криптосредств для подписываемого документа) действительно бесплатна. Я не встречал, чтобы УЦ или производитель криптосредств брал деньги за каждую подпись. Вы же не называете электронной подписью сертификат? Этим пусть грешат неспециалисты :)-----

Ну, я считаю, что если я купил средства ЭП, и ключ ЭП с квалифицированным сертификатом ключа проверки электронной подписи на 3 (условных) рубля, то если я за год сформирую одну подпись, то она будет без учета других расходов стоить 3 рубля. Если две подписи поставлю, то 1,5 рубля. И так далее. С увеличением количества подписей цена их будет падать, но они не будут бесплатными. Я средства ЭП с ключом и сертификатом покупаю не как красивую вазу, чтобы она у меня стояла на столе и я любовался ею. Я их покупаю, чтобы подписи формировать. 

 

Квалифицированная электронная подпись (совокупность байт, сгенерированная при помощи сертификата и криптосредств для подписываемого документа)

Я Вас не понимаю))) О каком сертификате идет речь? Я в своих сообщениях под сертификатом понимаю  "Сертификат ключа проверки электронной подписи" (статья 14 закон об ЭП). Почитайте пожалуйста и, привлекая Вашу математику, объясните мне, что, как и каким алгоритмом  Вы генерируете этим сертификатом?) И если сможете мне объяснить, то увы такая подпись не будет являться УКЭП)

И ведь покупают, потому что при помощи этих инструментов можно подписать документ и отправить его через оператора ЭДО или участвовать в электронных торгах. И знаете, плата за сертификат и криптосредства может быть на порядки меньше затрат на отправку документов почтой, я уже не говорю о повышении скорости доставки, что прямо может повлиять на сокращение сроков оплаты товара. Так что здесь тоже мне лично непонятно, что вы нашли смешного.

Я АБСОЛЮТНО не против использования УКЭП, я против, когда УКЭП лезет в сферу, где достаточно использования ПЭП. И адептами УКЭП разворачиваются дискуссии, что ПЭП не существует в природе)

Если то, что вы называете ПЭП, не может гарантировать неизменность документа после подписания и авторство, то это не подпись - это дрянь какая-то. Все приведенные вами "технологии" как раз не могут гарантировать НЕВОЗМОЖНОСТЬ изменения документа после подписания. А если не могут - это не подпись. 

Нельзя никакую технологию рассматривать в отрыве от системы, в которой она используются) В рамках СЭД все обеспечивается, в том числе "НЕВОЗМОЖНОСТЬ" изменения документа после подписания. 

И споров, когда потребуется в суде однозначно доказывать неизменность документа после его "подписания", тоже может не быть.

Вот Вы меня в суд все время отправляете))) А я Вам скажу, что УКЭП сегодня не менее уязвима, чем ПЭП. Вы мне про математику, а я Вам про компрометацию ключа ЭП, я Вам про непонимание ЛПР технологии ЭП) Он вообще в суде сможет доказать, что это ОН сформировал подпись? 

Кстати, не забудьте пжл про "Я Вас не понимаю))) О каком сертификате идет речь?"

Вадим Майшев 30 января 2017 г. 10:13  
Я АБСОЛЮТНО не против использования УКЭП, я против, когда УКЭП лезет в сферу, где достаточно использования ПЭП. И адептами УКЭП разворачиваются дискуссии, что ПЭП не существует в природе)

1. Там, где достаточно аутентификации и нет документов, никакая подпись не нужна. 2. Там, где нужна подпись, работают на законных основаниях электронная подпись (УКЭП/УНЭП/ПЭП) и другие АСП. 3. То, что пока нет технологии для ПЭП, это отдельная песнь (в т.ч. постановка темы "ПЭП обеспечивает авторство, но не подлинность документа (НЕ "позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания")").

Никто ни в какую сферу не лезет, в новости сказано: УКЭП практически не нужна на ЕПГУ. Это и понятно: там где нет документа - достаточно аутентификации. А вот если в ЕПГУ "появляется" документ, то без УКЭП не обойтись.

