|
Модная ЭЦП | ||
|---|---|---|---|
|
0
NorthWind
17.01.20
✎
12:10
|
Добрый день!
Попалась мне тут ЭЦПшка в принятых документах... Результат проверки подписи ЭП верна ФИО Должность Организация Минкомсвязь России Адрес г. Москва, улица Тверская, дом 7 Дата начала действия ЭЦП 2018-07-06 03:18:06 Дата окончания действия ЭЦП 2036-07-01 03:18:06 ЭЦП выдана Минкомсвязь России Ничего себе, на 18 лет выдали. А так можно? |
||
|
1
MWWRuza
гуру
17.01.20
✎
12:21
|
Ну, это похоже ЭЦП самого "корневого" узла, удостоверяющего центра. Они сами себе хозяева. По ходу они Вам какие-то услуги оказывали?
|
||
|
2
NorthWind
17.01.20
✎
12:23
|
(1) нет, это подпись клиента приходит с квитанциями УПД от клиента.
|
||
|
3
JeHer
17.01.20
✎
12:26
|
Вряд ли Минкомсвязь будет выдавать ЭЦП кому-то кроме УЦ.
|
||
|
4
Йохохо
17.01.20
✎
12:26
|
(2) серийный номер 4e 6d 47 8b 26 f2 7d 65 7f 76 8e 02 5c e3 d3 93 ?
|
||
|
5
NorthWind
17.01.20
✎
12:28
|
(4) да
|
||
|
6
Garykom
гуру
17.01.20
✎
12:28
|
(0) Точно не путаешь Издателя с Субъектом?
|
||
|
7
Йохохо
17.01.20
✎
12:29
|
(5) ну (1) прав)
(6) этот серт сам себе выдан |
||
|
8
NorthWind
17.01.20
✎
12:30
|
(6) в системе ЭДО есть механизм проверки ЭП. Жму кнопку и вижу это. У всех остальных клиентов - нормальные серты, год срок, фамилия и имя присутствуют, а с одним вот так.
|
||
|
9
Йохохо
17.01.20
✎
12:32
|
(8) так он конечно валидный, вот как им подписали интересно
|
||
|
10
Garykom
гуру
17.01.20
✎
12:32
|
(8) Прикольно конечно что они не выдали себе специальную подпись для обычного ЭДО а юзают главную.
Это говорит о пиздеце там с безопасностью. Короче рядовой юзер там походу легко может "выдать" тебе УКЭП имея доступ к подписи корневого узла. |
||
|
11
Йохохо
17.01.20
✎
12:38
|
(8) а ЭДО чей? я бы написал в ТП со скринами, а то получается у вас накладная ООО Ромашка с печатью Минкомсвязи)
|
||
|
12
NorthWind
17.01.20
✎
13:51
|
(11) ну это не совсем ромашка. Федеральная сетка, не из первых, но в топ-10.
|
||
|
13
Garykom
гуру
17.01.20
✎
13:54
|
(12) Один хрен должна быть своя "печать" а не "печать конторы по производству печатей"
|
||
|
14
NorthWind
17.01.20
✎
14:03
|
Сейчас посмотрел еще раз. Что интересно, они такой подписью подписывают только извещение о получении УПД.
Завершающую квитанцию ДОП дают уже человеческую, с ФИО, организацией и нормальным сроком действия. |
||
|
15
NorthWind
17.01.20
✎
14:04
|
Так что иной раз интересные вещи можно увидеть в ЭЦП :))
|
||
|
16
Garykom
гуру
17.01.20
✎
14:23
|
(14) Вероятно их оператор ЭДО сам Минкомсвязи
|
||
|
17
Йохохо
17.01.20
✎
15:14
|
(14) "извещение о получении" ну хоть какая то логика у них прослеживается
(15) и в тлс, счас ИЕ обновится, и будем дружно в я.браузере работать |
||
|
18
pessimist
19.01.20
✎
15:16
|
(7) (0)
Яндекс говорит что это "Корневой удостоверяющий центр Минкомсвязи России". Понятно что он самоподписанный, все корневые самоподписанные. Это нормально. Какими им ещё быть? Но то что корневой сертификат используется для подписи это не нормально. Это означает что одна из копий закрытого ключа хранится на одном из рабочих серверов. В компаниях с более чем тремя сотнями рабочих мест обычно корневой УЦ это компьютер который выключен 99% времени, не подключен ни к каким сетям вообще никогда и хранится в железном ящике, желательно с двойным ключом. Бэкап хранится в другом но тоже железном ящике. Рабочие сертификаты выдаёт подчинённый УЦ, он конечно подключен к сети компании. |
||
|
19
Злопчинский
19.01.20
✎
16:07
|
(18) то есть имеем офигенную дырку безопасности. и потенциальную возможность практически бесследно фальсифицировать данные "не своего уровня"
так? . хорошо бы сабж запихнуть в какую-нибудт новостную ветку популярную чтоб пошевелились ;-) . |
||
|
20
Гость из Мариуполя
гуру
19.01.20
✎
18:05
|
Злоп, это однозначно будет означать, что самый главный корневой сертификат скомпрометирован, а значит, ВСЕ ЭЦП ВСЕЙ страны - того.. тю-тю..
ВСЯ страна скажет огромадную спасибку за переделку ВСЕХ ЭЦП без исключения, выданных ВСЕМИ удостоверяющими центрами РФ. Поэтому, прежде чем гнать новостную ветку, для начала было бы неплохо взглянуть, чем там на самом деле подписана квитанция. Автор, можешь выложить куда-нить или в личку? Неужто вправду вот этим http://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A |
||
|
21
Злопчинский
19.01.20
✎
18:24
|
(20) переделать. и за счет конторы, которая скомпрометировала ;-)
|
||
|
22
Злопчинский
19.01.20
✎
18:27
|
вот бы и присобачили блокчейн к ситуации подтверждения нескопрометированности корневых ЭЦП.
а то корневая ЭЦП - чем обеспечивается ее валидность? хранением в сейфе? если челфактором - а по сути этим (что ябково) - то скомпрометировать - только дело времени |
||
|
23
NorthWind
19.01.20
✎
20:58
|
|||
|
24
Гость из Мариуполя
гуру
20.01.20
✎
09:05
|
(23) а-фи-геть
|
||
|
25
zak555
20.01.20
✎
09:32
|
(0) УЦ для простых юзеров также могут серт длительностью свыше года
|
||
|
26
pessimist
20.01.20
✎
10:41
|
(19) Так делать не хорошо в крупных системах.
Но ничего офигенного нет. Средний уровень. Ничего выдающегося. По сути это решение по умолчанию как для корпораций, так и для государственных органов. Возможности практически бесследно фальсифицировать данные "не своего уровня" на практике нет скорее всего. Модели монетизации нет практически наверняка. Кстати, я ошибся, гуглил номер который выложил Йохохо. Но судя по скриншоту NorthWind это оно. Впрочем исключать возможность существования двух сертификатов с одним номером я бы не стал. |
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|