Центр сертификации: различия между версиями
Перейти к навигации
Перейти к поиску
| [непроверенная версия] | [непроверенная версия] |
Содержимое удалено Содержимое добавлено
Спасено источников — 0, отмечено мёртвыми — 1. Сообщить об ошибке. См. FAQ.) #IABot (v2.0.9.5 |
|||
| (не показано 29 промежуточных версий 23 участников) | |||
| Строка 1: | Строка 1: | ||
В [[криптография|криптографии]] '''центр сертификации''' или '''удостоверяющий центр''' ({{lang-en|Certification authority, CA}}) — сторона (отдел, организация), чья честность неоспорима, а [[открытый ключ]] широко известен. Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов [[Электронная подпись|электронной подписи]]. |
В [[криптография|криптографии]] '''центр сертификации''' или '''удостоверяющий центр''' ({{lang-en|Certification authority, CA}}) — сторона (отдел, организация), чья честность неоспорима, а [[открытый ключ]] широко известен. Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов [[Электронная подпись|электронной подписи]]. |
||
Технически центр сертификации реализован как компонент [[глобальная служба каталогов|глобальной службы каталогов]] |
Технически центр сертификации реализован как компонент [[глобальная служба каталогов|глобальной службы каталогов]] и отвечает за управление [[криптография|криптографическими]] ключами пользователей. [[открытый ключ|Открытые ключи]] и другая информация о пользователях хранится удостоверяющими центрами в виде [[цифровой сертификат|цифровых сертификатов]]. |
||
Без честных центров сертификации пропадает то доверие, на котором работает интернет. В России честность центров сертификации была поставлена под сомнение [[Счётная палата Российской Федерации|Счётной палатой Российской Федерации]], а правовая система «[[Гарант (справочно-правовая система)|Гарант]]» указывала на случаи халатности сотрудников российских УЦ, о чем указано в данной статье ниже. |
|||
== Потребность в центре сертификации == |
== Потребность в центре сертификации == |
||
[[Асимметричный шифр]] позволяет шифровать одним ключом, а расшифровывать другим. Таким образом, один ключ (ключ расшифровки, «секретный») хранится у принимающей стороны, а второй (ключ шифрования, «открытый») можно получить при сеансе прямой связи, по почте, найти на «электронной доске объявлений», и т. д. Но такая система связи остаётся уязвимой для злоумышленника, который представляется [[Алиса и Боб|Алисой]], но отдаёт свой открытый ключ, а не её. |
[[Асимметричный шифр]] позволяет шифровать одним ключом, а расшифровывать другим. Таким образом, один ключ (ключ расшифровки, «секретный») хранится у принимающей стороны, а второй (ключ шифрования, «открытый») можно получить при сеансе прямой связи, по почте, найти на «электронной доске объявлений», и т. д. Но такая система связи остаётся уязвимой для злоумышленника, который представляется [[Алиса и Боб|Алисой]], но отдаёт свой открытый ключ, а не её. |
||
Для решения этой проблемы открытый ключ Алисы [[электронная подпись|подписывается]] центром сертификации. Конечно же, предполагается, что центр сертификации честный и не подпишет ключ злоумышленника. И второе требование: открытый ключ центра сертификации распространяется настолько широко, что ещё до установления связи [[Алиса и Боб]] будут иметь этот ключ, и злоумышленник ничего не сможет с этим поделать. |
Для решения этой проблемы открытый ключ Алисы вместе с сопроводительной информацией (именем, сроком действия и прочим) [[электронная подпись|подписывается]] центром сертификации. Конечно же, предполагается, что центр сертификации честный и не подпишет ключ злоумышленника. И второе требование: открытый ключ центра сертификации распространяется настолько широко, что ещё до установления связи [[Алиса и Боб]] будут иметь этот ключ, и злоумышленник ничего не сможет с этим поделать. |
||
Когда сеть очень велика, нагрузка на центр сертификации получается большая. Поэтому сертификаты могут образовывать цепочки: корневой центр сертификации подписывает ключ службы безопасности компании, а та — ключи сотрудников. Честными должны быть все члены цепочки, а иметь широко известный ключ достаточно корневому центру. |
