Мошенники переоформили квартиру в Москве с помощью поддельной цифровой подписи - со статьи под этим заголовком неделю назад начала поступать информация о набирающем обороты мошенничестве с помощью ЭЦП.
Как многие знают электронная цифровая подпись (ЭЦП) сейчас приравнена к обычной подписи и с помощью её можно совершать разные операции: подавать отчётность в налоговую, продавать и покупать квартиры, менять руководителя фирмы а таже выполнять другие операции - о которых владелец подписи даже не будет догадываться.
Так вот за последнюю неделю стало поступать много информации сначала статья на Отъем квартиры на Тверской с помощью поддельной цифровой подписи. Возможно ли это?, где владелец квартиры на Тверской улице г. Москва по имени Роман обнаружил, что в очередной квитанции за коммунальные услуги у квартиры указан уже новый владелец. Гражданин обратился в Росреестр и выяснил, что осенью он подарил свою квартиру некоему жителю Уфы. Причём сделал это дистанционно, подписав документы своей электронной цифровой подписью.
России зафиксирован первый известный случай отъёма квартиры путём фальсификации электронной цифровой подписи.
Владелец квартиры на Тверской улице г. Москва по имени Роман обнаружил, что в очередной квитанции за коммунальные услуги у квартиры указан уже новый владелец. Гражданин обратился в Росреестр и выяснил, что осенью он подарил свою квартиру некоему жителю Уфы. Причём сделал это дистанционно, подписав документы своей электронной цифровой подписью.
Электронная подпись
Согласно Гражданскому кодексу РФ, квалифицированная электронная подпись является аналогом собственноручной подписи в случаях, предусмотренных законом.
По статье 434 ГК РФ, договор может быть заключён в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определённая форма. Алгоритмы формирования и проверки электронной цифровой подписи описывает российский стандарт «ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи», вступивший в действие в 2012 году.
Сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует Федеральный закон Российской Федерации от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи». Он определяет три вида электронных подписей: простая, усиленная неквалифицированная и усиленная квалифицированная.
С 1 января 2013 года гражданам выдавалась универсальная электронная карта, в которую была встроена усиленная квалифицированная электронная подпись, но выпуск таких карт прекращён с 1 января 2017 года.
Схема с квартирой
Москвич Роман говорит, что сам недавно оформил квартиру в свою собственность по дарственной от отца, который там и проживает. Но он никогда не оформлял электронную подпись и не получал физический носитель (флэшка с пин-кодом).
Однако это не помешало мошеннику каким-то образом официально зарегистрировать сделку: «Он может теперь (он или кто-то другой), как мне сказали, сейчас опять продавать мою квартиру через интернет. Заказал справки, вот эта выписка из ЕГРН, в которой указано, что 22 октября 2018 года я подарил квартиру этому господину», — говорит Роман.
В Росреестре официально подтвердили: квартиру действительно подарили в октябре прошлого года. Документы подавались в электронном виде с цифровой подписью. Это полностью законно.
Более подробно схему с мошенничеством описала коллега пострадавшего, журналист Светлана Колосова в сообществе «Соседи. Белорусская-Новослободская-Маяковская» на Facebook.
Она пишет, что электронная подпись «была получена через личный кабинет» на портале «Госуслуги». Роман помнит, что осенью его личный кабинет пытались взломать, он написал в техподдержку, и ему ответили, что у них не зафиксировано никаких «аномальных действий».
Переход собственности осуществлён не как купля-продажа, а как «дар» без участия нотариуса. Договор дарения подписан с двух сторон электронными подписями. Что интересно, участник сделки из Уфы утверждает, что тоже не получал ЭЦП и ничего не знает о «подаренной» ему московской квартире.
В полицию подано заявление о мошенничестве. Делом занимается отдел по квартирным мошенничествам московской полиции.
Чтобы не попасть в такую ситуацию, Светлана советует всем сходить в МФЦ и написать заявление, что они запрещают любые действия с их недвижимостью без личного присутствия.
Манипуляции с электронными подписями
За те годы, что в России действует законодательство по электронной цифровой подписи, зарегистрировано несколько способов мошенничества:
- Незаконные действия через центры сертификации РФ, в том числе оформление документов без участия гражданина. Выявлены случаи массовой фальсификации ЭЦП путём повторного использования удостоверяющим центром электронной подписи клиента.
- Дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра. В этом случае оформление электронной подписи производится на основании документов заявителя, представленных центру сертификации через интернет. По мнению специалистов правовой системы «Гарант», в этом случае «IT-функции в деятельности УЦ преобладают над его юридической сущностью», а электронная подпись может быть использована недобросовестными третьими лицами.
Возможно, в истории с московской квартирой как раз имел место дистанционный выпуск квалифицированного сертификата, хотя юристы «Гаранта» подчёркивают незаконность такой процедуры. Они пишут, что согласно Закону № 63-ФЗ при выдаче квалифицированного сертификата УЦ обязан (ст. 18 Закона № 63-ФЗ):
- Установить личность заявителя — физического лица, обратившегося за получением квалифицированного сертификата.
- Получить от заявителя, обратившегося в УЦ от имени другого лица, подтверждение права действовать от его имени.
Для этого заявитель представляет основной документ, удостоверяющий его личность — паспорт гражданина РФ (надлежащим образом заверенную копию), а также доверенность (иной документ), если он действует от имени других физических или юридических лиц.
Поскольку ЭЦП можно получить по доверенности, то мошенник мог использовать и такой вариант.
«Теоретически можно допустить, что там произошёл какой-то сговор с сотрудниками какого-то удостоверяющего центра, их достаточно много, их сотни по России, и что они мошенническим путем как-то завладели копией паспорта на его имя, выдали документы, то тогда эта сделка могла бы произойти», — считает Максим Эмм, эксперт в области информационной безопасности и технологий.
Но если ЭЦП получена, то провести сделку уже не составляет труда: «При электронной регистрации в Росреестр сдаются документы в отсканированном виде, причём скан не содержит фотографии синей подписи, которая ставится рукой. Сканированный файл выглядит как вордовский файл, просто в PDF. То есть подписи там не видно. При этом в Росреестр отправляется ещё электронная цифровая подпись», — прокомментировала ситуацию Мариана Чилиндришвили, руководитель юридического департамента компании «Метриум».
Поскольку сейчас квартира официально принадлежит другому лицу, тот может её легально продать. Судя по всему, в случае рассмотрения в суде такая сделка может быть признана «добросовестной покупкой», то есть к покупателю нельзя будет предъявить претензий, потому что он не знал о мошенничестве. Впрочем, старший партнёр московской коллегии адвокатов «Легис Групп» Сергей Никитенков считает, что шансы вернуть квартиру велики: «Сроки не прошли, обнаружено это практически сразу. Если мы говорим о том, что он не выдавал никаких доверенностей, не совершал действий при покупке, то есть нарушена была воля, квартира будет возвращена. Да, может быть, перепродадут, может быть, будут оспорены последующие сделки, но это просто судебная деятельность. Что касается уголовного дела, это будет ускорять судебный процесс, поскольку там схожие предметы доказывания будут, экспертизы».
На сегодняшний день в России работает около 500 удостоверяющих центров. Некоторые из них действительно готовы за определённую плату оформить электронную подпись через интернет, без личного присутствия, на что ранее обращали внимание специалисты правовой системы «Гарант». Например, в своей рекламе удостоверяющие центры обещают оформить квалифицированную цифровую подпись за 30 минут.
Мы обратились в один из таких УЦ с вопросом, как можно оформить цифровую подпись за 30 минут: «На самом деле, выпустить электронную подпись можно не за 30, а за 5 минут, если вы зарегистрированы в нашей системе, — ответил представитель компании. — В среднем, для новичка, регистрация занимает около 30 минут, поэтому и указана данная временная шкала. Это первый этап получения подписи. Вторым этапом является удостоверение личности гражданина или полномочий для юридического лица. Третьим — оплата, четвёртой ступенькой — непосредственно выпуск сертификата электронной подписи. Никто не может получить электронную подпись, не пройдя этих шагов».
Удостоверяющие центры пользуются лазейкой в законодательстве. Хотя в 63-ФЗ указано, что для оформления ЭЦП гражданин обязан предъявить паспорт, но там не указан способ представления заявителем в УЦ документов: «Возникает неясность, которую можно толковать как отсутствие законодательного запрета на выпуск и выдачу квалифицированного сертификата дистанционно, — пишет «Гарант». — Электронная подпись может попасть к лицу, которое на самом деле заявителем не является, что повлечет для заявителя – номинального владельца юридические, финансовые, налоговые риски и другие негативные последствия… К сожалению, зачастую люди сами небрежно относятся к своим персональным данным. Ну и конечно никто не отменяет вину УЦ, выдавшего данную подпись. Проверить сертификат (кем и когда выдан) герой репортажа может, обратившись в полицию».
