Как получить ЭЦП на любого человека

47news.ru — 47news.ru провел эксперимент по получению ЭЦП на человека без его присутствия и передаёт привет тем камрадам, которые утверждали (тут в комментах - https://vott.ru/entry/547345 ), что это категорически невозможно.

Новости, Политика | Dliv227 21:30 20.05.2019

21 комментарий | 154 за, 0 против |

#1 | 06:45 21.05.2019 | Кому: Loknar

> Видимо конкуренты на Контур решили говна набросать.

Удостоверяющий центр этого Контура успешно выдал сертификат по фотожбам паспорта и пенсионного. Имею мнение, что за такое на них не набрасывать нужно, а просто-таки утопить в говне, причём так, чтобы потом всплыть не смогли.

#2 | 06:51 21.05.2019 | Кому: Ozzymos1

> Судя по всему, началась компания по уничтожению бизнеса частных удостоверяющих центров ...

Которые по фотошопу паспорта и пенсионного удостоверения выдают кому попало сертификат усиленной квалифицированной электронной подписи, и даже оригиналов документов не спрашивают? Туда им и дорога.

> ... ЭП (а не ЭЦП, к слову) ...

Судя по описанию, усиленная квалифицированная ЭП — это и есть ЭЦП.

#3 | 06:55 21.05.2019 | Кому: namespace

> ЭП с точки зрения чего? В книжках что я читал по криптографии была ЭЦП.

ЭЦП — это способ реализации усиленной ЭП. Если усиленной квалифицированной, то сертификат ключа подписи должен быть выдан аккредитованным УЦ, получившим лицензию ФСБ на этот вид деятельности.

#4 | 19:25 21.05.2019 | Кому: KRash

> > Которые по фотошопу паспорта и пенсионного удостоверения выдают кому попало сертификат усиленной квалифицированной электронной подписи, и даже оригиналов документов не спрашивают? Туда им и дорога.

> проблема в том, что фото в паспорте не сравнили с копией которая у них должна была бы быть.

Собственно, именно это я и написал: по моему глубокому убеждению, те УЦ, которые выпускают (выдают) сертификат ключа ЭП, не получая на руки оригинал удостоверения личности государственного образца для сличения фотографии в нём с личностью будущего владельца сертификата, следует в полном составе топить в бочках с говном. Сертификат ЭП — это, фактически, ещё одно удостоверение личности, его по скан-копии удостоверения личности выпускать нельзя.

> ну и получается, что подпись тоже могли отфотошопить, для упрощённой подделки доверенности.

Ну могли, и что?

> в остальном ЭП разрешено давать по доверенности, доверенность подделали, по ней и получили ЭП.
> о каких оригиналах документов спрашивается, если всё делается по доверенности - хз.

Внимательно ли ты прочёл статью? По доверенности им выдали не ЭП, а токен с сертификатом ключа ЭП и закрытым ключом. А вот выпустили этот сертификат по фотошопу паспорта и пенсионного.

#5 | 19:38 21.05.2019 | Кому: amb

> > ЭЦП — это способ реализации усиленной ЭП. Если усиленной квалифицированной, то сертификат ключа подписи должен быть выдан аккредитованным УЦ, получившим лицензию ФСБ на этот вид деятельности.

> Почитайте 63-ФЗ, там все термины определены, он небольшой. И там установлено, что "Удостоверяющий центр создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты лицам, обратившимся за их получением (заявителям), при условии установления личности получателя сертификата (заявителя) либо полномочия лица, выступающего от имени заявителя".

В огороде бузина, а в Киеве — дядька? Где в моём сообщении, на которое ты отвечал, что-либо написано про то, на основании чего должен выдаваться сертификат ЭП?

> Полномочия установлены - ЭП создана.

ЭП создаётся не УЦ, а владельцем закрытого ключа. Сертификат ключа ЭП для создания ЭП, сюрприз, не нужен. А вот проверка уже происходит только с помощью того самого сертификата ключа ЭП.

> То, что доверенность и другие документы подделаны - УЦ не волнует. Предъявят документы следователю, если чо.

Нахер такую инфраструктуру, с возможностью получения сертификата ЭП без личного присутствия владельца с оригиналом удостоверения личности. Они бы ещё паспорта по доверенностям выдавать додумались.

#6 | 19:49 21.05.2019 | Кому: Ozzymos1

> 1. Предлагаю попробовать самому провернуть тот же финт.

Нафига мне это нужно? Журналист же нашёл аккредитованных мудаков, которые ему выпустили сертификат по поддельным документам, а потом выдали токен с ним и закрытым ключом к нему по липовой доверенности. Одного такого гнилого УЦ вполне достаточно, чтобы полностью скомпрометировать весь институт электронной подписи.

