Доска почёта ЭЦП — enpf-otbasy.kz
Согласно данным из открытых источников, доменное имя Платформы по использованию пенсионных накоплений (enpf-otbasy.kz) зарегистрировано на АО «Отбасы Банк». При помощи данной платформы можно оформить выплату части пенсионных накоплений на определённые нужнды.
При анализе обнаружено два замечания: одно замечание жёлтого уровня [😐], а другое — красного [🤬] (об уровнях).
UPD: После публикации этой статьи, поступило несколько вопросов с просьбой дать комментарии по описываемой в статье ситуации. Решил все комментарии собрать в одном месте: Комментарии по АО «Отбасы Банк».
😐 Ограниченная поддержка носителей ключей ЭЦП
На Платформу по использованию пенсионных накоплений можно зайти и подписывать электронные документы только если используются ключи ЭЦП, хранящиеся в виде обычных файлов на компьютере. Защищённые носители ключей ЭЦП не поддерживаются.
Ключи ЭЦП можно хранить в разных местах. Например:
- Файлы на компьютере
- Удостоверение личности гражданина РК
- KAZTOKEN
- JaCarta
- Хранилище ключей Java
- AKEY
- eToken5110
- eToken
Из всех вышеперечисленных, наименее защищённым является хранение ключей ЭЦП в файлах на компьютере. О соответствующем риске говорится в личном кабинете Национального удостоверяющего центра Республики Казахстан при выпуске ЭЦП.
Напомню, закрытый ключ, должен храниться в строжайшем секрете. В идеале, никогда, ни при каких обстоятельствах не покидать устройство, где он был создан и хранится. Об этом подробнее можно прочитать в одной из моих статей из цикла «Цифровая гигиена»: ЭЦП, SMS и много других непонятных слов. Я, например, выпускаю свои ключи ЭЦП (как личные, так и служебные) в своём устройстве KAZTOKEN и, соответственно, храню их там же.
Комментарий разработчика:
Если интернет-ресурс использует актуальный API NCALayer, то разработчики могут довольно легко решить данную проблему. Для этого перед вызовом метода подписания данных, необходимо предварительно вызвать getActiveTokens и, в том случае, если он вернул непустой массив, попробовать использовать элемент этого массива при подписании.
Пример подобной обработки приведен в описании JS библиотеки для работы с NCALayer: https://github.com/sigex-kz/ncalayer-js-client
🤬 Подмена документа при подписании
В процессе подписания заявления о присоединении пользователь видит на странице информационной системы один документ, а подписывает, по факту, совсем другой, который никогда не видел.
Вот так выглядит заявление о присоединении к стандартным условиям использования единовременных пенсионных выплат АО «Отбасы Банк».
А вот такого вида файл на самом деле поступает на подпись.
<?xml version=\"1.0\" encoding=\"UTF-8\" standalone=\"no\"?>
<PDFFileHash>9a2fb75eb64933b09951d94e11ddd948</PDFFileHash>
Да, подписывается вовсе не само заявление о присоединении, а XML-файл, сгенерированный на стороне интернет-ресурса.
Таким образом, пользователь подписывает не заявление о присоединении, а непонятный файл, который в глаза не видел и, скорее всего, никогда не увидит. Следовательно, мы считаем, что, как минимум, АО «Отбасы Банк» оказывает услуги таким пользователям не имея на то законных оснований, поскольку, согласно Закону Республики Казахстан «Об электронном документе и электронной цифровой подписи», факта подписания заявления о присоединении не было.
Как происходит подписание других документов Платформы по использованию пенсионных накоплений, мы не проверяли. Но если и с ними та же самая ситуация, то, вполне вероятно, что все казахстанцы, воспользовавшиеся единовременными пенсионными выплатами через АО «Отбасы Банк», сделали это незаконно.
Vladimir Turekhanov ・ April 19, 2021