Когда сеть очень велика, нагрузка на центр сертификации получается большая. Поэтому сертификаты могут образовывать цепочки: корневой центр сертификации подписывает ключ службы безопасности компании, а та — ключи сотрудников. Честными должны быть все члены цепочки, а иметь широко известный ключ достаточно корневому центру. |
||
| Строка 21: | Строка 19: | ||
Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде [[Сертификат (криптография)|цифровых сертификатов]], имеющих следующую структуру: |
Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде [[Сертификат (криптография)|цифровых сертификатов]], имеющих следующую структуру: |
||
* серийный номер сертификата; |
* серийный номер сертификата; |
||
* объектный идентификатор алгоритма [[Электронная |
* объектный идентификатор алгоритма [[Электронная подпись|электронной подписи]]; |
||
* имя удостоверяющего центра; |
* имя удостоверяющего центра; |
||
* срок действия сертификата; |
* срок действия сертификата; |
||
| Строка 27: | Строка 25: | ||
* [[открытый ключ|открытые ключи владельца]] сертификата (ключей может быть несколько); |
* [[открытый ключ|открытые ключи владельца]] сертификата (ключей может быть несколько); |
||
* объектные идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата; |
* объектные идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата; |
||
* электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат |
* электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хеширования всей информации, хранящейся в сертификате). |
||
Отличием аккредитованного центра является то, что он находится в договорных отношениях с вышестоящим удостоверяющим центром и не является первым владельцем [[Самозаверенный сертификат|самоподписанного сертификата]] в списке удостоверенных корневых сертификатов. Корневой сертификат аккредитованного центра удостоверен вышестоящим удостоверяющим центром в иерархии системы удостоверения. Таким образом, аккредитованный центр получает «техническое право» работы и наследует «доверие» от организации, выполнившей аккредитацию. |
Отличием аккредитованного центра является то, что он находится в договорных отношениях с вышестоящим удостоверяющим центром и не является первым владельцем [[Самозаверенный сертификат|самоподписанного сертификата]] в списке удостоверенных корневых сертификатов. Корневой сертификат аккредитованного центра удостоверен вышестоящим удостоверяющим центром в иерархии системы удостоверения. Таким образом, аккредитованный центр получает «техническое право» работы и наследует «доверие» от организации, выполнившей аккредитацию. |
||
| Строка 40: | Строка 38: | ||
* получать и проверять информацию, необходимую для создания соответствия между информацией, указанной в сертификате ключа, и предъявленными документами. |
* получать и проверять информацию, необходимую для создания соответствия между информацией, указанной в сертификате ключа, и предъявленными документами. |
||
== Удостоверяющие центры в России == |
|||
| ⚫ | |||
Для осуществления работы удостоверяющие центры, согласно закону N 63-ФЗ от 6 апреля 2011 года,<ref name="sb0102">{{Cite web |lang=ru |url=https://docs.cntd.ru/document/902271495 |title=ФЕДЕРАЛЬНЫЙ ЗАКОН Об электронной подписи (с изменениями на 24 февраля 2021 года) |website=https://docs.cntd.ru/ |date=2021-02-24 |publisher=docs.cntd.ru |access-date=2021-05-22 |archive-date=2021-05-22 |archive-url=https://web.archive.org/web/20210522062051/https://docs.cntd.ru/document/902271495 |url-status=live }}</ref>, должны быть аккредитованы.<ref name="sb2205">{{Cite web |lang=ru |url=https://digital.gov.ru/ru/documents/?words=Аккредитация%20удостоверяющих%20центров |title=Аккредитация удостоверяющих центров |website=digital.gov.ru |date=2021-05-22 |publisher=digital.gov.ru |access-date=2021-05-22 |url-status=dead }}</ref> Указанный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий. В связи с интенсивным развитием цифровизации государственных услуг в 2021 году |
|||
| ⚫ | * В [[Российская Федерация|Российской Федерации]] центры сертификации электронных подписей иногда используются для фальсификации [[Электронная подпись|электронных подписей]]<ref>[http://www.pfrf.ru/branches/eao/news~2017/06/29/138229 «ПФР приостановил прием заявлений о переводе накоплений в УК и НПФ»] |
||
регламент работы удостоверяющих центров существенно изменен. |
|||
| ⚫ | * Другой способ манипуляции с электронными подписями через центр сертификации заключается в том, что клиенту предлагают дистанционный выпуск [[квалифицированный сертификат ключа проверки электронной подписи|квалифицированного сертификата]] без личного контакта заявителя и сотрудника регистрационного отдела [[Удостоверяющий центр|удостоверяющего центра]], в этом случае оформление электронной подписи производится удаленно, на основании документов заявителя, представленных через интернет центру сертификации<ref>[http://www.garant.ru/article/1152934/ «Выпуск электронной подписи без личного присутствия заявителя нарушает закон»] «[[Гарант (справочно-правовая система)|Гарант]]» от 7 декабря 2017</ref>. В результате подобных действий, вызванных, по мнению специалистов правовой системы «[[Гарант (справочно-правовая система)|Гарант]]», тем что «[[Информационные технологии|IT-функции]] в деятельности [[УЦ]] преобладают над его [[Юриспруденция|юридической сущностью]]», электронная подпись может быть использована недобросовестными третьими лицами<ref>[https://www.garantexpress.ru/statji/oformlenie-elektronnoi-podpisi-bez-lichnogo-prisutstvia-narushaet-zakon/ «Оформление электронной подписи без личного присутствия нарушает закон»] «[[Электронный экспресс]]», 2018.</ref>. Недопустим выпуск сертификата электронной подписи по рукописной доверенности<ref>[http://www.garant.ru/article/1166128/ «Риски выпуска сертификата электронной подписи по рукописной доверенности»] Компания «[[Гарант (справочно-правовая система)|Гарант]]» от 19 января 2018.</ref>. |
||
| ⚫ | |||
{{значимость раздела}} |
|||
| ⚫ | * В [[Российская Федерация|Российской Федерации]] центры сертификации электронных подписей иногда используются для фальсификации [[Электронная подпись|электронных подписей]]<ref>[http://www.pfrf.ru/branches/eao/news~2017/06/29/138229 «ПФР приостановил прием заявлений о переводе накоплений в УК и НПФ»] {{Wayback|url=http://www.pfrf.ru/branches/eao/news~2017/06/29/138229 |date=20180316214712 }} 2008—2018 «[[Пенсионный Фонд Российской Федерации]]» от 29 июня 2017</ref>. По мнению аудиторов [[Счётная палата Российской Федерации|Счетной палаты Российской Федерации]], после массовых [[Незаконный перевод пенсионных накоплений из ПФР в НПФ|незаконных переводов пенсионных накоплений из ПФР в НПФ]] действия аккредитованных удостоверяющих центров по передаче заявлений о смене страховщика нуждаются в специальной проверке со стороны [[Минкомсвязь|Минкомсвязи]]<ref>[https://ria.ru/society/20170627/1497350296.html «Порядок перевода пенсионных накоплений из ПФР несет риски, считают в СП»] {{Wayback|url=https://ria.ru/society/20170627/1497350296.html |date=20180313214326 }} МИА «Россия сегодня» от 27.06.2017.</ref>, дело в том, что коллегия Счетной палаты под председательством [[Голикова, Татьяна Алексеевна|Татьяны Голиковой]] уличила некоторые УЦ в неправомерном применении [[Электронная подпись|электронной подписи]] застрахованного лица, а также оформлении документов без участия гражданина<ref>[http://www.ach.gov.ru/press_center/news/30582 «Граждане не имеют возможности получить актуальную информацию при заключении договора с НПФ»] {{Wayback|url=http://www.ach.gov.ru/press_center/news/30582 |date=20180313214459 }} «[[Счетная палата Российской Федерации]]», 27 июня 2017</ref>. «Проверка Счетной палаты в очередной раз выявила массовые нарушения даже при наличии усиленных мер защиты электронной подписи», прокомментировал ситуацию президент АНПФ [[Беляков, Сергей Юрьевич|Сергей Беляков]]<ref>[https://www.gazeta.ru/business/2017/07/30/10811936.shtml «Простая электронная подпись не защитит накопления»] {{Wayback|url=https://www.gazeta.ru/business/2017/07/30/10811936.shtml |date=20180314042700 }} [[gazeta.ru]] от 31.07.2017,</ref>, причем, доказательства манипуляций УЦ с подписями были настолько убедительными, что [[ПФР]] прекратил прием заявлений о переводе пенсионных накоплений через удостоверяющие центры<ref>[https://www.vedomosti.ru/finance/articles/2017/06/28/699797-pfr-schetnoi-palati «ПФР будет работать по-новому после критики Счетной палаты»] {{Wayback|url=https://www.vedomosti.ru/finance/articles/2017/06/28/699797-pfr-schetnoi-palati |date=20180314043838 }} «[[Ведомости]]» от 28 июня 2017</ref>. В [[Пенсионный фонд России|Пенсионом фонде России]] называли случившееся последствием пилотного проекта, но не отрицали, что переходы стали возможны, в том числе, через агентов, сотрудничающих с удостоверяющими центрами<ref>[https://www.rbc.ru/finances/27/06/2017/595272439a79470a5ba532d2 «Счетная палата указала на манипуляции с пенсионными накоплениями граждан»] {{Wayback|url=https://www.rbc.ru/finances/27/06/2017/595272439a79470a5ba532d2 |date=20171107153129 }} «[[РБК]]» от 27 июня 2017</ref>, «не выдерживающими никакой критики» оправданиями назвала подобную позицию ПФР председатель Счетной палаты Татьяна Голикова<ref>[https://www.vedomosti.ru/finance/articles/2017/06/27/698696-schetnaya-palata «Выявлены массовые фальсификации при переводе пенсионных накоплений»] {{Wayback|url=https://www.vedomosti.ru/finance/articles/2017/06/27/698696-schetnaya-palata |date=20180316153058 }} «[[Ведомости (газета)|Ведомости]]» от 27 июня 2017</ref>. Некоторые эксперты утверждали, что массовая фальсификация электронных подписей производилась путем повторного использования удостоверяющим центром электронной подписи клиента<ref>[https://www.rbc.ru/newspaper/2017/06/23/594be6c19a79472330fbbb49 «Электронная подпись вышла из доверия»] {{Wayback|url=https://www.rbc.ru/newspaper/2017/06/23/594be6c19a79472330fbbb49 |date=20171109032548 }} «[[РБК (газета)|РБК]]» № 108 (2604) (2306) 23 июня 2017: ''«По словам советника НАПФ Валерия Виноградова, электронная подпись, формирующаяся в удостоверяющем центре, должна использоваться единоразово. После ее использования центр должен ее удалить, говорит он. „Однако в конце декабря эти электронные подписи клиентов использовались вторично“, — констатирует эксперт»''.</ref>. В результате, заподозривший сговор [[Удостоверяющий центр|УЦ]] с [[НПФ]], [[Минтруд]] разработал предложение по исключению [[Удостоверяющий центр|удостоверяющих центров]] из системы подачи [[Электронный документ|электронных заявлений]] о смене НПФ от граждан, на что Минфин и Минэкономразвития направили отрицательные отзывы и заблокировали инициативу Минтруда, как незаконную<ref>[https://www.vedomosti.ru/economics/articles/2017/01/16/673169-mintruda «Минтруд решил осложнить перевод пенсионных накоплений»] {{Wayback|url=https://www.vedomosti.ru/economics/articles/2017/01/16/673169-mintruda |date=20180314043927 }} «[[Ведомости]]» от 16 января 2017</ref>, однако, доверие к российским УЦ было безвозвратно потеряно<ref>[https://www.kommersant.ru/doc/3503523 «НПФ решили проблему перехода»] {{Wayback|url=https://www.kommersant.ru/doc/3503523 |date=20180314104423 }} Газета «Коммерсантъ» № 239 от 22.12.2017, стр. 10.</ref>. |
||
| ⚫ | * Другой способ манипуляции с электронными подписями через центр сертификации заключается в том, что клиенту предлагают дистанционный выпуск [[квалифицированный сертификат ключа проверки электронной подписи|квалифицированного сертификата]] без личного контакта заявителя и сотрудника регистрационного отдела [[Удостоверяющий центр|удостоверяющего центра]], в этом случае оформление электронной подписи производится удаленно, на основании документов заявителя, представленных через интернет центру сертификации<ref>[http://www.garant.ru/article/1152934/ «Выпуск электронной подписи без личного присутствия заявителя нарушает закон»] {{Wayback|url=http://www.garant.ru/article/1152934/ |date=20180317102204 }} «[[Гарант (справочно-правовая система)|Гарант]]» от 7 декабря 2017</ref>. В результате подобных действий, вызванных, по мнению специалистов правовой системы «[[Гарант (справочно-правовая система)|Гарант]]», тем что «[[Информационные технологии|IT-функции]] в деятельности [[УЦ]] преобладают над его [[Юриспруденция|юридической сущностью]]», электронная подпись может быть использована недобросовестными третьими лицами<ref>[https://www.garantexpress.ru/statji/oformlenie-elektronnoi-podpisi-bez-lichnogo-prisutstvia-narushaet-zakon/ «Оформление электронной подписи без личного присутствия нарушает закон»] {{Wayback|url=https://www.garantexpress.ru/statji/oformlenie-elektronnoi-podpisi-bez-lichnogo-prisutstvia-narushaet-zakon/ |date=20180316214741 }} «[[Электронный экспресс]]», 2018.