> Удивишься как на самом деле всё непросто делается.

У журналистов всё получилось очень просто.

> Но речь о том, что сначала в течение почти полутора десятков лет (если не больше) создавали рынок аккредитованных УЦ (в которые загоняли чуть ли не пинками - тот же ФНС, например). А теперь решили резко поменять правила игры. Отличный ход.

Лично я — строго за. Ещё бы из закона об ЭП убрали оговорку "... либо полномочия лица, выступающего от имени заявителя", и всё стало совершенно замечательно.

> Особенно если учесть, что у госорганов тупо нет достаточной инфраструктуры для того, чтобы заменить эти аккредитованные УЦ.

Достаточная инфраструктура для УЦ состоит из трёх серверов, одного МСЭ, которые совершенно замечательно влезают в один серверный шкаф, оставляя в нём очень много места, плюс ещё одно АРМ из компьютера, монитора, мыши, клавиатуры и принтера. Ну плюс ещё стабильное подключение к интернету. Стоит недорого, при наличии денег и помещения разворачивается, полагаю, в течение недели. Главное — получить необходимые лицензии.

#7 | 00:47 22.05.2019 | Кому: KRash

> > Внимательно ли ты прочёл статью? По доверенности им выдали не ЭП, а токен с сертификатом ключа ЭП и закрытым ключом. А вот выпустили этот сертификат по фотошопу паспорта и пенсионного.

> С чего это нельзя инициировать создание ключа по копии?

Конечно же можно! Но вот потом надо выдать токен с этим сертификатом и ключом ЭП законному владельцу ключа ЭП, а как его можно правильно идентифицировать по отфотошопленной копии паспорта? Ну и, считаю, верх идиотизма — выдавать этот токен совершенно левому гражданину с поддельной доверенностью от организации, морфема! Доверенность на получение токена должна быть как минимум нотариально заверенной и на бланке, потому что токен с закрытым (секретным) ключом ЭП для усиленной квалифицированной ЭП — это не канцтовар какой-то, это, фактически, второй паспорт гражданина и он должен выдаваться только ему лично в руки, причём только сотрудником УЦ, который обязан подтвердить его личность по общегражданскому удостоверению. По-другому никак нельзя.

> В чём тогда заключается процедура упрощённого получения ЭП ...

Всё для упрощения жизни мошенников, естественно.

> Паспортные данные они использовали оригинальные, СНИЛС тоже.

Где ж оригинальные? Фотографию-то в картинку паспорта они вфотошопили поддельную. А фотография — это тоже, как бы, реквизит паспорта.

> Несмотря на фотошоп, цифры они предоставили оригинальные.

facepalm.jpg

> Ну т.е. нужно отменить все доверенности и получать документы только лично? Удобно, да.

Законом об ЭП и прочими подзаконными актами в настоящее время сертификат ключа ЭП, выданный аккредитованным УЦ, фактически приравнен к общегражданскому удостоверению личности. Давайте теперь и паспорта тоже будем получать по доверенности, чего уж там.

> Получив данные паспорта, СНИЛС, ...

Трояны, угоняющие реквизиты доступа к порталу госуслуг, на котором они все лежат, не могут существовать просто принципиально?

> Но только с ключом будет проще потом все операции отменить, в теории.

Что, неужто деньги, с3,14зженные с помощью поддельной ЭП, будет проще вернуть обратно?

#8 | 09:06 22.05.2019 | Кому: amb

> > Сертификат ключа ЭП для создания ЭП, сюрприз, не нужен.

> Сюрприз, нужен. Без сертификата электронную подпись не создать, даже имея закрытый ключ.

И для каких криптографических преобразований нужен сертификат при вычислении ЭП?

#9 | 09:22 22.05.2019 | Кому: KRash

> в данном "расследовании" речь про ключ не физ лица, а организации, это не "второй паспорт" гражданина.

В сертификаты на организацию уже перестали включать фамилию имя и отчество владельца закрытого ключа?

> паспорт кстати они не фотошопили, а изменили только фотку,

[Временно теряет дар речи] Изменили фотку в скане паспорта — это теперь уже не фотошоп? Хорошо, буду знать.

> проще бухгалтера организации подкупить, кмк. чем ждать, что условный атакуемый зайдёт на портал госуслуг или сервис который требует получение доступа к порталу.

Зачем чего-то ждать в случае строяном? Если жертва не спешит, её можно завлечь куда надо методами социнженерии.

#10 | 09:57 22.05.2019 | Кому: Ozzymos1

> 1. Анекдот про деда занешь? "Мой сосед говорит, что в свои 90 каждый день трахает жену. Так и ты говори, кто тебе мешает". Откуда ты знаешь, что журналист не врёт?

