Кто мешает админу сервера подписывать документ без ведома Васи?

По сути, никто. Речь о софте сейчас.

А зачем такой софт/технология которая никак не гарантирует Васе ничего, но вынуждает Васю нести расходы по документу который подписал не он, а админ сервера/менеджер/другой мошенник

Вася подписывает бумажный документ, что согласен подписывать pdf документ с помощью НЭП (не квал. эл. цифровой подписью).

Кто мешает админу сервера подписывать документ без ведома Васи?

Админу вообще трудно кому либо помешать! извините ТС за ответ не по теме

А зачем такой софт/технология которая никак не гарантирует Васе ничего, но вынуждает Васю нести расходы по документу который подписал не он, а админ сервера/менеджер/другой мошенник

Вы святой коллега и вам не о чем поговорить? Мне тоже. У нас, да и у многих думаю тоже, подписи директоров юзают бухгалтеры, начальнички, манагеры причем эти ключи/сертификаты копирую я им всем по реестрам как админ. И что? если я им это не скопирую жизнь остановится в конторе.

Еще раз сорри ТС за офф

Всё так. У нас всё выглядит аналогично. Я уж молчу, что из УЦ могут привезти токен с сгенерированным ключом, и уж молчу про то, что этот токет может быть рутокеном без защиты от копирования закрытого ключа… :-(

как жизнь в ООО Рога и Копыта связана с вопросом? Технически, если директор никому токен не отдает, то и подписать его ЭП никто ничего не может, а описанная DALDON схема в принципе не гарантирует ничего.

У нас, да и у многих думаю тоже, подписи директоров юзают бухгалтеры, начальнички, манагеры причем эти ключи/сертификаты копирую я им всем по реестрам как админ.

А это разве не уголовка? Почему подписыватели не подписывают бумажки своими подписями?

И что? если я им это не скопирую жизнь остановится в конторе.

А у вас что, директор обосрётся, что-ли, если бумажки сам подпишет? Или он неспособен это делать? Или у него какие-то охеренно важные дела всё время? А директор вообще существует, или это очередной какой-нибудь зицпредседатель Фунт, подпись которого все пользуют потому что его не жалко?

Знаете чудесный сайт nalog.ru? У них можно сделать ЭЦП для подписания деклараций на физ. лицо хранимое в их облаке, и пароль вводится от этой ЭЦП прямо на сайте. - То есть, кидаешь декларацию, а тебе окошко на сайте: введите пароль от своей эцп которая у нас в облаке, и мы подпишем ваш документ. - Как блин, они это себе такое позволяют? - В сути, такая же схема как и у меня. Отличия лишь в товарище майоре, который их софт, может типа проаудировать. :)

Я уж молчу, что из УЦ могут привезти токен с сгенерированным ключом, и уж молчу про то, что этот токет может быть рутокеном без защиты от копирования закрытого ключа…

Технически, если директор никому токен не отдает, то и подписать его ЭП никто ничего не может, а описанная DALDON схема в принципе не гарантирует ничего.

До того как токен с сгенерированным ключом выдали директору с него админы/менеджеры/другие мошенники могли снять копию ключей

1. Компрометацию УЦ мы не рассматриваем
2. в УЦ принятно выдавать подпись человеку в руки как минимум первый раз, никаких посредников с доверенностями не пускают
3. закрытый ключ при использовании токена можно делать неэкспортируемым, я тут конечно уже не дока и не знаю, можно ли обойти это

они в т.ч. позволяют пользователю отказаться от такой схемы и не хранить закрытый ключ у них

А это разве не уголовка?

Я не ведаю, но говорю так как есть. Директора сами все это отдают бухам и тп. Не царское это дело

А у вас что, директор обосрётся, что-ли, если бумажки сам подпишет?

Не знаю срутся они или нет, контор много директоров тоже, админ один. Не поверите если кого то нет с директоров в подпись нужна многие умеют подписываться за других. А есть человек практически за всех умеет подписываться..

