Артур Родин
С 01.01.2023 планировался переход с сертификатов сотрудника ЮЛ на сертификат ФЛ+МЧД, но переходный период продлят до 01.09.2023.
Информации, что сертификаты на сотрудников ЮЛ от коммерческих УЦ станут недействительными, нет.
Авторы статьи, видимо, писали про сертификаты на руководителей.
Вообще можно и под Випнет (принести в ФНС запрос в формате p10, возможность закреплена приказом ФНС). Но, скорее всего, сотрудник ФНС сделает морду кирпичом и откажет.
Просто снесите и заново поставьте приложение, будет новый сертификат.
Старым уже никто не воспользуется.
Я не очень понимаю, это такое оправдание тому, чтобы делать на незащищенной технологии удалённый выпуск аналога собственноручной подписи?Почему оправдание? Это всего лишь напоминание, что, в том же примере с кредитками, которые вы упомянули, уровень безопасности повышался со временем.
По-моему, то, что это эксперимент - наоборот повод для того, чтобы НЕ делать на его базе выпуск УКЭП.Сейчас сервис еще в разработке, вероятно, к моменту запуска будут проработаны те недостатки, которые сейчас вырисовываются.
Хочется верить, что государство не заинтересовано в потоке обозленных и обманутых граждан.
Со стороны общества явно есть запрос на подобные технологии, об этом говорит, как минимум, популярность Домклика.
В котором, кстати, тоже не все идеально в плане безопасности. Взять хотя бы ключи ЭП, которые хранятся на стороне банка (ну или их партнерского УЦ).
Так не нужно собирать полный комплект компетенций. Преступники успешно применяют разделение труда.Ну так "финальному" мошеннику все равно придется скупить базы у всех "нижестоящих" и держать пальчики, что в каждой из них будут нужные данные на подходящего кандидата (с квартирой/машиной без обременений).
Да и еще и молиться, чтобы у него 2fa не была включена.
Общество понакрутило разных защит вокруг кредитных карт, начиная от PIN-кодов и 3D-secure, и заканчивая фрод-детекторами на стороне банков, анализирующими транзакции в реальном времени.На это ушел не один десяток лет. А ГК это все еще пока эксперимент.
А какой смысл откладывать меры, закрывающие очевидные уязвимости?Вот это я вам не скажу)
Я все еще считаю, что в этой схеме мошенника ждет фиаско на первом же этапе, при попытке удаленно считать паспорт.
Вероятно, собрать в итоге "полный комплект", необходимый для злоумышленника, получится по единицам граждан.
И тогда уровень мошенничества будет не выше, чем при "нецифровых" продажах.
С тем же самым фродом в области кредитных карт это уже лет тридцать примерно так происходит.Но ведь нет массовых требований запретить их. Общество сочло уровень мошенничества примлемым для использования технологии.
С ГК или аналогами (если они будут), скорее всего, будет тоже самое. Со временем все настолько привыкнут к удаленным сделкам, что отдельные инциденты с ними большинство не будут волновать.
Уже сейчас очное взаимодействие с госорганами при продаже квартиры можно исключить за счет того же Домклика, собственно это был вопрос времени, когда и Домклик можно будет исключить.
Проблема же ГК будет в том, что закон предпишет реализовать изначально уязвимую схему аутентификации.Тут встает вопрос, а есть ли неуязвимая?
Возможно, хорошая идея была бы требовать от пользователя обязательно включить 2fa в ГУ при старте получения КЭП в ГК.
Но может быть что-то подобное и будет реализовано. Со временем хотя бы.
Текстиль и кожа плохо блокируют электромагнитное излучение. Считыванию они не мешают.Видел на youtube пару видео, где считывают метки в прямой видимости с приличного расстояния, но ничего с условиями приближенным к тем, что я выше описывал.
Если поделитесь такими, буду признателен.
Да и в целом я ваш посыл понял, но вы описываете схемы достойные Оушена с друзьями.
При их выполнимости можно уже сейчас людей без штанов оставлять. И это уже видится не как проблема ГК, а развития технологий в целом.
А в чем проблема? Нахождение в аэропорту с рюкзаком в толпе как-то должно привлечь внимание охраны?Ну да, считыватель в рюкзаке, паспорт в кармане, или даже в поясной сумке/пуховике, может даже на нем чехол... Как-то слабо верится в успех операции.
Плюс еще это все надо через рентген на входе прокатить.
Можно и лицо на фейковый паспорт чужое поместить, и селфи по фотографии с того же паспорта подделать. Deepfake уже давно не новая технология.Не знаю как там в ГК, по опыту прохождения верификаций в финтехах, далеко не все дают что-то загружать с устройства, как правило селфи делается прямо через интерфейс приложения.
Делать проф грим под жертву?)
Ну аэропорт, допустим. Т.е. по вашему какой то мошенник поедет в аэропорт напичканный камерами и сотрудниками правоохранительных органов считывать паспорта в карманах людей?
И про считывание загранпаспорта (в кармане) с полуметра есть какие-то пруфы?
Просто там настолько мелкий чип, что чтобы его смартфоном считать, нужно паспорт открыть и мееедленно возить по нему устройством, приложив вплотную.
Но пускай он даже его считал, дальше ему нужно:
-сделать фото раскрытого паспорта.
-подделать селфи с паспортом и лицом жертвы.
-украсть данные учетки ГУ именно этого человека.
Плюс, если у человека включена 2FA, все еще сложнее становится.
Вам не кажется, что слишком много возни ради сомнительной выгоды?
Вы много знаете людей, которые при себе загран носят?
У подавляющего большинства граждан он большую часть времени лежит где-то на задворках шкафа.
Плюс, скорее всего, будет что-то типа селфи с паспортом.
Подбирать пароль к учетке ГУ, конечно, бессмысленно.
Но это и не обязательно, граждане(особенно старшего поколения) сами их охотно компрометируют: хранят в текстовых документах с именем "пароль госуслуг" на рабочем столе ПК, сообщают сотрудникам банков/различных ведомств/работодателю, которые им помогают подавать заявления.
Ну и опять же, КЭП будет выпускаться по связке "авторизация ЕСИА+загран", что уже неплохо.
Я и не стремился вас успокоить)
Я прекрасно понимаю, что нет ничего защищенного на 100%.
Но согласитесь, заполучить у человека загранпаспорт для последующего копирования определенно сложнее, чем угнать ту же учетку Госуслуг.
Ходить не обязательно, возможна удаленная идентификация по загранпаспорту (с чипом).
Собственно, этот вариант и будет использоваться в ГК для выпуска УКЭП.
Здесь спорить не буду, ничто не вечно под луной. Но сиюминутная выгода все же есть.
Мой плюс был не про архивность, а про удобство для работника.
Согласитесь, проще ткнуть галочку в браузере/приложении, чем ехать в офис или встречать курьера с бумажками.
У меня вот домофон не работает вторую неделю, к доставщику лень спускаться, не то что к какому-то там курьеру)
Но для тех кто в офисе по сути да, плюсы не столь очевидны.
Как минимум, плюс ЭДО в том, что не нужно таскаться периодически в офис на подписание кучи накопившейся макулатуры (актуально для удаленщиков).
От нее, по факту, нельзя отказаться, отчеты о трудовой деятельности работодатель в любом случае сдает в электронном виде.
Можно попросить дальше вести бумажную (параллельно электронной).
Про "всегда доступна" тоже не факт, в сети куча историй как людей нагрели с назначением пенсии из-за того что "архив сгорел". А то что у тебя там в трудовой или ещё где-это все неправда, сам нарисовал)
Из выше упомянутой статьи на Хабре:
Ключ ЭП хранится на устройстве пользователя в зашифрованном контейнере, ключ от которого хранится на HSM "в облаке". Вычисление хэша при формировании подписи производится на устройстве пользователя.
Видимо, из-за этого:
"[Госключ]Это первое сертифицированное решение с web-over-ГОСТ-TLS. И пока единственное."
Это цитата из статьи на Хабре про ГК.
А где это указано? На оф сайте и в приложении не вижу такой информации.
Смысл моего сообщения был в том, что "удалить данные" не равно "подать заявление на отзыв".
Если очень хочется, можно обратиться в уц с соответствующим заявлением.
Ни в коем случае не агитирую за данное ПО, но, по-моему, не очень логично писать "не рекомендую" потому что приложение не сделало то, о чем вы его не просили).
"электронная подпись продолжает висеть на Госуслугах в статусе активной" не подпись, а информация о ней.
вы стерли ключевые данные, конкретно этим сертификатом никто уже больше ничего не подпишет.
попробуйте порвать паспорт и проверить, останется ли его номер в базе МВД)
До сентября можно расслабиться, не успели внедрить все что нужно. Да и не факт, что до сентября успеют, вполне могут еще перенести.