Хотя, Минкомсвязь увлеклась своими "услугами", дошло уже до их "подписывания":

однако некоторые услуги, действительно, нужно подписывать квалифицированной электронной подписью
Исхаков Роберт 31 января 2017 г. 23:00  
2. Там, где нужна подпись, работают на законных основаниях электронная подпись (УКЭП/УНЭП/ПЭП) и другие АСП.

Абсолютно согласен) Мне особенно понравилось справедливое "и другие АСП". Т.е. УКЭП/УНЭП/ПЭП - это тоже АСП. 

 

3. То, что пока нет технологии для ПЭП, это отдельная песнь (в т.ч. постановка темы "ПЭП обеспечивает авторство, но не подлинность документа (НЕ "позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания")").

Подожду возможное высказывание Сергея, и отпишусь по итогам моих умозаключений)))

Сергей Бушмелев 07 февраля 2017 г. 00:17  
Я Вас не понимаю))) О каком сертификате идет речь? Я в своих сообщениях под сертификатом понимаю  "Сертификат ключа проверки электронной подписи" (статья 14 закон об ЭП). Почитайте пожалуйста и, привлекая Вашу математику, объясните мне, что, как и каким алгоритмом  Вы генерируете этим сертификатом?) И если сможете мне объяснить, то увы такая подпись не будет являться УКЭП)

Возможно, я как-то скомкано объяснил, что Вы не поняли. Что хотелось сказать: усиленная электронная подпись - это результат ассиметричного криптопреобразования хэша документа при помощи закрытого ключа. Проверка осуществляется при помощи ассиметричного преобразования электронной подписи при помощи открытого ключа (получаем изначальное значение хэша документа) и сравнения его с вычисленным хэшем для полученного документа. Если эти значения совпадают, то подписанный документ не изменился. Авторство гарантируется тем, что закрытый ключ известен только автору электронной подписи. Сертификат представляет собой тоже электронный документ, подписанный сертификатом УЦ. Сертификат может содержать сведения о владельце. 

Если говорить про математику, то используются алгоритмы Диффи-Хеллмана, Ривеста-Шамира-Адлемана, эллиптических кривых. Закрытый ключ может содержаться в сертификате ключа проверки электронной подписи. Если мы говорим про усиленную квалифицированную электронную подпись, то нам для подписания документа необходим сертификат (содержащий закрытый ключ), выпущенный аккредитованным УЦ. Расширенная электронная подпись может включать в себя штамп времени, сертификат ответ OCSP-сервера.

То есть, если документ был изменен, мы можем это математически (при помощи указанных алгоритмов) это доказать.

А какой алгоритм используется для получения "ПЭП" в вашей СЭД? 

Подозреваю, что то, что Вы называете ПЭП, является просто реквизитами документа в вашей СЭД. Рядовой пользователь их (или тело документа) не сможет изменить, а админу или разработчику в абсолютном большинстве это даром не нужно. Но это не есть ЭП, как это написано в законе об ЭП. 

Нельзя никакую технологию рассматривать в отрыве от системы, в которой она используются)

Это кто сказал, что нельзя! Используют, и очень широко. И вот усиленная цифровая подпись позволяет проверить документ как раз вне системы, в которой он был подписан - нужны только криптосредства и инфраструктура PKI. Инфраструктура - это не система. Можно выгрузить документ и подпись, передать их по каналу связи или на носителе, и получатель сможет проверить УЭП, даже если не является пользователем системы (СЭД).

А вот с вашей "простой" электронной подписью такой номер уже не пройдет! Вы не сможете "приклеить" вашу "ПЭП" к документу так, что при помощи какого-нибудь математического алгоритма можно будет доказать факт внесения изменений в документ или его неизменности.