Ну это все не по теме

Строго обязательно ключи должны быть сгенерированы самим директором на строго защищённом устройстве/ПК и закрытый ключ не должен никому передаваться, и даже государственным органам. Только так! Другого варианта не существует.
И хватит сводить всех с толку, что вы делаете возможно специально преднамеренно.

До того как токен с сгенерированным ключом выдали директору с него админы/менеджеры/другие мошенники могли снять копию ключей

Да дирехтор сам даже ключ то в руках не держал, все получили манагеры по доверенности видимо. А я копирую эти копии ключей всем кто попросит.

Строго обязательно ключи должны быть….

Ну это все в теории я говорю как есть у нас

Я так же делаю, тоже копирую ключи всем, это все понятно. Я говорю о том, что в теории все-таки есть возможность никому ключ не давать.

Ну так директору плевать значит, имущество то не его, а акционеров/государства/ещё кого.

Я так же делаю, тоже копирую ключи всем, это все понятно. Я говорю о том, что в теории все-таки есть возможность никому ключ не давать.

Ну вот и жди дядей с пилой/паяльником.

Ну так директору плевать значит, имущество то не его, а акционеров/государства/ещё кого.

Нда… как все запущено. Директора они же и являются акционерами

Вася подписывает бумажный документ, что согласен подписывать pdf документ с помощью НЭП (не квал. эл. цифровой подписью).

Правильно это звучит так: Вася подписывает документ в двух экземплярах (себе и кому надо), что Вася доверяет сисадмину, и сисадмин может подписывать документы от его имени, и ответственность за эти документы несут сисадмин и Вася.

Директора сами все это отдают бухам и тп.

А право подписи документов своей подписью отдать буху не вариант? Чтобы было понятно, что за вот этот вот документ отвечает конкретный бух и т.п. Как вообще директор будет перед владельцами оправдываться за пущенные налево бухом бабки? Подпись-то директора.

Не царское это дело

Не царское дело - это директорствовать, поэтому владельцы и нанимают обычно директора, чтобы он за их баблом следил и отвечал за него. А тут нанятый директор раздаёт подпись свою кому попало. Но спрашивать-то владельцы будут с директора.

Нда......

А право подписи документов своей подписью отдать буху не вариант?

Ты чего до меня то докопался !?!? я говорю как есть у нас в жизни обычной, я не определяю как надо.

Не царское дело - это директорствовать, поэтому владельцы и нанимают обычно директора, чтобы он за их баблом следил и отвечал за него.

Я посоветую своим, но почему то директоров нанимать не хотят, видимо боятся что директра наемные сами начнут воровать.

А тут нанятый директор раздаёт подпись свою кому попало. Но спрашивать-то владельцы будут с директора.

Ты читаешь вообще что я писал? Три акционера они же и являются директорами в 8 -10 конторах, один диреторит в трех другой в трех и так далее. Никаких наемных директоров нету. Подписывать такое количество бумаг и бегать с ЕЦП никому ее не давая, им не хочется видимо. Работаем в ГОЗ еси че

Работаем в ГОЗ еси че

С этого и надо было начинать. В этом случае я бы порекомендовал не становиться стрелочником и для начала затребовать с начальства письменный приказ с подписями и печатями об организации того маразма который тут обсуждается. А то не только на мошенничество и подделку документов можно попасть, но и на гораздо более серьёзные вещи.

С помощью скрипта (условно), генерируется нЭЦП с паролем.

Контейнер - файловая система сервера.

Вася вводит PIN код на веб странице и документ подписывается его нЭЦП.

Так делать нельзя.

Надо:

Купить аппаратную защиту для приватных ключей (nitrokey) и раздать Васянам.

Каждый Вася сам генерит и паролит свой приватный ключ. А публичную часть ключа дает тебе на сервер с ее бумажной распечаткой и своей подписью.

Подпись электронных документов идет только локально, через nitrokey.

Желательно СБ выделить комнату для дипозитория и закупить банковские ячейки. Раздать доступ сотрудникам, для хранения nitrokey. Или сейфы на каждое работе место.