Что самое печальное для Романа, «использование электронной подписи другими лицами без ведома номинального владельца не освобождает его от ответственности за неблагоприятные последствия, наступившие в результате такого использования» (постановление Пятого арбитражного апелляционного суда от 14 марта 2016 г. № 05АП-1119/16; постановление Пятнадцатого арбитражного апелляционного суда от 1 марта 2016 г. № 15АП-1132/16; постановление Ленинского районного суда г. Владивостока Приморского края от 8 декабря 2014 г. по делу № 5-1087/2014).
Сегодня попалась новая статья от том, что на автора и его жену открыли несколько фирм и взяли на них микрокредиты. Как им сообщали в МВД, таких дел у них «только на этой неделе 17 шт».
Недавно общественность облетела новость о первом случае продажи квартиры мошенниками с помощью ЭЦП и подделки документов. Когда я раньше читал подобные новости, всегда воспринимал отстранённо, как будто со мной этого не может произойти, но я ошибался. И теперь могу заявить, в зоне риска мошенников — каждый, увы, даже хабровчане.
Хотя в моём случае ситуация попроще, квартиру у меня не переписывали, зато куда более распространённее — я и моя супруга без нашего ведома стали директорами нескольких ООО. Как нам сообщали в МВД, таких дел у них «только на этой неделе 17 шт». Напоминаю, что подписание документов с помощью ЭЦП равносильно подписанию собственноручной подписью юр. или физ. лица, поэтому, казалось бы, вопрос выпуска таких ЭЦП должен быть максимально безопасен, но к сожалению сейчас в России такие подписи выдают обычные коммерческие организации, действие которых контролируется только путём выдачи лицензий МинКомСвязи. И как показала практика, часто для этого нужна только картинка паспорта и номер СНИЛС, что есть у любого работодателя, банка, и других организаций, куда вынуждено даются такие документы.
Итак, как дело было. Была у меня ипотека в одном зелёном банке. По случаю рождения второго ребёнка, я решил воспользоваться новой субсидией на ипотечную ставку в 6%, тем более что давно уже хотел рефинансироваться с 12% под более низкий процент. К слову, изначально ипотека была оформлена на меня как основного заёмщика, и на супругу как созаёмщика, то есть весь пакет документов был у банка. В новом банке супруга уже не фигурирует, и документы она не предоставляла. Собственно, 2 месяца это примерно длилось, и вот я довольный сижу на работе, пушу коммиты в репу, и тут звонок. «Здравствуйте, вы директор такой-то фирмы? Хотим предложить вам открыть расчётный счёт у нас» Я сразу заподозорил неладное, и полез в ЕГРЮЛ, и, к сожалению, тут понеслось. Как оказалось, на мне висят две ОООшки 2-недельной и 3-дневной свежести, а я их гендиректор и учредитель. Я поехал разбираться, написал заявление в ОМВД, написал заявления в налоговую, откуда потом узнал, что фирмы зарегистрированы с помощью ЭЦП.
Сначала я очень испугался, что мне где-нибудь, да в процессе переоформления подсунули какие-нибудь бумаги, и я возможно что-то по невнимательности подписал. Но когда ситуация повторилась с моей женой, которая нигде ничего не подписывает, а сидит с ребёнком дома, стало понятно, что тут дело в утечке персональных данных, и незаконном изготовлении ЭЦП. А дальше началась чреда отбивания порогов различных инстанций — МВД, Прокуратура, ОБЭП, Налоговая, Роскомнадзор, Администрация Президента, суд:
1) По линии полиции — многочисленные отказы в возбуждении уголовного дела, из-за отсутствия события преступления. Т. е. если кратно, то «когда вас убьют, тогда и приходите». Так как пока ко мне никто не выдвинул финансовых требований, события преступления нет.
2) По линии налоговой — они сделали всё согласно регламенту, вот есть заявление, вот оно подписано подписью «у нас нет оснований для отказа в регистрации ООО». Они внесли лишь пометку, что «По данным ФНС сведения недостоверны», но фирмы по-прежнему действуют. Также по запросу нам дали информацию об удостоверяющем центре — и у меня, и у супруги это был один и тот же УЦ находящийся в Томске (естественно мы там даже близко не были никогда).
3) По линии Роскомнадзора — они запросили информацию от удостоверяющего центра, они им предоставили ответ, что вот есть якобы документы от меня, а так как подлинность документов они не выявляют — обращайтесь в суд.
