nalog.ru - сайт налоговой то бишь. Входишь по логину и паролю. Если хочешь электрические услуги, то надо ЭЦП, конечно жи. Вариант один - генерят на сервере. У тебя два варианта хранения: на флешке или у них на сервере. Я вообще не понимаю, зачем нужен второй вариант.
Да, чтобы тебя аутентифицировать для генерации ЭЦП, то бишь и приватного ключа, ты должен ввести логин и пароль...
А первый зачем нужен, когда есть PKCS11 и аналоги? Всё для того же -- некомпетентность и security theatre.
Второй нужен затем, что народ хочет сертификат с "функцией восстановления пароля". Что эквивалентно изначальному хранению приватного ключа в облаке, но менее секурно. У нас тоже такое есть.
Долгосрочное решение тут одно -- организовывать атаки на дырявую инфраструктуру, чтобы зачесались. Начать можно с телевизоров, у которых не выходят патчи.
Да первый тоже такое себе, но хотя бы приватный у тебя.
Посыл моего комментария был вот в чем. Ты логинишься при помощи логина и пароля. Чтобы подписать 3-НДФЛ тебе нужна ЭЦП. Чтобы сгенерировать ЭЦП ты вводишь тот же самый пароль, что и для логина! Вопрос - зачем тут вообще ЭЦП, если ее сила равна силе пароля, то есть прямо на минималках? Возможный ответ - налоговиков заставляют использовать ЭЦП какие-то регламенты, но они, понимая, что рабоче-крестьянский люд такоэ не осилят, сделали подобный фарс. В целом-то, кому действительно всралось 3-НДФЛ поддельную за кого-то сдавать, тем более, если ее переделать нет проблемы. Так что налоговики, я надеюсь, просто хакнули какие-то мутные регламенты, чтобы пользователям жизнь облегчить. Но выглядит это, конечно, ох.
Ну а "зачем" подпись в принципе тут - тоже понятно. Она асимметричная! Ну то есть вы сдаете какую-то бумажку в очередной жек с водоканалом, а они могут проверить что она валидная просто через PKI. И могут у себя сохранить этот документ, чтобы вы потом не отвертелись (aka non-repudiation). Но конечно у нас ключами заведует гознак, а не та же самая налоговая в которую подается бумажка.
Итоговая секьюрити может даже вырасти, по сравнению с PKCS11-токеном Gemalto на столе с приклеенной бумажкой на которой PIN.
Comments 5
Входишь по логину и паролю. Если хочешь электрические услуги, то надо ЭЦП, конечно жи.
Вариант один - генерят на сервере. У тебя два варианта хранения: на флешке или у них на сервере. Я вообще не понимаю, зачем нужен второй вариант.
Да, чтобы тебя аутентифицировать для генерации ЭЦП, то бишь и приватного ключа, ты должен ввести логин и пароль...
Reply
Второй нужен затем, что народ хочет сертификат с "функцией восстановления пароля". Что эквивалентно изначальному хранению приватного ключа в облаке, но менее секурно. У нас тоже такое есть.
Долгосрочное решение тут одно -- организовывать атаки на дырявую инфраструктуру, чтобы зачесались. Начать можно с телевизоров, у которых не выходят патчи.
Reply
Да первый тоже такое себе, но хотя бы приватный у тебя.
Посыл моего комментария был вот в чем.
Ты логинишься при помощи логина и пароля. Чтобы подписать 3-НДФЛ тебе нужна ЭЦП. Чтобы сгенерировать ЭЦП ты вводишь тот же самый пароль, что и для логина! Вопрос - зачем тут вообще ЭЦП, если ее сила равна силе пароля, то есть прямо на минималках?
Возможный ответ - налоговиков заставляют использовать ЭЦП какие-то регламенты, но они, понимая, что рабоче-крестьянский люд такоэ не осилят, сделали подобный фарс.
В целом-то, кому действительно всралось 3-НДФЛ поддельную за кого-то сдавать, тем более, если ее переделать нет проблемы. Так что налоговики, я надеюсь, просто хакнули какие-то мутные регламенты, чтобы пользователям жизнь облегчить. Но выглядит это, конечно, ох.
Reply
Да посыл тут понятный, чо уж. У нас такой же сделали фарс в виде Cl@ve firma:
https://clave.gob.es/clave_Home/dnin/queEs.html
Ну а "зачем" подпись в принципе тут - тоже понятно. Она асимметричная! Ну то есть вы сдаете какую-то бумажку в очередной жек с водоканалом, а они могут проверить что она валидная просто через PKI. И могут у себя сохранить этот документ, чтобы вы потом не отвертелись (aka non-repudiation). Но конечно у нас ключами заведует гознак, а не та же самая налоговая в которую подается бумажка.
Итоговая секьюрити может даже вырасти, по сравнению с PKCS11-токеном Gemalto на столе с приклеенной бумажкой на которой PIN.
Reply
Leave a comment