Квалифицированная цифровая подпись (ЭЦП) для физлица 2018

А вот выпускали бы годика на 3 и вообще была бы красота.

Цитата
max20171012 пишет: Т.к. нужно понимать, что украв файл при варианте за 700р, теоретически злоумышленники могут продать Вашу недвижимость без Вашего ведома.

С чего бы это? Вообще то есть реестр отозванных ЭЦП
И если файл украдут то вы можете подать заявление на аннулирование данной подписи

Но вообще ЭЦП для физ лиц нужно делать бесплатно в рамках развития электронного паспорта

Как это было сделано на картах УЭК

Цитата
max20171012 за 2100р - на токене, из которого закрытый ключ не вытащишь, он только хеш считает и даёт ответ - так надёжнее от кражи файла. Т.к. нужно понимать, что украв файл при варианте за 700р, теоретически злоумышленники могут продать Вашу недвижимость без Вашего ведома.

да, секретный ключ надо хранить очень аккуратно. Пароль для доступа к нему делать сложным, но ключ в реестре или на флэшке не защищает от вирусов и кейлоггеров. Поэтому для тех кто не уверен в своем компе, лучше токен.
В принципе можно купить токен или если он есть и загрузить туда сертификат с ключом, а с компьютера отовсюду (и из корзины и из точек восстановления) вычистить.
Хэш подписи показывается как sha1 но это гостовский алгоритм 94 года.

Цитата
А вот выпускали бы годика на 3 и вообще была бы красота.

по каким то требованиям ФСБ максимум год и 3 месяца для всех
для сертификатов удостоверяющих центров 3 года или если они используют железо то 7 лет.

В сертификате Росреестра есть Key Agreement (f8) которого нет в сертификатах Контура ( сертум-про ).
это дает возможность использовать ECDH (ECDSA), а не только ECDHE

В сертификатах Росреестра которые генерируешь сам (за 700р.) есть КС1 и КС2, то есть можно самому загрузить их на защищенный носитель. В сертификатах Контура КС2 нет.

В сертификате росреестров нет OIDов:
Пользователь службы актуальных статусов OCSP (1.2.643.2.2.34.26)
Пользователь службы штампов времени TSP (1.2.643.2.2.34.25)

Также не прописаны сервера tsp и ocsp "Доступ к информации о центрах сертификации"
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL= ...ocsp.srf
Дополнительное имя:
URL= ...tsp.srf

Это не было бы проблемой, если бы у Росреестра был OCSP-сервер выдающий инфо по их сертификатам. В регламенте УЦ Росреестра версии 2 он был, в регламенте версии 3 OCSP и TSP не упомянуты. Это создает проблему - при подписании документов КриптоПроАРМ не считает такой сертификат усовершеноствованным.

КриптоПро CSP документы не подписывает, их можно подписать КриптоПроАРМ (отдельное ПО за деньги). Для того чтобы он мог вставить метки времени нужен серийный ключ (лицензия на софт) на КриптоПроTSP client.
Адреса tsp и ocsp в сертификате могут отсутствовать, но тогда нужно при подписании их вручную ввести.
То есть хорошо бы УЦ росреестра иметь такие сервера и отвечать на запросы подписи документов их сертификатами.

Проблема в том, что подпись равнозначна собственноручной если подпись действительна на момент предъявления подписанного документа либо есть достоверные данные о моменте подписания. Достоверными данными может быть штамп времени пока сертификат сервера времени действует (обычно оставшийся срок действия 10 лет). Причем есть опасность отзыва сертификата сервера времени и если подпись уже не действует, то подпись теряет силу. Также если сертификат tsp сервера подписан сертификатом с меньшим сроком действия от владельца сервера нужно чтобы он переподписал свой сертификат, чего он может не сделать.
Поэтому с подписанными документами может быть проблема: подписываешь отдаешь документ и отзываешь подпись, вторая сторона думает что документ действует а уже нет. Это все равно что удаленно порвать документ.

Росреестр, нотариусы (у них в сертификате ocsp есть tsp нет) подписывают документы без tsp и ocsp и их выписки и подписи действуют не больше года, могут вообще месяц действовать (у нотариусов). Такой документ и файл подписи можно подписать любым УКЭП с вставкой в подпись ответов ocsp и tsp тогда до истечения сертификата tsp сервера будет удостоверено что документ существовал на момент подписи и гарантом существования будет сертификат tsp сервера.

