Наверх

Простая электронная подпись: успехи и практика

Архив
Время чтения: 9 минут
26
Простая электронная подпись: успехи и практика

Простая электронная подпись: успехи и практика

Алиса Муратова, аналитик Synerdocs.

Использование простой электронной подписи (далее – ПЭП) на сегодняшний день еще не является массовым. Однако и бизнес, и рядовые пользователи уже по достоинству извлекли пользу из ее применения. Количество отраслей, использующих ПЭП, с каждым годом только увеличивается. Что интересно, рынок в целом не позиционирует ее пару «логин/пароль» как подпись конкретного физического или юридического лица.

В одной из наших прошлых статей «Простая электронная подпись – широкие возможности» были рассмотрены основные моменты при работе с ПЭП, приведены примеры, возможности и перспективы ее использования. В данной статье мы еще глубже погрузимся в предметную область: поговорим о тех отраслях, где активно используется простая ЭП, а также постараемся представить, каким может стать положение простой электронной подписи в будущем.

Что говорит закон о простой электронной подписи?

Применение ПЭП обеспечивает электронному документу юридическую силу. Подробнее об этом написано в Федеральном законе РФ №63-ФЗ «Об электронной подписи». В частности, в статье 5 представлено определение простой ЭП:

«Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом».

При этом в статье 6 разъясняется, в каком случае документ считается подписанным ПЭП:

«Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия <…>».

Данные акты и соглашения устанавливают случаи признания электронных документов, подписанных ПЭП, равнозначными документам на бумажных носителях, подписанными собственноручной подписью и должны соответствовать требованиям статьи 9 данного закона.

Таким образом, главной особенностью ПЭП является то обстоятельство, что ее идентификация подразумевает собой визирование документа конкретным лицом. Однако идентификация определяет лишь лицо, подписавшее документ, но не устанавливает неизменность визы.

Где мы чаще всего сталкиваемся с простой электронной подписью?

В повседневной жизни мы используем простую подпись регулярно, но порой даже не осознаем этого и недооцениваем ее значения. Рассмотрим примеры.

Банковская сфера

Банки уже давно освоили процедуру подтверждения операций клиентом с помощью ПЭП и активно используют технологию простой ЭП в сервисах интернет-обслуживания. Особенность в том, что ключом простой ЭП можно считать SMS-пароль или одноразовые пароли с чека, распечатанные в банкомате или терминале банка. Доступ к услуге можно получить после заключения договора на обслуживание.

Банки заботятся о безопасности расчетов по банковским картам и предоставляют клиентам возможность подключать технологию 3D-secure, позволяющую совершать интернет-платежи в защищенном режиме. Процедура предполагает введение пароля, известного только пользователю, который выдается в офисах банка, далее устанавливается защищенное соединение, а оплата производится только после успешно пройденной идентификации. Это тоже некий вариант реализации ПЭП, где ключом является пароль, созданный пользователем, запрашиваемый при каждом подтверждении оплаты через сеть интернет.

Более того, сегодня банки оформляют кредиты посредством телефонного звонка, что является совершенно законным. Вы предоставляете необходимые данные, соглашаетесь с условиями и оставляете свой личный номер. Далее, согласно оферте, вам приходит SMS-код, который вы используете в качестве электронной подписи для формирования электронного документа. В случае идентичности SMS-кода, направленного банком, и SMS-кода, введенного в форме электронного документа для подтверждения передачи клиентом соответствующего распоряжении/заявления через интернет-банк, такая электронная подпись считается подлинной.

Брокерские организации

Брокеры также освоили ПЭП и используют ее в работе со своими клиентами. В данной ситуации клиенты брокеров подразделяются на две общеизвестные категории: физические и юридические лица. При этом обе категории обслуживаются через личный кабинет. Для физических лиц используются SMS-коды, которые приобретаются в офисах после заполнения соответствующей анкеты с указанием личных данных и номера мобильного телефона. Для юридических лиц применяются PIN-конверты, в которых содержится более 20 паролей. Для осуществления операций с ценными бумагами необходима установка специализированного программного обеспечения, когда открытый ключ хранится у брокера (направляется посредством электронной почты), а закрытый – у клиента.

