Доска почёта ЭЦП — ww2.подпиши.онлайн

Сервис Подпиши.Онлайн — проект, позволяющий любой компании заключать сделки или подписывать документы с партнерами в электронном виде..

При анализе обнаружено два замечания жёлтого уровня [😐] (об уровнях).

😐 Ограниченная поддержка носителей ключей ЭЦП

Подпиши.Онлайн поддерживает работу только с ключами ЭЦП, хранящиеся в виде обычных файлов на компьютере. Работа защищённых носителей ключей ЭЦП не поддерживаются.

Ключи ЭЦП можно хранить в разных местах. Например:
- Файлы на компьютере
- Удостоверение личности гражданина РК
- KAZTOKEN
- JaCarta
- Хранилище ключей Java
- AKEY
- eToken5110
- eToken

Из всех вышеперечисленных, наименее защищённым является хранение ключей ЭЦП в файлах на компьютере. О соответствующем риске говорится в личном кабинете Национального удостоверяющего центра Республики Казахстан при выпуске ЭЦП.

Напомню, закрытый ключ, должен храниться в строжайшем секрете. В идеале, никогда, ни при каких обстоятельствах не покидать устройство, где он был создан и хранится. Об этом подробнее можно прочитать в одной из моих статей из цикла «Цифровая гигиена»: ЭЦП, SMS и много других непонятных слов. Я, например, выпускаю свои ключи ЭЦП (как личные, так и служебные) в своём устройстве KAZTOKEN и, соответственно, храню их там же.

😐 Отсутствует информация о сертификации используемой криптографической библиотеки

При работе с файловыми хранилищами используется нестандартная криптографическая библиотека. Т.е. вместо взаимодействия в части криптографических операций с NCALayer’ом, интернет-ресурс использует сторонние решения средств электронной цифровой подписи.

Если решение NCALayer уже достаточно устоявшееся и проверенное, то как себя поведут сторонние криптографические библиотеки — неизвестно. Может они работают вполне корректно, а может копируют закрытый ключ пользователя куда-то к себе в облако.

Согласно статьи 11 Закона Республики Казахстан «Об электронном документе и электронной цифровой подписи» (далее — Закон), средства электронной цифровой подписи подлежат подтверждению соответствия в случаях и порядке, установленных законодательством Республики Казахстан в области технического регулирования.

Из открытых источников не удалось выяснить о наличии либо об отсутствии подтверждения соответствия используемых средств электронной подписи.

Согласно разъяснения МЦРИАП РК о наличии ответственности в случае использования в информационной системе (на интернет-ресурсе) средств электронной цифровой подписи, не прошедших подтверждение соответствия в установленном порядке, приведённого в письме №01–3–4–27/ЗТ-Т–682 от 08.01.2021 в адрес ОЮЛ «Казахстанская ассоциация автоматизации и робототехники», частью 1 статьи 415–1 Кодекса об административных правонарушениях Республики Казахстан предусмотрена ответственность за нарушения законодательства Республики Казахстан об аккредитации в области оценки соответствия при проведении аккредитации, процедур подтверждения и (или) оценки соответствия, поверки средств измерений, установленных техническими регламентами, нормативными правовыми актами и документами по стандартизации.

Vladimir Turekhanov ・ January 24, 2021

 

вернуться