Я АБСОЛЮТНО не против использования УКЭП, я против, когда УКЭП лезет в сферу, где достаточно использования ПЭП. И адептами УКЭП разворачиваются дискуссии, что ПЭП не существует в природе)

А кто вам предлагает везде использовать УКЭП? Я - нет. Пользуйтесь тем, чем хотите. А вот как может быть достаточно технологии, которой нет - я тоже не понимаю :)

Исхаков Роберт 08 февраля 2017 г. 09:52  
Возможно, я как-то скомкано объяснил, что Вы не поняли. Что хотелось сказать: усиленная электронная подпись - это результат ассиметричного криптопреобразования хэша документа при помощи закрытого ключа. Проверка осуществляется при помощи ассиметричного преобразования электронной подписи при помощи открытого ключа (получаем изначальное значение хэша документа) и сравнения его с вычисленным хэшем для полученного документа. Если эти значения совпадают, то подписанный документ не изменился. Авторство гарантируется тем, что закрытый ключ известен только автору электронной подписи. Сертификат представляет собой тоже электронный документ, подписанный сертификатом УЦ. Сертификат может содержать сведения о владельце.  Если говорить про математику, то используются алгоритмы Диффи-Хеллмана, Ривеста-Шамира-Адлемана, эллиптических кривых. Закрытый ключ может содержаться в сертификате ключа проверки электронной подписи. Если мы говорим про усиленную квалифицированную электронную подпись, то нам для подписания документа необходим сертификат (содержащий закрытый ключ), выпущенный аккредитованным УЦ. Расширенная электронная подпись может включать в себя штамп времени, сертификат ответ OCSP-сервера.

Вы забыли про "Алису и Боба"))) Вечером прокомментирую, сейчас времени нет.  А здесь есть что комментировать)

Исхаков Роберт 08 февраля 2017 г. 19:16  

Для начала давайте закончим с популярной криптографией для чайников) Мне она знакома достаточно давно) 

Мои комментарии.

Закрытый ключ может содержаться в сертификате ключа проверки электронной подписи.

"Ключ электронной подписи" / "закрытый ключ" НЕ МОЖЕТ содержаться "в сертификате ключа проверки электронной подписи" / "сертификате открытого ключа". Смотрите: статья 14 закон об ЭП, X.509, RFC 5280. 

Если же у Вас "ключ электронной подписи содержится в сертификате ключа проверки электронной подписи", то эта уже другая сущность, это уже какой-то другой "сертификат", мне неведомый). В законе об эп такой сущности НЕТ) Чем Вы там подписываете мне действительно не понятно) Объясните пжл, с обязательной отсылкой к ДОКУМЕНТАМ) 

А какой алгоритм используется для получения "ПЭП" в вашей СЭД? 

А почему Вы считаете, что алгоритм формирования подписи - это только "математический (криптографический) алгоритм"? Например, алгоритм формирования традиционной рукописной подписи не предполагает использование математики (криптографии).

 

Подозреваю, что то, что Вы называете ПЭП, является просто реквизитами документа в вашей СЭД.

Вы себе не представляете, но в "старом" законе "об эцп" эцп была определена как "реквизит электронного документа..."))) Но я, конечно, понимаю, что Вы имеете ввиду. 

А давайте отталкиваться от определения ЭП в законе "Об ЭП". Меня оно полностью устраивает и с точки зрения "присоединения"   и с точки зрения "определения лица, подписывающего информацию". А также от статьи 9 "Использование ПЭП"

Что у меня есть?

1. СЭД (система электронного документооборота). В ней понятие ПЭП закреплено в руководствах пользователя и администратора, в справочной системе, в глоссарии СЭД. Технология ПЭП в СЭД настраивается: Администратор СЭД  определяет, кто может подписывать документы, и какие виды документов могу подписываться ПЭП. Технологические операции по формированию, проверки ПЭП для пользователя схожи с операциями по формированию КЭП. Есть, конечно, разница) При подписании документа не запрашивается ключ ЭП (он фактически вводился при входе пользователя в СЭД) , а на этапе проверки ПЭП нет возможности просмотра сертификата ключа проверки ЭП (его просто нет в технологии ПЭП)

2. У меня есть регламент использования ПЭП в моей организационной системе. И ни одному нормативному документу этот документ противоречить не будет. 

3. У меня есть соглашение использования ПЭП участниками информационного взаимодействия. И все участники с ним согласились.

Могу и дальше продолжить. 

Вы, конечно, можете сказать, что это не технология вовсе и что ПЭП в ней не создается. Это Ваше право, мы вас в нашу организационную систему не приглашаем)))

Это кто сказал, что нельзя! Используют, и очень широко. И вот усиленная цифровая подпись позволяет проверить документ как раз вне системы, в которой он был подписан - нужны только криптосредства и инфраструктура PKI.

