Как должен выглядеть процесс подписания документов квалифицированной электронной подписью?

Question

[RedQuark]

Суть такая: technokad(technokad.ru) выпустил эцп, у меня остался фиговый листочек - сведение о сертификате с кодом открытого ключа. Флэшки нет, выпустить закрытый ключ на своем компьютере мне не дали. На одном листке, который ушел technokad с названием "Сведения о запросе на изготовление" было поле "Подпись:" и символы в шенадцатеричной кодировке. Надеюсь это не была та самая закрытая часть ключа которую ни кто не должен был видеть. Итого у меня ничего нет, кроме телефона, на который присылают смс. Теперь самое странное, мне пик собирается просто текст прислать смс с кодом и что бы я его ему сказал, тем самым что то там подписав. На резонный вопрос будет ли там хэш код md5 или аналог и документ на почту, мне сказали что ничего не будет. Мне предлагают воздух подписать.

Расскажите как должно подписание происходить? Совсем не ясно почему у меня нет контроля над закрытым ключом и где контроль над документом который мне подсовывают подписать.

P.S. вот тут описано техническое видение на то что творит пик: https://lefortovopark.ru/threads/ehlektronnaja-reg... - если кратко, то да вопиющим образом тебя лишают контроля над закрытой частью ключа и что там с ним тайна покрытая мраком, толи у пика, толи ключ у технокада, но при этом пик как себе домой ходит туда и закидывает на подпись документы. Из интересного там так же упоминается что одной смс можно бахнуть пакет документов.

Answer 1

[Евгений]

Почему не задать этот вопрос технокаду, по самой процедуре и тд и тп?
Вообще закрытая часть ключа должна быть у вас, с помощью нее и формируется подпись (при подписании документа формируется его хеш и уже он подписывается, если внести изменения в документ хеш уже будет новый и подпись не действительна), передача КЭП третьим лицам сразу же компрометирует.

Конечно еще есть вариант облачного хранения ЭЦП, решения типа КриптоПро DSS (Например сервис Контур Эльба такое использует для отчетности ИП), но что то я сомневаюсь что там это стоит...

Comments

[RedQuark]

Во первых они просто трубку не берут, во вторых меня не очень волнует как они придумали работать. В первую очередь мне интересно должно ли в смс, быть информация которая гарантирует, что код из нее относится к подписываемому документу.

[Евгений]

RedQuark, в смс может ни чего не быть кроме кода. Так как при подписании где происходит оно непосредственно с помощью ввода смс должна быть вся информация, дублировать ее в смс накладно и нет смысла. И вас должно волновать, так как КЭП это очень серьезно, можно пойти организацию вашу переоформить на себя (сменить гендира, сменить учредителей), можно квартиру переоформить без вашего присутствия, можно в налоговую зайти, можно зайти на госуслуги, можно кредитов набрать и узнаете вы это все постфактум, будете потом в суде доказывать что вы не "олень", хотя вы уже он (без обид). Просто вот пулей бежать отзывать подпись.....

[RedQuark]

hint000, Меня спросили согласен ли я подписывать эцп договор с пик, я ответил почему бы и нет. А когда обнаружил что мне не собираются отдать приватный ключ, я сообщил что не хочу иметь дело с technokad, которая посредник Таксоком, а хочу сделать все у Таксаком, сколько бы это не стоило, потому что у них дается крипто про, ты на своем компьютере создаешь ключ, отсылаешь открытую часть и ее верифицируют, мне все нравится и доку подписываешь у себя на компьютере через крипто про. И тут начался цирк с конями: просто подпись нам не подходит от других поставщиков подписей, у нас только интеграция с technokad, хотите можете на бумаге подписать. Но! если на бумаги то заново договор создаем, цена новая...

[Евгений]

RedQuark, чем это грозит я вам чуть выше написал, плюс у вас не будет даже самой подписи документа и самого документа, но это же просто бред. Если как выговорите оператор Таксаком, то бежать к ним отзывать подпись.

[Василий Банников]

Евгений, КЭП можно отозвать через госуслуги.
Раз тут речь идёт об смс, то скорее всего используется обычная/неквалифицированная ЭП.

[Евгений]

Василий Банников, к сожалению КЭП, у этой конторы в соглашении написано что выпускают квалифицированную и хранят у себя, на руки клиентам не передают.

Тут

Вот пункты для ТС

7. Создание и хранение ключей ЭП осуществляется на автоматизированном рабочем месте
ООО «ТехноКад», аттестованном на соответствие требованиям по технической защите
конфиденциальной информации, размещенном в аттестованном помещении, доступ в которое
ограничен.
Созданные ключи ЭП хранятся в течение всего срока их действия в УЦ и передаче
Пользователю УЦ не подлежат. После выведения их из эксплуатации, вне зависимости от причины
вывода из эксплуатации, ключи ЭП подлежат уничтожению.

И еще для RedQuark,

11. Формирование электронной подписи осуществляется после обязательного ознакомления
Пользователя с документом, подписываемым его электронной подписью.
Подтверждение согласия владельца сертификата на создание ЭП доводится до УЦ от
Доверенного лица посредством отправки запроса на формирование подписи с указанием
идентификационных данных Пользователя и введения Доверенным лицом цифрового кода,
полученного Пользователем на номер мобильного телефона, указанный в Заявлении. Для
непосредственного формирования электронной подписи Пользователь должен сообщить
Доверенному лицу цифровой код, без введения кода создание электронной подписи невозможно.
Формирование электронной подписи на условиях настоящей памятки может быть
осуществлено только с согласия владельца сертификата, соответствующий ключ электронной
подписи которого действует на момент формирования электронной подписи.

В общем какой то треш... тут лучше юристу разбираться, что то мне кажется тут нарушения законов по полной программе.

Answer 2

[Максим Корнеев]

про ЭЦП есть ФЗ 152 почитайте - там написано где и как храниться должно