OCSP сервер должен быть того УЦ которым выдан сертификат.
TSP сервера любых УЦ, но не все Удостоверяющие Центры дают доступ к своему TSP серверу не своим клиентам. Более того после подписания документа стоит проверить срок действия сертификата TSP-сервера, которым он подписал документ, а то может подписать сертификатом у которого осталось мало времени.
Самые долго действующие сертификаты
cryptopro Действителен до: 24.10.2026
skbkontur Действителен до: 13.09.2026
sertum-pro Действителен до: 13.03.2027

Удостоверяющие Центры taxcom tensor срок год что неприемлемо для TSP серверов
ncarf вообще финиш - сертификат их TSP сервера истекает через 10 дней
Похоже с этими УЦ не стоит связываться - они непрофессиональны

1400 это тариф для физлиц (1000р) плюс рутокен лайт как носитель (400р.). Продление это на самом деле не продление, а выпуск нового за 1000 - токен то уже есть. Доступа к росреестру такой сертификат не дает, для доступа к ростреестру цена 3400 и КС2 3400

У Росреестровской ЭЦП и Контура есть свои плюсы и минусы.

Основной минус росреестровской за 700р. - у них нет OCSP-сервера. В регламенте росреестра есть услуга по подтверждению валидности и если дойдет до разборок то подтвердят, что сертификат не был отозван в момент подписания.
Мелочь: в Росреестровском сертификате не вставлен OID "Квалифицированный сертификат" (1.2.643.3.7.8.1), у Контура вставлен. Юридически он ни на что не влияет - оба квалифицированные. Это приватный OID Контура.

Плюсы Контура:
1) OCSP и TSP сервер, лицензия на КРиптоПроCSP в составе сертификата. Можно подписывать документы которые будут валидны до 2027 года.
2) рутокен лайт за 400р. куда можно добавить другие свои сертификаты. В розницу стоит 1000р., хотя можно на авито купить JaCarta и аналоги за 500р.
3) отличная поддержка и профессионализм. Другие универсальные УЦ даже рассматривать нет смысла - у них важные косяки в мелочах (OID какой-нибудь не вставят, сроки действия серверов маленькие) и обычно дороже.

Минусы Контура за 1400р.:
1) КС2 нет, в росреестровском есть КС2 и КС1. Это влияет пока только на доступ к некоторым системам, которые физлицам особо не нужны.
2) нет Key Agreement (f8), у росреестра есть
3) ну и понятно что с порталом росреестра не работает
4) в росреестровском сертификате более корректно прописано в Enhanced key usage
Класс средства ЭП КС1 (1.2.643.100.113.1), Контур туда это почему-то не вставляет. Это вроде ни на что не влияет, так как этот OID в обоих сертификатах ставится отдельно.

С помощью сертификата росреестра в КриптоАРМ можно пописывать документы в квалифицированном режиме с отметкой времени. Единственно не работает галочка "включить в подпись доказательства подлинности", но это всего лишь требование ответа OCSP, галочки включения штампов времени на документ, подпись, время создания работает. Глюки с проверкой бывают, если CRL установлен из-под администратора Windows, а КриптоАРМ и CSP запускаются не из под него, тогда надо утилитой Windows удалить CRL запустив ее из-под администратора.

КриптоПро CSP 4 может ставиться в режимах КС1 и КС2. Различие: в режиме КС2 он не работает с ключами в реестре, только с токенами. Поэтому лучше ставить в режиме КС1, это ни на что не влияет.

Токены которые умеют сами создавать пары ключей (неотчуждаемые ключи) и шифровать-дешифровывать смысла пользовать нет - на каждую их партию нужен сертификат ФСБ и сертификат, у которого обычно небольшой срок действия.
Остальные токены всего лишь хранилище ключей с доступом по паролю ("пин") гарантирующие что физически содержимое нельзя считать и что хранят они внутри себя ключи шифруя их ГОСТовскими алгоритмами. Некоторые токены требуют драйверов, некоторые используют стандартные.

У Контура есть бесплатный сервис "контур.крипто" . Если зайти с использованием сертификата, то там есть сервис подписания и шифрвания документов - не нужен КриптоПроАРМ. Если сертификат без osp сервера (называют усовершенствованным), то подписывают без временных меток.

OIDы начинающиеся с 1.2.643. чисто российские ( подробнее например на oid.iitrust.ru ) и компании (торговые площадки и прочие компании) могут регистрировать свои OIDы и наделять их смыслом. Ну и брать за их использование деньги с УЦ или требовать соблюдения условий. Поэтому за вставку OIDов УЦ берут деньги - надо тратиться на договаривание с владельцами OIDов.
В windows в certmgr и прочих программах такие OIDы показываются как "неизвестное использование ключа". Чтобы показывалось корректно в реестр WIndows нужно ввести текст. В интернетах и софте КриптоПро нет reg файлов где всё собрано. Вводить их так:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography­\OID\EncodingType 0\CryptDllFindOIDInfo\1.2.643.x.x.x.x.x!5
"Name"="название"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography­\OID\EncodingType 0\CryptDllFindOIDInfo\1.2.643.x.x.x.x.x!7
"Name"="название"


Резюме:
Если нужно чисто для портала росреестра, то можно росреестровский за 700р. Покупать за 2100 росреестровский не имеет смысла. Лучше за 1400 Контуровский плюс за 700 росреестровский и вставить его в рутокен лайт который даст Контур.

