Как получить ЭЦП на любого человека

Возможно, если знаешь как)

> теперь в интернете есть гайд.

Теперь кто-то запасается ведром вазелина.

Ну и чего? Ключ можно получить по доверенности, это не секрет, все по закону. Документы этот гаврик предоставил, при этом он их подделал, так если у тебя знакомый нотариус и участковый, то говорят у любого можно квартиру отжать и без всяких сертификатов.

> Документы этот гаврик предоставил, при этом он их подделал

Ага, подделали паспорт и радуются - вау, мы подделали паспорт.

> А потом говорят, что якобы получали ЭЦП на директора лично.

Видимо конкуренты на Контур решили говна набросать.

Судя по всему, началась компания по уничтожению бизнеса частных удостоверяющих центров и по передаче деятельности по выдаче ЭП (а не ЭЦП, к слову) в государственные органы (Минкомсвязь, ФНС, Казначейство и т.д.)

>Не нужны связи, хватит фотошопа и [пары тысяч рублей]

Далее

>Для этого не нужны ни деликатные связи, ни специальные навыки, ни властный ресурс, достаточно иметь в кармане [до десяти тысяч рублей].

Далее про сам ЭПЦ

>Журналист 47news на собственном опыте убедился в лёгкости, с которой можно получить ЭЦП, причём, за любого человека.

И

>Заполнить все бланки может любой сотрудник фирмы, заплатить можно со своего личного или любого другого.

Т.е. за любого человека у которого есть своя фирма?

>Наловчиться подделывать роспись было непривычно, и тренинг занял четверть часа.

И нужна оригинальная подпись, как-то круг сужается.

>на доверенности на получение ЭЦП другим человеком. Заверять у нотариуса эти документы не нужно, достаточно росписи и печати

Печать у физ лица? Интересненько.

>Итого. ЭЦП можно получить на любого человека. Главное — выяснить его паспортные данные и СНИЛС. В таком случае для получения ключа нужен лишь фотошоп и [7,5 тысяч рублей. ]

Блин, со стоимостью они добивают, никак не могут определиться.
Безусловно дыра в системе есть, но если вы говорите о ЭПЦ, то уточняйте что попробовали сделать для юр. лица с подлогом документов и у вас всё получилось. Ну так вы и обычную подпись подделали.
Что мешает проделать операции которые делаются с помощью ЭПЦ проделать с обычной подписью и вашей поддельной доверенностью?

Что-то я этот трешак пропустил. Пиздец, дыра на дыре

ЭП с точки зрения чего? В книжках что я читал по криптографии была ЭЦП.

> ЭП с точки зрения чего? В книжках что я читал по криптографии была ЭЦП.

С точки зрения закона. Она уже достаточно давно (с 2011 года) стала просто "электронной подписью" и перестала быть "электронной цифровой подписью".

> Судя по всему, началась компания по уничтожению бизнеса частных удостоверяющих центров ...

Которые по фотошопу паспорта и пенсионного удостоверения выдают кому попало сертификат усиленной квалифицированной электронной подписи, и даже оригиналов документов не спрашивают? Туда им и дорога.

> ... ЭП (а не ЭЦП, к слову) ...

Судя по описанию, усиленная квалифицированная ЭП — это и есть ЭЦП.

> Которые по фотошопу паспорта и пенсионного удостоверения выдают кому попало сертификат усиленной квалифицированной электронной подписи, и даже оригиналов документов не спрашивают? Туда им и дорога.

проблема в том, что фото в паспорте не сравнили с копией которая у них должна была бы быть. ну и получается, что подпись тоже могли отфотошопить, для упрощённой подделки доверенности.
в остальном ЭП разрешено давать по доверенности, доверенность подделали, по ней и получили ЭП.
о каких оригиналах документов спрашивается, если всё делается по доверенности - хз.

дыра здесь в принятии подложной доверенности, т.е. это ровно тоже самое что придти в МФЦ с такой же доверенностью и начать делать по ней свои злоумышленные операции.

1. Предлагаю попробовать самому провернуть тот же финт. Удивишься как на самом деле всё непросто делается.
Но речь о том, что сначала в течение почти полутора десятков лет (если не больше) создавали рынок аккредитованных УЦ (в которые загоняли чуть ли не пинками - тот же ФНС, например). А теперь решили резко поменять правила игры. Отличный ход.
Особенно если учесть, что у госорганов тупо нет достаточной инфраструктуры для того, чтобы заменить эти аккредитованные УЦ.

