Это статья про сайт ФНС РФ, и фразу Черномырдина «…- хотели , как лучше получилось, как всегда…!»
Сподобился я, как то раз, стать ИПешником. И по ходу деятельности пришлось столкнутся с сайтом ФНС в режиме заявлений, зачетов переплат, пеней и т.п. бюрократии.
Скажу сразу, и сайт Госуслуг и сайт ФНС , это просто прорыв , относительно того болота, что было раньше. Очень многие процедуры, информация, заявление и т.п. обратная связь проходит просто на «ура» и это реальная «бочка меда».
А теперь о «ложке дегтя», которая практически нивелирует всю эту «бочку мёда», превращая её из универсального ресурса в унылое информационное табло.
И у этой «ложки дёгтя» есть имя – цифровая подпись (ЦП).
Сначала я, как и все, с радостным повизгиванием пошел её получать, но когда вник в этот процесс у меня возникли вопросы, на которые я не могу найти адекватного ответа!
На какого хрена(растение), была придумана такая тяжеловесная, неудобная и избыточная структура.
Итак , немного реала.
Для получения спец . ЦП , я прихожу аж в офис спец. частной компании, где сидит десяток молодых нахмуренных перцев, которые мне вручили, за 3 000 руб., папку с документами , флешку и инструкцию по инсталляции, с текстом на все случаи жизни, в спец.терминах, мелким шрифтом на 5-и листах. При этом оказалось, что там еще есть ежегодная абонплата = 1000 руб., без которой ключи через год уже не работают.
На первый взгляд всё серьезно, значимо и по взрослому!
Но возникает вопрос , с какого хрена(растение) нужен этот танец с бубнами, если нас в этой позиции всего двое : Я и ФНС. Какие здесь такие охрененные риски присутствуют, что пришлось «выбросить на помойку» весь опыт удаленного банкинга и наворотить такую кучу ненужного шифрования !
И всё это ради подписи Заявления на возврат переплаты аж в 29,14 руб, или на Зачет переплаты в 537, 21 руб. в транспортный налог, или на зачет пеней в 370 руб из переплаты транспортного налога, или даже на подпись под налоговой декларацией ИП , которая кроме меня никому не нужна.?!!!
И даже если кто-то подпишет эти документы кроме меня, то какая ему выгода, тем более если ФНС все это десять раз проверит .. и всё равно в 50% случаев деньги не вернет, а если и вернет , то только мне , а не Васе Пупкину! Там нет рисков увода безвозвратно денег, от слова «совсем»!
А теперь поясню свое возмущение:
Я прихожу домой , начинаю , читать инструкцию и понимаю, что там все настолько непросто , что аж грустно. Связываюсь с из «тех.помощью», которая начинает удаленно из Москвы, шерстить мой комп., и по результатам 45 мин.. предлагает мне снести всё мою операционку и установить другую. Но, эта операционнка у меня уже родная, вылизанная , на ней куча отлаженных программ и всяких ништяков, и она меня устраивает полностью! В общем так ничего и не установили.
Можно конечно подумать, что я неумеха криворукий и сам себе злобный Буратино, но…
Так получилось, что еще с 90-х я имею опыт работы с удаленным банкингом и т.п. защищенными процедурами. И там всегда стоял вопрос разумной достаточности, особенно если вы удаленно участвуете, в биржевых торгах и брокерский коммуникациях. И там все понятно , разумно и обоснованно, т.к. если ты не вовремя подписал транзакцию «на продажу» , то потерял сделку(убытки могут измеряться десятками миллионов),а если кто-то криминально влез, кроме тебя, в подпись, и перевел, кучу денег в деревню Гадюкино , то это уже 100% безвозвратно. Т.е., здесь реально офигенные риски и нормальное шифрование здесь мега востребовано.
Но даже в банкинге и в биржевых системах, ВСЕГДА было достаточно только флешки с уникальным шифром(системой) , или даже дигипасса, или его производные, вплоть до таблиц кодов…, которые, о чудо , всегда устанавливались просто и гарантированно в течении 3-5 мин. , а их использование было просто и удобно!!!
И главное эти флешки раздаются бесплатно, или за смешные деньги и никакой ежегодной подписки или абонплаты!!!
При этом, такие флешки используют все банки, во всём мире , и всех всё устраивает. А ведь риски при банкинге на порядке выше, чем при зачете переплаты или при подписи налоговой декларации. Т.к. в банкинге вы можете потерять деньги безвозвратно и у мошенников есть мотив, а в ФНС все всегда можно вернуть в зад, и смысла в мошенничистве нет никакого.
В результате , я отдал флешку в бухгалтерскую фирму, где специальный администратор установил ее на сервер исполнив танец с бубнами. И теперь все мои подписи формировал посторонний для меня человек. Я спросил у них, это я такой криворукий? Они говорят,- да нет , все приносят нам эту хрень и на сервере уже около 30-ключей инсталировано от ИПшников.
