Универсальна ли квалифицированная электронная подпись?

Ситуация следующая
Я пользуюсь услугами бухгалтерской конторы. Они подают за меня отчёты в налоговую через 1С-Отчётность. Для этого я каждый год через них оформляю Квалифицированную электронную подпись, которая фактически хранится у них. Т.к. они подписываю отчётность от моего имени.
С недавнего времени я обнаружил, что на портале Госулуг присутствуют эти подписи (за несколько лет).
Так как это Квалифицированная электронная подпись, то она обладает правами бумажной подписи. Отсюда вопрос могут ли злоумышленники, взять подпись у бухгалтерской конторы и подписать за меня другие документы, например продать квартиру?
Мои догадки
Как я понял для 1С создаётся подпись с OID (объектный идентификатор) уникально идентифицирующий пользователя в 1С. Другие системы тоже требуют OID для работы. Т.е. существует некий механизм разграничения прав и это хорошо с одной стороны, но плохо с другий (нужно платить за подпись для каждой системы)
Однако согласно https://iecp.ru/articles/item/428240-Zapret-na-dop... OID отменяются и подпись становится универсальной для всех. И получается что подпись для 1С подходит для продажи квартиры?
Где ещё можно что почитать про это?

UPDATE 19.02.2021
Любая подпись универсальна. Получил ответ от эксперта с iecp.ru

Согласно ч. 1 ст. 6 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее – Закон № 63-ФЗ) информация в электронной форме, подписанная усиленной квалифицированной электронной подписью (далее - КЭП), признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.

Таким образом, в Вашем случае есть риски по многим вопросам (взятие на Ваше имя кредитов, регистрация юрлиц и т.д.). Уверяем Вас, что и наличие до 01-07-2020 в квалифицированном сертификате объектного идентификатора (OID) никак Вас не страховало от указанных потенциальных угроз.

Чтобы избежать любых неприятностей при использовании КЭП, ее владелец должен строго соблюдать правила информационной безопасности, приведенные в Законе № 63-ФЗ , а также руководство по обеспечению безопасности использования КЭП и средств квалифицированной электронной подписи, которое аккредитованный удостоверяющий центр должен предоставить владельцу квалифицированного сертификата одновременно с его выдачей.

Рекомендуем вам ознакомиться со статьей "«Самооборона» на рынке электронной подписи: как противостоять мошенникам" (https://iecp.ru/articles/item/424130-samooborona-n...), а также с новостью "Меняется порядок использования электронной подписи при сделках с недвижимостью" (https://iecp.ru/news/item/424464-meniaetsia-poriad...).


Договорился с бухгалтерами на слудующиую схему
1. Они ведут бухгалтерию и формируют отчётность
2. Я через СБИС подписываю и отправляю документы

Всем спасибо.
PS. Я сам программист с большим стажем и прекрасно понимаю чем отркытый ключ отличается от закрытого. Но когда это доходит до бытового уровня, то получается сапожник без сапог :)
  • Вопрос задан
  • 188 просмотров
Пригласить эксперта
Ответы на вопрос 6
Keffer
@Keffer
Delenn Test Group
Лучшее решение проблемы - не давать никому использовать свою ЭЦП и делать все самому. Всякие отчетности сдавать и т.д. А если доверяете - на свой страх и риск.
Ответ написан
Я ничего не понимаю в 1С, но в связи с работой, немного обучен обращению со СКЗИ. Так вот, вы грубо нарушили одно из правил личной цифровой гигиены: никогда никому не передавать токен с закрытой частью! В УЦ, куда вы обращались, вас обязаны были проинструктировать об этом. Я себе заказывал в Контуре, вот выдержка из их памятки:
5.8 Обращение с ключевой информацией
Владелец сертификата ключа проверки ЭП обязан:
- Хранить в тайне ключ ЭП (закрытый ключ).
- Не использовать для электронной подписи и шифрования ключи, если ему известно, что эти ключи используются или использовались ранее.
- Немедленно требовать приостановления действия сертификата ключа проверки ЭП при наличии оснований полагать, что тайна ключа ЭП (закрытого ключа) нарушена (произошла компрометация ключа).
- Обновлять сертификат ключа проверки ЭП в соответствии с установленным регламентом.


Не дай б-г случись что, вы "сам себе злобный буратино". Выход - выдавать бухгалтеру-аутсорсеру токен только на время отчетов. Такое себе, но хоть так. Но решать вам.
Если вас это беспокоит, вы можете наложить запрет на совершение регистрационных действий с объектом недвижимости без своего личного участия, Федеральный закон от 13.07.2015 № 218-ФЗ «О государственной регистрации недвижимости». Для этого нужно зайдти в личный кабинет https://rosreestr.gov.ru Если вы еще не забрали свою ЭП, то воспользуйтесь учеткой ЕСИА.
Ответ написан
@vabka
Токсичный
Так как это Квалифицированная электронная подпись, то она обладает правами бумажной подписи. Отсюда вопрос могут ли злоумышленники, взять подпись у бухгалтерской конторы и подписать за меня другие документы, например продать квартиру?

Про квартиру не уверен. Вроде там какие-то нюансы появились. Но да, если она привязана к вам, как к физлицу, а не как к фирме.
Но вообще я бы особо не боялся - не думаю, что крупная бухгалтерская компания решит заниматья такой хернёй
Ответ написан
@galaxy
AFAIK, OID'ы - это довески к самому сертификату. Некоторые конторы (Росреестр вроде как) могут требовать наличия определенных OID'ов для работы с ними. Но если действия не требуют наличия OID'a, подойдет любая валидная ЭЦП
Ответ написан
Jump
@Jump
Системный администратор со стажем.
Универсальна ли квалифицированная электронная подпись?
Нет.

Отсюда вопрос могут ли злоумышленники, взять подпись у бухгалтерской конторы и подписать за меня другие документы
Могут, любой подписью можно подписать любые документы.

например продать квартиру?
Смотря какая подпись, и доверяет ли нужная организация этой подписи.

Как я понял для 1С создаётся подпись с OID (объектный идентификатор) уникально идентифицирующий пользователя в 1С.
Непонятно какое отношение к данному вопросу имеет работа платформы 1с?
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Если я чешу в затылке - не беда!
Где ещё можно что почитать про это?

Почитать про то, чем обычно заканчивается доверять закрытый ключ сертификата, который можно использовать для подписи каких-либо документов от Вашего имени, кому-то еще - можно в любом руководстве по безопасности в Интернет. Неважно, квартиру, не квартиру. Некто имеет все возможности совершать некие действия от Вашего имени (которые будут иметь юридическую силу и тот факт, что они были сделаны не Вами, Вам придется отдельно доказывать) - и Вас это вот только сейчас взволновало :)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы