Comments 29
У меня есть стойкое впечатление, что вот этот концентратор, который «просто пробрасывает USB порт» является нарушением как правил эксплуатации самих токенов, так и регламента УЦ который выдал вам ключи для записи на токены.
Смотрите, какое дело — когда производитель делал токены, он держал в голове, описывал, тестировал и сертифицировал некоторую модель угроз. И скорее всего, в этой модели угроз считалось что трафик между CPU и USB портом на локальной машине является доверенным (потому что идет в пределах дорожек материнской платы).
Вы своим устройством эту модель угроз могли неким образом обрушить. Теперь у вас трафик от CPU/криптопровайдера до USB порта является сетевым. И тут два варианта:
— Либо токены настолько хороши, что их модель угроз не нарушилась — и с USB трафиком по сети они будут работать так же секьюрно, как на локальной машине
— Либо программно-аппаратный комплекс для проброса портов настолько крут, что обеспечивает защиту трафика USB в распределенной сети — и модель угроз токенов не расплывается.
И первое решение, и второе — следовало бы подтвердить бумагами, которые нужно внимательно прочитать, осознать, и спрятать в сейф. Потому что пока у вас все хорошо работает — это не будет волновать ни УЦ, ни производителя токена, ни вас самих. Проблемы будут только тогда, когда нечто юридически значимое (подписанное одним из ваших токенов) всплывет в районе налоговой (например, корректировка НДС — чтобы закрыть чьи-то грехи по чужой цепочке). Вы тогда пойдете в налоговую и в полицию. А дальше будет очень интересный вопрос установления виновных лиц. Одна ситуация, когда вы криптосредства использовали в соответствии с правилами эксплуатации и регламентом УЦ (то есть выдавали физически под роспись). Другой вопрос — если вы такие правила нарушили… Стать соучастником (или хотя бы свидетелем) вместо потерпевшего — тот еще цирк с конями…
Ну или вы должны были тогда как-то исхитриться, и внутренними приказами оформить эквивалентность «старой» схемы (где ключ выдается под роспись) и «новой» (где ключ выдается через тыкание в галочки настройки). Если да, то чрезвычайно интересно было бы посмотреть — как это документально проведено?!
Зайти на сайт и бегло глянуть заняло бы гораздо меньше времени чем весь ваш комментарий.
Там по сути двухфакторная авторизация плюс удаленное включение/отключение физическое отключение. Плюс на ключе так же по умолчанию доступ по пинкоду идет.
Как распорядится этим средством его хозяин (лицо, которое получил этот токен) — сугубо его личное дело: ни УЦ, ни производитель токена тут вообще ни при чём. Хозяин токена может убрать его в сейф, может повесить на шнурок на шею, может вживить себе под кожу, а может расбрасывать свои токены в общественных местах — это его право. И это право закономерно влечёт и обязанность — отвечать за последствия выбранного им самим способа обращения с этим токеном.
Так что если хозяин токена (ЭЦП) добровольно решил использовать такую схему обращения с этим своим инструментом — то и все последствия сугубо на его совести.
Кстати в предыдущих поколениях токенов — с «извлекаемым» ключом — всё было ровно так же: кто-то то же допускал только личное использование токена в единственном экземпляре, а кто-то — давал разрешение на копирование контейнера на разные устройства «для удобства». Каждый сам решает в данном случае, как поступить со своим имуществом: ЭЦП.
Совершенно другой вопрос — противоправные действия с токеном: его кража, мошенничество, принуждение к использованию вопреки воле хозяина и т.п. Но на это всё уже давно есть соответствующие статьи УК.
Админ, которые вставил токен в аппаратный хаб USB — разве украл его у хозяина? Нет. Хозяин сам добровольно передал ему токен, предназначенный для индивидуального использования, для установки в хаб. А большинстов админов ещё дополнительно и по доброй воле обычно разъясняют хозевам токенов последствие этого шага, и возможные риски. Думаю и автор статьи то же всё разъяснил ))
Другой вопрос — если вы официально в данной организации отвечаете за организацию работы и обращения со средствами ЭЦП, и это отражено в регл. документах и вашем трудовом договоре. В этом случае да: надо подстраховаться бумажками, сертификатами и лицензиями, т.е. переложить ответственность на других. Точно так же ставят антивирусы, которые по факту не дают никакой защиты, но зато на них можно возложить ответственность: «это они не сработали, а я не виноват». Но в 99% компаний ничего этого не записано у админов в трудовом.
Но даже в этом случае «если что-то пойдёт не так» — в худшем у вас будет «халатность» и увольнение по несоответствию должности. К ответственности могут привлечь, только если будет доказан злой умысел реализатора этой схемы, что практически нереально.
