Можно же слать официальные сообщения на госпочту в госуслугах. А на самих госуслугах - сделать возможность создавать разные профили. Мелкие и "неопасные" госуслуги выносятся в менее защищённый профиль, в который можно зайти по номеру телефона. Более важные и "опасные" госуслуги выносятся в защищённый профиль, для которого требуется вход по ЭЦП. Ну или вообще можно отключить на госуслугах вход по телефону, и оставить только по ЭЦП. Бесплатные криптопровайдеры для этого есть - VIPnet. Бесплатные сетрификаты можно генерить через Госключ, если он даст возможность послать ему CSR. Или должна быть возможность лично прийти в МФЦ, принести CSR и паспорт, и там на месте сгенерят сертификат.
Да я бы и сама такие удобные штуковины своими руками бы бесплатно написала, если бы разработчики этих систем выставили исходный код (или его часть) в открытый доступ, и разрешили бы участие свободных разработчиков. Это же государственные системы, они написаны за наши налоговые деньги. Значит, мы, как владельцы этих систем, должны иметь такую возможность.
( ... )
Почему же дырявая? Если генерить приватный ключ локально, и отдавать в УЦ только CSR - то нормальная система. И конечно, алгоритм должен быть не RSA, а ГОСТ. Приватный ключ лежит отдельно на токене. Когда надо, присоединяем токен через USB к компьютеру или к смартфону.
А чтобы не испытывать мороки с установкой, можно пользоваться Java-криптопровайдером. Есть такие токены, которые объединены с флешкой. На такой токен можно просто в виде папки закачать уже настроенный JDK со всеми установленными криптопровайдерами, и даже с браузером с нужными плагинами. Можно носить всегда с собой, и использовать на любой сторонней машинке без установки.
Потому что реализация на практике дико кривая. Главная дыра - дыра размером со слоновью голову - во всех этих многочисленных системах по отчёту за каждый чих надо сидеть под рутом.
Так JDK для того и нужно, чтобы не сидеть под рутом. "Всё своё ношу с собой", и в чужую систему не лезу.
Как вариант, можно на какой-нибудь старый маломощный смартфончик установить Linux, и сделать его таким большим токеном, сразу со всеми нужными разрешениями, со всеми предустановленными библиотеками, и с работающей системой. И потом обращаться к нему снаружи через REST API. API очень простое: "подписать","проверить подпись", "зашифровать", "расшифровать". Кроме этого API, смартфончик ничего наружу не выставляет.
Это вы говорите как можно сделать. В реальности требуют входить под рутом для каждого чиха. Поэтому варианта у предпринимателя два: или делай всё лично, вплоть до отправки ежедневных рутинных отчётов, тратя на это по 14 часов в день, или доверяй помощнику бухгалтера подпись, при помощью которой тот может при желании подписать всё, вплоть до продажи твоей фирмы конкурентам.
Ну, ок, не надо ЭЦП ( хотя, облачной бы было достаточно)
Но госпочту и приравненные к ней операторы хотя бы?
Лично я, как немного серийный предприниматель, за прозрачные, не драконовские условия для юрадресов юрлиц.
То есть, обязательно почтовый ящик для бумажной корреспонденции (ну, пока ее не отменят) , обязательное место для хранения уставной документации и печати, обязательное место и время для приема посетителей, минимум час в календарный месяц . Обязательная некая страница с контактами и отчетами, записью на прием, легко редактируемая учредителем, а не через боль и поход в налоговую с Р13014
КМК это должно стоить 1-2-3 тысячи рублей в месяц, у нас тут коворкинги пустые стоят :) Да и учредителям и молодым генам не вредно проветриваться, хоть раз в месяц.
Можно же слать официальные сообщения на госпочту в госуслугах. А на самих госуслугах - сделать возможность создавать разные профили. Мелкие и "неопасные" госуслуги выносятся в менее защищённый профиль, в который можно зайти по номеру телефона. Более важные и "опасные" госуслуги выносятся в защищённый профиль, для которого требуется вход по ЭЦП. Ну или вообще можно отключить на госуслугах вход по телефону, и оставить только по ЭЦП. Бесплатные криптопровайдеры для этого есть - VIPnet. Бесплатные сетрификаты можно генерить через Госключ, если он даст возможность послать ему CSR. Или должна быть возможность лично прийти в МФЦ, принести CSR и паспорт, и там на месте сгенерят сертификат.
Да я бы и сама такие удобные штуковины своими руками бы бесплатно написала, если бы разработчики этих систем выставили исходный код (или его часть) в открытый доступ, и разрешили бы участие свободных разработчиков. Это же государственные системы, они написаны за наши налоговые деньги. Значит, мы, как владельцы этих систем, должны иметь такую возможность. ( ... )
Reply
Reply
Почему же дырявая? Если генерить приватный ключ локально, и отдавать в УЦ только CSR - то нормальная система. И конечно, алгоритм должен быть не RSA, а ГОСТ. Приватный ключ лежит отдельно на токене. Когда надо, присоединяем токен через USB к компьютеру или к смартфону.
А чтобы не испытывать мороки с установкой, можно пользоваться Java-криптопровайдером. Есть такие токены, которые объединены с флешкой. На такой токен можно просто в виде папки закачать уже настроенный JDK со всеми установленными криптопровайдерами, и даже с браузером с нужными плагинами. Можно носить всегда с собой, и использовать на любой сторонней машинке без установки.
Reply
Потому что реализация на практике дико кривая. Главная дыра - дыра размером со слоновью голову - во всех этих многочисленных системах по отчёту за каждый чих надо сидеть под рутом.
Reply
Так JDK для того и нужно, чтобы не сидеть под рутом. "Всё своё ношу с собой", и в чужую систему не лезу.
Как вариант, можно на какой-нибудь старый маломощный смартфончик установить Linux, и сделать его таким большим токеном, сразу со всеми нужными разрешениями, со всеми предустановленными библиотеками, и с работающей системой. И потом обращаться к нему снаружи через REST API. API очень простое: "подписать","проверить подпись", "зашифровать", "расшифровать". Кроме этого API, смартфончик ничего наружу не выставляет.
Reply
Reply
Ну, ок, не надо ЭЦП ( хотя, облачной бы было достаточно)
Но госпочту и приравненные к ней операторы хотя бы?
Лично я, как немного серийный предприниматель, за прозрачные, не драконовские условия для юрадресов юрлиц.
То есть, обязательно почтовый ящик для бумажной корреспонденции (ну, пока ее не отменят) , обязательное место для хранения уставной документации и печати, обязательное место и время для приема посетителей, минимум час в календарный месяц . Обязательная некая страница с контактами и отчетами, записью на прием, легко редактируемая учредителем, а не через боль и поход в налоговую с Р13014
КМК это должно стоить 1-2-3 тысячи рублей в месяц, у нас тут коворкинги пустые стоят :) Да и учредителям и молодым генам не вредно проветриваться, хоть раз в месяц.
А иначе, работай как ИП - самозанятый.
Reply
Leave a comment