Программное обеспечение позволяет обмениваться с брокером электронными документами, подписание которых происходит с помощью ПЭП. Права и обязанности сторон при работе со специализированном ПО с использованием простой ЭП зафиксированы в соответствующих правилах, которые также являются приложением к регламенту обслуживания клиентов.

Госучреждения

В организациях государственной и муниципальной власти подтверждение той или иной операции и получение услуг также происходит через личный кабинет – с помощью ввода уникальных логина и пароля. Но перед их получением гражданину необходимо посетить центр информатизации общества для подтверждения личности.

Агентская сеть

Если с перечисленными отраслями все достаточно прозрачно, то иная ситуация обстоит с агентскими сетями. Напомним, что агентская сеть — это организационно оформленная совокупность агентов, работающих от имени и в интересах компании. Агентские сети предполагают наличие правильной сегментации рынка и присутствие в каждом из сегментов агентов, продвигающих услуги на рынок. Агента и организацию связывает огромное количество документов, такие как агентские и субагентские договоры, календарные планы, дополнительные соглашения, отчеты, которые активно передаются через интернет-порталы.

В этом случае ПЭП выглядит как личный кабинет/портал для агента, где вводятся данные о продажах тех или иных продуктов и формируются отчеты. Для подтверждения личности, к примеру, может быть заключен договор с одним из филиалов организации.

Страхование

По официальному сообщению Банка России, к 1 января 2017 года страховые компании, работающие на рынке ОСАГО, будут обязаны продавать электронные полисы обязательного автострахования по всей стране. Напомним, об этой инициативе было известно еще в 2013 году, а сами продажи электронного ОСАГО стартовали с 1 июля 2015 года. На сегодняшний день такие полисы предлагают 15 страховщиков из 81, имеющих лицензии на ОСАГО.

При чем же тут электронная подпись? Дело в том, что использование усиленной квалифицированной электронной подписи при покупке ОСАГО серьезно ударило бы по карману плательщика. Во-первых, это расходы на покупку и установку СКЗИ. Во-вторых, затраты на ежегодный перевыпуск. Для чего это делать, если плательщик, к примеру, намеревается покупать ОСАГО раз в год? Преимуществом онлайн-страхования является оперативность оформления и выпуска полиса, поэтому данная проблема решилась посредством использования простой ЭП, где подписание происходит посредством SMS-сообщения.

Сетевой бизнес

В последнее время обороты набирает так называемый сетевой бизнес. Если раньше вести его было достаточно тяжело, то сейчас, с появлением новых интернет-технологий, эта задача значительно упростилась. Подвиды сетевого бизнеса в интернете включают в себя:

●    интернет-магазины,

●    торговые площадки (например, AliExpress, где сайт выступает посредником между продавцом и покупателем),

●    дистанционное обучение и консультации (продажи медицинских и юридических консультаций),

●    разработка и продвижение сайтов,

●    информационный бизнес (продажа рекламы и доступа к информации), даже так называемый МЛМ-бизнес, где товар распространяется через интернет, хотя существуют компании, которые принципиально запрещают реализовывать товар через интернет.

Во всех этих видах сетевого маркетинга, инструментов взаимодействия между клиентом и продавцом является личный кабинет, где логин и пароль выступают своего рода электронной подписью.

E-mail

Ежедневно используемая нами электронная почта тоже может быть защищена двухэтапной аутентификацией, своеобразной ПЭП. Процедура довольно известная. Пользователь вводит пароль каждый раз, когда входит в аккаунт, далее необходимо ввести специальный код, который можно получить по SMS, с помощью голосового вызова или приложения, установленного на телефоне. Код не понадобится, если есть токен – его необходимо просто вставить в USB-порт компьютера.

Что может ожидать в будущем?

