Доска почёта ЭЦП — zakup.sk.kz

Портал закупок «Самрук-Қазына», как можно догадаться, является информационной системой электронных закупок АО «ФНБ «Самрук-Қазына».

При анализе обнаружено одно замечание жёлтого уровня [😐] (об уровнях).

😐 Ограниченная поддержка носителей ключей ЭЦП

На сайте данной информационной системы поддерживаются только ключи ЭЦП, хранящиеся в виде обычных файлов на компьютере. Защищённые носители ключей ЭЦП не поддерживаются.

Ключи ЭЦП можно хранить в разных местах. Например:
- Файлы на компьютере
- Удостоверение личности гражданина РК
- KAZTOKEN
- JaCarta
- Хранилище ключей Java
- AKEY
- eToken5110
- eToken

Из всех вышеперечисленных, наименее защищённым является хранение ключей ЭЦП в файлах на компьютере. О соответствующем риске говорится в личном кабинете Национального удостоверяющего центра Республики Казахстан при выпуске ЭЦП.

Напомню, закрытый ключ, должен храниться в строжайшем секрете. В идеале, никогда, ни при каких обстоятельствах не покидать устройство, где он был создан и хранится. Об этом подробнее можно прочитать в одной из моих статей из цикла «Цифровая гигиена»: ЭЦП, SMS и много других непонятных слов. Я, например, выпускаю свои ключи ЭЦП (как личные, так и служебные) в своём устройстве KAZTOKEN и, соответственно, храню их там же.

Комментарий разработчика:

Если интернет-ресурс использует актуальный API NCALayer, то разработчики могут довольно легко решить данную проблему. Для этого перед вызовом метода подписания данных, необходимо предварительно вызвать getActiveTokens и, в том случае, если он вернул непустой массив, попробовать использовать элемент этого массива при подписании.

Пример подобной обработки приведен в описании JS библиотеки для работы с NCALayer: https://github.com/sigex-kz/ncalayer-js-client

Интерактивная документация по API NCALayer.

 

Vladimir Turekhanov ・ February 16, 2021

 

вернуться