Т.е. по факту, ребята из ФНС создали «супер-пупер сейф», но ключи от него повесили в прихожей на виду у всех. Т.к. теперь мою подпись генерирует бухгалтер, а в этот комп лазает посторонний комп. гений, которые могут меняться раз в полгода. Теперь все плюсы этого тяжеловесного шифрования нивелируются тем , что к этим флешкам и компам неизбежно привлекается куча постороннего народа, от комп. администратора, до неизвестного парня, из неизвестной комп. фирмы, который удаленно копался в моём компе…, и они все собраны в одном сервере(от безисходности)! И где здесь защищенность моей ц.подписи? Вы из неё сделали проходной двор!
А теперь анализируем , как появилась эта «ложка дегтя» на сайте ФНС:
Предполагаю, что скорее всего, ребята их отдела инф.безопасности ФНС, наплевав на опыт социума, создали офигенное шифрование информации, и для обеспечения которой создана сеть частных фирм по всей стране, тем самым нагнули всю РФ, навязав ей кривой и избыточный сервис за неадекватные деньги. А это всё попахивает коррупцией.
Если же у кого есть другие версии этого идиотизма , то озвучьте!
И этот их бизнес круче чем у Макрософта с эго операционками, т.к. здесь ребята тупо размножают кодовую таблицу(систему) , по цене полноценного операционки. Себестоимость этой программки несколько центов, норма прибыли 1000-и %! И хрен(растение) бы с ними, но программа же кривая, глючная и убогая для использования.
Например, флешка от «Альфа-Директ» ( биржевые торги), устанавливается на любой комп, выводит на экран биржевой модуль-монитор , и когда нужно подписать транзакцию , модуль сам находит вставленную флешку (не надо прописывать USB порт) и подписывает документ на миллионы рублей- время 2-3 сек.
Эта же «дура» от ФНС , то зависает, то требует обновить систему, то нет какого то плагина, то не та операционка, то перегрузите, то не видит ключа…, а ты все эти 30 мин. подписываешь Заявление на зачет 29 рублей переплаты в пеню по транспортному налогу. А по результату, так его и не подписал !!!
При этом флешка «Альфа-Директ» бесплатная и бессрочная, а это г… стоит 3000р. и абонплата 1000р. каждый год!!! ПИПЕЦ!
Предполагаю, что в ЦП есть уникальное ноу-хау шифрования, но это ноу-хау защищает информацию ИП или малого бизнеса, ценность которой для криминала, стремится к нулю! И здесь достаточна и даже избыточна простая флешка , с уникальным номером и с кодом приходящим по СМС. И всё!
И это работает, как АК-47!
В результате, из-за того, что эта система ЦК ФНС, все время глючила и ее невозможно и геморойно было инсталлировать на др. компы., я отказался от ЦП и стал всю документацию для ФНС формировать в бумаге и отсылать по почте. Кст. , как выяснилось многие мои знакомые , наигравшись в ЦП, переходят на бумагу, т.к. время и нервы дороже.
Резюме:
Очень хороший проект- сайт ФНС, который реально хорошо сделан, разумен и очень удобен, из-за дурной и неоправданной «концепции цифровой подписи» превращается в примитивный справочный ресурс, заваленный бумагой.
Цель, которую ставило ФНС- уйти от бумаги в цифру, легко дискредитирована «ложкой дёгтя» под названием «Цифровая подпись». Очень жаль!
П.С.
Хотя возможно здесь и нет никакого криминала, а получилось, как в постперестроечном анекдоте : - « Вызвал директор танкового завода конструкторов и сказал, у нас теперь конверсия, а сконструируйте-ка мне детские санки. Через месяц приносят маленький розовый танк! Он спрашивает , а как так то? - А мы просто можем только так, зато розовый…»
Так может и привлеченные ФНС криптографы, и не могут ничего другого , как только формировать криптосхемы «Юстас –Алексу»…, несмотря на их громоздкость, дороговизну и избыточность. Это, как на Феррари развозить навоз по полям! Каждый предмет по своему прекрасен, а все вместе дурь-дурью.
А вы как думаете, зачем ФНС сформировал частную структуру регистрации ЦП ???
Комментарии
А по сути и ЭЦП, и Пин-код, выполняют одну и ту же задачу - идентификацию , что Вы это Вы. Вот только Пин-код это проверенная, дешевая и предельно оперативная технология, которая работает как часы, а ЭЦП это тоже самое, только наоборот.
Касательно моих проблем, то тут в комментах, много народу отметились с аналогичными "танцами с бубном" с этими ЭЦП.