2. Судя по описанию журналист как обычно даже не посчитал нужным разобраться в вопросе. В российском законодательстве ещё с 2011 года нет понятия ЭЦП - его заменили на ЭП (т.е. убрали масло масляное - ненужное слово цифровая).

> > ЭЦП — это способ реализации усиленной ЭП. Если усиленной квалифицированной, то сертификат ключа подписи должен быть выдан аккредитованным УЦ, получившим лицензию ФСБ на этот вид деятельности.

> Почитайте 63-ФЗ, там все термины определены, он небольшой. И там установлено, что "Удостоверяющий центр создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты лицам, обратившимся за их получением (заявителям), при условии установления личности получателя сертификата (заявителя) либо полномочия лица, выступающего от имени заявителя".

В огороде бузина, а в Киеве — дядька? Где в моём сообщении, на которое ты отвечал, что-либо написано про то, на основании чего должен выдаваться сертификат ЭП?

> Полномочия установлены - ЭП создана.

ЭП создаётся не УЦ, а владельцем закрытого ключа. Сертификат ключа ЭП для создания ЭП, сюрприз, не нужен. А вот проверка уже происходит только с помощью того самого сертификата ключа ЭП.

> То, что доверенность и другие документы подделаны - УЦ не волнует. Предъявят документы следователю, если чо.

Нахер такую инфраструктуру, с возможностью получения сертификата ЭП без личного присутствия владельца с оригиналом удостоверения личности. Они бы ещё паспорта по доверенностям выдавать додумались.

> Собственно, именно это я и написал: по моему глубокому убеждению, те УЦ, которые выпускают (выдают) сертификат ключа ЭП, не получая на руки оригинал удостоверения личности государственного образца для сличения фотографии в нём с личностью будущего владельца сертификата, следует в полном составе топить в бочках с говном. Сертификат ЭП — это, фактически, ещё одно удостоверение личности, его по скан-копии удостоверения личности выпускать нельзя.

> Внимательно ли ты прочёл статью? По доверенности им выдали не ЭП, а токен с сертификатом ключа ЭП и закрытым ключом. А вот выпустили этот сертификат по фотошопу паспорта и пенсионного.

С чего это нельзя инициировать создание ключа по копии? В чём тогда заключается процедура упрощённого получения ЭП если тебе всё равно нужно будет лично показать оригинальный документ и только потом через определенный срок снова идти за ключом? В этом же и смысл, что ты заказываешь услугу, потом получаешь её когда тебе все документы подготовят.
Паспортные данные они использовали оригинальные, СНИЛС тоже.
Несмотря на фотошоп, цифры они предоставили оригинальные.

>Нахер такую инфраструктуру, с возможностью получения сертификата ЭП без личного присутствия владельца с оригиналом удостоверения личности. Они бы ещё паспорта по доверенностям выдавать додумались.

Ну т.е. нужно отменить все доверенности и получать документы только лично? Удобно, да.

>У журналистов всё получилось очень просто

Настолько просто, что у них оказались данные паспорта, СНИЛСа, печать организации.
А так да, всё просто.
Эта претензия касается не сколько УЦ и ЭП, сколько самого института доверенности.

Получив данные паспорта, СНИЛС, печать организации, доверенность - ты можешь всё делать и без ключа. Но только с ключом будет проще потом все операции отменить, в теории.

> Конечно же можно! Но вот потом надо выдать токен с этим сертификатом и ключом ЭП законному владельцу ключа ЭП, а как его можно правильно идентифицировать по отфотошопленной копии паспорта? Ну и, считаю, верх идиотизма — выдавать этот токен совершенно левому гражданину с поддельной доверенностью от организации, морфема! Доверенность на получение токена должна быть как минимум нотариально заверенной и на бланке, потому что токен с закрытым (секретным) ключом ЭП для усиленной квалифицированной ЭП — это не канцтовар какой-то, это, фактически, второй паспорт гражданина и он должен выдаваться только ему лично в руки, причём только сотрудником УЦ, который обязан подтвердить его личность по общегражданскому удостоверению. По-другому никак нельзя.

какая нотариальная доверенность если речь о юр лице? юр. лицо правомочно делать доверенность без участия нотариуса, об этом говорится в ГК.
в данном "расследовании" речь про ключ не физ лица, а организации, это не "второй паспорт" гражданина.
данные о владельце есть в базах, на предоставленных копиях есть все цифры для его идентификации.
паспорт кстати они не фотошопили, а изменили только фотку, для полноты эксперимента нужно было бы конечно полностью паспорт рисовать

А вот для физ лица нужна как раз нотариальная доверенность, либо лично присутствие.

