Доска почёта ЭЦП — idocs.kz
idocs — сервис электронного документооборота. С его помощью можно осуществлять электронный обмен документами, подписанными электронной цифровой подписью. Согласно информации из открытых источников, доменное имя idocs.kz зарегистрировано на ТОО «IDOCSKZ».
При анализе обнаружено два замечания: одно замечание жёлтого уровня [😐], а другое — красного [🤬] (об уровнях).
😐 Ограниченная поддержка носителей ключей ЭЦП
Несмотря на то, что в интерфейсе системы реализована поддержка защищённых носителей, пользоваться ими для подписания электронных документов не получается — в процессе операции подписания NCALayer выдаёт сообщение о том, что карта или токен отключен. Скорее всего, это связано с тем, что веб-интерфейс системы не перестаёт ежесекундно запрашивать у NCALayer информацию о подключенных типах носителей даже после того, как пользователь выбрал определённый тип носителя и приступил к подписанию.
Так или иначе, фактически, в системе idocs можно подписывать электронные документы только если используются ключи ЭЦП, хранящиеся в виде обычных файлов на компьютере. Защищённые носители ключей ЭЦП не поддерживаются.
Ключи ЭЦП можно хранить в разных местах. Например:
- Файлы на компьютере
- Удостоверение личности гражданина РК
- KAZTOKEN
- JaCarta
- Хранилище ключей Java
- AKEY
- eToken5110
- eToken
Из всех вышеперечисленных, наименее защищённым является хранение ключей ЭЦП в файлах на компьютере. О соответствующем риске говорится в личном кабинете Национального удостоверяющего центра Республики Казахстан при выпуске ЭЦП.
Напомню, закрытый ключ, должен храниться в строжайшем секрете. В идеале, никогда, ни при каких обстоятельствах не покидать устройство, где он был создан и хранится. Об этом подробнее можно прочитать в одной из моих статей из цикла «Цифровая гигиена»: ЭЦП, SMS и много других непонятных слов. Я, например, выпускаю свои ключи ЭЦП (как личные, так и служебные) в своём устройстве KAZTOKEN и, соответственно, храню их там же.
🤬 Подмена документа при подписании
При подписании электронных документов, сервис передаёт в NCALayer на подписание не тот электронный документ, который создавался, редактировался и согласовывался пользователями системы, а XML-файл следующего вида:
<root><data>XXX<data><timestamp>YYY</timestamp></root>
где XXX — это, видимо, некий хеш, контрольная сумма или идентификатор, но неизвестно, с каких данных и по какому алгоритму вычисленный, а YYY — это метка времени, полученная также на неизвестные данные.
Пользователи системы подписывают своей ЭЦП именно этот XML-файл, именно он является электронным документом в соответствии с Законом Республики Казахстан «Об электронном документе и электронной цифровой подписи» и именно он обладает юридической значимостью. А тот документ, который пользователи создавали, редактировали и согласовывали, с позиции законодательства РК, не является электронным документом и, соответственно, и не имеет юридической силы.
Vladimir Turekhanov ・ April 21, 2021