Так это элементы одной, по сути, системы) У вас же "единое пространство доверия")

А вот с вашей "простой" электронной подписью такой номер уже не пройдет! Вы не сможете "приклеить" вашу "ПЭП" к документу так, что при помощи какого-нибудь математического алгоритма можно будет доказать факт внесения изменений в документ или его неизменности.

У нас все приклеивается в рамках СЭД))) А вот Вы идите в суд и доказывайте своими математическими алгоритмами факт некомпрометации ключа, и что ключ ЭП физически существуют только на одном носителе, с которым ЛПР не расстается ни днем ни ночью))) Предлагаю носитель с ключом вшить в задницу ЛПР и каждый год его менять))

Не забудьте пжл дать Ваши пояснения, каким сертификатом Вы подписываете документы? В суде пригодится)))

Исхаков Роберт 08 февраля 2017 г. 19:38  

P.S. Почему я хочу, чтобы использовался именно термин ПЭП, а не АСП? Электронный документооборот - преемник традиционного бумажного. И чтобы этот электронный документооборот, "электронное взаимодействие гражданина" и на уровне государства, в том числе стали массовым явлением необходима преемственность, в том числе и терминологии.

Вадим Майшев 09 февраля 2017 г. 12:56  
P.S. Почему я хочу, чтобы использовался именно термин ПЭП, а не АСП? Электронный документооборот - преемник традиционного бумажного. И чтобы этот электронный документооборот, "электронное взаимодействие гражданина" и на уровне государства, в том числе стали массовым явлением необходима преемственность, в том числе и терминологии.

Вот в этом и проблема. Сочинятели закона 63-ФЗ это тоже хотели. Но электронное взаимодействие и электронный документооборот это разные вещи! Для взаимодействия достаточно идентификации/аутентификации участников (в т.ч. по логину/паролю в надежно защищенном канале), а для документооборота нужна, кроме этого, еще защита документа от подделки, реализуемая электронной подписью. А ПЭП по закону не защищает документ от модификации, поэтому не может служить его подписью (ну невозможно быть автором документа, который можно бесконтрольно редактировать!). Поэтому и нет преемственности, и сплошная путаница в терминологии, и разруха в головах. АСП - фундаментальное понятие с ясным смыслом и договорными взаимоотношениями относительно ее сущности, нежели ПЭП, которую хотят выдать "терминологически и преемственно" за электронную подпись.

Сергей Бушмелев 10 февраля 2017 г. 00:52  
Вы забыли про "Алису и Боба")))

 

Для начала давайте закончим с популярной криптографией для чайников)

 

мы вас в нашу организационную систему не приглашаем)))

 

Предлагаю носитель с ключом вшить в задницу ЛПР

Я понимаю, что снисходительно-насмешливый тон в комментариях сейчас в тренде, а усилиями г-на Конашенкова (Начальник Управления пресс-службы и информации Министерства обороны Российской Федерации) и г-жи Захаровой (директор Департамента информации и печати Министерства иностранных дел РФ) даже выведен на международный уровень. Но мы с вами, надеюсь, умные люди и прекрасно понимаем, что понтами часто пытаются компенсировать недостаток интеллекта или аргументов. Так что давайте не будем опускаться до этих простых и совершенно неэффективных в приличном обществе приемов, хорошо? То, что до Вас никто не использовал столько обсценной лексики и "иронии" в комментариях было не потому, что никто до этого не додумался, просто здесь было принято уважать не только собеседников, но и себя. Надеюсь, что это не изменится и в будущем :)

А теперь к делу.

 

"Ключ электронной подписи" / "закрытый ключ" НЕ МОЖЕТ содержаться "в сертификате ключа проверки электронной подписи" / "сертификате открытого ключа". Смотрите: статья 14 закон об ЭП, X.509, RFC 5280. 

Ок, тут я напутал, я имел в виду просто закрытый ключ. Он действительно не может содержаться в сертификате ключа проверки электронной подписи.

 

Например, алгоритм формирования традиционной рукописной подписи не предполагает использование математики (криптографии).

