В поисках цифровой подписи

В одной из статей цикла Цифровая гигиенаЦифровые внутренности документов — я рассказывал про информацию, закодированную в QR-кодах, встроенных в документы, которые можно получить на портале egov.kz.

В статье рассматривалась возможность самостоятельной проверки документа, полученного в результате получения государственной услуги на egov.kz на примере справки о зарегистрированном юридическом лице. Поскольку манипуляции с извлечением информации были достаточно сложны для неподготовленного человека, тогда я опустил эти подробности.

И вот, какое-то время спустя, появился инструмент, позволяющий проделывать всё то же самое, но уже всем желающим: Анализ документов EGOV. Специальной подготовки для этого не нужно.

Узнав об этом инструменте, я стал скармливать ему различные файлы, полученные мной с egov.kz. Обнаружилось, что всё далеко не так радужно, как могло показаться ранее. На это наложилось ещё несколько вещей, всплывших в ходе изучения работы с электронной цифровой подписью различных казахстанских интернет-ресурсов: Доска почёта ЭЦП. На момент написания этой статьи публикация результатов ещё не окончена, но общая картина уже проглядывается.

Полагаю, вы уже догадались, что вышеперечисленное подвигло меня на написание ещё одной статьи про ЭЦП. Собственно, вот.

ВНИМАНИЕ! Если вы думаете, что это вас никак не касается, поскольку вы далеки от кибербезопасности, криптографии и, вообще, информационных технологий, то очень зря. После того, как электронную цифровую подпись под электронным документом приравняли к собственноручной, поднимаемые в этой статье вопросы касаются каждого гражданина Республики Казахстан.

Электронный документ

В нашей стране принят и действует Закон Республики Казахстан от 7 января 2003 года №370 «Об электронном документе и электронной цифровой подписи» (далее — Закон). В нём, в частности, даётся определение таким терминам, как электронная цифровая подпись и электронный документ.

16) электронная цифровая подпись – набор электронных цифровых символов, созданный средствами электронной цифровой подписи и подтверждающий достоверность электронного документа, его принадлежность и неизменность содержания;

17) средства электронной цифровой подписи – совокупность программных и технических средств, используемых для создания и проверки подлинности электронной цифровой подписи;

12) электронный документ – документ, в котором информация представлена в электронно-цифровой форме и удостоверена посредством электронной цифровой подписи;

7) электронная копия документа – документ, полностью воспроизводящий вид и информацию (данные) подлинного документа в электронно-цифровой форме;

Исходя из определения термина электронный документ, согласно законодательству РК, документ в электронно-цифровой форме становится электронным документом тогда и только тогда, когда информация в нём удостоверена посредством электронной цифровой подписи.

Другими словами, если вам дали возможность скачать из информационной системы какой-то файл, например, решение суда, но при этом отсутствует электронная цифровая подпись, удостоверяющая информацию скачанного файла, то считать его электронным документом, как это понимает законодательство РК, нельзя. В лучшем случае это будет электронная копия документа, в худшем — файл с недостоверной информацией. В любом случае, без ЭЦП невозможно удостовериться в подлинности этого файла и он не является электронным документом.

ВНИМАНИЕ! Электронная цифровая подпись — это не надпись, что документ подписан Ивановым И.И. 01.02.2021 года. Электронная цифровая подпись создаётся (и проверяется) средствами электронной цифровой подписи, т.е. совокупностью программных и технических средств. Другими словами, создание электронной цифровой подписи — это результат работы заданных алгоритмов вычисления, на основе закрытого ключа ЭЦП и подписываемого документа. Подробнее можно почитать здесь: Что такое ЭЦП?

Для примера, вот так выглядит фрагмент электронной цифровой подписи в текстовом представлении:

H2weBVqol3rDhWqC49cn40atw9THxX8Mt3VF8iTCn1XatgW+oEA4ztcyYNN0B+xubljw==

Проверка подлинности электронной цифровой подписи

Согласно Закону (статья 5, пункт 1, подпункт 10), утверждение правил проверки подлинности электронной цифровой подписи относится к компетенции уполномоченного органа в сфере информатизации.