Три акционера они же и являются директорами в 8 -10 конторах, один диреторит в трех другой в трех и так далее. Никаких наемных директоров нету. Подписывать такое количество бумаг и бегать с ЕЦП никому ее не давая, им не хочется видимо.

Если наймут нормального админа, то будут подписывать все со своего рабочего места.

должны быть сгенерированы самим директором на строго защищённом устройстве/ПК

криптопро только недавно научился работать с действительно неизвлекаемыми ключами, а УЦ еще долго до этого доходить будут. Без криптопро тоже могли, но такие как-бы для ЕГАИС и от них мало толку, хотя и можно подписать и на госуслуги зайти, но не в налоговую и остальные. Большинство УЦ все еще просто отдает носитель с готовой ЭП и PIN в том же конверте. Продлять некоторые дают удаленно за счет уже выданной подписи, но не все и физиков прозще послать. Контур позволяет, вроде, после заключения договора заходить в кабинет и получать ЭП просто по коду с SMS через свой жирный плагин. Но так, чтобы у УЦ на руках был только запрос и готовый сертификат, я не видел у местных УЦ, только у ДБО с файлом запроса на дискете.

Понял. В целом правильно.

в УЦ принятно выдавать подпись человеку в руки как минимум первый раз, никаких посредников с доверенностями не пускают

Это Россия, в одном УЦ принято так в другом иначе, результат:

https://www.opennet.ru/openforum/vsluhforumID10/5567.html

https://www.opennet.ru/openforum/vsluhforumID10/5564.html

закрытый ключ при использовании токена можно делать неэкспортируемым, я тут конечно уже не дока и не знаю, можно ли обойти это

Можно, но сложно: https://ninjalab.io/a-side-journey-to-titan/ говорят получилось клонировать ключ https://store.google.com/product/titan_security_key а значит и другие ключи защищенные чипом https://media.digikey.com/pdf/Data%20Sheets/NXP%20PDFs/A700x_Rev3.1.pdf

Пример: https://ninjalab.io/wp-content/uploads/2021/01/a_side_journey_to_titan.pdf

Ищу анолог серверов ключей PGP для РФ.

Налоговая РФ держит хороший портал: https://egrul.nalog.ru на котором можно пробить все фирмы которые на вас зарегистрировали мошенники с помощью ЭЦП.

Согласно ст. 15 п. 3 УЦ должен обеспечивать ВСЕМ доступ к выданым удостоверяющим сертам: http://www.consultant.ru/document/cons_doc_LAW_112701/03690ee7f1d87f49aac95a1ef9716e38305eb2f6

Согласно ст. 18 п. 5 УЦ направляет инфу о выданом удостоверяющем серте в ЕСИА: http://www.consultant.ru/document/cons_doc_LAW_112701/8431d104d9d3f38ead39f587b9f6217886574af6

Следовательно где-то возможно есть общий реестр всех ЭЦП подписанных УЦ РФ. Кто даст на него ссылку?

В общем, товарищи с Апреля 2021 все НЭП нужно регистрировать в ГУ. Таким образом свой УЦ полноценный пилить смысла не вижу.

В общем, товарищи с Апреля 2021 все НЭП нужно регистрировать в ГУ.

«ГУ» это где? Дай ссылку на статью закона.

Эти тоже будут где-то регистрировать: http://git.altlinux.org/gears/a/alt-gpgkeys.git?p=alt-gpgkeys.git;a=tree;f=keys;h=51fa9fc338fab615e3adb064fed5eef00d9457de;hb=HEAD

Или кто с юрисдикции РФ им тоже регистрироватся: https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/keys https://www.gentoo.org/inside-gentoo/developers/

А если их ключи созданы 20 лет назад и не соответствуют сегодняшним требованиям к электронному ключу? Или создается новый не соответствующий требованиям? Или автоматически создается, технический ключ, для подписания модулей ядра при сборке и установке ядра OS, его также регистрировать?