Документы
Собственно, сейчас суд, и тут тоже не всё так просто. Но беда, как говорится, не приходит одна, на свой старый адрес мне пришло два письма, от коллекторского агентства, с требованием вернуть деньги, которые были взяты в двух микрофинансовых организациях. Тут пришлось тоже писать заявление в полицию, пока по ним тишина.
Немного сухих фактов:
1) Утекли старые сканы паспортов — везде фигурируют старые адреса прописки.
2) Скан паспорта жены в процессе переоформления хранился только в зелёном банке, и больше нигде не предоставлялся, а это значит, что утечка была либо через сотрудника этого банка, либо через человека снимавшего обременение в росреестре, либо через человека принимавшего документы в МФЦ.
3) Госпошлину за регистрацию ОООшек заплатил некий господин с нерусской фамилией.
Как от этого защититься?
Защиты во всех сферах, к сожалению, нет, т. к. с внедрением «электронного правительства» появляется всё больше мест, где можно осуществить операции с помощью ЭЦП. Но, в частности, защититься от регистрации юридических лиц по ЭЦП можно. Есть так называемая «38-я форма», а если быть точнее форма 38001, заполнив которую, можно запретить регистрацию юр. лиц, без личного присутствия. Правда заполнять и везти её придётся лично в регистрирующий орган (в Москве это 46 налоговая), и как я понимаю, она ограничивает это только в данном регионе, хотя могу ошибаться.
К сожалению, на лицо — законодательная дыра, которой пользуются мошенники, и пока не ужесточат контроль за выпуском ЭЦП, такие ситуации будут случаться только чаще.
Что примечательно автор статьи считает, что утечка произошла через всем известный зеленый банк.
Как начал писать статью, поискал по сети - ещё нашел несколько статей - Продаём под электронный ключ правительство, коммерсантов, квартиры. Быстро, легко, дешево где журналисты сделали ЭЦП на другого человека.
Также статья Фрицморгена - Мошенничество с ЭЦП: проблема глубже и серьёзнее, чем кажется
Попасть под этот вид мошенничества может каждый, в большей степени обеспеченные.
Из защиты от данного вида мошенничества полка есть только так называемая «38-я форма», а если быть точнее форма 38001, заполнив которую, можно запретить регистрацию юр. лиц, без личного присутствия.
Сам по роду занятий, сопровождение бухгалтерии, имею доступ ко многим ЭЦП директоров и глав поселений. И сейчас через ЭЦП проходит 90% сделок фирм, и подписывают документы в основном сотрудники, и заполучить ЭЦП очень легко.
Комментарии
А вот интересно, какой план у мошенников был дальше. Хозяин квартиры должен был случайно исчезнуть, погибнуть?
План элементарный, продать квартиру и запановать, а проблемы хозяина и добросовестного покупателя никого не волнуют.
И что, через суд потом нельзя будет вычислить мошенника?
Да, потом поймать и повесить выплату компенсации за похищенное имущество, которое будет высчитываться из зоновской зарплаты, за пошитые рукавицы, примерно 100500 лет. А жертва будет это время с семьёй жить в коробке из под телевизора. Потому как воры деньги на официальных счетах в банке не хранят.
Да, но в планы мошенника не входило шить руковицы. Значит у него должен быть более надёжный план. Чтобы претензий к нему не было.
А как мошенника найти? Максимум информации о нем -- ip с которого он оправлял "сканы" документов в УЦ.
Деньги за квартиру он как-то должен ведь получить. Так и найти.
Ну отловит банковский антифрод часть платежей, но что-то да пройдёт. Собственно тут никаких новых вопросов, связананных именно с этой схемой нет, начиная с открытия счетов на подставных лиц в других банках.
Борьба с финансовым выводом достаточно отлажена. Всё равно где-то надо выводить в наличку или в оплату чего либо. И виден либо получатель услуги или тот, кто пришёл за деньгами.
Не вопрос в том, что хайп на пустом месте, вопрос в том, что в теории такая схема может работать, как и кража посредством оставленного в компьютере ключевого носителя.
Если совмещать с внезапными смертями, то легко. Или если через ЭП воровать не квартиры, а деньги со счёта юр.лица. Подписал от имени юр.лица акты, акт сверки, оплатил. И даже через суд добиться будет почти невозможно, так как от потерпевшего потребуются доказательства, того, что он не подписывал эти документы. А если сделано в рабочее время и над каждым компьютером не висит видеорегистратор, то практически недоказуемо.