Контуровский сертификат хорош для подписания документов несколькими сторонами (чтобы не было так, что сторона подписывает и через полчаса отзывает сертификат и вроде как не подписывала), либо ждать пока не будут выпущены новые CRL всех УЦ которые удостоверяли подписи и тогда только считать документ подписанным.

===============
update:
опыт получения УКЭП Контура.
Заполнил заявку на странице где можно выбрать место получения в Москве - заход на страницу через страницу техподдержки, с главной страницы нет выбора пункта выдачи. У Контура много партнеров, выбрал ближний пункт "Белый Бизнес".
В теение часа полуил ответ по email от Белого Бизнеса, по email послал то е что в УЦ росреестра - фотку паспорта (регистрацию не нужно - росреестр вставил в сертификат STREET с точностью до квартиры, Контур не вставляет. поле необязательно), СНИЛС и ИНН. По ИНН принимают фотку веб-страницы налоговой. Плюс у кого нет бумажного ИНН.
Сами за меня всё загузили и быстро прислали счет, который оплатил в интернет-банке и заявление. Отправил квитанцию об оплате из ИБ тинькова, заявление распечатал, подписал, сфоткал и отправил с айфона. Заявление с этой подписью в точности надо будет отнести - чтобы соответствовало фотке. Деньги шли часа 4 после чего прислали приглашение прийти с паспортом и принести заявление. Таким образом заполнив заявку можно в тот же день (5-6 часов) получить ЭЦП. Дальше в обед пошел в Белый Бизнес отдал заявление проверили паспорт, очередей нет, за 10 минут сами всё сделали и принесли договор, акт, счет, счет-фактуру, доверенность подписывающего и т.п. и рутокен лайт. Всё это в хорошем пластиковом конверте. Езе через 2 часа пришла СМС что можно зайти в личный кабинет и сгенерировать подпись.
Рутокен лайт с виду простенький, прозрачный с одной микросхемой. Очень удобный:
1) драйвера ставить не надо, в Windows 7 распознается сразу.
2) по умолчанию пароль админа и пользователя пусты. Пароль админа можно установить через КриптоПро CSP. Но пароль пользователя нельзя. Без пароля небезопасно, но неопытным юзерам в самый раз - не заблокируют и тем самым не потеряют доступ к приватному ключу. Скачал драйвер рутокена с сата производителя, встал без косяков. В утилите переформатировал токен и при формаировании установил пароли пользователя и администратора, политику паролей и число попыток ввода.
3) рутокен лайт поддерживает до 15 ключей. Легко скопировал туда ключ росреестра

Пару ключей Контур генерирует на веб-странице через свой сервис веб.крипто - автоматом ставится софт и генерирует средствами устанавливаемого Криптопро CSP. Сохранить секретный ключ можно в реестре или на токен. Сертификат сразу подписывается Контуром и ставится к приватному ключу. Приватный ключ не покидает мой компьютер. Дальше скопировал ключ и сертификат в рутокен.

Особенность: если переименовать секретный ключ в Криптопро (когда генерируется имя длинное), надо установить сертификат в хранилище сертификатов Windows, сертификат привязывается к названию секретного ключа в CSP. Без переустановки будут ошибки "сертификат не найден".

ict зачем вам это всё надо? + включая тонкости с OCSP и TSP ??
у нас где-то так развили ЭДО ? или раз в неделю что-то запрашиваете в рос реестре?

я налоги плачу, пошлину в суд плачу. ни одной справки бесплатно мне не дают.
а теперь, чтобы подать бумагу в суд, надо, оказывается, опять платить. кому? за что?
типа "лишняя тысяча, не обеднеешь"? ни фига себе запросы.

Цитата
max20171012 пишет: теоретически злоумышленники могут продать Вашу недвижимость без Вашего ведома X

да, да... вор, который в чине крадёт миллиард долларов и нищий, который взял бесплатно буханку хлеба - перед законом равны - обоим одинаковое наказание.
самое главное - дистанционно продавать квартиру...ага. это самое главное. каждый день же торгуют квартирами - всё равно, что в магазин за молоком сходить. зубы почистил и давай квартиру продавать.