Несомненно, ПЭП заняла в нашей жизни определенную нишу, однако ее использование многие ставят под сомнение. «Что это за подпись такая, – задаются вопросом пользователи, – если при ее краже злоумышленники могут изменить пароли, которыми мы пользуемся, например, в интернет магазинах или онлайн-банках?» Но ведь с другой стороны точно так же могут подделать собственноручную подпись на бумаге и в обычной жизни. Использование же простой ЭП значительно упрощает множество операций, совершаемых человеком сегодня.

Использование ПЭП решает задачи по подтверждению важных операций/действий пользователя, позволяет подписывать и отправлять сообщения, обмениваться электронными документами, получать государственные и муниципальные услуги. При этом для осуществления самой процедуры подписания используются технологии пары логин-пароль, SMS-коды, PIN-конверты, открытый и закрытый ключи.

Предполагается создать единое электронное пространство доверия, в котором пользователь сможет использовать одну-единственную электронную подпись при любой необходимости.

Заместитель главы Федеральной антимонопольной службы Анатолий Голомзин сообщил журналистам о том, что сейчас ведутся работы над подготовкой предложений по унификации электронной подписи для ее использования в различных сферах. Иначе говоря, предполагается создать единое электронное пространство доверия, в котором пользователь сможет использовать одну-единственную электронную подпись при любой необходимости. Если подобное пространство появится, то прогнозирование уровня развития интернет-рынка станет более чем возможным. Скажется ли это на ПЭП, или же ПЭП приобретет иной статус, более весомый, решит только время.

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 26

Вадим Майшев 9 августа 2016

Не вводите читателя в заблуждение! Все примеры, которые приведены, не являются использованием Простой электронной подписи, а лишь обеспечивают аутентификацию.

«Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом».

А собственно электронная подпись:

- информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

В случае использования логинов/паролей/кодов/SMS/PIN и т.д. подписи, как таковой, не формируется! Нет пока такой технологии.

Однако идентификация определяет лишь лицо, подписавшее документ, но не устанавливает неизменность визы.

:-) Простая подпись не  позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания - для чего она нужна? Ее проверить невозможно (ее нет в документе, хотя должна быть, и нет средств для проверки), а отказаться от подписи легко (подписал, но не это)!

Алиса Муратова 30 августа 2016
В случае использования логинов/паролей/кодов/SMS/PIN и т.д. подписи, как таковой, не формируется! Нет пока такой технологии.

Данную технологию использует на сегодняшний день, как минимум ОАО «Сбербанк», в дополнении к их регламенту это явно прописано.

Простая подпись не  позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания - для чего она нужна? Ее проверить невозможно (ее нет в документе, хотя должна быть, и нет средств для проверки), а отказаться от подписи легко (подписал, но не это)!

Да, мы подтверждаем факт формирования документа и подписания его ПЭП, однако в случае изменения документа призвать автора к ответственности не представляется возможным. Этот вопрос решается довольно просто. Во-первых, ценность информации, которая защищается с помощью ПЭП, должна быть ниже, чем средства на воспроизведение искажений, взлом простой ЭП и т.п. Во-вторых, должен быть документ, регламентирующий использование этой ПЭП в конкретной определенной системе, с которым пользователь ПЭП должен быть ознакомлен (договор, оферта, соглашение и т.п.) Мы говорим лишь на уровне понятий, а как именно эта процедура реализована в той или иной системе, это уже другой вопрос.

Например, когда мы оформляем полис ОСАГО в режиме онлайн, мы вводим свои личные данные (Ф.И.О., паспортные данные, телефон и т.д.), далее соглашаемся с условиями договора посредством смс, и отправка договора приравнивается к ПЭП, следует оплата. Отсюда и ответ на ваш вопрос «Для чего нужна?». Мы отправили «заявление о намерениях», подтвердили фактической оплатой, и даже если бы кто-то воспользовался номером нашего телефона для регистрации заявки, оплату в любом случае совершим мы сами.

Даже при подтверждении личности на портале госуслуг есть уточнение в договоре о том, что «пара логин/пароль – это простая электронная подпись».

К тому же ПЭП более широко распространена на западе, где бизнес строится на доверии, и здесь именно КЭП является более неудобной формой подписания документов. У нас в России, к сожалению, привыкли ожидать от всех «подвоха», и желание подстраховать себя выше, чем сокращение затрат.

Вадим Майшев 31 августа 2016
Данную технологию использует на сегодняшний день, как минимум ОАО «Сбербанк», в дополнении к их регламенту это явно прописано.

Тут наружу вылазит желание ПАО СБЕРБАНК унифицировать ПЭП и КЭП, но сделать это нереально ввиду разности сущностей этих подписей. Они сами противоречат себе: с одной стороны, термин ПЭП из закона, с другой - "Простая электронная подпись (ПЭП) – значение Хэш-функции, вычисленное по всем реквизитам электронного доку- мента (номер лицевого счета, номер телефона, номер обязательства и т.д.), паролю, введенному Клиентом при входе в Систему, и одноразовому паролю, передаваемому Клиенту посредством SMS-сообщений и подтверждающему реквизиты получателя средств и/или реквизиты плательщика, если он использовался при совершении операции, а в случае одписа- ния Кредитной документации – реквизиты Уполномоченного лица Клиента и реквизиты подписываемого документа / сообщения."

Дело в том, что надежные хэш-функции это криптографическое средство, откуда следует, что эта подпись усиленная (не Простая).
!?! Банк говорит, что знает пароль пользователя для входа в систему - это наводит на неприятные мысли.
Даже при подтверждении личности на портале госуслуг есть уточнение в договоре о том, что «пара логин/пароль – это простая электронная подпись».

:-) Из-за него и появилась эта правовая сущность, неподкрепленная техническим решением.

К тому же ПЭП более широко распространена на западе, где бизнес строится на доверии, и здесь именно КЭП является более неудобной формой подписания документов. 

Никто никогда в России не запрещал договариваться о своих аналогах собственноручной подписи по ГК РФ - хоть крестики с галочками используйте! Для чего ПЭП ставить в один ряд с УНЭП и УКЭП?

У нас в России, к сожалению, привыкли ожидать от всех «подвоха», и желание подстраховать себя выше, чем сокращение затрат.

Вероятно, люди сталкивались с бременем доказывания в судебных инстанциях?

Исхаков Роберт 31 августа 2016

Я человек нерусский))) и меня вдвойне смущает интерпретация понятия ПЭП как комбинации логина и пароля. Что для меня нерусского понимается под подписью? Это то, что формируется в момент выполнения действия "подписание документа" и привязывается к конкретному документу. Предельно все понятно с бумажным документом - подпись сформировалась, когда я с использованием средства создания подписи (шариковая ручка) выполнил физическое действие - подписание.  Тоже можно сказать и про УНЭП и УКЭП. Есть конкретный документ, есть "шариковая ручка" - средство ЭП и есть действие - подписание документа. И каждый раз это уникальная подпись, как и в случае с бумажным документом.

И в дополнение к моим сомнениям. Корректна ли очень часто используемая формулировка: "Руководитель получил электронную подпись и теперь может подписывать электронные документы"?  Или вот с портала госуслуг:

 "Как получить усиленную квалифицированную электронную подпись?

Чтобы получить усиленную квалифицированную электронную подпись, обратитесь в один из аккредитованных удостоверяющих центров." 

Вадим Майшев 1 сентября 2016
меня вдвойне смущает интерпретация понятия ПЭП как комбинации логина и пароля.

Логин и пароль это не подпись, а средства с помощью которых собственно подпись должна сформироваться.

При аутентификации (которую пытаются назвать ПЭП) ничего не создается, при положительном результате происходит авторизация. При собственно подписи с помощью средств ЭП происходит создание от подписываемого электронного документа кое-чего, проверяя которое с помощью о5же средств ЭП можно убедиться в конечном счете в юридической значимости электронного документа. 

Корректна ли очень часто используемая формулировка:

Разумеется, нет. Получить в принципе можно а) ключ электронной подписи, б) сертификат ключа проверки электронной подписи (непосредственная функция УЦ - его изготовление и сопровождение) и в) средство электронной подписи. А уже с их помощью можно самостоятельно формировать электронные подписи электронных документов, а также использовать их в других криптографических сервисах на основе PKI (аутентификация, шифрование файлов/дисков и сеансов/каналов связи и т.д.).