Для рукописных подписей за многие века накопилось очень много криминалистических методик проверки авторства рукописной подписи. Тем более, что физическая природа пишущего состава (пасты, чернил, крови) и бумаги позволяет получить множество данных, в том числе авторства, времени подписания и т.п. Даже если человек пишет другой рукой или ногой, можно определить его по особенностям написания отдельных букв. Так что для рукописных физических подписей асимметричное криптопреобразование не нужно.

 

в "старом" законе "об эцп" эцп была определена как "реквизит электронного документа...")))

ИМХО, стоило бы процитировать определение ЭЦП до конца: электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Если дочитать определение до конца, то можно сделать три вывода: 1. ЭЦП может быть получена только путем криптопреобразования с использованием закрытого ключа. 2. ЭЦП гарантирует авторство и неизменность документа. 3. ЭЦП является просто реквизитом электронного документа, а не электронного документа в информационной системе. Таким образом, по старому закону ваши галочки, кнопочки, надписи в СЭД не являются электронной цифровой подписью. Думаю, что Вы этого и не собираетесь утверждать.

  

Что у меня есть?

Локальные правовые акты (это я про регламенты и соглашения про использование СЭД и "ПЭП" в организации) могут (при отсутствии противоречий с законами и подзаконными актами) регулировать максимум трудовые правоотношения. И электронные документы в корпоративных СЭД составляются в рамках преимущественно трудовых правоотношений. Скажу более, в электронном виде в СЭД остаются только те документы, которые не требуется хранить длительное время. Кадровые документы будут распечатаны и  подписаны собственноручной подписью, а потом будут храниться десятки лет. Тут даже КЭП не выглядит альтернативой теплой ламповой собственноручной подписи, не говоря уже про какие-то кнопочки в СЭД.

Разумеется, в СЭД можно создать документ, участвующих в гражданско-правовых отношениях (проект договора, доп. соглашение, счет и т.п.) или административных правоотношениях (ответ на запрос ФНС), но для отправки контрагенту документ надо будет или перевести в бумажный вид и подписать собственноручной подписью или отправлен через ЮЗЭДО-оператора. Разумеется, в рамках предварительно заключенных соглашений документ может быть отправлен и без всякой подписи через email, но либо гарантией его неизменности будет отправка через независимого от пользователей- отправителей и получателей провайдера, либо изменять документ сторонам нет смысла или экономической необходимости. Очень давно, около 5 лет назад Наталья Храмцовская упоминала одно арбитражное дело, где суд в качестве доказательства принял обычный документ (что-то типа Word или Excel), запросив у email-провайдера логи. Размер предоставленных документов соответствовал данным логов, поэтому суд посчитал, что именно эти документы и участвовали в обмене. Точно не помню, возможно, в своих блогах я ссылался на этот кейс. Но и в этом случае гарантией неизменности документа была не "ПЭП" в СЭД, а его передача через независимого и предоставившего логи оператора.

Резюмируя вышесказанное, замечу:

1. В локальных актах вы можете простой электронной подписью называть что угодно, никто с вами спорить не будет, проверять не придет. Вы можете этой "ПЭП" подписывать внутренние документы, относящиеся к некоторым (скорее всего, не к кадровым) трудовым правоотношениям.

2. Фактически, под "ПЭП" будут подразумеваться авторизация пользователей в СЭД и разные записи в служебных областях данных.

3. В рамках СЭД можно декларировать "авторство" и "неизменность" электронных документов. Участники СЭД с этим могут согласиться, так как даже подделка документа после подписания "ПЭП" не приведет к каким-либо юридическим последствиям. Скорее всего, никому не будет нужно изменять документы после "подписания" также из-за отсутствия интереса и юридических последствий.

А вот Вы идите в суд и доказывайте своими математическими алгоритмами факт некомпрометации ключа, и что ключ ЭП физически существуют только на одном носителе, с которым ЛПР не расстается ни днем ни ночью)))

Интересно, а почему Вы только говорите про компрометацию закрытого ключа? Или компрометировать логин/пароль к СЭД сложнее? И доказывать некомпрометацию логина/пароля будет не проще, чем закрытого ключа. Думаю, что споры по поводу авторства и неизменности документов в СЭД будут гораздо реже доходить до суда именно в силу малозначительности (если не сказать отсутствия) юридических последствий этих действий.