В общем, вся надежда на полицию. Если технические средства борьбы такими преступлениями появятся (благодаря тому же закону Яровой, например), то хорошо. Если нет, возможно будет беспредел, хайпа подняли достаточно, чтобы многие начали проверять «по приколу». «Крякер Интернета», однако...
Прежде всего это 159 статья (мошенничество), в рамках данной статьи будет возбуждено УГ, далее выяснен вопрос кто, когда и как получил данную КЭП. По результатам, если подпись выдана незаконно, ответственность несет УЦ, если законно, пострадавший сам себе злобный буратина.
PS Почитал тут, аж волосы на голове зашевилились, люди такую дичь про подпись пишут.
По позиции судов:
Если кто-то купил квартиру положившись на честное слово продавца и только запись из ЕГРП, то он не считается добросовестным покупателем. А при осмотре столкнулся бы с реальным хозяином.
А если квартира сдавалась в аренду? Арендаторы могли выдавать себя за хозяина.
В этом случае покупатель добросовестный. И есть шанс потерять квартиру (там как суд решит).
У меня теща третий год по судам доказывает, что кредит не брала. Судейские не верят. Твердо. Так, что москвичи квартиру подарили уфимцу😊 Без вариантов. Схема продумана, звенья цепочки отлажены!
Насколько помню по советским временам покупка ворованного была запрещена. Если сворованное обнаруживалось, то возвращалось законному владельцу.
Если при помощи электронной подписи воруют квартиру у человека, правомерно ли ее забирать у него?
Это рыночек, покупатель всегда прав. Если покупатель "добросовестный" то бишь ничего не знал и купил ворованное. Это самое ворованное возврату не подлежит. Дичь полная.
Нет. Ст 302 ГК РФ. По смыслу полностью повторяет ст 54 основ гражданского законодательства СССР.
Норма, может и есть. А вот наличие добросовестного приобретателя серьёзно осложняет положение того, кто пострадал от мошенников. С цифровой подписью или без оной.
Так там в любом случае кто-то страдает. Или бывший владелец или новый (честно купивший за деньги). Если очень повезёт, мошенников поймают, деньги изымут и вернут. А если нет, то деваться некуда.
Главное, чтобы преступление не окупалось, иначе они станут массовыми как вирусы-вымогатели, платные СМС и онлайновые псевдомагазины. И здесь всё зависит от того, есть ли у полиции достаточно инструментов, чтобы найти, арестовать и наказать преступников. Потому что, в отличие от предыдущих пунктов, ущерб большой и гражданин не имеет возможности его предотвратить.
Тут подпишусь под каждой буквой, потому что даже 10 лет назад в Москве вывозили одиноких в лес - у нас директорша кооператива бывшего советского на этом погорела с подельниками. И если преступления выгодны и никто особо не ловит, то, естественно, вал преступности нарастает.
Если 3 раза перепродать, то последний приобретатель становится (считается) добросовестным.
Номер закона сами поищите.
Годный срач. Ахтунг - пахнет трольчатиной! Автор, нет ли в обсуждении упырей? Сим повелеваю - внести запись в реестр самых обсуждаемых за день.
А у нас как в Евросоюзе разве цифровая подпись не визируется онлайн при подписании документа с обязательным вводом доп. данных?
Сколько шума вокруг ЭЦП. Сколько дебилов обсуждают ЭЦП, предварительно заявив, что в этом вопросе с технической точки зрения они не разбираются.
Жулики продали хату при помощи ЭЦП!!! Спасайся кто может!!!!
и никто не заедается вопросом: как получена эта ЭЦП? А получена она банально уголовным способом - подделкой бумажных документов, удостоверяющих личность. Жулик подделал доверенность - была доверенность от нотариуса с реальным номером - перепепечатал ее же, но добавил нужные действия, которых не было в оригинальной доверености(или подделал паспорт хозяина - переклеил фото в данном паспорте на своё и пошёл получил ЭЦП). Мог бы и не получать ЭЦП - а сразу пойти в Росреестр и переоформить квартиру.
Количество уголовных дел по мошенническим отьемам собственности с помощью поддельных документов - огромно, и ЭЦП здесь совершенно ни при чем.
Что касается квартиры на Тверской, то:
- У жулика был доступ к оригинальным документам владельца (паспорту или нотариальной доверенности)
- жулик знал о недвиге на Тверской
- у жулика был доступ к этой квартире (он ведь должен ее показать покупателю)
Отсюда простой вывод: жулик находится в кругу близких знакомых этого Романа, видимо, это его родственник. И попытка продать эту хату мимо Ромы - не более, чем семейные разборки.