Исхаков Роберт 1 сентября 2016
Логин и пароль это не подпись, а средства с помощью которых собственно подпись должна сформироваться.

Я бы определил пару "логин и пароль" как некий аналог ключа ЭП,  А в качестве средства формирования ПЭП выступают компоненты информационной системы.

P.S. Пробежался "по диагонали" по пп рф 33 от 21.01.2013 с "Правилами использования простой электронной подписи при оказании государственных и муниципальных услуг". И таки да, Ключ - это пара "логин и пароль", а вот утверждения, что "логин и пароль" могут считаться ПЭП не встретил. Может невнимательно читал)? Это я к утверждению Алисы: "Даже при подтверждении личности на портале госуслуг есть уточнение в договоре о том, что «пара логин/пароль – это простая электронная подпись»  

Вадим Майшев 2 сентября 2016
Пробежался "по диагонали" по пп рф 33 от 21.01.2013 с "Правилами использования простой электронной подписи при оказании государственных и муниципальных услуг".

Обсуждалось тут, туттут и тут.

Исхаков Роберт 12 сентября 2016

Не по теме статьи, но раз уж отвечают))) еще вопрос про формулировку, которая стала стандартной для отрасли, корректна ли? "Подписание документа с использованием (при помощи) Сертификата, подписание документа Сертификатом, и другие подобные формулировки".  Я понимаю, что ключ ЭП и ключ проверки ЭП, создаваемые при помощи средства ЭП, связаны, но в состав Сертификата ключа проверки ЭП согласно закону об ЭП ключ ЭП не входит. Или речь идет (встретил и такую формулировку, корректна ли она?) о Сертификате ключа ЭП?

Вадим Майшев 20 сентября 2016
Не по теме статьи, но раз уж отвечают)))

Раз уж спрашивают :-) Исходные данные такие:
ГОСТ Р 34.10- 2012: «3.1.9 процесс формирования подписи (signature process): Процесс, в качестве исходных данных которого используются сообщение, ключ подписи и параметры схемы ЭЦП, а в результате формируется цифровая подпись. (ИСО/МЭК 14888-1:2008 [4])
п.5 ст. 2 63-ФЗ: «ключ электронной подписи — уникальная последовательность символов, предназначенная для создания электронной подписи»
ч.2.1 ст. 15 63-ФЗ: «Аккредитованный удостоверяющий центр для подписания от своего имени квалифицированных сертификатов обязан использовать квалифицированную электронную подпись, основанную на квалифицированном сертификате…»
ч.2 ст. 19 63-ФЗ: «Электронный документ, подписанный электронной подписью, ключ проверки которой содержится в сертификате ключа проверки электронной подписи…»
Таким образом, ГОСТ формирует ЭЦП с ключом подписи (ГОСТ не знает про сертификаты), а ФЗ создает ЭП с ключом электронной подписи (ФЗ знает про сертификаты, но только в усиленной ЭП).
При этом, ФЗ раньше (ст.19) связку с сертификатом проводил в виде «подпись, ключ проверки которой в сертификате», а сейчас (ст.15) законодатель «опустился до просторечия» — «подпись, основанная на сертификате» и «для подписания использовать подпись», что, по всей видимости, уже стало нормой.
Ключ проверки ЭП юридически никому не нужен, он всегда распространяется в сертификате ключа проверки ЭП (! относится только к усиленной ЭП, для простой ЭП ключ проверки ЭП в принципе не предусмотрен, т.е. ее невозможно, вероятно, исходя из того, что это никому не нужно, проверить). Сертификата ключа ЭП точно не существует в природе. Все сложности из-за того, что непрофессионалы не видят связи между ключом ЭП и сертификатом (ключа проверки ЭП). Что уж говорить, если регулятор отправляет «получать ЭП в УЦ».
IMHO правильная технологическая конструкция — подпись сформированная (документ подписанный) с применением ключа подписи, ключ проверки которой содержится в сертификате.

