Доска почёта ЭЦП — is.ncste.kz
Информационная система для подачи заявок на участие в грантовом и программно-целевом финансировании по научным и (или) научно-техническим проектам и программам. Владелец — АО «Национальный центр государственной научно-технической экспертизы».
При анализе обнаружено одно замечание жёлтого уровня [😐] (об уровнях).
😐 Ограниченная поддержка носителей ключей ЭЦП
На сайте данной информационной системы поддерживаются только ключи ЭЦП, хранящиеся в виде обычных файлов на компьютере. Защищённые носители ключей ЭЦП не поддерживаются.
Ключи ЭЦП можно хранить в разных местах. Например:
- Файлы на компьютере
- Удостоверение личности гражданина РК
- KAZTOKEN
- JaCarta
- Хранилище ключей Java
- AKEY
- eToken5110
- eToken
Из всех вышеперечисленных, наименее защищённым является хранение ключей ЭЦП в файлах на компьютере. О соответствующем риске говорится в личном кабинете Национального удостоверяющего центра Республики Казахстан при выпуске ЭЦП.
Напомню, закрытый ключ, должен храниться в строжайшем секрете. В идеале, никогда, ни при каких обстоятельствах не покидать устройство, где он был создан и хранится. Об этом подробнее можно прочитать в одной из моих статей из цикла «Цифровая гигиена»: ЭЦП, SMS и много других непонятных слов. Я, например, выпускаю свои ключи ЭЦП (как личные, так и служебные) в своём устройстве KAZTOKEN и, соответственно, храню их там же.
Комментарий разработчика:
Если интернет-ресурс использует актуальный API NCALayer, то разработчики могут довольно легко решить данную проблему. Для этого перед вызовом метода подписания данных, необходимо предварительно вызвать getActiveTokens и, в том случае, если он вернул непустой массив, попробовать использовать элемент этого массива при подписании.
Пример подобной обработки приведен в описании JS библиотеки для работы с NCALayer: https://github.com/sigex-kz/ncalayer-js-client
Vladimir Turekhanov ・ February 12, 2021