Доска почёта ЭЦП — vqb.gov.kz
Виртуальная приёмная Президента Республики Казахстан создана для рассмотрения обращений граждан страны по различным вопросам личного или общественного характера.
Лично я не вижу особого смысла в её создании, поскольку, по своей сути, функционал виртуальной приёмной дублирует функционал услуги электронных обращений на egov.kz в адрес Администрации Президента РК. И рассматривает их АП. По крайней мере, моё обращение было рассмотрено так. Ну как рассмотрено? Просто перенаправлено в министерство, на действия которого я пытался обратить внимание.
Кроме того, виртуальная приёмная Президента РК открывается без использования сертификата безопасности (отечественного или иностранного), т.е. аутентификация по паролю происходит по незащищённым каналам связи (по протоколу http). А если попытаться открыть сайт с использованием сертификата безопасности (по протоколу https), выяснится, что он просрочен.
К слову, согласно Правил регистрации, пользования и распределения доменных имен в пространстве казахстанского сегмента Интернета (пункт 16, подпункт 5) — это основание для приостановления регистрации доменного имени. Но почему-то уполномоченный орган (МЦРИАП РК) не спешит исполнять свои же правила.
Но вернёмся к основной теме нашего исследования: при анализе обнаружено одно замечание жёлтого уровня [😐] (об уровнях).
😐 Неполное использование цифрового сертификата при регистрации
Для регистрации в виртуальной приёмной необходим сертификат, выданный удостоверяющим центром, но его не используют для подписания, а только получают из сертификата данные о субъекте. Вероятно, таким образом не дают регистрироваться тем, кто ещё не получил сертификаты в НУЦ.
Важно понимать, что сертификат пользователя является общедоступной информацией, сертификаты присутствуют во всех корректно созданных цифровых подписях, то есть злоумышленнику достаточно получить доступ к какому-либо электронному документу, подписанному ЭЦП гражданина, и он получит доступ к сертификату данного гражданина. Открытый ключ ЭЦП также хранится в сертификате.
Потенциально, злоумышленник может зарегистрироваться в системе от имени других граждан.
Аутентификация реализована по логину и паролю, без участия ЭЦП.
Vladimir Turekhanov ・ April 25, 2021