Исхаков Роберт 25 сентября 2016

Вадим, спасибо за комментарии. Подведу итоги для себя из своей норы. "Туман мозга моего" в части терминологии предметной этой области) А что творится у ЛПР, который эту технологию использует и подписывает документы? Будь я "плохим мальчиком", я бы задумался о перспективе доказательства в суде факта компрометации ключа ЭП. Руководитель не владеет технологией и не понимает, что он делает при подписании ЭД) Он ли подписал документ? Если приводить аналогию с бумажным документом: "А как могла появиться рукописная подпись на бумажном документе, если руководитель не знает алфавита и не умеет писать?"

Юрий Зерин 18 марта 2017

   Недавно столкнулся с ситуацией использования простой электронной подписи (ПЭП). Как было сказано выше.

"А собственно электронная подпись:,

- информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию."

Подробнее: http://ecm-journal.ru/post/Prostaja-ehlektronnaja-podpis-uspekhi-i-praktika.aspx 

Следовательно, присоединяемая информация может быть представлена в виде текста, набора чисел, а так же графическим изображением и даже цветовым кодом. Её смысловая нагрузка - определить лицо подписывающее документ. Хорошо когда такая информация представлена : ФИО с серией и номером паспорта, номером телефона, номером СНИЛС, номером ИНН . В этом случае проверка прямым путем вполне возможна. Но трудоемкость затрат оставляет желать лучшего. С этой целью и была создана система удостоверяющих центров (УЦ). Обращение в эти центры хлопотно и накладно. Есть ли другой путь?

Обратимся к понятию простой электронной подписи (ПЭП).

«Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом».
Подробнее: http://ecm-journal.ru/post/Prostaja-ehlektronnaja-podpis-uspekhi-i-praktika.aspx 

    Смысл, как мне кажется, кроется в том, чтобы при помощи кодов и паролей обратиться в удостоверяющий центр для подтверждения личности подписанта и получить своего рода "квитанцию". Причем такой центр уже имел подлинники документов, провел их проверку, и предоставил доступ к личному кабинету. Таким удостоверяющим центром может даже являться сайт Государственных услуг. Квитанцией подтверждения - скан с данных личного кабинета в формате PDF. ПЭП ссылка на квитанцию с содержанием СНИЛС.

    В качестве таких удостоверяющих центров могут являться банки, компании сотовых операторов связи и т.д., где есть доступ по логинам и паролям.

   Естественно, что такой подход имеет много слабых мест в плане достоверности и юридической грамотности. Однако не надо забывать, что и квалифицированная электронная подпись, предлагаемая различными УЦ, не являет собой конечную истину на современном этапе развития криптографии.

     

Однако не надо забывать, что и квалифицированная электронная подпись, предлагаемая различными УЦ, не являет собой конечную истину на современном этапе развития криптографии.

ИМХО, такие сильные заявления нужно как-то аргументировать :)

Не являюсь специалистом про защите информации, поэтому просто наскреб информацию в Википедии: 

Криптостойкость цифровой подписи опирается на две компоненты — на стойкость хэш-функции и на стойкость самого алгоритма шифрования.[1]

Вероятность взлома хэш-функции по ГОСТ 34.11-94 составляет  при подборе коллизии на фиксированное сообщение и  при подборе любой коллизии.[1] Стойкость алгоритма шифрования основывается на проблеме дискретного логарифмирования в группе точек эллиптической кривой. На данный момент нет метода решения данной проблемы хотя бы с субэкспоненциальной сложностью.[2]

Юрий Зерин 21 марта 2017

Уважаемый Сергей.

Спасибо, что откликнулись и высказали свое  мнение.

  Вероятно Вы знаете, что алгоритмы шифрования находятся в постоянном развитии. Меняются стандарты, подходы и протоколы шифрования. Каждое изменение ведет к усложнению всего того, что Вы описали выше. По окончательной проверке всего нового дается заключение весьма компетентных органов.... . И только после этого наступает этап практической реализации.