Все сказанное выше не является рекламой или попыткой навязать усиленную подпись там, где она не нужна и (или) избыточна.

Но по роду деятельности в последнее время все чаще сталкиваюсь со случаями, когда организации плюсом к авторизации в системе пол логину/паролю/сертификату КЭП хотят подписывать квалифицированной электронной подписью документы, которые раньше вполне себе свободно ходили без подписи. Видимо, в их кейсах гарантия авторства и неизменности важнее затрат, в том числе на изменение собственных бизнес-процессов.

Исхаков Роберт 10 февраля 2017 г. 10:57  
Надеюсь, что это не изменится и в будущем :)

Я извиняюсь, если Вас обидел. Просто Ваш тон сообщений показался мне нравоучительным. Потом моя провокация удалась и сколько интересного Вы написали. Еще раз извиняюсь.

 

Резюмируя вышесказанное, замечу:

Во многом соглашусь.

И действительно ПЭП не заменяет УКЭП для электронного документа и рукописную подпись для бумажного.

 

ИМХО, стоило бы процитировать определение ЭЦП до конца:

Я же написал "Но я, конечно, понимаю, что Вы имеете ввиду"

Интересно, а почему Вы только говорите про компрометацию закрытого ключа? Или компрометировать логин/пароль к СЭД сложнее?

Нет, не сложнее. Я к тому, что все указывают на уязвимости ПЭП, не замечая проблем технологии КЭП/УКЭП.

Ок, тут я напутал, я имел в виду просто закрытый ключ.

С этим разобрались. Но какой сертификат все-таки Вы используете для подписания документов?

Исхаков Роберт 10 февраля 2017 г. 11:28  
АСП - фундаментальное понятие с ясным смыслом и договорными взаимоотношениями относительно ее сущности, нежели ПЭП, которую хотят выдать "терминологически и преемственно" за электронную подпись.

Я не зря написал про преемственность. Обращаясь в "министерство" я бумажку-жалобу подписываю. Так же должно быть и в рамках "электронного" взаимодействия. И в рамках этого взаимодействия у гражданина должен быть выбор, какую подпись ставить ПЭП (если это возможно) или УКЭП.

Что бы Вы не писали про "массовое использование УКЭП гражданами", массовым это использование не является. Я регулярно студентам юристам заочникам задаю вопрос "Используется ли вами или в организации ЭП?". Единицы из многих сотен отвечают "да". Это доли процента. Понимаю, что КЭП в организациях ставят не они, но они как граждане этой технологией не пользуются.  Интересна статистика от вас Вадим и Сергей. Сколько граждан (не ИП) у вас купили ключи с сертификатами. И интересно для решения каких задач? Можно просто порядок цифр.

Но электронное взаимодействие и электронный документооборот это разные вещи! 

В рамках этого электронного взаимодействия электронные документы создаются.

Исхаков Роберт 10 февраля 2017 г. 11:28  
АСП - фундаментальное понятие с ясным смыслом и договорными взаимоотношениями относительно ее сущности, нежели ПЭП, которую хотят выдать "терминологически и преемственно" за электронную подпись.

Я не зря написал про преемственность. Обращаясь в "министерство" я бумажку-жалобу подписываю. Так же должно быть и в рамках "электронного" взаимодействия. И в рамках этого взаимодействия у гражданина должен быть выбор, какую подпись ставить ПЭП (если это возможно) или УКЭП.

Что бы Вы не писали про "массовое использование УКЭП гражданами", массовым это использование не является. Я регулярно юристам заочникам задаю вопрос "Используется ли вами или в организации ЭП". Единицы из многих сотен отвечают "да". Это доли процента. Понимаю, что КЭП в организациях ставят не они, но они как граждане этой технологией не пользуются.  Интересна статистика от вас Вадим и Сергей. Сколько граждан (не ИП) у вас купили ключи с сертификатами. И интересно для решения каких задач? Можно просто порядок цифр.

Но электронное взаимодействие и электронный документооборот это разные вещи! 

В рамках этого электронного взаимодействия электронные документы создаются.

