Доска почёта ЭЦП — enbek.kz

Электронная биржа труда — проект АО «Центр развития трудовых ресурсов». Единственным акционером данного акционерного общества является Министерство труда и социальной защиты населения Республики Казахстан.

При анализе обнаружено два замечания жёлтого уровня [😐] и одно красного [🤬] (об уровнях).

😐 Ограниченная поддержка носителей ключей ЭЦП

Электронная биржа труда поддерживает работу только с ключами ЭЦП, хранящиеся в виде обычных файлов на компьютере. Работа защищённых носителей ключей ЭЦП не поддерживаются.

Ключи ЭЦП можно хранить в разных местах. Например:
- Файлы на компьютере
- Удостоверение личности гражданина РК
- KAZTOKEN
- JaCarta
- Хранилище ключей Java
- AKEY
- eToken5110
- eToken

Из всех вышеперечисленных, наименее защищённым является хранение ключей ЭЦП в файлах на компьютере. О соответствующем риске говорится в личном кабинете Национального удостоверяющего центра Республики Казахстан при выпуске ЭЦП.

Напомню, закрытый ключ, должен храниться в строжайшем секрете. В идеале, никогда, ни при каких обстоятельствах не покидать устройство, где он был создан и хранится. Об этом подробнее можно прочитать в одной из моих статей из цикла «Цифровая гигиена»: ЭЦП, SMS и много других непонятных слов. Я, например, выпускаю свои ключи ЭЦП (как личные, так и служебные) в своём устройстве KAZTOKEN и, соответственно, храню их там же.

😐 Отсутствует информация о сертификации используемой криптографической библиотеки

При работе с файловыми хранилищами используется нестандартная криптографическая библиотека. Т.е. вместо взаимодействия в части криптографических операций с NCALayer’ом, интернет-ресурс использует сторонние решения средств электронной цифровой подписи.

Если решение NCALayer уже достаточно устоявшееся и проверенное, то как себя поведут сторонние криптографические библиотеки — неизвестно. Может они работают вполне корректно, а может копируют закрытый ключ пользователя куда-то к себе в облако.

Согласно статьи 11 Закона Республики Казахстан «Об электронном документе и электронной цифровой подписи» (далее — Закон), средства электронной цифровой подписи подлежат подтверждению соответствия в случаях и порядке, установленных законодательством Республики Казахстан в области технического регулирования.

Из открытых источников не удалось выяснить о наличии либо об отсутствии подтверждения соответствия используемых средств электронной подписи.

Согласно разъяснения МЦРИАП РК о наличии ответственности в случае использования в информационной системе (на интернет-ресурсе) средств электронной цифровой подписи, не прошедших подтверждение соответствия в установленном порядке, приведённого в письме №01–3–4–27/ЗТ-Т–682 от 08.01.2021 в адрес ОЮЛ «Казахстанская ассоциация автоматизации и робототехники», частью 1 статьи 415–1 Кодекса об административных правонарушениях Республики Казахстан предусмотрена ответственность за нарушения законодательства Республики Казахстан об аккредитации в области оценки соответствия при проведении аккредитации, процедур подтверждения и (или) оценки соответствия, поверки средств измерений, установленных техническими регламентами, нормативными правовыми актами и документами по стандартизации.

🤬 Подписание выполняется сертификатом аутентификации

Исходя из Инструкции для работодателей по заключению электронных трудовых договоров на портале Электронная биржа труда (www.enbek.kz), для подписания необходимо выбирать сертификат аутентификации (стр. 17):

После выйдет сообщение о том, что при подписании с ЭЦП необходимо выбрать ключ AUTH…. Необходимо нажать на кнопку «ОК».

В соответствии с Приказом Министра по инвестициям и развитию Республики Казахстан от 9 декабря 2015 года №1187 «Об утверждении Правил проверки подлинности электронной цифровой подписи», одним из шагов проверки подлинности является проверка области использования ЭЦП регистрационного свидетельства (подпункт 3, пункта 6).

В частности, сертификаты для аутентификации не подходят для подписания электронных документов. Если электронный документ подписан ключом ЭЦП для аутентификации, то такой документ не имеет юридической силы, т.к. подпись выполнена с нарушением законодательства РК. Возможные последствия, думаю, понятны без дополнительного пояснения.

Vladimir Turekhanov ・ January 25, 2021

 

вернуться