   Я не такой компетентный знаток в данной области, но сталкивался с работами математиков, которые на прямую подвергают глубокому сомнению достоверность имеющиеся на сегодняшний день методик  построения алгоритмов шифрования. Не буду делать конкретных ссылок и вступать в теоретические дискуссии. Хотя на практике я столкнулся с реальным взломом и с тех пор отношусь с уважением к любому мнению полезному для моей деятельности.

   Меня больше интересуют аспекты практического применения простой электронной подписи в рамках системы документооборота. Именно в приведенной выше статье, по моему мнению, автор упустил довольно широкий круг возможно использования ПЭП. Этот круг обусловлен применением мессенджеров таких как Skype и WhatsApp.  Именно они способствуют оперативному обмену информацией и составляют необходимую базовую основу  использования простой электронной подписи. У меня есть практические наработки в данном направлении и я не прочь оценить их и услышать любые мнения специалистов. Относительная простота ПЭП и отсутствие явной финансовой составляющей могут быть весьма полезны для ее широкого использования. Не каждый день мы решаем задачи содержащие важную  тайну и не всегда понимаем  методы ее сокрытия при помощи средств дискретной математики.

    Так что, чем проще и доступней, тем быстрей и эффективней.

Хотя на практике я столкнулся с реальным взломом

Можно узнать, что именно взломали? Что именно удалось злоумышленникам сделать? Это касалось квалифицированной ЭП?

Юрий, готовы принять на ECMJ ваши идеи и описание практических наработок по ПЭ в виде статьи. И предоставить площадку для обсуждения. Пишите в личку или на editor@ecm-journal.ru

Юрий Зерин 22 марта 2017

Сергей.

Информация конфиденциальная. Меня просто поставили на свое место. Не обсуждается.

Елена.

Два дня подготовлю наброски. Спасибо за предложение.

Информация конфиденциальная. Меня просто поставили на свое место. Не обсуждается.

Да, жалко, что конфиденциальность помешала более аргументированно поспорить о надежности КЭП :(

Вот простой ЭП как бы нет, говорите, а наказания за работу с ней уже запланированыhttps://www.facebook.com/ECMJournal/posts/1323287017748051

Вадим Майшев 25 апреля 2017
Вот простой ЭП как бы нет, говорите, а наказания за работу с ней уже запланированы.

Если внимательно посмотрите, то наказания там за нарушение порядка обращения с ключом ПЭП и т.п.

И да, ключ ПЭП (точнее логин/пароль для простой идентификации/аутентификации) есть, а как бы ПЭП по прежнему нет (Видишь суслика? Нет. И я не вижу... А он есть! :-)).

Исхаков Роберт 27 апреля 2017

Видишь суслика? Нет. И я не вижу... А он есть! :-))

Это вечный спор))) Кто с какой стороны какого суслика видит)

Еще из практики ПЭП: "РНПК принимает документы с простой электронной подписью по e-mail от партнеров, с которыми было подписано соответствующее соглашение»." http://www.insur-info.ru/pressr/68717/

Вадим Майшев 7 декабря 2018
РНПК принимает документы с простой электронной подписью по e-mail от партнеров, с которыми было подписано соответствующее соглашение

Это прелестно:
"4.5. Правила проверки ПЭП:
1) служебный заголовок Received принятого электронного сообщения содержит имя сервера электронной почтовой системы получателя;
2) служебный заголовок Received принятого электронного сообщения, содержащий имя сервера электронной почтовой системы отправителя, соответствует ключу проверки ПЭП;
3) поля принятого электронного сообщения From и Mail-From, содержащие электронный адрес отправителя сообщения, соответствуют ключу проверки ПЭП;
4) дата и время отправки электронного сообщения корректна (не новее даты и времени получения электронного сообщения и не относится к заведомо прошлым периодам);
5) дата подписания электронного документа корректна (не новее дат отправки и получения электронного сообщения и не относится к заведомо прошлым периодам);
6) Обязательные реквизиты документа из состава ПЭП, соответствуют ключу проверки ПЭП."

По-видимому, юристы этой компании не знают (или им все равно), что спамеры подделывают любые служебные поля почтовых сообщений.