Сергей Бушмелев 10 февраля 2017 г. 13:27  
Просто Ваш тон сообщений показался мне нравоучительным.

Да, есть за мной такой грешок. Приношу ответные извинения :) Впредь буду стараться избегать нравоучительного тона.

Но какой сертификат все-таки Вы используете для подписания документов?

У нас свой УЦ, выпускает сертификаты клиентам и сотрудникам. У меня "криптопрошный сертификат", я его использую для подписания тестовых документов в нашем ЭДО-сервисе в рамках тестирования отдельных решений. Мои должностные обязанности не включают подписание внешних документов (бумажных и электронных).

Вадим Майшев 10 февраля 2017 г. 13:39  
В рамках этого электронного взаимодействия электронные документы создаются.

Еще раз. Если создаются документы, то это документооборот с подписью, если нет - подпись не нужна!

Обращаясь в "министерство" я бумажку-жалобу подписываю. Так же должно быть и в рамках "электронного" взаимодействия. И в рамках этого взаимодействия у гражданина должен быть выбор, какую подпись ставить ПЭП (если это возможно) или УКЭП.

Еще раз. В новости про это и говорится! Нет документа - идентификация/аутентификация (не имеющая (пока) под собой технологии ПЭП), есть документ - подпись (УКЭП).

Что бы Вы не писали про "массовое использование УКЭП гражданами", массовым это использование не является.

Еще раз. А кто спорит? Вот появятся "массовые" информационные системы, тогда и будет "массово". Но в погоне за "указанной 70% массовостью" за налоговые деньги граждан насоздавали всяческие "многофункциональные и/или порталы", а как поняли, что это никому не надо в созданном виде, начали сокращать количество "услуг", не требовать подпись (ведь документов и нет), систему защищенного документооборота трансформировать в беззащитную (ведь у пользователя нет "платных и поэтому дорогих" средств защиты) систему заявок на прием (да, и это тоже надо делать, но не так, и не за такие деньги) и отображения персональных данных из защищенного контура в "наружный личный кабинет", находящуюся в коммерческой организации. Идея была хорошая, но для ее реализации нужны защищенные сервисы с документами, а их почти нет, т.к. за некачественную административную реформу не накажут, а за необеспеченную "указанную 70% массовость" запросто. Вот и запускаются марафоны и соревнования по массовой "регистрации" под разным соусом оСНИЛСованных граждан , ведь не важно качество, а нужно количество граждан в системе.

Еще раз. И тут дело вообще не в подписи и ее массовости. Там, где она нужна и экономически целесообразна, она работает и давно. И не надо манипулировать, что цена СКЗИ и услуг УЦ сдерживает "массовость", и поэтому наша "бесплатная преемственная ПЭП" - наше все, в технических требованиях к рабочему месту пользователя массового сервиса это лишь одна из статьей расходов. А для записи на прием не надо раздеваться отдавать ВСЕ свои персональные данные, а для просмотра ВСЕХ своих персональных данных в личном кабинете не надо подключаться к третьей стороне по логину/паролю в незащищенном канале.

Сергей Бушмелев 10 февраля 2017 г. 13:45  
 Интересна статистика от вас Вадим и Сергей. Сколько граждан (не ИП) у вас купили ключи с сертификатами.

Тут ничего не скажу - сижу очень далеко от УЦ.

 

Что бы Вы не писали про "массовое использование УКЭП гражданами", массовым это использование не является.

Не, этот тезис я не оспаривал, я только выразил свое несогласие с тем, что ПЭП существует :)

 

Это доли процента.

В организации не так много лиц, подписывающих внешние документы с контрагентами, поэтому отношение количества сертификатов к численности сотрудников всегда будут доли процента. Еще вопрос, кто идет получать второе юридическое высшее. Руководителей в этом потоке не так много. По крайней мере, в нашем потоке их было немного :)

Сервисами ЭДО сейчас тоже пользуются <10% организаций в России. Некоторые считают, что, тем не менее, у этого рынка большое будущее.

Исхаков Роберт 10 февраля 2017 г. 16:33  
Еще раз. Если создаются документы, то это документооборот с подписью, если нет - подпись не нужна!

Что то я Вас не пойму. А что для Вас есть документ? 