Статья 5. Компетенция уполномоченных органов

  1. Уполномоченный орган в сфере информатизации:

10) утверждает правила проверки подлинности электронной цифровой подписи;

На данный момент эти правила утверждены Приказом Министра по инвестициям и развитию Республики Казахстан от 9 декабря 2015 года №1187 «Об утверждении Правил проверки подлинности электронной цифровой подписи» (далее — Правила).

В Правилах подробно описано, как должна осуществляться проверка, перечислять все пункты нет необходимости, желающие могут ознакомиться по ссылке выше. Скажу лишь, что процесс прекрасно автоматизируется, что и должно быть реализовано в информационных системах, работающих с электронными документами. На практике это, к сожалению, не всегда так.

Файлы с QR-кодами

Начав глубже погружаться в тему применения на практике в нашей стране электронной цифровой подписи, с удивлением обнаружил: многие граждане считают, что если внутри файла есть QR-коды, то это и есть электронная цифровая подпись.

ВНИМАНИЕ! Граждане, если вы видите в файле QR-коды, это ещё ничего не значит. Этими кодами может быть закодирована просто ссылка на сайт или какая-либо служебная информация, а может и целый электронный документ. QR-коды — это просто способ кодирования информации. Ими может быть закодировано всё, что угодно.

ВНИМАНИЕ! Электронная цифровая подпись электронного документа не может быть закодирована QR-кодами, находящимися в том же самом электронном документе. Добавление QR-кодов в документ повлечёт за собой его изменение, что приведёт к отрицательной проверке подлинности электронной цифровой подписи. При этом, вполне возможен вариант, когда электронная цифровая подпись в виде QR-кодов находится в отдельном файле.

ВНИМАНИЕ! Кодирование и криптография (шифрование) — это не одно и то же.

И тут вы спросите: а как же различные справки, которые мы получаем на портале egov.kz?

И я вам отвечу: собственно файлы формата PDF, которые мы все привыкли получать на egov.kz, не являются электронными документами. Многих эта информация, мягко говоря, удивляет. Попробуем разобраться.

Позволю себе ещё раз процитировать определение термина электронный документ из Закона:

12) электронный документ – документ, в котором информация представлена в электронно-цифровой форме и удостоверена посредством электронной цифровой подписи;

Вы когда-нибудь видели электронную цифровую подпись полученных с портала электронного правительства справок в формате PDF? И я не видел. Может быть они где-то и есть, но это крайне маловероятно, так как в этом нет никакой необходимости. По сути, эти PDF-файлы являются человекочитаемым содержимым электронного документа формата XML, который полностью закодирован QR-кодами, размещёнными внутри PDF-файла. Напомню, подробно это разбиралось в моей статье Цифровые внутренности документов.

Да, получается, эти справки — PDF-файлы, внутри которых содержатся закодированные электронные документы.

Но и здесь не всё гладко. С появлением инструмента Анализ документов EGOV, я стал проверять разные справки. Выяснилось, что часть из них не проходит проверку подлинности электронной цифровой подписи. Это может означать одно из двух: некорректность работы инструмента либо отсутствие юридической значимости электронного документа.

Абсолютно все справки проверить не удалось, но совершенно точно, что электронный документ, который кодируется QR-кодами при формировании PDF-файла справки о заключении брака модифицируется после подписания.

В частности, в электронном документе справки, которую я получил на себя 31.01.2021, имеются следующие дополнительные данные:

‌<DocumentParams><FavodId>10100478358397</FavodId><issueDate>1612067449185</issueDate></DocumentParams>

Естественно, будучи модифицированным, документ не проходит проверку подлинности электронной цифровой подписи. Опытным путём удалось установить, что если удалить вышеуказанные данные из электронного документа, он успешно проходит такую проверку.

Таким образом, я предполагаю, что, как минимум, один вид электронного документа формируется порталом электронного правительства с ошибкой. Да, по моему мнению, такие документы, согласно действующему законодательству Республики Казахстан, не являются юридически значимыми, а значит средства из республиканского бюджета на выдачу этих документов «вылетают в трубу». Но, похоже, почти никому до этого нет дела. И очень зря.