И это весьма порадовало:
"3.4. Допускается создание/подписание электронного документа без использования информационной системы. В это случае лицо, подписавшее документ и пользователь, отправляющий электронный документ, считаются одним и тем же лицом.
3.5. При наличии информационной системы, с помощью которой осуществляется создание/подписание электронного документа, отправка электронного сообщения, содержащего электронный документ, подписанный ПЭП, может происходить с технологического почтового ящика организации только при условии, что доступ к технологическому почтовому ящику предоставлен только этой информационной системе."
Особенно при условии, что "Ключ ПЭП – использующаяся для подписания электронных документов ПЭП, уникальная и однозначно сопоставленная лицу, подписывающему электронный документ, информация: а) пароль пользователя электронной почтовой системы отправителя документа; б) пароль пользователя информационной системы, с помощью которой электронный документ создан/подписан (при наличии такой системы)."

А это вообще за гранью:
"Электронный документ – отправленный по электронной почте файл формата PDF/A, который содержит образ документа с обязательными реквизитами, позволяющими определить лицо, подписавшее документ.
Обязательные реквизиты документа, позволяющие определить лицо, подписавшее документ, состоят из: а) изображения собственноручной подписи лица, подписавшего документ; б) фамилии, инициалов и должности лица, подписавшего документ; в) даты подписания электронного документа; г) наименования организации, работник которой подписал документ.
Электронный документ считается созданным, если он содержит обязательные реквизиты документа, позволяющие определить лицо, подписавшее документ, и зарегистрирован в организации, создавшей документ.
Электронный документ считается подписанным простой электронной подписью если он был создан и отправлен по электронной почте от имени лица, подписавшего электронный документ."

Свыше 30 млн посылок по ПЭП получено в России https://iecp.ru/news/item/419255-polucheno-bolee-30-mln-posylok-po-PEP

Вадим Майшев 15 января 2019
Свыше 30 млн посылок по ПЭП получено в России https://iecp.ru/news/item/419255-polucheno-bolee-30-mln-posylok-po-PEP

При этом, по указанной в статье ссылке (http://pochta.ru/pep) из условий применения простой электронной подписи есть только ссылка на Пользовательское соглашение (https://passport.pochta.ru/pochtaid-sso/ext/v2.0/user.agreement), в котором даже слов "простая электронная подпись" вообще нет...

Что является фактом передачи-приема посылки, если нет извещения и расписки в нем?

Андрей Ильин 31 января 2019
в котором даже слов "простая электронная подпись" вообще нет...

Правила использования простой ЭП в отделениях почтовой связи опубликованы тут. Согласно которому "... с использованием в качестве ПЭП Клиента сочетания Электронного идентификатора и сгенерированных Компаниеи? уникальных кодов, направляемых Клиенту на указанныи? номер мобильного телефона или в официальном мобильном приложении...".

Что является фактом передачи-приема посылки, если нет извещения и расписки в нем?

Для получения и использования ПЭП достаточно авторизоваться в отделении почтовой связи. 

Из личного опыта процедура выглядит следующим образом:

  1. Заполнить заявление очно в почтовом отделении, получив таким образом "Электронный идентификатор". Также это можно сделать онлайн через Госуслуги.
  2. При получении посылки сообщить идентификатор почтового отправления сотруднику почты.
  3. Сотрудник высылает код доступа на ваш номер мобильного телефона. Сообщите код сотруднику и посылка у вас в руках.

Удобно.

Вадим Майшев 5 февраля 2019
При получении посылки сообщить идентификатор почтового отправления сотруднику почты. Сотрудник высылает код доступа на ваш номер мобильного телефона. Сообщите код сотруднику и посылка у вас в руках. 

Получается, что вместо паспорта некто сообщает некий идентификатор, и после сообщения полученного OTPviaSMS "посылка у вас в руках". Это обычная парольная аутентификация со сложностями с ПДн/регистрацией/SMS вместо предъявления паспорта. Документа о приеме-передачи нет. Или "Сообщите код сотруднику" это вместе с аутентификацией за одним и виртуальная ПЭП виртуального извещения?

Чтобы прокомментировать, или зарегистрируйтесь