Для меня. Электронный документ: Документ, информация которого представлена в электронной форме. ГОСТ Р 7.0.8-2013. 

Если гражданин даже только формы заполняет, то документ создается. 

Документы в ИС могут храниться в виде записей таблиц. Пример - системы автоматизации кадрового делопроизводства. И вообщем-то любая учетная система.

Исхаков Роберт 16 февраля 2017 г. 20:58  
Сервисами ЭДО сейчас тоже пользуются <10% организаций в России. Некоторые считают, что, тем не менее, у этого рынка большое будущее.

У этого рынка очень большое будущее) И не только потому, что электронные счет-фактуры обязывают отправлять через оператора ЭДО, и отчетность в НО предоставлять только в электронном виде))) Был у меня дипломник (ца), с которым мы сравнили расходы по пересылке бумажных и электронных документов) Почта России - это чудовищные расходы)

Исхаков Роберт 16 февраля 2017 г. 21:26  
У меня "криптопрошный сертификат", я его использую для подписания тестовых документов в нашем ЭДО-сервисе в рамках тестирования отдельных решений

И все-таки можно посмотреть структуру Вашего "криптопрошнего сертификата",  которым Вы подписываете документы.? Он же соответствует X.509?

И чем Вы там подписываете мне все-таки не понятно.

Вадим Майшев 17 февраля 2017 г. 10:30  
А что для Вас есть документ?

ГОСТ Р ИСО 15489-1-2007: 3.3 с 7.2.2, 7.2.3 и 7.2.4.

Если гражданин даже только формы заполняет, то документ создается.

Конечно, при условии обеспечения 7.2.2, 7.2.3 и 7.2.4.

Пример - системы автоматизации кадрового делопроизводства.

Не уверен, что подобные системы именно хранят сами документы.

Сергей Бушмелев 21 февраля 2017 г. 13:24  
И все-таки можно посмотреть структуру Вашего "криптопрошнего сертификата",  которым Вы подписываете документы.? Он же соответствует X.509? И чем Вы там подписываете мне все-таки не понятно.

Ой-вей! Все забываю, что подписываю закрытым ключом :)

Сергей Бушмелев 21 февраля 2017 г. 13:32  
Не уверен, что подобные системы именно хранят сами документы.

Да, часто там хранятся именно данные. Данные могут экспортироваться из системы в виде документов (человеко- или машиночитаемых), Например, для печати или обмена через сервис ЭДО. Но в самой системе это данные (записи в таблицах БД, файлах данных и т.п.). Причем при экспорте данные подтягиваются из нескольких разных таблиц, так что не очень понятно, что в данном случае, применительно к ИС, называть документом.

То же относится и с другим учетным (ERP, биллинг и т.п.) системам.

Исхаков Роберт 21 февраля 2017 г. 20:54  
Ой-вей! Все забываю, что подписываю закрытым ключом :)

Вот Вы "все забываете", а наши граждане (например, руководители) ВЕРЯТ, что они получают электронные подписи)))) и подписывают сертификатами))) 

Вообще интересно, а откуда это пошло: "Получить электронную подпись и подписывать сертификатом"?

 Вы возьмите, например, регламент аккредитованного удостоверяющего центра (я нашел в сети). Там же все нормально и с подписями и с сертификатами)

Про "Ой-вей" хотел написать, но не буду.

Исхаков Роберт 21 февраля 2017 г. 22:05  
Причем при экспорте данные подтягиваются из нескольких разных таблиц, так что не очень понятно, что в данном случае, применительно к ИС, называть документом.

Совокупность данных и метаданных уже не может считаться документом?

Вадим Майшев 22 февраля 2017 г. 09:33  
Совокупность данных и метаданных уже не может считаться документом?

Вероятно, может:

Конечно, при условии обеспечения 7.2.2, 7.2.3 и 7.2.4.

 

Сейчас обсуждают
Евгений Кочуров 20 марта 2017 г. 07:49  
Юрий Зерин 18 марта 2017 г. 19:18  
Сергей Бушмелев 15 марта 2017 г. 22:47  
Елена Истомина 15 марта 2017 г. 13:08  
Сергей Бушмелев 15 марта 2017 г. 10:46  
Больше комментариев