Ответственность за распространение заведомо ложных сведений уже отменили?

> Лично ты с УЦ работал? Вот я работал.

И я работал, и у меня там просили предъявить паспорт, прежде чем выдать мне токен с сертификатом ключа ЭП.

> Журналист описал хрень.

Журналист описал, что в двух УЦ их послали нахер, но вот одна паршивая овца-то нашлась! И моё возмущение вызывает именно то, что нашлась.

> 3. А лично я нет, поскольку у государственных органов нет ни соответствующей инфраструктуры, ...

Про инфраструктуру я тебе уже написал, что в неё входит. По сравнению с тратами, например, МВД на их защищённую сеть передачи данных, это какие-то сущие копейки. Более того, никакая защищённая сеть невозможна без PKI, то есть, по факту собственные УЦ в госконторах уже должны быть, вместе с положенными специалистами другое дело, что они не смогут перевыпустить сертификаты всем 10 миллионм организаций разом, это да.

> ... ни соответствующего числа сотрудников, чтобы выдавать ЭП всем желающим физическим и юридическим лицам.

Ну так наймут ещё специалистов, в чём проблема?

> По поводу указанной тобой оговорки - так это надо тогда вообще весь институт представительства из Гражданского кодекса убирать.

Если, как мне тут пишет камрад KRash, сертификат ключа ЭП — это аналог доверенности, то почему эту доверенность выдают по другой доверенности? Что, нотариально заверенную доверенность (это, собственно, и есть аналог сертификата ключа ЭП) на своё имя тоже можно получить по поддельной доверенности от организации?

> В общем я понял, что ты за УЦ не знаешь вообще ничего, но мнение имеешь.

И знаю, и мнение имею.

> Перечисленного тобой ЯВНО недостаточно для организации УЦ, который будет МАССОВО раздавать ЭП

Тут основной смысл не в том, что массово, а в том, с какой интенсивностью он будет их выдавать. Если речь о том, чтобы в какой-то момент времени просто запретить коммерческим УЦ продлять протухшие и выдавать новые сертификаты, отправляя людей за новыми в ведомственные УЦ, то всё будет нормально. За год-полтора все эти 10млн. сертификатов будут потихоньку перевыпущены. А если внезапно взять и отозвать все сертификаты коммерческих УЦ, случится, действительно, небольшая катастрофа.

#11 | 10:07 22.05.2019 | Кому: KRash

> а по нему можно квартиру себе купить? а машину продать и пр. кучу вещей делать?

Меня интересует не купить, а продать, и желательно чужое ;) Шучу, меня интересует, чтобы моё мимо меня не продали.

> в контекст умеешь?

Смотря какой контекст.

> для чистоты эксперимента нужно было полностью паспорт рисовать, а не взять оригинал поменять там только фотку и сказать, что они отфотошопили паспорт.

Так использование фотошопа — это не фотошоп? Хорошо-хорошо, я уже понял, как ты трактуешь понятие "фотошоп", можешь не повторять :)

> ну и в принципе, получил злоумышленник данные и в чём будет заключаться в таком случае преимущество бумажных документов перед ЭП?
он пойдёт по этим же документам сделает доверенность и будет проводить те же самые операции, что и делал бы, если бы у него был ЭП.

Например, в отсутствии необходимости личного присутствия злоумышленника в месте вручения документов, разве нет?

#12 | 10:19 22.05.2019 | Кому: amb

> Закон написан, в том числе, для больших начальников, которые сами ничего не делают, даже электронную подпись - на это есть специальные люди с доверенностями. И ходить к ним паспорт проверять никого не пускают. Как быть в этом случае?

Если большим начальникам некогда и они сами ничего не делают, они выдают доверенность конкретному человеку. Так? Так вот пускай и выдают бумажную доверенность на право простановки ЭП конкретному человкку который потом сам получит сертификат ЭП на своё имя и будет эту самую ЭП проставлять, а не сдают ему токен на выпущенный на их начальственное имя сертификат и ключ без всякой доверенности. Суть сертификата ключа ЭП заключается в том, что он заверяет принадлежность закрытого ключа ЭП конкретному человеку, который обязан обеспечить невозможность попадания этого своего закрытого ключа в чужие руки. Если это не так, весь смысл усиленной квалифицированной ЭП улетучивается, как дым.

#13 | 10:42 22.05.2019 | Кому: KRash

> эм.. если злоумышленник такой продвинутый. что подделывает доверенность на получение ЭП, то что ему мешает не получать ЭП, а просто подделать такую же доверенность на проведение ряда операций, в том числе и на получение документов?

Получение сертификата ключа усиленной квалифицированной ЭП на чужое имя привлекает гораздо меньше внимания, чем личный поход с поддельной доверенностью в налоговую.