В налоговой никто не будет «искать виновного» — это не их обязанность, да у них уже и есть «виновный» — владелец ЭЦП, который получил токен лично (или по доверенности), других им не нужно. Недаром сейчас акцент в токенах сместился с «ООО Рога и копыта» на «Иванов Иван Иваныч, директор ООО „Рога и копыта“. Вот Иван Иваныч и пойдёт по этапу „по умолчанию“.
Владелец ЭЦП может конечно через следствие и суд оспорить такое видение ситуации налоговой, но как выше написал — шанс на это для него стремится к нулю, т.к. криминала — нет, злого умысла — нет, а есть его пофигизм — его же собственный. За него и ответит.
то, что владелец ЭЦП огребет первым - не вызывает сомнения, но и админ тоже не у дел не окажется. Он обеспечивает функционирование инфраструктуры, и так же несет ответственность за ее эксплуатацию. Сомневаюсь, что ему удастся объяснить, что бухгалтер знающий, что "нужно воткнуть флешку и нажать кнопку" сам, принял информированное решение об использовании такой схемы.
Или, что у него есть бумага от гендира в которой написано, что сделайте именно так, и не важно что в инструкции, которую мы подписали при получении токена в УЦ написано.
В любой непонятной ситуации, все включая гендира будут говорить - я только кнопки давить умею - все проектировал настраивал он, мимо инструкции делал тоже он. Захочет ли админ участвовать в этом цирке даже если, как вы говорите, по итогу у него проблем не будет - вопрос открытый.
А поэтому во всем, что связано с криптографией, правило одно: 63-ФЗ + инструкция ПО/железа, которое используем и ни шагу в сторону.
Эта ситуация в корне отличается например от случая «пиратского» использования ПО в компании — где действительно сначала будут искать (усердно или не очень) виновника, что бы наказать его, и админ имеет большой шанс попасть под раздачу.
Тут виновный уже есть: владелец ЭЦП, конкретное физическое (!) лицо. Ему автоматом прилетят санкции, а он уж потом будет пытаться от них «отмазаться», и сделать это ему будет практически невозможно.
Если суд решит, что оставление токена в таком устройстве эквивалентно его временному выбытию (утрате контроля) о котором гендир должен был заявить, но не заявил — тут гендир виноват 100%. Правда, он может гнуть линию, что ву-умный админ показал ему технические документы которых гендир не понимает, и поэтому был уверен что токен в устройстве так же защищен как в кармане. Поверит суд или нет? Я не готов сказать.
Если суд признает что токен в устройстве так же защищен как токен в кармане — тогда вины на гендире нет. Виноват будет админ, предоставивший права не тому кому надо, или сам исполнитель который что-то не то подписал, или даже «неустановленное лицо, осуществившее неправомерный доступ (модификацию) охраняемой законом компьютерной информации».
С точки зрения ГК (как мне кажется) — эти случаи эквивалентны. Внешний контрагент (если он действовал в пределах обычаев делового оборота) не обязан знать как было устроено подписание документов на фирме. Подписали — выполняйте (а дальше разбирайтесь внутри).
А вот с точки зрения УК — вопрос важный. Потому что даже условная судимость никак не украшает резюме специалиста…
Тут важно различать гражданскую и уголовную ответственность. И от способа использования токена может различаться квалификация одних и тех же действий. В природе же вообще нет ничего абсолютного — а в законах, тем более! И это я не говорю уже о правоприменительной практике, которая может быть перпендикулярна закону в этой стране…
С одной стороны, владелец безусловно может делать с вещью все что хочет. С другой стороны, изготовитель токена и УЦ выдали на публику пределы того, что они считают нормальными условиями эксплуатации. Если вы находитесь в этих нормах, то суд скорее всего сочтет вас проявившим «разумную осмотрительность» и действовавшим в условиях «обычаев делового оборота». Это хотя бы исключает вину в форме неосторожности и умысла.
Если же вы придумали нечто нестандартное с российской криптографией, то оно хотя бы и могло быть не запрещено — но как обычно вылезет где-то в неожиданном месте и неприятным образом. Меня бы лично немного беспокоила ситуация, когда с одной стороны — подписанные документы можно потенциально признать неподписанными (если доказать нарушение правил эксплуатации СКЗИ и регламента УЦ), а с другой стороны — что есть вероятность обнаружить непонятно где документы, которых ты в глаза раньше не видел (потому что проброс USB оказался подвержен MITM или replay attack или в нем самом нашли 0day).
