Amega
@Amega
Senior PHP Developer

Как правильно получить ЭЦП в ФНС с точки зрения безопасности?

Добрый день!

Не претендую на экспертность в области криптографии и информационной безопасности, но моих знаний достаточно, чтобы понимать, что ключи для ЭЦП должны быть сгенерированы непосредственно на самом носителе, а не импортированы на него. В противном случае у меня нет никаких гарантий, что мой приватный ключ не окажется у кого-либо еще со всеми вытекающими из этого последствиями. Учитывая, что Квалифицированная Электронная Подпись является юридически значимой почти во всех случаях даже без дополнительных договоренностей между сторонами (поправьте, если я не прав), считаю данный риск слишком высоким. Одновременно с этим мне известно, что ФНС (на текущий момент - монополист по выдаче этих подписей) по умолчанию выдает лишь "программные" ключи, то есть ключи, сгенерированные на каком-то их компьютере с последующей записью на токен.

Вопрос в следующем: может кто поделиться конкретным сценарием, подкрепленным успешным опытом, получения ЭЦП таким образом, чтобы ключи генерировались непосредственно на носителе? Как правильно донести сотруднику ФНС о моем предпочтении? Сталкивались ли с какими-то трудностями, настаивая в ФНС на этом? Слышал, что сотрудники ФНС пытаются всячески препятствовать такому пути, пытаясь всячески убедить клиента в том, как там все безопасно и так далее. Что, на самом деле, еще больше подрывает доверие к их "безопасности".
  • Вопрос задан
  • 209 просмотров
Пригласить эксперта
Ответы на вопрос 1
@rPman
Это 'беда' во всем мире, власть, даже там где это не нужно стремится сохранить контроль, в т.ч. и сохраняет у себя выданные ключи.

Не важно, как там дальше работа устроена, систему можно было бы построить таковой, чтобы приватные ключи шифрования никогда не покидали устройство конечного пользователя, но реализовали именно так - ключи шифрования генерирует удостоверяющий центр, хранит их и выдает пользователям. С точки зрения доверия - в этой схеме приходится доверять сотрудникам этого центра.

p.s. вот увидите, когда наши доблестные разработчики 'государственной криптовалюты' запилят свою систему, они умудрятся сделать бред точно такого же уровня.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы