Электронная подпись.

[DigitalError]

нефиг подгонять срок действия подписи под процедуру подтверждения

вот и я о том же - не нужно уделять пристального внимания рутинным процедурам.

Отправлено спустя 23 минуты:

те, кто "готовы" бодаться с Росаккредитацией бизнесом не занимаются

О, это как раз мой случай :)

[Itanium]

не нужно искать черную кошку в темной комнате - если вы знаете, что ее там нет

Мой экспертный опыт (ни в коем случае не связано с ФСА :) научил меня очень аккуратно формулировать выводы. Смотрите - на входе у Вас ЭЦП, подлинность которой не удается проверить. Это может быть в результате технических проблем с ПО, просроченным сертификатом или подпись на самом деле недействительная. Причину эксперт не знает, Вы тоже можете этого не знать.
На каком основании Вы или эксперт делаете вывод о том, что документ подписан должным образом?
У Вас к этому нет никаких оснований. И эксперт не может делать таких выводов, если он не видит своими глазами валидную подпись.

К сожалению, многие эксперты грешат тем, что путают свои домыслы с фактами. Например, есть требование - наличие правил ... не важно каких. В документах есть прямой текст Правила ... Однако эксперт , не находя в этих правилах чего-то, что он считает должно быть, делает вывод - отсутствие правил. Это полная ложь, и должна трактоваться в Акте как недостоверная информация.
Однако ФСА сплотив ряды тупо (иначе это действие не назовешь) отвергает претензии лабораторий. А Вы говорите ЭКСПЕРТЫ УЧАТСЯ :)
Они вместе с ФСА образовали монолитную стену, от которой отскакивают как сушеный горох ЛЮБЫЕ аргументы и несогласия. Я, честно говоря, не припомню иных решений аппеляционных комиссий, кроме - отказать. Думаю, нужно в прокуратуру обращаться, а не в Росаккредитацию.

[Метролог]

Смотрите - на входе у Вас ЭЦП, подлинность которой не удается проверить. Это может быть в результате технических проблем с ПО, просроченным сертификатом или подпись на самом деле недействительная. Причину эксперт не знает, Вы тоже можете этого не знать.

И что?У меня есть официальное письмо госучреждения подписанного ЭП. Прошло 3 года оно стало недействительным? Сегодня оно подписано просроченной ЭП. Я и Вам и любому эксперту просто тупо покажу, что на момент подписания эта ЭП действовала. Этого должно быть достаточно. Актуализировать ЭП у протоколов в архивах - это маразм

И эксперт не может делать таких выводов, если он не видит своими глазами валидную подпись.

На куче предприятий нет интернета, поэтому проверить валидность подписи невозможно

Я, честно говоря, не припомню иных решений аппеляционных комиссий, кроме - отказать

Аппеляционная комиссия - последняя инстанция, туда приходят уже после отказа договорится на более раннем этапе (проверке акта в РА)

Думаю, нужно в прокуратуру обращаться, а не в Росаккредитацию.

В Суд )))

[Itanium]

Прошло 3 года оно стало недействительным?

Нет, не стала. Но для подтверждения этого требуется обращение в удостоверяющий центр.

Я и Вам и любому эксперту просто тупо покажу, что на момент подписания эта ЭП действовала

Ничего Вы не покажете, правила игры другие.
Как игроки двух футбольных команд могут друг другу показывать и доказывать что угодно, решение будет такое, какое скажет арбитр. Вот в данном случае удостоверяющий центр и есть этот самый арбитр.

куче предприятий нет интернета

А вот это не обязательно для проверки подписи, да и для подписания тоже.

[Метролог]

Ничего Вы не покажете, правила игры другие.

Вы перегорели на своем IT. Ваши выкладки актуальны для СЭД и Банковских программ. Там необходима актуальность ЭП для принятия решения. Мы же, как понимаю, говорим про архив. Там Вы не сможете обеспечивать актуальность ЭП (умер человек, уволился) Поэтому в данном моменте ЭП используется так же как и ручная. Подписал в данный момент, по ЭП можно идентифицировать дату "годности" подписи и имя подписанта.