Аминь!
Смешали в кучу бюрократов, государство, браузеры, рутокены, линукс с собственным мракобесным рукопопием )))
Одно дело подделать паспорт в фотошопе и выслать копию. Другое дело подделать его в реальности, да ещё потом засветиться с ним под камерами лично. Именно поэтому он и не пошёл бы в Росреестр.
Я недавно дачу дарил. Там необходимо было личное присутствие обоих сторон с их документами. Сканы делает сотрудник МФЦ, удостоверяющий личность. У них там конечно конвеер, но повторюсь там везде камеры и в случае чего, как я понимаю рыльце можно отсмотреть со всех ракурсов.
Давайте я ещё раз повторю - можно даже поймать мошенника, но вот вернуть похищенное куда сложнее.
Любой банк, где у него открыт счёт, работодатель, обменник валюты... Копию паспорта сейчас делает кто угодно.
Имея ЭП это выясняется в 5 минут.
Не факт. Он её "продал" в Уфу вообще левому человеку. Если бы продавал в Уфе мог бы и не показывать. Или вообще не продавал бы, а под её залог взял бы кредит.
ну а раньше точно так же документы подделывали и продавали чужие квартиры, разницы ни какой
В данной ситуации следует четко отделять мух от котлет!
Во-первых, данные статьи по ссылке взяты со слов потерпевшего. В статье так и написано " Если факт подтвердится в ходе расследования ...". Т.е. мы пока не знаем, как появилась на свет подпись владельца.
далее... обратите внимание, когда именно может быть совершен акт мошенничества: это момент оформления. В данном случае, подобную операцию "по чужим документам" можно провести при определенных условиях не только с ЭЦП, но и с любыми другими вариантами оформления тех или иных прав, например, взяв кредит (уж по таких кредитам фактов навалом).
что касается эксперимента 47news. Во-первых, фраза "Физически она (ЭЦП) записывается на устройстве, по виду напоминающем обычную флешку..." говорит о непонимании, что такое ЭЦП. (ЭЦП на флэшку не записывается). Да и какова может быть вина оператора, выдающего ЭЦП, если правила были соблюдены? Конкретно, у заявителя был доступ к паспорту и счетам потенциального владельца ЭЦП, которые, собственно, сам потенциальный владелец и одолжил.
опять же, в статье BFM, мнение эксперта было немного передернуто авторским текстом: " Но в теории возможно все, говорит эксперт ...", в то время как эксперт заявил " Теоретически можно допустить, что там произошел какой-то сговор с сотрудниками какого-то удостоверяющего ...", т.е. это не вопрос ЭЦП (ну и далеко не все).
Т.е. по существу, проблема не в технологии ЭЦП, которая, действительно сильно упрощает жизнь, а в ее использовании, равно как и в использовании иных способов подтверждения собственных действий.
и не могу не прокомментировать Фрицморгена.
мне раньше казалось, что он имеет технических знаний, но такие "технические" заявления как
" На практике ЭЦП — это дырявая, неуклюжая техническая штуковина... ",
" способа взлома ЭЦП, который обрисован в статье по ссылке, есть и ещё куча других, ничуть не более сложных ..." - хотелось бы хоть раз услышать/уведеть чтобы взломали ЭЦП!
"ни даже коммерческие банки не считают ЭЦП чем-то важным... " банки уже давно и повсеместно используют ЭЦП в своих целях. Единственное, что отличат эти подписи от пользовательских - их происхождение. и т.д. ставит его, а также его собеседника компетентность под большой вопрос.
Да Вы правы ЭЦП не записывается на флэшку. На флэшку записывается контейнер, который потом уже устанавливается на компьютер в виде ЭЦП.
На флешку записывается закрытый ключ и только ключ. ЭЦП формируется специальной программой, которая использует для этого закрытый ключ и хэш-функцию подписываемого текста. Чтобы подтвердить ЭЦП другой участник использует открытый ключ того, кто подписывал документ и опять же самостоятельно вычисленную хэш-функцию подписанного текста. Если вы измените хоть один байт в подписанном тексте, сразу получите ошибку.
необязательно. в зависимости от системы, туда могут записываться и другие данные (например, сертифкат)
все-равно, мимо
на флэшку (точнее, на ключевой носитель, т.к. этоне только флэшка ) записываются ключи шифрования и данные сертификата ЭЦП (есть варианты). Контейнер - это зашифрованная область данных на флэшке, для доступа к которой нужен пароль (пин-код). С помощью ПО (криптопровайдера) для объекта (обычно, файла или иной информации, например, записи в БД) по криптографическому алгоритму вырабатывается длинная уникальная последовательность - ЭЦП. Она может записываться куда угодно и передаваться вместе с объектом (файлом) или отдельно.
Суть защиты с помощью ЭЦП в том, что алгоритм вычисления не позволяет создать от имени разных субъектов (владельцев сертификатов) одинаковые подписи.
Записывается на токен. Который есть «устройство, по виду напоминающем обычную флешку». Иногда и на реальную флэшку. Или Вы про то, что УЦ не выдаёт ЭЦП, а выдаёт сертификат ЭЦП (ЭП)? Так Вы же в следующей фразе пишете «...какова может быть вина оператора, выдающего ЭЦП...», а не «выдающего сертификат, используемый для формирования ЭП».
Не было к счетам:
А копия паспорта нынче у каждого гражданина в стольки местах, что особого труда получить её не составляет.
А здесь проблема в том, что ответственность УЦ ограничена гражданским кодексом, по которому можно попытаться взыскать убытки, если будет доказана прямая причинно-следственная связь. Другой ответственности за некорректную идентификацию получателя ЭП нет. То есть, если подкупить владельца УЦ на сумму большую, чем активы его фирмы, то он вполне может рискнуть. Цена вопроса — пара миллионов рублей. Получить можно подпись почти кого угодно. Простор для рейдерских захватов и нанесения конкурентам ущерба огромный.
Если неведомо кто может подписывать документы от Вашего имени, а Вы даже не можете этому помешать, то это взлом ЭЦП. Неважно, что алгоритм не взломан.
Покажите мне хоть один банк, который согласен принимать любой документ, подписанный ЭЦП без контроля через SMS, IP отправителя, разовый пинкод, OTP, ... Единственная организация, которая верит ЭЦП без дополнительных проверок — ФНС. Так количество жалоб на форумах "кто-то за меня сдал липовую корректировочную декларацию" просто зашкаливает. Вплоть до: https://vc.ru/claim/54130-moshenniki-pytalis-smenit-generalnogo-direktora-i-ukrast-dengi-kompanii
ЭЦП в банках просто для галочки (по закону нельзя считать электронный документ без ЭП юридически значимым, значит ЭП ставим, можно даже прямо на сервере через веб-интерфейс как у Тинькоффа).
про оператора, согласен, промахнулся
было " и много чего ещё", может и к счетам это не так принципиально.
так, может, это, в первую очередь, проблемы гражданина? Мы же не знаем, почему оператор не потребовал присутствия владельца паспорта. Может это был такой пакет услуг (без доступа к финансовым операциям), когда присутствие не требуется, а достаточно наличие официального представителя.
это не вопрос ЭЦП. С таким же (и даже еще бОльшим) успехом можно подкупить нотариуса или работника какой-нибудь иной функциональной конторы
нет. Взлом ЭЦП - это подбор (взлом) ключа шифрования. Если кто-то пользуется чужими реквизитами, то это либо кража (носителя и пароля), либо мошенничество (заведение сертификата и подпись путем обмана). Лично мне другие варианты на ум не приходят.
не силен в познаниях банков России, но например АБ "Россиия". Может там есть какие-то ограничения, но про подтверждение кроме ЭП что-то не видно. А между собой банки и подавно пользуются подписями, только не публичными.
про ФНС... что тут сказать. Уход от налогов - одно из главных преступлений в мире, посему эта сфера обречена на огромное количество ошибок и "ошибок".
кстати, чем вас не устраивает вариант наложения ЭЦП через веб-интерфейс?
Тем, что закрытый ключ хранится на сервере и реально любой админ этого сервера может подписать всё что угодно. Точнее, всем устраивает, просто суть ЭЦП при таком применении выхолащивается.
ключ хранится в зашифрованном виде. "любой админ" может подписать, только если знает пароль, который, к слову, должен быть принудительно изменен пользователем при первом обращении.
в данном случае речь идет о традиционном интернет-банкинге, вход и операции в котором осуществляются не с помощью ЭЦП, а по логину паролю (п. 3. того же фака)
Этот пароль надо ввести на том же сервере и верить на слово, что он никуда не записывается.
