Привет, хабровчане!
Хочу поделиться ещё одной зашкварной историей, связанной с ЭЦП. В главных ролях крупные удостоверяющие центры - Контур и Тензор.
Прошлая проблема, которая возникла в мае, в общем-то решилась - когда я подавал инициативу на РОИ, я не знал что с 1 июля 2020 вступают в силу поправки в 63-ФЗ Об электронной подписи, согласно которым возможность удостоверять личность действующим сертификатом аккредитованного УЦ теперь закреплена законодательно.
Но технически с применением этого закона есть большие ограничения, о которых ничего не сказано в законе.
В частности, если у тебя электронная подпись на носителе - ты легко можешь воспользоваться новой редакцией ФЗ-63 и получить ЭЦП удалённо, у крупных удостоверяющих УЦ есть автоматизированные сервисы для этой задачи. А вот если действующая подпись облачная - начинаются проблемы.
Сегодня мне нужно было получить новый сертификат в УЦ Тензора на юрлицо для работы со СБИС. Действующий сертификат есть только от УЦ Контур. Он квалифицированный, но не на отдельном ключе, а облачный, по технологии КриптоПРО DSS.
У меня подтвержденный положительный тест на COVID, сижу дома на самоизоляции до повторных отрицательных тестов. Т.е. даже возможности лично приехать в УЦ и удостоверить личность по закону нет и остаётся вариант только удалённого выпуска.
Техподдержка Тензора сказала что единственная техническая возможность удостоверить личность облачной подписью - настроить работу с облачным хранилищем в КриптоПРО 5.0 Для этого нужно знать адрес Сервера авторизации и DSS серверов.
Техподдержка Контура же отказалась сообщить эти url потому что:
"Это закрытая информация"
"Мы не предоставляем доступ к ним для использования на стороннем портале. DSS сертификаты используются только для работы с сервисами нашей компании через внутренний авторизованный доступ."
"Такая политика относительно серверов DSS связана с текущими недоработками в данной технологии." (Эта отмазка вообще прекрасна. Если технология недоработана, почему её сертифицировала ФСБ?)
(цитаты из чатов с разными операторами техподдержки, номер обращения 28323177)
Просмотрев QR-код, который Контур выдаёт для настройки мобильного приложения myDSS, я нашёл адрес DSS сервера: https://mydss.kontur-ca.ru/MyDssServerExternal/InteractionService.svc. Но адреса сервера авторизации там не было. А стандартные url не работали. Короче, реверс-инжиниринг не удался.
На всякий случай написал в поддержку КриптоПРО, вот что они ответили:
У нас нет и не может быть адресов облачных сервисов на базе КриптоПро DSS, развернутых сторонними компаниями. Мы лишь предоставляем ПО, которые наши заказчики вправе использовать по своему усмотрению. (Обращение 33489)
Тензор тоже "хорош". Предложил им альтернативный способ идентификации на существующих сервисах - я отправляю в адрес компании через систему электронного документооборота (Контур.Диадок) подписанную облачной подписью заявку на выпуск ЭЦП и все необходимые документы (паспорт, СНИЛС). На основании которых подпись выпускается как новая. Ну и предложил созвониться по видеосвязи если они очень хотят понаблюдать моё лицо (знаю что такую идентификацию использовали некоторые банки при открытии расчётных счетов юрлицам во время "первой волны" пандемии) . Мне было отказано:
Делегировать получение ЭЦП я тоже не могу, согласно новым поправкам ЭЦП можно получить только лично.
На мой взгляд, оба удостоверяющих центра своими действиями нарушили 63-ФЗ и собственные же договора и регламенты.
В частности, у Контура в договоре есть такие пункты насчёт прав пользователя:
6.5.1. Круглосуточно получать доступ к серверу Удостоверяющего центра за исключением времени проведения профилактических работ и воспроизводить графическую часть (рабочий интерфейс) на экране персонального компьютера;
6.5.2. использовать все функциональные возможности ПО
Кроме того, согласно п 3.1.4 ГОСТ Р 34.10-2012, которому якобы соответствует КриптоПРО DSS, "параметр схемы ЭЦП (domain parameter): Элемент данных, общий для всех субъектов схемы цифровой подписи, известный или доступный всем этим субъектам". Т.е. по ГОСТУ Контур не имеет права делать эту информацию закрытой.
А у Тензора в регламенте есть такая обязанность:
3.1.19. Идентификация заявителя проводится при его личном присутствии или посредством идентификации заявителя без его личного присутствия с использованием КЭП при наличии действующего квалифицированного сертификата.
В самом регламенте нет подробной процедуры как именно происходит идентификация при помощи КЭП. А п.1 ст 18 ФЗ-63 говорит о том что удостоверяющий центр ОБЯЗАН "осуществлять идентификацию заявителя без его личного присутствия с использованием квалифицированной электронной подписи при наличии действующего квалифицированного сертификата". Конечно, есть принцип "Закон не заботиться о мелочах", но по букве закона и логике вещей подписание заявки на получение ЭП и отправку её через СЭД Тензор обязан засчитать за идентификацию.
Короче говоря, из-за бездействия удостоверяющих центров сегодня я не смог выпустить электронную подпись и как минимум просрочил отчёт РСВ по ООО за 9 месяцев (сегодня крайний день сдачи), в результате чего попал на штраф минимум в 1000 рублей. Я, конечно, отправил обращение в ФНС по данной ситуации, но штрафы там выписывают автоматически и мне видимо придётся их отменять через суд, что само-собой влечёт потери времени. Чтоб их компенсировать планирую обратиться в суд с встречным иском к Контуру и Тензору. Как думаете, какие шансы?
Еще слышал новость о том что с 1 января 2022 года УЦ не смогут выдавать подписи юрлицам эти полномочия перейдут к Удостоверяющему центру ФНС. Тот факт что УЦ сейчас забивают на клиентский сервис и техническое развитие выглядит вполне логичным. Но не до такой же степени чтоб нарушать ФЗ.
Напишите пожалуйста в комментариях всё что вы думаете по описанной проблеме. Особенно хотелось бы увидеть здесь комментарии представителей Контура, Тензора, КриптоПРО, Минкомсвязи и ФСБ :) И юристов, которые специализируются на вопросах электронной подписи.