Но для подтверждения этого требуется обращение в удостоверяющий центр.

А за каким? Этот человек там больше не работает

А вот это не обязательно для проверки подписи, да и для подписания тоже.

Особо не вникал, а как Ваш сертификат будет проверяться в Удостоверяющем центре?

[Itanium]

Мы же, как понимаю, говорим про архив.

Вообще-то мы говорим про подпись и ее подтверждение. Срок хранения отчетных документов 3 года. Вот эти 3 года Вы и должны иметь возможность предъявить отчетный документ с подписью. И, кстати, не только в ФСА, есть и другие, кто могут запросить у Вас эти документы - собственный Генеральный директор, безопасник компании, Потребнадзор, Прокуратура, Полиция, Суд... не важно кто, назовем обобщенно - контролирующий орган. А уже в архиве он у Вас находится или нет - вопрос десятый.
Знаю случаи, когда Заказчики подделывали печать ИЛ, подпись и "клепали" протоколы для собственных нужд совершенно безвоздмездно :)

Особо не вникал

Вот в том то и дело :)
Попробуйте сначала разобраться как это работает...

Умер человек или улетел на Марс - совершенно не важно. Для проверки подписи требуется не человек, а открытый ключ, который хранится в сертификате, вместе с иной служебной информацией. Он потому и называется открытым, что распространяется свободно и может находиться где угодно и у кого угодно, в отличие от закрытого ключа, который хранится на защищенном носителе и по регламенту должен быть защищен.
Чтобы проверить Вашу подпись - Ваше наличие совершенно не нужно, нужен Ваш открытый ключ и реестр Удостоверяющего центра, где хранится его копия. Открытый ключ позволяет удостовериться, что подпись Ваша, в реестр УЦ подтверждает, что ключи выдавали именно Вам.
Даже если оба ключа давно просрочены, токен потерян, а владелец застрелился :)

Вот этим мне нравится ЭЦП, пока не созданы мощные квантовые компьютеры - ее нельзя подделать, чего не скажешь о ручной подписи. Далеко не каждый эксперт и не всегда даст заключение о принадлежности или подделке ручной подписи.

[Метролог]

А уже в архиве он у Вас находится или нет - вопрос десятый.

А вот это как раз таки первый вопрос. Вы подписываете протокол 02.02.18 ЭП. Протокол тоже от того числа. И файл имеет дату изменения 02.02.18. Вы его складываете в архив. Какой то идиот считает, что в 20 году надо переподписать протокол (якобы ЭП не актуальна). Переподписывает свежей. Берем протокол он 18 года, а ЭП действует с 20 года. Фальсификат однако )) Или помер у Вас человек, насмерть. Будете липовую подпись заводить?

Вот в том то и дело :)

Ну я Вам про другое говорил

Чтобы проверить Вашу подпись - Ваше наличие совершенно не нужно, нужен Ваш открытый ключ и реестр Удостоверяющего центра, где хранится его копия. Открытый ключ позволяет удостовериться, что подпись Ваша, в реестр УЦ подтверждает, что ключи выдавали именно Вам.

Я как понял разговор идет про случай когда год прошел сертификат закончен, и при его открытии вылетает сообщение что он не действует.

[texadmin]

Спорить можно бесконечно, может лучше за разъяснениями в Контур написать, или местным?
Только не получится три года, обновляя по два держать подпись. Два проходит эксперты приезжают, уезжают, вы берёте новую подпись, два года проходит, у вас трёхлетние протоколы тю тю (год от предыдущих экспертов), этой подписи уже четыре года.

[Метролог]

Спорить можно бесконечно

Мы как бы не спорим. У меня складывается мнение, что говорим про разные вещи. Или что то сильно поменялось с того раза, когда я видел в живую ЭП )))

Отправлено спустя 1 минуту:

Два проходит эксперты приезжают, уезжают, вы берёте новую подпись, два года проходит, у вас трёхлетние протоколы тю тю (год от предыдущих экспертов), этой подписи уже четыре года.