Таким образом свой УЦ полноценный пилить смысла не вижу.

Речь не о своем УЦ. А о сервере публичных ключей заверенных УЦ с РФ, в котором можно просмотреть ключи зарегистрированные на ваше имя!!!

Программисты и админы во всем мире используют общие, синхронизирующиеся друг с другом, сервера ключей: https://en.m.wikipedia.org/wiki/Key_server_(cryptographic)

https://sks-keyservers.net

Публичные сервера ключей дают возможность не только найти нужного человека: https://zimmermann.mayfirst.org/pks/lookup?search=torvalds%40kernel.org&op=vindex , но и проверить отсутствие/наличие поддельных ключей зарегистрированных на ваше имя: https://zimmermann.mayfirst.org/pks/lookup?search=Richard+Stallman&fingerprint=on&op=vindex .

Правильный ключ RMS этот:

uid Richard Stallman (Chief GNUisance) <rms@gnu.org>
pub  1024D/135EA668 2001-03-05 Fingerprint=6F81 8B21 5E15 9EF3 FA26  B0BE 624D C565 135E A668 

Хороший новый ключ, на нем стоит подпись старого ключа:

pub  4096R/2A8E4C02 2013-07-20
Fingerprint=6781 9B34 3B2A B70D ED93  2087 2C64 64AF 2A8E 4C02

сервере публичных ключей заверенных УЦ с РФ, в котором можно просмотреть ключи зарегистрированные на ваше имя!!!

Очень странная политика, поиск публичных ключей УЦ по названию УЦ есть: https://e-trust.gosuslugi.ru/#/portal/registry/ufo-certificate-list , а поиск подптсанных УЦ публичных ключей граждан РФ по Ф.И.О отсутствует: https://www.opennet.ru/openforum/vsluhforumID10/5567.html#15

поиск подптсанных УЦ публичных ключей граждан РФ по Ф.И.О отсутствует

Потому что персональные данные.

Потому что персональные данные.

А для налоговой Ф.И.О., ИНН это не персональные данные: https://egrul.nalog.ru ?

По Закону сведения о квалифицированом сертификате ЭП который выдан УЦ РФ подлежат разглашению через сеть Интернет любым третьим лицам:

ст. 15 п. 3 http://www.consultant.ru/document/cons_doc_LAW_112701/03690ee7f1d87f49aac95a1ef9716e38305eb2f6

«3. Аккредитованный удостоверяющий центр обязан обеспечить любому лицу безвозмездный доступ с использованием информационно-телекоммуникационных сетей, в том числе сети «Интернет», к реестру квалифицированных сертификатов этого аккредитованного удостоверяющего центра в любое время в течение срока деятельности этого удостоверяющего центра, если иное не установлено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами.»

ст. 18 п. 5 http://www.consultant.ru/document/cons_doc_LAW_112701/8431d104d9d3f38ead39f587b9f6217886574af6

«5. При выдаче квалифицированного сертификата аккредитованный удостоверяющий центр направляет в единую систему идентификации и аутентификации сведения о выданном квалифицированном сертификате. Требования к порядку предоставления владельцам квалифицированных сертификатов сведений о выданных им квалифицированных сертификатах с использованием единого портала государственных и муниципальных услуг устанавливаются Правительством Российской Федерации. При выдаче квалифицированного сертификата аккредитованный удостоверяющий центр по желанию владельца квалифицированного сертификата безвозмездно осуществляет его регистрацию в единой системе идентификации и аутентификации с проведением идентификации владельца при его личном присутствии.»

Если нет возможности поиска сертификатов по Ф.И.О, в https://e-trust.gosuslugi.ru/#/portal/registry/certificate-list и https://e-trust.gosuslugi.ru/#/portal/registry/passed-certificate-reference , то как человеку узнать не создали ли мошенники электронный ключ на его имя?!!

Предоставлять общий доступ, с возможностью поиска, к публичным электронным ключам и их подписям общемировая практика: https://zimmermann.mayfirst.org .