Здравствуйте, netch80, Вы писали:
N>Но на практике ну очень часто используется упрощённый подход. Например, на веб-сайте налоговой документ видишь в экране, подписывает локальный криптоплагин в браузере, но факт, что скачивается то, что было показано на экране — уже вопрос доверия сайту.
Мне моя бухгалтерия сама выписала сертификат, сама его где-то хранит. Спрашивает меня через телефонное приложение, действительно ли я хочу что-то подписать, или расшифровать секретный ответ из налоговки, адресованный мне, не показывая при этом особых подробностей, на что именно я соглашаюсь.
Как мы понимаем, мой сертификат скомпроментирован еще в момент своего рождения, и каждое отдельное его использование сделано максимально небезопасным образом. Увы, с этим приходится жить
Хорошо, что этим сертификатом нельзя подписать ничего более серьезного, чем отчет в налоговку.
Здравствуйте, Pzz, Вы писали:
Pzz>Я не понимаю, как она вообще может быть реализована нелокально. Т.е., веб-бухгалтерия должна позволять скачать готовых документ для подписи, потом он подписывается локальными инструментами, и подписаный документ закачивается для отправки (или отправляется посредством любого другого транспорта). Сертификат при этом хранится у пользователя, в виде файла или USB-устройства.
Как реализована — это вопрос десятый. Прежде всего нужно, чтобы сходились данные. Перед подписанием система должна показать подписываемый документ (текст или что-то другое) вместе с дайджестом, с возможностью выгрузить документ на диск и проверить соответствие дайджеста. Если совпало — значит, мы подписываем именно то, что было предложено. При подписании дайджест присоединяется к подписи, формируя факт "вы подписали такой-то документ". Если у кого-то возникают претензии к составу документа — пусть предъявит другой документ с тем же дайджестом. Не смог предъявить — принимается состав, соответствующий дайджесту в подписи.
Правда, остается возможность, что система покажет один документ с верным дайджестом, подпишет его, и сразу же подпишет другой, с собственным валидным дайджестом, и затем будет обманывать пользователя, возвращая ему первый подписанный вариант. Этого можно избежать только вводом пароля на ключ при каждом подписании (запретить запоминание пароля).
Здравствуйте, Sinclair, Вы писали:
S>Затем вы идёте в стороннюю независимую программу или сервис, просматриваете там черновик, и подписываете его. Контрагенту отправляете уже подписанный документ
Это было бы идеально, но слишком сложно для большинства пользователей. Разумным компромиссом можно считать наличие такой возможности в интегрированной системе, которая может показать/подписать сама, но может и дать скачать-подписать-загрузить.
Здравствуйте, Pzz, Вы писали:
Pzz>Я даже компилятору не доверяю, не то, что государственным органам. Компилятор, по крайней мере, нельзя подкупить, он если и лажает, так вполне искренне.
Органы тоже нельзя подкупить, это только с людьми возможно. А пишут компилятор такие же люди, что и в органах работают.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, ути-пути, Вы писали:
УП>А файл NO_USN_5404_5404_540406742845_20210430_A90A0EAF-B6E5-4B4E-81BE-C392C92C7814.xml есть?
Нет. Есть файл 4b95f11def36431fbd11bcca4cdcd190.bin, который ему соответствует.
УП>Если да, то что в нем?
Из текста там только "nalog.ru", "г. Москва", "ул. Неглинная, д. 23", "Федеральная налоговая служба" и пара каких-то кодов (все это в UTF-8), все остальное — белиберда.
Здравствуйте, Евгений Музыченко, Вы писали:
УП>>А файл NO_USN_5404_5404_540406742845_20210430_A90A0EAF-B6E5-4B4E-81BE-C392C92C7814.xml есть?
ЕМ>Нет. Есть файл 4b95f11def36431fbd11bcca4cdcd190.bin, который ему соответствует.
Странно. Я через эльбу отправляю, там как раз оригинальный файл есть. И еще куча непонятных.
ЗЫ. Никто не забыл отчет в росстат сдать?
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.