Почему зря? Да потому что если такие документы не являются юридически значимыми, вполне реально оспорить все дальнейшие решения, принятые на их основании. Приведу грубый, но, надеюсь, понятный пример. Сотрудник компании получает справку о том, что он не состоит на диспансерном учёте по психологическим заболеваниям. Далее, компания, где работает этот человек, получает какую-либо лицензию, где необходимо приложить такую справку. Получает лицензию и идёт на многомиллионный открытый конкурс. А тут конкурент этой компании заявляет, что справка-то не действительна, так как цифровая подпись под ней не проходит проверку. Быть может, всё обойдётся. А может и нет.

Напомню, это не единственный вид электронного документа, не проходящий проверку подлинности. Просто с остальными пока не удалось понять, чем именно они отличаются от подлинных.

Защита информационных систем и пользователей друг от друга

Электронная цифровая подпись позволяет техническими средствами подтверждать достоверность, принадлежность и неизменность содержания электронного документа. Это крайне необходимо для обмена сколько-нибудь важными данными.

В теории, и пользователи, и информационные системы должны в одинаковой степени быть защищёнными друг от друга в плане фальсификации данных. Но на практике это не так.

Электронные обращения

Многие из нас пользуются автоматизированной государственной услугой Электронные обращения. При обращении пользователь должен подписать своё обращение при помощи своего закрытого ключа ЭЦП. А что в ответ? В ответ мы получаем один или несколько файлов и пару кнопок «Просмотр ЭЦП», нажав на которые мы получаем информацию от самой информационной системы, верна ли ЭЦП.

Один из ответов я получил 09.01.2021. В нём два файла с письмами одинакового содержания. Отличаются они тем, что один без исходящего номера, другой с исходящим номером. К какому из двух файлов осуществляется проверка подлинности электронной цифровой подписи при нажатии на кнопку «Просмотр ЭЦП»? Или может сразу к двум? А действительно ли делается проверка? А если делается, делается ли правильно? Если я не могу скачать электронную цифровую подпись (да и есть ли она?), является ли этот документ юридически значимым? Как я смогу в суде доказать, что я получал именно этот документ, и он был подписан именно этим человеком, если его «волшебным образом» больше не будет в информационной системе? Реально ли сотрудник государственного органа подписал документ в 4 часа утра или его закрытый ключ был передан в информационную систему для автоматической подписи? Много вопросов, не так ли?

Их можно избежать, если публиковать вместе с файлом письма его электронную цифровую подпись. Тогда, согласно законодательству Республики Казахстан, это электронный документ и все вышеуказанные вопросы отпадают. И, да, пользователь, скачав файлы, в любой момент может самостоятельно осуществить проверку подлинности электронной цифровой подписи данного электронного документа.

Судебный кабинет

Раз уж упомянул про доказательства в суде, давайте поговорим про Судебный кабинет. Те, кто пользовался им, скажите, как часто вам предоставлялась возможность скачать или ознакомиться с электронной цифровой подписью судебного акта? У меня ни разу не получилось это сделать.

Для примера, рассмотрим случайно выбранный судебный акт одного из дел. Выбор пал на Решение СМЭС города Алматы по гражданскому делу №7527–20–00–2/378 от 01.04.2020. Информационная система позволяет просмотреть электронную версию судебного акта. Я не могу назвать это электронным документом, т.к. ЭЦП к нему обнаружить не удалось. Внутри самого файла есть несколько QR-кодов. В одном из них закодирована ссылка, переход по которой отображает надпись «Для получения ссылки на акт воспользуйтесь мобильным приложением.». Две другие — информационные. Там указана информация о суде, судье, о том, кто подписал судебный акт и что подлинность ЭЦП проверена соответствующей автоматизированной информационно-аналитической системой.

К чему это я? К тому, что стороны дела не имеют возможность скачать электронный документ судебного акта. Соответственно, до момента получения судебного акта, выполненного на бумажном носителе, у сторон нет на руках юридически значимого документа.

Да, вы можете сказать, что в самой системе всё как положено: электронный документ, электронная цифровая подпись к нему, все проверки подлинности. Да, возможно, это и так. Но ключевые слова здесь «в самой системе». И ни одна из сторон по делу, ни прочие лица не имеют возможности самостоятельно выполнять проверку подлинности. А что там внутри информационной системы происходит, пожалуй, никому не известно.

