просмотров 342

ЭЦП – замки сменили, но ключи все равно подходят

Опубликовано: 13 Мая 2019 Автор: Александр КАМИНСКИЙ | Алматы
ЭЦП – замки сменили, но ключи все равно подходят
pixabay.com

Что такое электронно-цифровая подпись – гарантия или иллюзия безопасности?

Как сообщает Центр анализа и расследования кибератак, 5 мая на их Telegram-канале был опубликован видеоматериал от одного из активных участников чата ЦАРКА. В нем рассказывалось, что отозванный ключ электронно-цифровой подписи (ЭЦП) как ни в чем не бывало продолжает работать на государственных сервисах электронного правительства – esf.gov.kz, goszakup.gov.kz, office.sud.kz и stat.gov.kz.

Сначала не все специалисты признали это дефектом защиты, ситуация объяснялась ими тем, что ключ будет аннулирован по истечении 12 или 24 часов с момента его отзыва. Было заявлено, что сделаны преждевременные выводы, и международная практика предусматривает некоторое короткое время действия отозванных ключей, пока идет процесс их синхронизации.

Но эксперты ЦАРКА, имея отозванный ключ, желание и достаточное количество свободного времени, повторили процедуру подписи через 12, 24, 36, 48, 60 и 72 часа. Результат оказался неизменным, и юридически недействительный ключ оставался вполне валидным в техническом смысле. При этом корневым удостоверяющим центром pki.gov.kz ключ не принимался.

Эксперты ЦАРКА считают, что это очень серьезный инцидент, ставящий под сомнение весь институт казахстанской системы ЭЦП и удостоверяющих центров. Он позволяет усомниться во всех документах с применением данной технологии. Также же вопросы возникают и к процедуре сертификации, которая подтвердила соответствие указанных систем всем предъявляемым требованиям.

Ситуацию прокомментировал представитель компании «Национальные информационные технологии» Аскар Атагулин. По его словам, все информационные системы или их владельцы при проверке подписи в электронных документах должны проверять регистрационные свидетельства на аннулирование на сайте Национального удостоверяющего центра Республики Казахстан, как это было всегда.

То есть ответственность и техническая реализация проверки подлинности ЭЦП и регистрационного свидетельства возлагается на самого владельца информационной системы или сервиса. А этот конкретный случай будет проработан совместно с государственными органами.

Последние новости Казахстана и мира читайте на нашем Telegram-канале