И да, под свою ответственность человек может делать почти все. А на предприятии, я бы все-таки проверил, что руководство хорошо понимает, что примененное решение — это не просто «проброс USB портов», а нарушение правил эксплуатации СКЗИ с определенными правовыми (втч для этого же руководства) последствиями. Бывает же как? Админ нашел способ, купили, работает — и все довольны. А убедиться что СКЗИ сертифицированы в такой конфигурации — никто не подумал. Хорошо хоть коммерсы, а не гостайна…
То что вы это решили технически - это безусловно здорово. Но как быть с организационной частью вопроса? В том числе и как контролировать кто и что "наподписывал" по удаленке?
Предполагаю, что этот ящик скоро будет не нужен, если закончат с машиночитаемой доверенностью.
Машиночитаемая доверенность — это электронная доверенность руководителя организации, которая передает полномочия сотруднику при подписании документов. Таким работником в компании может быть бухгалтер, секретарь или менеджер по закупкам — человек, которому чаще всего необходимо ставить подписи от лица организации. Доверенность не нужно заверять у нотариуса. Достаточно, чтобы руководитель подписал ее своей квалифицированной электронной подписью (КЭП).
Помимо уже обозначенных выше вопросов безопасности и нарушений правил использования токенов, которые приведут к тому, что в любой непонятной ситуации крайними будете вы, не понятна причина по которой вы это делаете. У вас может быть более одной подписи в организации и в зависимости от назначения вам просто надо правильно ее оформить.
Если речь идет про отчетность, например, ФНС или ПФР - сертификат регистрируются либо ножками, либо через специальные приемные комплексы, например ИРУД для ФНС.
Сертификат лица не являющееся генеральным директором, регистрируются вместе с параметрами доверенности, в том числе для УП. Информацию об этом поставляет в ФНС ваш СОС, он же и проверит вашу доверенность.
Если речь идет про счет-фактуры, то ранее сертификаты, которыми можно подписывать СЧФ требовали бумажную доверенность и регистрацию через 13-ый ЭДО ФНС вашим оператором ЭДО. Сейчас он это же делает через АИС3.
Договора так же может подписывать любой сотрудник с бумажной доверенностью.
Понятно, что сертификат на каждого сотрудника это деньги, доверенность это время, но риски, которые вы берете даже физически передавая токен, имеющий право любых действий от имени организации стороннему лицу, кажутся несколько существеннее.
Если же по какой-то непонятной причине для вас это приемлемые риски, и проблема только техническая посмотрите в сторону облачной подписи. Не знаю сертифицировали ли ее уже для всех необходимых вам действий, но вполне уже могли
Раньше главбух мог лично выдать токен нужному специалисту и через пару часов забрать его назад. - после этой строчки можно не читать, хорошему эти люди не научат.
Копировать его нельзя
Ключи выданные ФНС копируются на раз.
Всё это такая профанация... Ощущение, что придумано просто чтоб поднять продажи токенов.
вы пробовали копировать новые ключи которые выданы с 1 января этого года?
Пока в ФНС не додумалась до неизвлекаемых закрытых ключей на одном популярном (в определенных кругах) сайте выложили инструкцию по копированию ключей ФНС с рутокенов.
Даже здесь статья была с инструкцией, но ее удалили быстро)
Можете источником поделиться ? На популярный ресурс в узких кругах.
@kostya_vtomske Поделился?) я все что находил, то не работало.
Оно работает, и даже относительно легко гуглится.
Но есть проблема, которую я не смог пока победить (хотя и не пытался): ЭЦП копируется в папку, средствами Криптопро задаём пароль на нее и радуемся.
Проверка на сайте Криптопро показывает, что тестовая подпись срабатывает.
Однако, если начать подписывать документы в том же ЭДО, Криптопро пароль спрашивает и после ввода заново спрашивает, ни ошибок, ничего не выводит, просто по кругу запрашивает пароль и всё.
Да. Зависит от носителя, но при желании можно и зайчика научить курить)
Мне понравился тег у статьи "Информационная безопасность"
Учитывая сильную иллю́зию прозра́чности в интернете, тут нужно в самом начале статьи написать большой дисклаймер сарказм.
Потому что в статье описывается, как ни в коем случае не надо обращаться с токенами
Интересная математика у вас в начале, можете объяснить как вы сравниваете цену решения 16x100 портов и 6x16 портов? Оно конечно что так что так все равно дороже/дешевле получается, но посчитали бы 6х100 для разнообразия, или 16x16, а то первое решение больше миллиона, а последнее ~100 тысяч, выглядит как профитный профит - но ведь количество портов разное.
По финансам ещё можно было сравнить с бесплатным ПО на "малинке"
есть контора за 1.5 р скопирует не экспортируемое эцп. проверял
А внутри у него неонка малинка и https://www.virtualhere.com/usb_server_software за 49 баксов...
Как работать с «определенными» токенами