</ref>. Недопустим выпуск сертификата электронной подписи по рукописной доверенности<ref>[http://www.garant.ru/article/1166128/ «Риски выпуска сертификата электронной подписи по рукописной доверенности»] {{Wayback|url=http://www.garant.ru/article/1166128/ |date=20180319004020 }} Компания «[[Гарант (справочно-правовая система)|Гарант]]» от 19 января 2018.</ref>. |
||
== См. также == |
== См. также == |
||
* [[Рутокен]] |
|||
* [[Verisign|VeriSign]] |
* [[Verisign|VeriSign]] |
||
* [[Let's Encrypt]] |
* [[Let's Encrypt]] |
||
* {{iw|GlobalSign}} |
|||
* [[Certificate Revocation List]] |
|||
== Примечания == |
== Примечания == |
||
| Строка 52: | Строка 58: | ||
== Ссылки == |
== Ссылки == |
||
* [http://www.tractis.com/countries Перечень центров сертификации по странам] |
* [http://www.tractis.com/countries Перечень центров сертификации по странам]{{dead link}} |
||
* {{dmoz|Computers/Security/Public_Key_Infrastructure/PKIX/Tools_and_Services/Third_Party_Certificate_Authorities/|Удостоверяющие центры}} |
* {{dmoz|Computers/Security/Public_Key_Infrastructure/PKIX/Tools_and_Services/Third_Party_Certificate_Authorities/|Удостоверяющие центры}} |
||
* [http://www.mozilla.org/projects/security/certs/included/ Список корневых сертификатов, включенных в Firefox] |
* [http://www.mozilla.org/projects/security/certs/included/ Список корневых сертификатов, включенных в Firefox] |
||
* [http://www.sslshopper.com/certificate-authority-reviews.html Обзор Удостоверяющих Центров] |
* [http://www.sslshopper.com/certificate-authority-reviews.html Обзор Удостоверяющих Центров] |
||
* https://habr.com/ru/post/666520/ , <nowiki>https://archive.today/20220519152327/https://habr.com/ru/post/666520/</nowiki> , <nowiki>https://itnan.ru/post.php?c=1&p=666520</nowiki> |
|||
{{Внешние ссылки нежелательны}} |
|||
{{rq|wikify|sources}} |
{{rq|wikify|sources}} |
||
Текущая версия от 10:00, 13 ноября 2024
В криптографии центр сертификации или удостоверяющий центр (англ. Certification authority, CA) — сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.
Технически центр сертификации реализован как компонент глобальной службы каталогов и отвечает за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.
Потребность в центре сертификации
[править | править код]Асимметричный шифр позволяет шифровать одним ключом, а расшифровывать другим. Таким образом, один ключ (ключ расшифровки, «секретный») хранится у принимающей стороны, а второй (ключ шифрования, «открытый») можно получить при сеансе прямой связи, по почте, найти на «электронной доске объявлений», и т. д. Но такая система связи остаётся уязвимой для злоумышленника, который представляется Алисой, но отдаёт свой открытый ключ, а не её.
Для решения этой проблемы открытый ключ Алисы вместе с сопроводительной информацией (именем, сроком действия и прочим) подписывается центром сертификации. Конечно же, предполагается, что центр сертификации честный и не подпишет ключ злоумышленника. И второе требование: открытый ключ центра сертификации распространяется настолько широко, что ещё до установления связи Алиса и Боб будут иметь этот ключ, и злоумышленник ничего не сможет с этим поделать.
Когда сеть очень велика, нагрузка на центр сертификации получается большая. Поэтому сертификаты могут образовывать цепочки: корневой центр сертификации подписывает ключ службы безопасности компании, а та — ключи сотрудников. Честными должны быть все члены цепочки, а иметь широко известный ключ достаточно корневому центру.
Наконец, секретные ключи абонентов время от времени раскрываются. Поэтому, если есть возможность связаться напрямую с центром сертификации, последний должен иметь возможность отзывать сертификаты своих «подчинённых».