в этой стране всё не так. "террористы", из-за которого надо уничтожить свободу слова и наводить ужас репрессиями на всё население (а им объяснить, что это для их же блага), воры и убийцы, про которых нельзя сказать правду, чтобы они не обиделись, нищие, которых сажают в тюрьмы и, чтобы они не ушли от ответственности, даже не объясняют им обвинений. теперь ещё "цифровая экономика", суть которой в тотальной слежке. миллиарды, распиленные на "проектах" электронного правительства, где ничего не работает. так ещё и приплатить надо, чтобы тебе разрешили послать бумагу по компьютеру.
пошлины повышают для "окупаемости" госуслуг, деньги за заяву берут, за справку заплати...очень удобно.

а путин-то ничего не знает! - плохие бояре от него правду скрывают! прямо из лондона с яхт скрывают!

Информация для ИП, у которых подключена какая-либо система электронной отчетности: вам нет необходимости покупать отдельную ЭЦП физ.лица.

Во всяком случае у меня получилось воспользоваться ЭЦП, которую дал Аргос в комплекте с программой, для запроса на сайте Росреестра. Стоит все удовольствие 1000р. в год для ИП без работников.

Цитата
alisku пишет: подскажите, а вследствие каких физических явлений ЭП портится через 1 год (и 3 мес) ?

Нет таких физических причин. Есть желание зарабатывать деньги.
Простую подпись на бумаге граждане ставят бесплатно и пользуются этой своей подписью всю жизнь. ФАКСИ́МИЛЕ можно однократно изготовить и пользоваться, только вот факсимиле не допускается использовать на доверенностях, платежных документах, других документах, имеющих финансовые последствия. А электроннуюю подпись хотят почаще перевыпускать, получая за это деньги.
Да, флешка имеет физический износ, зависит от числа перезаписей информации. Но это ничего общего не имеет со сроком действия ЭП.

Цитата
alisku пишет: если файл с ключами скопирует злоумышленник , то он сможет неоспариваемо подписать любые документы от вашего лица ?

Получается, что так:
С вступлением в силу Федерального закона № 63-ФЗ от 6 апреля 2011 года, полномочия электронной подписи были существенно расширены. Теперь налоговая отчетность, банковские и иные документы, подписанные квалифицированной электронной подписью, признаются юридически равнозначными документами на бумажном носителе, подписанным собственноручно.

Цитата
alisku пишет: подскажите, а вследствие каких физических явлений ЭП портится через 1 год (и 3 мес) ?

стойкость ключей, считается что за год и 3 месяца подобрать ключ той длинны которая используется нереально, позже есть какая-то вероятность.
Если ключ подобран (допустим через 5лет упорного подбирания) то тот кто подобрал ключ может понаподписывать что угодно задним числом. Так как удостовериться в дате подписания нельзя то считается что подписано прямо сегодня и если прошло лет 5 понятно что верить нельзя, а если год не прошел то верить можно (если ключа нет в списке отозванных).
Время стойкости к подбору ключа можно увеличить если увеличить длину ключа (плюс увеличить длину ключа хэша), ключи большей длинны используются в сертификатах корневых центров и серверах времени поэтому у них срок действия больше - лет 10. Но тут уже играет роль вероятность что за такое время вирус стащит ключ, поэтому для обычных сертификатов использовать ключи такой длинны и ставить такой срок действия нет смысла.
Чтобы срок действия подписанных документов был не год пошли другим путем - вставляют подписанные метки времени подписания и срок действия документа увеличивается до истечения срок действия сертификата сервера времени (до 10 лет). Срок можно продлить если за этот срок еще раз удостоверить документ или добавить метку времени. Получается цепочка подписей (chain).

Цитата
Fita55 пишет: абсолютно надежным можно считать только самостоятельно сгенерированный ключ (сертификат, электронную подпись)

Цитата
Fita55 пишет: Получая свою электронную подпись из чужих рук никогда нельзя быть уверенным, что изготовитель не оставил бэкдоров (например оставит себе копию).

Википедия со мной согласна: Электронная подпись

"создать корректную электронную подпись можно, как указывалось выше, лишь зная Закрытый ключ, а он по определению должен быть известен только владельцу-автору документа"

Цитата
Fita55 пишет: Теперь налоговая отчетность, банковские и иные документы, подписанные квалифицированной электронной подписью, признаются юридически равнозначными документами на бумажном носителе, подписанным собственноручно.

Вау, наконец вы добрались до закона об электронной подписи. Теперь вы понимаете, что ваш самосгенерированный сертификат, которым вы предлагаете подписывать распоряжения для банка, не обеспечивает юридической силы данных распоряжений?

А в матчасти еще поразбирайтесь, УЦ не имеет доступа к закрытой части ключа, он получает от вас запрос на выпуск сертификата и ничего более. Закрытая часть генерируется на вашей стороне при генерации данного запроса.

Всё. Теперь у Россреестре по ГОСТ 2012 дают. Надеюсь скоро мою сделают. 700 р оплатил