Но на сервере эти операции наверняка подписываются ЭЦП (выданной банком) от имени пользователя. По крайней мере на сайтах энергосетей такое требовали. По отраслевому закону заявка обязаны быть подписана ЭП и сайт не имеет права запрещать сделать заявку пользователю, у которого нет ЭП. По факту регистрации для пользователя на сервере выдавалась ЭП и все его заявки подписывались этой ЭП перед тем, как быть записанными. Пользователь эту ЭП даже не видел.
такие системы подлежат аттестации по безопасности (со всеми вытекающими последствиями), но если ничему не верить, то лучше пользоваться натуральным обменом. Традиционно, пароли либо хранятся в зашифрованном виде, либо хранятся только хэши паролей (которые невозможно "превратить" в пароль обратным преобразованием).
нет. там речь идет именно об обычном интернет-банкинге без ЭЦП. Вообще, насколько я понял, вариант с ЭЦП касается юрлиц. Хотя, может, я что-то не дочитал.
что касается энергосетей... я с ними не знаком, но полагаю, что это ЭП на сервере без физического носителя.
Ну почему же? ЭЦП, сформированную на моём компьютере никто другой подделать не может. А если верить, то и ЭЦП не надо, что банк в выписке написал, то и правда.
Касается всех. Условно, можешь трудовой договор не подписывать, а сфотографировать, прикрепить квалифицированной ЭП и отдать на флэшке в отдел кадров. По закону отказать не могут.
Как бы байтики без физического носителя не бывают. Всё равно там жёсткий диск или хотя бы магнитная лента. Но в том смысле, что у пользователя её нет — это так. А файлики с подписями лежат, чтобы не требовать рукописную подпись от пользователя.
алё! мы обсуждали сохранность пароля на сервере, а не ЭЦП.
алё 2! мы обсуждали конкретный вариант использования ЭЦП в банке
хорошо, уточню - без физического ключевого носителя у пользователя. Тем более, насколько я понимаю, в энергосетях ЭЦП используют не для финансовых операций
Если идентификация по паролю, то всё на доверии, Если по ЭЦП, то есть техническая гарантия (в допущении, что пользователь контролирует свой компьютер и ЭЦП выпускает на нём).
И в банке. Банку на любое действие с деньгами нужна либо подпись клиента, либо ЭП на файле. Теоретически может можно какой-нибудь формулировкой про интернет-банк в договоре обойти, но обычно проще сделать электронные подписи.
Для юридических. Заключение договора, предоставление информации по договору.
на доверии кому? Пользователь сам устанавливает пароль. Никакой администратор его узнать не может. Только если администратор сам установит пароль, но это уже другая ... статья.
конкретно в том случае никакая подпись не требуется. Нужно только код подтверждения через СМС
Тому, кто написал интерфейс смены пароля, метод хранения пароля, исключил возможность получить доступ в обход пароля (например, в UNIX администратор может выполнить команду от имени любого пользователя не зная его пароля).
Для закона и суда СМС не равен подписи.
Банковские системы построены таким образом, чтобы исключить возможность прямого доступа к счетам пользователей в обход пароля. Учитывая, что к системы банков проверяют Нацбанк и международные организации (если есть обмен с заграницей). Я не знаю российских ГОСТов для банков, но для иностранных, например, выполняют PCI DSS. Админ в юниксе может, конечно, выполнять какие-то команды, но эти команды этим юниксом и ограничатся, а система банка - это множество взаимосвязанных подсистем, каждая со своей безопасностью. Поэтому, говорить в данной ситуации о каком-то доверии - недоверии сродни паранойи.
простой доступ к своем счетам для физлица не требует ЭП. Если случится инцидент, то его будут расследовать и в конце концов выяснят, каким образом прошла несанкционированная операция и тут не важно, была она с ЭП или без. И если окажется, что, например, механизм отправки СМС не сработал (по-моему, вероятность такого стремится к нулю), или произойдет какой-нибудь сбой (спишется больше денег, чем надо )то не представляю, как банк отвертится. Там и до суда дело не дойдет.
Для российских тоже.
Всё равно аргументация сводится к тому, что этой системе нужно доверять, потому что она должна соответствовать стандартам и её проверяют. Опять же, аналогия с наличными и безналичными деньгами. Если наличные деньги в сейфе, то похитить их могут только взломав сейф. Если деньги в банке, то необходимо доверие банку и/или государству.
На чтение — да. На перевод денег, если ЭП нет, то СМС сама по себе не является волеизъявлением клиента.
по крайней мере, в факе ничего про ЭП не написано
Страницы