Не понял. Вы предлагаете переподписать протоколы свежей подписью?

[texadmin]

Itanium предлагает после уезда комиссии покупать новую подпись, что бы по приезду следующей при проверке выскакивала надпись подпись действительна. При некотором стечении обстоятельств, этого может не произойти, например если закончился сертификат и вы купили новую (перед приездом комиссии).
Я как бы за то что нефиг заворачиваться, т.к. использование подписи происходит по назначению и в рамках закона.

[Метролог]

проверке выскакивала надпись подпись действительна.

а как это бьётся с

Для проверки подписи требуется не человек, а открытый ключ, который хранится в сертификате, вместе с иной служебной информацией. Он потому и называется открытым, что распространяется свободно и может находиться где угодно и у кого угодно, в отличие от закрытого ключа, который хранится на защищенном носителе и по регламенту должен быть защищен.
Чтобы проверить Вашу подпись - Ваше наличие совершенно не нужно, нужен Ваш открытый ключ и реестр Удостоверяющего центра, где хранится его копия. Открытый ключ позволяет удостовериться, что подпись Ваша, в реестр УЦ подтверждает, что ключи выдавали именно Вам.

Видимо, вы друг друга тоже не поняли

[Itanium]

Itanium предлагает после уезда комиссии покупать новую подпись, что бы по приезду следующей при проверке выскакивала надпись подпись действительна

Ничего подобного :) Бред какой-то пошел... разговор слепого с глухим.

Смотрите, в ЭЦП два ключа - открытый (сертификат) и закрытый. По старому ГОСТ срок действия обоих ключей - 1 год.
По новому ГОСТ - открытый ключ действует 3 года, закрытый - 1 год. Но Вы приобретаете новую ЭЦП ежегодно (помним про закрытый ключ!). А все, что Вы в течение 2-х лет подписываете (подотчетный период для ФСА) предыдущими ЭЦП будет корректно отображаться. И даже 3-х летний период (срок хранения подписанных Протоколов) охватывает подпись по новому ГОСТ с 3-х летним открытым ключем.
Ничего не нужно переподписывать!
Единственное, что я хотел посмотреть - техническую реализацию. Фокус в чем, если на Токене хранить 3 ЭЦП, то не всякий Токен подойдет. Если сертификат на комп загонять, может потеряться :)

может лучше за разъяснениями в Контур написать, или местным

А Контур тут при чем? Разработчик ПО - Криптопро. И ключи генерятся в специльном ПО Криптопро УЦ. Можете скачать, поставить себе на комп и "нагенерить" кучу ЭЦП :)

Кстати есть аналог VipNet, я одно время пользовался.

[texadmin]

Нужно синхронизировать :)

Но с учетом того, что открытый ключ действует 3 года, а проверки проходят с периодичностью 2 года - есть целый год на синхронизацию.

[DigitalError]

Ничего подобного :)

Я кстати так же понял, как техадмин. И противоречий с вашим

все, что Вы в течение 2-х лет подписываете (подотчетный период для ФСА) предыдущими ЭЦП будет корректно отображаться

в его понимании не вижу. Что-то совсем запутался. Может, все же, оставить эти тонкости специалистам по IT и не трактовать Критерии, а пользоваться ими (отвечал выше техадмину об "ограниченной ответственности лаборатории")? В вашей компетентности никто не сомневается. Вопрос в другом - сколько экспертов ФСА обладают такой же компетентностью? Думаю, число их стремится к нулю.

[texadmin]

Думаю, число их стремится к нулю.

Даже если не так, у них корочек нет, специалист по криптографии.

[Метролог]

Даже если не так, у них корочек нет, специалист по криптографии.

Надо определится. Шашечки или ехать? Сегодня подписать протоколы действующей ЭП и спокойно убрать её в архив, где и через 5 лет можно открыть этот протокол и убедиться, что на момент подписания ЭП была валидна, или изображать из себя специалиста по криптографии

[Itanium]

эти тонкости специалистам по IT и не трактовать Критерии

При чем тут критерии...
Еще раз на пальцах - Вы подписываете электронный документ электронной подписью. Через 2 года Вам нужно предъявить этот документ экспертам ФСА (кстати возможно не только им и в течение 3-х лет).
Вы показываете эксперту документ на котором информация о подписи - подпись невалидна.
Что, по Вашему должен эксперт написать в Акте?