Тут ещё кое о чём хотелось рассказать, но передумал. Доказательств у меня нет, а без них всё выглядит слишком уж фантастически. И, нет, не в самом лучшем смысле этого слова. Если смогу раздобыть доказательства, обязательно расскажу.

ЭЦП своих собственных обращений

Но вернёмся к порталу электронного правительства. Уверен, почти все из нас получали государственные услуги в электронном виде, подписывая запрос на оказание услуги своим ключом ЭЦП. А часто ли вы видели электронный документ, подписанный вашим ключом ЭЦП, на основании которого вам была оказана услуга? Я вот ни разу не видел.

Моя длительная переписка с Министерством юстиции РК и Министерством цифрового развития, инноваций и аэрокосмической промышленности РК не привела к положительному результату. Мне так и не смогли показать запрашиваемый мной электронный документ. В ответе на мой последний запрос, за подписью Оспанова А.Е., мне прислали ранее полученную мной справку и комментарий:

Дополнительно отмечаем, что на Портале реализован сервис по проверке услуг, полученных посредством Портала или через центры обслуживания населения, где путем ввода ИИН заявителя и уникального кода заявки Вы можете увидеть результат оказания услуги.

Это породило у меня подозрение, что такой электронный документ попросту отсутствует в информационной системе. Между тем, согласно стандартам оказания государственных услуг, которые мне посчастливилось изучить, запрос в форме электронного документа, удостоверенного электронной цифровой подписью услугополучателя, является основанием для оказания государственной услуги.

Таким образом, смею предполагать, что, как минимум часть государственных услуг в электронном виде оказывается с нарушением законодательства РК, следовательно, их результат не имеет юридической силы. И вновь возникает вопрос о «вылетающих в трубу» средствах из республиканского бюджета.

Аналогичная ситуация и с государственной услугой «Электронные обращения». На портале можно увидеть файл, который был приложен услугополучателем к обращению, но не ЭЦП.

Скажите, а вы знаете, что именно вы подписываете нажимая на кнопку «Подписать»? Технически, на подпись можно подсунуть всё, что угодно. А ведь нам часто даже не показывается итоговый подписываемый документ. Я не говорю, что все информационные системы сплошь и рядом таки плохие, что будут пытаться обмануть доверчивых пользователей, но всегда возможны технические ошибки. Доказать потом что-либо будет очень сложно. Не знаю как вы, но я не готов вслепую ставить свою электронную подпись под протоколом заседания, согласно которому распределяется порядка миллиарда тенге из республиканского бюджета.

Что делать?

Понять и простить. Ну или просто проститься. Шутка.

Пора признать, что электронные документы, подписанные электронной цифровой подписью, из разряда экзотики переходят в ежедневный рабочий инструмент. К сожалению, подавляющее большинство пользуется этим инструментом не особо понимая хотя бы основных принципов его работы и возможных последствий некорректного функционирования этого инструмента. По опыту, отсутствие понимания порождает недоверие, которое густой тенью ложится на всё, что так или иначе связано с цифровизацией.

Прочитав эту статью вы можете подумать, что всё плохо. Плохо, конечно, но не настолько, чтобы опускать руки. Поверьте, раньше было ещё хуже. Все упомянутые мной недочёты можно устранить. Можно, если задаться такой целью. Мы все можем помочь ответственным за совершенствование информационных систем, как государственных, так и частных. Как, спросите вы? И я отвечу вам: очень просто. Мотивировать их на изменения в лучшую сторону обращением внимания на недочёты. Наиболее явные я перечислил в этой статье. Не ждите, что кто-то сделает нашу жизнь лучше, старайтесь сами возглавить этот процесс.

Обращаясь к тем самым ответственным, скажу, что в ваших информационных системах не просто нули и единички в базах данных, не просто какой-то исполняемый код, в них — часть наших жизней. Порой, значительная часть, ведь у электронных документов имеется юридическая значимость. Относитесь к ним серьёзнее. Пытайтесь смотреть на годы вперёд.

И, да, в каждой шутке есть только доля шутки. Всё остальное — чистая правда. :-)

P.S.: Прочитали сами — дайте прочитать родным, близким, всем, чьё будущее вам не безразлично. Пока не поздно.

Vladimir Turekhanov ・ February 03, 2021

 

вернуться