#14 | 22:58 22.05.2019 | Кому: amb

> Так и делается. Но иногда этого недостаточно - нужна ЭП именно руководителя (см. сайт госзакупок, например) или юрлица (обезличенная).

Мы в своё время остановились на распределенной схеме обслуживания с оператором УЦ. Всех руководителей в своей организации мы знали поимённо и в лицо, что избавило их от необходимости отправлять гонцов с доверенностями непосредственно в УЦ.

#15 | 23:22 22.05.2019 | Кому: amb

> Понятия не имею. Но без сертификата почему-то не работает.

Без сертификата не работает по той причине, что твой шифровальный софт вместе с собственно ЭП запихивает в контейнер всю цепочку сертификатов ключей начиная от сертификата ключа ЭП корневого УЦ и заканчивая сертификатом ключа ЭП подписавшего. Но можно всю цепочку сертификатов не пихать, а отправить его проверяющему отдельно от подписи.

#16 | 10:34 23.05.2019 | Кому: amb

> > твой шифровальный софт вместе с собственно ЭП запихивает в контейнер всю цепочку сертификатов ключей начиная от сертификата ключа ЭП корневого УЦ и заканчивая сертификатом ключа ЭП подписавшего

> Это не обязательно и не всегда происходит. Иногда в контейнере только ключ, …

Ай! Я писАл про контейнер с ЭП, а не про контейнер с ключом ЭП и его сертификатом.

Если внимательно изучить процедуру простановки ЭП для несимметричного шифрования, то внезапно станет ясно, что сертификат ключа ЭП для этого не нужен, нужен только закрытый ключ, которым не то шифруют, не то расшифровывают криптографический хэш подписываемого документа, получая подпись.

> … но без установленного в системе сертификата нельзя им воспользоваться. Я про винду и криптопро, есличо.

Для аладдиновских еТокенов с RSA лично наблюдал простановку подписи только закрытым ключом безо всякого сертификата. Ключ в токене был виден как orphaned. Доступ к токену осуществлялся через его штатную библиотеку pkcs11. Всё это работало на винде. Как там в КриптоПРО с доступом через CryptoAPI — не знаю.

#17 | 10:45 23.05.2019 | Кому: amb

> Разверни подробнее, пожалуйста. Что значит "распределенная"?

Разворачиваю подробно :) Распределённая схема обслуживания с Оператором УЦ» описывается в услугах УЦ КриптоПРО.

> Я своего руководителя тоже знаю в лицо - как это отменяет необходимость расписаться в получении сертификата?

Приносишь ему токен с его ключом и сертификатом ключа ЭП и документами, он в них расписывается. "Знать в лицо" — это про отсутствие у оператора УЦ, знающего своего руководителя в лицо, необходимости требовать у него паспорт и внимательно его изучать, прежде чем отдать ему токен.

А вот отношение доверия с этим оператором устанавливаются самим УЦ обычным порядком через предъявление будущим оператором доверенности от организации и паспорта. Доверенность без паспорта, знаешь ли, недействительна.

#18 | 11:15 23.05.2019 | Кому: KRash

> > Получение сертификата ключа усиленной квалифицированной ЭП на чужое имя привлекает гораздо меньше внимания, чем личный поход с поддельной доверенностью в налоговую.

> думаешь в налоговых более пристально проверяют ксерокопии паспортов?
> чем там больше внимания то?

Хорошо, тогда другое преимущество поддельного сертификата ЭП перед поддельной доверенностью — распоряжения, заверенные ЭП, можно отдавать, находясь за рубежом, вне досягаемости правоохранительных органов РФ, существенно затрудняя тем самым ведение ОРД. Что характерно, чтобы получить такой сертификат, как выяснилось, надо, всего лишь, сляпать фотошоп паспорта, а это, насколько я понимаю, подделкой документов не является и, соответственно, уголовную ответственность за собой не влечёт.

#19 | 11:17 23.05.2019 | Кому: KRash

> почему конкретному человеку, если речь об организации?

Потому что сертификаты ключей ЭП — именные. Насколько мне известно, получить анонимный сертификат просто на имя организации нельзя.

#20 | 11:21 23.05.2019 | Кому: amb

> А! Ну так-то да, ЭП вычислить можно, только проверить не получится.

И проверить тоже получится. Достаточно один раз отправить проверяющему сертификат подписавшего, а дальше он сможет проверить любое количество его подписей. Пристёгивать сертификат к каждой подписи совершенно необязательно, это делается только для упрощения проверки.

#21 | 11:22 23.05.2019 | Кому: KRash

> нужно оформить в МФЦ запрет на регистрации без личного участия собственника.

Кстати, спасибо, что напомнил.

Войдите или зарегистрируйтесь чтобы писать комментарии.