> Всё для упрощения жизни мошенников, естественно.

ага, условно ЭП получили 5-7 млн. организаций, 100 тыщ. из них подверглись атаке, естественно это нужно считать, что сделано для упрощения жизни мошенников.
особенно интересно сравнить количество атак с помощью ЭП против традиционных бумажных носителей, ну естественно в процентном соотношении.

> Где ж оригинальные? Фотографию-то в картинку паспорта они вфотошопили поддельную. А фотография — это тоже, как бы, реквизит паспорта.
> facepalm.jpg

нахрена один и тот же тезис делить на два? оверквотинг - зло.

цифры оригинальные по ним и сверяют. надо будет, доработают систему чтобы она автоматом сравнивала и фото.
сейчас видимо полагаются только на цифры, вот если бы цифры не соответствовали и им бы всё-равно выдали бы ЭП, тогда это была бы дыра.

> Законом об ЭП и прочими подзаконными актами в настоящее время сертификат ключа ЭП, выданный аккредитованным УЦ, фактически приравнен к общегражданскому удостоверению личности. Давайте теперь и паспорта тоже будем получать по доверенности, чего уж там.

паспорт невозможно получить по доверенности т.к. там необходимо ставить подпись в самом документе.
и ЭП не приравнивается к общегражданскому удостоверению личности, если говорить об аналогах, то это скорее та же самая доверенность, которую можешь получить у не очень чистого на руку нотариуса или бухгалтера организации.

> Трояны, угоняющие реквизиты доступа к порталу госуслуг, на котором они все лежат, не могут существовать просто принципиально?

проще бухгалтера организации подкупить, кмк. чем ждать, что условный атакуемый зайдёт на портал госуслуг или сервис который требует получение доступа к порталу.

> Что, неужто деньги, с3,14зженные с помощью поддельной ЭП, будет проще вернуть обратно?

посмотреть какие операции совершались с помощью ЭП точно можно будет быстрее.
соответственно и отменять будет проще, ну или хотя бы заморозить.
само рассмотрение дел, естественно зависит от судей.

> В огороде бузина, а в Киеве — дядька?

Упоминание 63-ФЗ было к тому, что ЭЦП — это НЕ "способ реализации усиленной ЭП". И к тому, что порядок действий УЦ тоже установлен законом.

> ЭП создаётся не УЦ, а владельцем закрытого ключа.

Иначе и быть не может.

> Сертификат ключа ЭП для создания ЭП, сюрприз, не нужен.

Сюрприз, нужен. Без сертификата электронную подпись не создать, даже имея закрытый ключ.

> Нахер такую инфраструктуру, с возможностью получения сертификата ЭП без личного присутствия владельца с оригиналом удостоверения личности.

Ровно также действуют и другие УЦ, в том числе и в госорганах. Нет у них полномочий и возможности проверять документы "на подделку".
Закон написан, в том числе, для больших начальников, которые сами ничего не делают, даже электронную подпись - на это есть специальные люди с доверенностями. И ходить к ним паспорт проверять никого не пускают. Как быть в этом случае?

> в данном "расследовании" речь про ключ не физ лица, а организации, это не "второй паспорт" гражданина.

В сертификаты на организацию уже перестали включать фамилию имя и отчество владельца закрытого ключа?

> паспорт кстати они не фотошопили, а изменили только фотку,

[Временно теряет дар речи] Изменили фотку в скане паспорта — это теперь уже не фотошоп? Хорошо, буду знать.

> проще бухгалтера организации подкупить, кмк. чем ждать, что условный атакуемый зайдёт на портал госуслуг или сервис который требует получение доступа к порталу.

Зачем чего-то ждать в случае строяном? Если жертва не спешит, её можно завлечь куда надо методами социнженерии.

> 1. Анекдот про деда занешь? "Мой сосед говорит, что в свои 90 каждый день трахает жену. Так и ты говори, кто тебе мешает". Откуда ты знаешь, что журналист не врёт?

Ответственность за распространение заведомо ложных сведений уже отменили?

> Лично ты с УЦ работал? Вот я работал.

И я работал, и у меня там просили предъявить паспорт, прежде чем выдать мне токен с сертификатом ключа ЭП.

> Журналист описал хрень.

Журналист описал, что в двух УЦ их послали нахер, но вот одна паршивая овца-то нашлась! И моё возмущение вызывает именно то, что нашлась.

> 3. А лично я нет, поскольку у государственных органов нет ни соответствующей инфраструктуры, ...