На случай, если есть дешёвый открытый канал связи (Интернет) и дорогой засекреченный (личная встреча), существуют самозаверенные сертификаты. Их, в отличие от обычных, дистанционно отзывать невозможно. Корневые сертификаты также технически являются самозаверенными.
Основные сведения
[править | править код]Центр сертификации — это компонент, отвечающий за управление криптографическими ключами пользователей.
Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру:
- серийный номер сертификата;
- объектный идентификатор алгоритма электронной подписи;
- имя удостоверяющего центра;
- срок действия сертификата;
- имя владельца сертификата (имя пользователя, которому принадлежит сертификат);
- открытые ключи владельца сертификата (ключей может быть несколько);
- объектные идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;
- электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хеширования всей информации, хранящейся в сертификате).
Отличием аккредитованного центра является то, что он находится в договорных отношениях с вышестоящим удостоверяющим центром и не является первым владельцем самоподписанного сертификата в списке удостоверенных корневых сертификатов. Корневой сертификат аккредитованного центра удостоверен вышестоящим удостоверяющим центром в иерархии системы удостоверения. Таким образом, аккредитованный центр получает «техническое право» работы и наследует «доверие» от организации, выполнившей аккредитацию.
Аккредитованный центр сертификации ключей обязан выполнять все обязательства и требования, установленные законодательством страны нахождения или организацией, проводящей аккредитацию в своих интересах и в соответствии со своими правилами.
Порядок аккредитации и требования, которым должен отвечать аккредитованный центр сертификации ключей, устанавливаются соответствующим уполномоченным органом государства или организации, выполняющей аккредитацию.
Центр сертификации ключей имеет право:
- предоставлять услуги по удостоверению сертификатов электронной цифровой подписи
- обслуживать сертификаты открытых ключей
- получать и проверять информацию, необходимую для создания соответствия между информацией, указанной в сертификате ключа, и предъявленными документами.
Удостоверяющие центры в России
[править | править код]Для осуществления работы удостоверяющие центры, согласно закону N 63-ФЗ от 6 апреля 2011 года,[1], должны быть аккредитованы.[2] Указанный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий. В связи с интенсивным развитием цифровизации государственных услуг в 2021 году регламент работы удостоверяющих центров существенно изменен.
Манипуляции с электронными подписями в центрах сертификации РФ
[править | править код] | Этот раздел имеет чрезмерный объём или содержит маловажные подробности неэнциклопедичного характера. |
- В Российской Федерации центры сертификации электронных подписей иногда используются для фальсификации электронных подписей[3]. По мнению аудиторов Счетной палаты Российской Федерации, после массовых незаконных переводов пенсионных накоплений из ПФР в НПФ действия аккредитованных удостоверяющих центров по передаче заявлений о смене страховщика нуждаются в специальной проверке со стороны Минкомсвязи[4], дело в том, что коллегия Счетной палаты под председательством Татьяны Голиковой уличила некоторые УЦ в неправомерном применении электронной подписи застрахованного лица, а также оформлении документов без участия гражданина[5]. «Проверка Счетной палаты в очередной раз выявила массовые нарушения даже при наличии усиленных мер защиты электронной подписи», прокомментировал ситуацию президент АНПФ Сергей Беляков[6], причем, доказательства манипуляций УЦ с подписями были настолько убедительными, что ПФР прекратил прием заявлений о переводе пенсионных накоплений через удостоверяющие центры[7]. В Пенсионом фонде России называли случившееся последствием пилотного проекта, но не отрицали, что переходы стали возможны, в том числе, через агентов, сотрудничающих с удостоверяющими центрами[8], «не выдерживающими никакой критики» оправданиями назвала подобную позицию ПФР председатель Счетной палаты Татьяна Голикова[9]. Некоторые эксперты утверждали, что массовая фальсификация электронных подписей производилась путем повторного использования удостоверяющим центром электронной подписи клиента[10]. В результате, заподозривший сговор УЦ с НПФ, Минтруд разработал предложение по исключению удостоверяющих центров из системы подачи электронных заявлений о смене НПФ от граждан, на что Минфин и Минэкономразвития направили отрицательные отзывы и заблокировали инициативу Минтруда, как незаконную[11], однако, доверие к российским УЦ было безвозвратно потеряно[12].