[DigitalError]

Itanium, ну, так пусть пишет все, что угодно - мы на него в суд подадим (напомню, что в связи с отсутствием бизнеса - можем себе позволить). Я тоже за точность формулировок, как и вы. Но "правоприменительная практика" должна из чего-то складываться. Так пусть складывается из тех, кто не занимается бизнесом - в пользу тех, кто им занимается. Если "оштрафуют" (первый этап) - обязательно напишу, чем закончилось.

[Метролог]

Вы показываете эксперту документ на котором информация о подписи - подпись невалидна.

ИМХО. Валидность подписи документа нужна при работе в системах, где она проверяется. Для архива мы подписываем документ ЭП, чтобы никто после не мог внести туда изменения. Через 10 лет будет не важно валидна она на тот момент или нет, а есть ли подпись (значит никто не вносил изменений в данный документ). Вот что основополагающее в этом

[Itanium]

Валидность подписи документа нужна при работе в системах, где она проверяется.

Ничего подобного. У электронной подписи есть 2 основных функции - подтверждение авторства и неизменности документа.
Статус подпись невалидна может свидетельствовать о том, что это вообще не ваша подпись, а вовсе не то, о чем Вы думаете...

[Метролог]

У электронной подписи есть 2 основных функции - подтверждение авторства и неизменности документа.

Совершенно верно

Статус подпись невалидна может свидетельствовать о том, что это вообще не ваша подпись,

Откройте сертификат и посмотрите на кого она выдана и дата действительности. В чем проблема?

Отправлено спустя 13 минут:

Отчет проверки подписи - 2020.04.09.pdf

(32.35 КБ) 22 скачивания

Чтобы не быть голословным прикладываю протокол проверки ЭП. ИМХО всё видно. Выделил жёлтым цветом. У экспертов вопросов быть не должно

[DigitalError]

Статус подпись невалидна может свидетельствовать о том, что это вообще не ваша подпись

А может, что эта подпись ваша, но выдана не вам, а может, это глюк программного обеспечения, а может, это Штирлиц был на Луне, где ее и подделал :)
Еще раз повторю - никто не сомневается в вашей компетентности. Но, черт возьми, как без специалных знаниний что-либо подтвердить, либо опровергнуть?

[texadmin]

У меня в далёком прошлом что то не получилось.
Область применения сертификата
Защита Электронной Почты (1.3.6.1.5.5.7.3.4)
Проверка Подлинности Клиента (1.3.6.1.5.5.7.3.2)
Пользователь службы штампов времени (КриптоПро УЦ)
(1.2.643.2.2.34.25)
Пользователь Центра Регистрации (КриптоПро УЦ)
(1.2.643.2.2.34.6)
Не помню с кем то спорил что у подписи есть область применения (ограничивают при продаже, удостоверяющие центры тоже ответственность несут), перед тем как купить начитался всякой всячины, а так и не смог привести пример.

[DigitalError]

а так и не смог привести пример.

И эксперты не смогут. Нет знаний специальных.

[Itanium]

А может, что эта подпись ваша, но выдана не вам, а может, это глюк программного обеспечения, а может, это Штирлиц был на Луне, где ее и подделал :)

Это словоблудие. Мне не требуется подтверждение своей компетентности, можете сомневаться в ней сколько Вам вздумается. Но факт в том, что Вы, к сожалению "не врубаетесь" в тему.
Повторюсь - у электронной подписи две основных функции - подтверждение авторства и неизменности документа. ПЕРВОЕ ВЫ ПРОВАЛИЛИ, ПРОВЕРКА НЕ ПРОШЛА, ЭТО ЗНАЧИТ АВТОРСТВО НЕ ПОДТВЕРЖДЕНО! ВСЕ! о чем еще может дальше быть речь...