Doculite (Documentolog Lite) — облачное решение для автоматизации внешнего документооборота, включающее себя создание, согласование, подписание и отправку любых электронных документов. Интернет-ресурс принадлежит ТОО «Documentolog».
При анализе обнаружено два замечания жёлтого уровня [😐] (об уровнях).
На doculite.kz возможно зарегистрироваться и подписывать электронные документы только если используются ключи ЭЦП, хранящиеся в виде обычных файлов на компьютере. Штатная работа защищённых носителей ключей ЭЦП не поддерживаются.
Разработчики интернет-ресурса проинформированы о данной ситуации.
Ключи ЭЦП можно хранить в разных местах. Например:
- Файлы на компьютере
- Удостоверение личности гражданина РК
- KAZTOKEN
- JaCarta
- Хранилище ключей Java
- AKEY
- eToken5110
- eToken
Из всех вышеперечисленных, наименее защищённым является хранение ключей ЭЦП в файлах на компьютере. О соответствующем риске говорится в личном кабинете Национального удостоверяющего центра Республики Казахстан при выпуске ЭЦП.
Напомню, закрытый ключ, должен храниться в строжайшем секрете. В идеале, никогда, ни при каких обстоятельствах не покидать устройство, где он был создан и хранится. Об этом подробнее можно прочитать в одной из моих статей из цикла «Цифровая гигиена»: ЭЦП, SMS и много других непонятных слов. Я, например, выпускаю свои ключи ЭЦП (как личные, так и служебные) в своём устройстве KAZTOKEN и, соответственно, храню их там же.
При работе с файловыми хранилищами используется нестандартная криптографическая библиотека. Т.е. вместо взаимодействия в части криптографических операций с NCALayer’ом, интернет-ресурс использует сторонние решения средств электронной цифровой подписи.
Если решение NCALayer уже достаточно устоявшееся и проверенное, то как себя поведут сторонние криптографические библиотеки — неизвестно. Может они работают вполне корректно, а может копируют закрытый ключ пользователя куда-то к себе в облако.
Согласно статьи 11 Закона Республики Казахстан «Об электронном документе и электронной цифровой подписи» (далее — Закон), средства электронной цифровой подписи подлежат подтверждению соответствия в случаях и порядке, установленных законодательством Республики Казахстан в области технического регулирования.
Из открытых источников не удалось выяснить о наличии либо об отсутствии подтверждения соответствия используемых средств электронной подписи.
Согласно разъяснения МЦРИАП РК о наличии ответственности в случае использования в информационной системе (на интернет-ресурсе) средств электронной цифровой подписи, не прошедших подтверждение соответствия в установленном порядке, приведённого в письме №01–3–4–27/ЗТ-Т–682 от 08.01.2021 в адрес ОЮЛ «Казахстанская ассоциация автоматизации и робототехники», частью 1 статьи 415–1 Кодекса об административных правонарушениях Республики Казахстан предусмотрена ответственность за нарушения законодательства Республики Казахстан об аккредитации в области оценки соответствия при проведении аккредитации, процедур подтверждения и (или) оценки соответствия, поверки средств измерений, установленных техническими регламентами, нормативными правовыми актами и документами по стандартизации.
Vladimir Turekhanov ・ January 19, 2021