- Другой способ манипуляции с электронными подписями через центр сертификации заключается в том, что клиенту предлагают дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра, в этом случае оформление электронной подписи производится удаленно, на основании документов заявителя, представленных через интернет центру сертификации[13]. В результате подобных действий, вызванных, по мнению специалистов правовой системы «Гарант», тем что «IT-функции в деятельности УЦ преобладают над его юридической сущностью», электронная подпись может быть использована недобросовестными третьими лицами[14]. Недопустим выпуск сертификата электронной подписи по рукописной доверенности[15].
См. также
[править | править код]Примечания
[править | править код]- ↑ ФЕДЕРАЛЬНЫЙ ЗАКОН Об электронной подписи (с изменениями на 24 февраля 2021 года). https://docs.cntd.ru/. docs.cntd.ru (24 февраля 2021). Дата обращения: 22 мая 2021. Архивировано 22 мая 2021 года.
- ↑ Аккредитация удостоверяющих центров (недоступная ссылка — история). digital.gov.ru. digital.gov.ru (22 мая 2021). Дата обращения: 22 мая 2021.
- ↑ «ПФР приостановил прием заявлений о переводе накоплений в УК и НПФ» Архивная копия от 16 марта 2018 на Wayback Machine 2008—2018 «Пенсионный Фонд Российской Федерации» от 29 июня 2017
- ↑ «Порядок перевода пенсионных накоплений из ПФР несет риски, считают в СП» Архивная копия от 13 марта 2018 на Wayback Machine МИА «Россия сегодня» от 27.06.2017.
- ↑ «Граждане не имеют возможности получить актуальную информацию при заключении договора с НПФ» Архивная копия от 13 марта 2018 на Wayback Machine «Счетная палата Российской Федерации», 27 июня 2017
- ↑ «Простая электронная подпись не защитит накопления» Архивная копия от 14 марта 2018 на Wayback Machine gazeta.ru от 31.07.2017,
- ↑ «ПФР будет работать по-новому после критики Счетной палаты» Архивная копия от 14 марта 2018 на Wayback Machine «Ведомости» от 28 июня 2017
- ↑ «Счетная палата указала на манипуляции с пенсионными накоплениями граждан» Архивная копия от 7 ноября 2017 на Wayback Machine «РБК» от 27 июня 2017
- ↑ «Выявлены массовые фальсификации при переводе пенсионных накоплений» Архивная копия от 16 марта 2018 на Wayback Machine «Ведомости» от 27 июня 2017
- ↑ «Электронная подпись вышла из доверия» Архивная копия от 9 ноября 2017 на Wayback Machine «РБК» № 108 (2604) (2306) 23 июня 2017: «По словам советника НАПФ Валерия Виноградова, электронная подпись, формирующаяся в удостоверяющем центре, должна использоваться единоразово. После ее использования центр должен ее удалить, говорит он. „Однако в конце декабря эти электронные подписи клиентов использовались вторично“, — констатирует эксперт».
- ↑ «Минтруд решил осложнить перевод пенсионных накоплений» Архивная копия от 14 марта 2018 на Wayback Machine «Ведомости» от 16 января 2017
- ↑ «НПФ решили проблему перехода» Архивная копия от 14 марта 2018 на Wayback Machine Газета «Коммерсантъ» № 239 от 22.12.2017, стр. 10.
- ↑ «Выпуск электронной подписи без личного присутствия заявителя нарушает закон» Архивная копия от 17 марта 2018 на Wayback Machine «Гарант» от 7 декабря 2017
- ↑ «Оформление электронной подписи без личного присутствия нарушает закон» Архивная копия от 16 марта 2018 на Wayback Machine «Электронный экспресс», 2018.
- ↑ «Риски выпуска сертификата электронной подписи по рукописной доверенности» Архивная копия от 19 марта 2018 на Wayback Machine Компания «Гарант» от 19 января 2018.
Ссылки
[править | править код]- Перечень центров сертификации по странам (недоступная ссылка)
- Удостоверяющие центры в каталоге ссылок Curlie (dmoz)
- Список корневых сертификатов, включенных в Firefox
- Обзор Удостоверяющих Центров
- https://habr.com/ru/post/666520/ , https://archive.today/20220519152327/https://habr.com/ru/post/666520/ , https://itnan.ru/post.php?c=1&p=666520
 | Для улучшения этой статьи желательно:
|