Про инфраструктуру я тебе уже написал, что в неё входит. По сравнению с тратами, например, МВД на их защищённую сеть передачи данных, это какие-то сущие копейки. Более того, никакая защищённая сеть невозможна без PKI, то есть, по факту собственные УЦ в госконторах уже должны быть, вместе с положенными специалистами другое дело, что они не смогут перевыпустить сертификаты всем 10 миллионм организаций разом, это да.

> ... ни соответствующего числа сотрудников, чтобы выдавать ЭП всем желающим физическим и юридическим лицам.

Ну так наймут ещё специалистов, в чём проблема?

> По поводу указанной тобой оговорки - так это надо тогда вообще весь институт представительства из Гражданского кодекса убирать.

Если, как мне тут пишет камрад KRash, сертификат ключа ЭП — это аналог доверенности, то почему эту доверенность выдают по другой доверенности? Что, нотариально заверенную доверенность (это, собственно, и есть аналог сертификата ключа ЭП) на своё имя тоже можно получить по поддельной доверенности от организации?

> В общем я понял, что ты за УЦ не знаешь вообще ничего, но мнение имеешь.

И знаю, и мнение имею.

> Перечисленного тобой ЯВНО недостаточно для организации УЦ, который будет МАССОВО раздавать ЭП

Тут основной смысл не в том, что массово, а в том, с какой интенсивностью он будет их выдавать. Если речь о том, чтобы в какой-то момент времени просто запретить коммерческим УЦ продлять протухшие и выдавать новые сертификаты, отправляя людей за новыми в ведомственные УЦ, то всё будет нормально. За год-полтора все эти 10млн. сертификатов будут потихоньку перевыпущены. А если внезапно взять и отозвать все сертификаты коммерческих УЦ, случится, действительно, небольшая катастрофа.

> Закон написан, в том числе, для больших начальников, которые сами ничего не делают, даже электронную подпись - на это есть специальные люди с доверенностями. И ходить к ним паспорт проверять никого не пускают. Как быть в этом случае?

Если большим начальникам некогда и они сами ничего не делают, они выдают доверенность конкретному человеку. Так? Так вот пускай и выдают бумажную доверенность на право простановки ЭП конкретному человкку который потом сам получит сертификат ЭП на своё имя и будет эту самую ЭП проставлять, а не сдают ему токен на выпущенный на их начальственное имя сертификат и ключ без всякой доверенности. Суть сертификата ключа ЭП заключается в том, что он заверяет принадлежность закрытого ключа ЭП конкретному человеку, который обязан обеспечить невозможность попадания этого своего закрытого ключа в чужие руки. Если это не так, весь смысл усиленной квалифицированной ЭП улетучивается, как дым.

> эм.. если злоумышленник такой продвинутый. что подделывает доверенность на получение ЭП, то что ему мешает не получать ЭП, а просто подделать такую же доверенность на проведение ряда операций, в том числе и на получение документов?

Получение сертификата ключа усиленной квалифицированной ЭП на чужое имя привлекает гораздо меньше внимания, чем личный поход с поддельной доверенностью в налоговую.

> Получение сертификата ключа усиленной квалифицированной ЭП на чужое имя привлекает гораздо меньше внимания, чем личный поход с поддельной доверенностью в налоговую.

думаешь в налоговых более пристально проверяют ксерокопии паспортов?
чем там больше внимания то?

> Так вот пускай и выдают бумажную доверенность на право простановки ЭП конкретному человкку который потом сам получит сертификат ЭП на своё имя и будет эту самую ЭП проставлять

Так и делается. Но иногда этого недостаточно - нужна ЭП именно руководителя (см. сайт госзакупок, например) или юрлица (обезличенная).

> Понятия не имею. Но без сертификата почему-то не работает.

Без сертификата не работает по той причине, что твой шифровальный софт вместе с собственно ЭП запихивает в контейнер всю цепочку сертификатов ключей начиная от сертификата ключа ЭП корневого УЦ и заканчивая сертификатом ключа ЭП подписавшего. Но можно всю цепочку сертификатов не пихать, а отправить его проверяющему отдельно от подписи.

> Мы в своё время остановились на распределенной схеме обслуживания с оператором УЦ. Всех руководителей в своей организации мы знали поимённо и в лицо, что избавило их от необходимости отправлять гонцов с доверенностями непосредственно в УЦ.

Разверни подробнее, пожалуйста. Что значит "распределенная"? Я своего руководителя тоже знаю в лицо - как это отменяет необходимость расписаться в получении сертификата?