Здравствуйте, Pzz, Вы писали:
Pzz>Мне ее Эльба сделала, и хранит ее в облаке. Не знаю, что это значит, но при желании ее можно оттуда даже выкачать. Я это один раз сделал из любопытства. А так, Эльба сама ей отчеты подписывает.
Это конечно удобно, но сдается мне, что противоречит самой сути того, что называется ЭЦП. Просто по определению, ее должен использовать тот на кого выдали, а не передавать кому-либо. Или все-таки ЭЦП хранится на своем компе (токене), а Эльба выступает фактически просто как удаленный софт для работы с подписью?
Здравствуйте, Michael7, Вы писали:
M>ее должен использовать тот на кого выдали, а не передавать кому-либо.
ЭЦП состоит из пары "сертификат + ключ доступа (пароль)", так что передача кому-либо сертификата с зашифрованным секретным ключом не приводит к передаче ЭЦП, как реквизита.
Записывать сертификаты на токены придумали в первую очередь для борьбы со скрытыми хищениями сертификатов. Хищение рабочего токена проморгать сложно.
Здравствуйте, Michael7, Вы писали:
M>Это конечно удобно, но сдается мне, что противоречит самой сути того, что называется ЭЦП. Просто по определению, ее должен использовать тот на кого выдали, а не передавать кому-либо. Или все-таки ЭЦП хранится на своем компе (токене), а Эльба выступает фактически просто как удаленный софт для работы с подписью?
А мне сдается Эльба — уполномоченный представитель и подписывает документы отправляемые в налоговую своей подписью.
Здравствуйте, Michael7, Вы писали:
M>Это конечно удобно, но сдается мне, что противоречит самой сути того, что называется ЭЦП. Просто по определению, ее должен использовать тот на кого выдали, а не передавать кому-либо. Или все-таки ЭЦП хранится на своем компе (токене), а Эльба выступает фактически просто как удаленный софт для работы с подписью?
Ну в принципе, да. Предполагается, что я доверяю хранителям моей печати (это, кстати, не Эльба, а отдельная контора, и они, каждый раз просят по SMS подтверждение прежде, чем приложить подпись к очередному документу).
С другой стороны, если учесть, что они же эту подпись и изготовили, то они и без того имеют возможность подписываться от моего имени.
По-хорошему, при изготовлении ЭЦП, приватный ключ должен генерировать владелец подписи, и никому его не показывать, в т.ч. сертификационному центру. Насколько я понимаю, в реальности это у нас происходит не так, и где бы подпись не хранилась, приватный ключ генерирует сертификационный центр; а это значит, что он имеет возможность оставить себе копию "на пямять".
Конкретно для меня это не очень важно, потому что моей подписью можно подписывать лишь всякую фигню, типа отчетов в налоговую. Если бы этой подписью можно было подписывать что-то более серьезное, я бы вряд ли на это согласился
Здравствуйте, Pzz, Вы писали:
Pzz>По-хорошему, при изготовлении ЭЦП, приватный ключ должен генерировать владелец подписи, и никому его не показывать, в т.ч. сертификационному центру. Насколько я понимаю, в реальности это у нас происходит не так, и где бы подпись не хранилась, приватный ключ генерирует сертификационный центр; а это значит, что он имеет возможность оставить себе копию "на пямять".
Самое смешное, что именно так это и происходит при выдаче сертификатов для подписывания софта у приличных контор типа GlobalSign. Браузер создает пару ключей, открытый отправляет на сервер для присоединения к сертификату, закрытый сохраняет в локальной системе. После изготовления сертификата ключи объединяются на стороне клиента. Если клиент к тому времени вдруг пролюбил свою пару — никакой возможности ее восстановить нет, только генерировать новую и сертификат к ней.
У нас же при изготовлении ЭЦП, которой можно подписывать сделки на много миллионов, остается лишь доверять УЦ.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Самое смешное, что именно так это и происходит при выдаче сертификатов для подписывания софта у приличных контор типа GlobalSign. Браузер создает пару ключей, открытый отправляет на сервер для присоединения к сертификату, закрытый сохраняет в локальной системе. После изготовления сертификата ключи объединяются на стороне клиента. Если клиент к тому времени вдруг пролюбил свою пару — никакой возможности ее восстановить нет, только генерировать новую и сертификат к ней.
Ну да, это стандартная цепочка. Клиент генерирует свой ключ и Certification Request, CA его подписывает и возвращает сертификат. Ключ при этом клиента не покидает.
С другой стороны, ключ, по-хорошему, надо бы хранить не на своем писюке, а на железке, из которой его просто так не выкрадешь, в т.ч. вместе с железкой. Для подписывания софта это не важно, а вот для сделок на много миллионов — вполне.
ЕМ>У нас же при изготовлении ЭЦП, которой можно подписывать сделки на много миллионов, остается лишь доверять УЦ.
Зато у нас в этих сертификатах своя собственная ГОСТовская криптосистема, ни с чем не совместимая