DigitalError писал(а): ↑13.03.2020
В поле "субъект" содержатся персональные данные
Конечно содержатся, подпись не бывает анонимной :)
Сертификат - это фактически открытый ключ, он должен быть доступен всем, кто захочет идентифицировать человека, поставившего подпись.
Сисадмин может увидеть тоже только то, что написано в Сертификате. Если хочется использовать ЭЦП, с этим нужно смириться.
DigitalError писал(а): ↑13.03.2020
ще вопросы появились:
1. Как сделать так, чтобы использование ключа стало "известным"?
А вот подписать без Вашего ведома какой-либо документ можно только в том случае, если закрытый ключ экспортирован на ПК (в реестр), или Токен постоянно торчит в ПК, а в окошке подписания поставили галочку - Запомнить пин-код :)
Кстати реальный случай, в одной компании через клиент-банк увели 60 млн.рублей, просто потому, что у пользователя Токен постоянно был подключен к ПК. Через клавиатурный шпион узнали Пин-код, дождались когда пользователь отойдет от компьютера и провели операцию.
Не экспортируйте никуда закрытый ключ, храните Токен всегда при себе, не передавайте никому и не сообщайте никому пин-код, тем более сисадмину.
DigitalError писал(а): ↑13.03.2020
Еще вопросы появились:
2. В каких целях предусмотрено изменение назначения сертификата - когда и кому это может потребоваться?
Изменить невозможно, нужно перевыпускать оба ключа, насколько я знаю. А цели - зависит от того как и для чего хотите использовать.
По-хорошему, в компании использование ЭЦП должно быть подробно регламентировано.
У меня все было расписано, кто и как получает, у кого какие права на подписание/утверждение документов по видам и т.д. Акты выдачи - приемки. У меня был админский пин-код, у пользователь пользовательский. Если пользователь забыл пин-код, я мог сделать сброс пароля.
Всего было больше 80 владельцев ЭЦП (могли подписывать), и около 400 пользователей (могли видеть подписи).