У СБ по этому вопросу, вроде не мало проблем озвучивается
А никто и не испытывает -платишь деньги, чтобы дали и поставили. Потом платишь, чтобы работала. Все нормально - не заплатишь каким-то непонятным дядям - не поторгуешь.
Это шедевр! Вы хоть представляете, что такое стать удостоверяющим центром, имеющим право на выпуск ЭЦП? Ну давайте отменим их и снова будем относить в каждую гос.контору пачку документов в бумаге! Это стоит меньше 3 тысяч за весь гемор?
А зачем эта подпись нужна? Данные и так шли в налоговую без подписи. Торговали люди без посредников тысячи лет, а вот теперь без некой подписи торговать нельзя. Воистину: "никому нельзя будет ни покупать, ни продавать, кроме того, кто имеет это начертание, или имя зверя, или число имени его". То есть некие личности присвоили себе право помимо государства разрешать или запрещать людям заниматься бизнесом. Тем более, как уже услышали чужой подписью могут воспользоваться мошенники. Что и было не так давно продемонстрировано продажей квартиры вместе собственником, кажется.
Вопрос: если торговали-/работали без подписи раньше, так ли она нужна?
Я вам более скажу. Вы не можете оказаться от возможности передавать государству документы в электронном виде. Поэтому защиты от рисков неправомерного использования вашей ЭП третьими лицами - нет.
Вам стоит хотя бы поверхностно ознакомится с принципами работы ассиметричного шифрования - именно по нему работает ЭЦП - и тогда бОльшая часть Ваших вопросов и иногда бредовых претензий, как в цитате, отпадут сами собою.
У меня есть версия, полагаю что Федеральный закон от 10.01.2002 N 1-ФЗ "ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ" регламентирует Вашу ситуацию.
Я уже ниже написал, что никакая теория(закон) если она противоречит практике не сможет ее изменить.
Есть даже такое высказывание , принадлежит кому-то великому, не дословно, но суть такая - " ....если закон противоречит здравому смыслу, он становится преступлением...". В нашем случае, если вы в законе продекларировали то, что не возможно исполнить( или получить нужный результат) , то ценность этого закона никакая.
Я расписал ниже, что эта ЦП ничего не удостоверяет из-за сложности, неустойчивой работы и большого числа посторонних операторов процесса.
Вы приписываете свои личные проблемы с использованием ко всей технологии в целом. Это у ВАС появились сложности в работе, а не у технологии. И используется эта технология для более эффективного функционирования системы, но не для того, чтобы лично Вам было комфортно.
Еще раз, я Вас призываю, ознакомьтесь с ассиметричным шифрованием. Не упрекаю, не подначиваю, а именно призываю.
Антон!
Я искренне верю, что это уникальная система достойная уважения и т.п. плюшек! Но если её основная функция - ускорить процесс и сделать его дешевле, лучше и надежнее, а она эту функцию не выполняет, то зачем все эти уникальные изыски?
Оставьте их для внутреннего потокового документа оборота ФНС , шифруйте и асинхронно и асимметрично, с плавающими переменными , привязанными в пятнам на Солнце, и всё будет разумно и оправдано.
Вот выше, камрад написал, что он пользуется 30-ю ЭЦП! И понятно, что это ЭЦП не его персональные. И это уже практика !
И далее вопрос , какой уполномоченный орган доверил ему это?
Ответ никакой! И всё, это пипец всей вашей аккредитованной структуре с асимметричным шифрованием...! Рвется там где тонко - классика жанра.
У тех кто продумывал стратегию и структуру ЭЦП, у них реально не удалось сохранить баланс разумной достаточности. По сути, они сделали уникальный сейф, но ключ его повесили в проходной комнате, в общаге, и значит это уже не сейф, а просто шкаф с ключом! Об этом и речь.
Хотя я думаю, всё же жадность , коррупционная составляющая и мотивы "вечной пенсионной кормушки"... там была в приоритете ! )))
Если иметь ввиду, что электронная подпись для ИП это не конечный шаг, то все становится понятным. Следующий шаг - это введение электронной подписи для покупателя. Тогда наступит полная цифровизация и полный контроль над всеми покупками и продажами читай полный контроль над личностью Это затею можно обосновать борьбой с коррупцией.
А сейчас банк не знает кому и за что Вы платите или получаете деньги? И как, контроль над Вашей личностью банком сегодня и сейчас Вас сильно напрягает? Я вот знаю людей, кого напрягает такая система, им сложно обналичить деньги и заплатить их в качестве отката. Сложно приобрести не сертифицированные товары, потому что можно отследить. Сложно в целом заниматься любой неправомерной деятельностью. А вот честным физическим и юридическим лицам увеличение строгости учета создает ничтожные сложности, которые с лихвой компенсируются. Назовите хотя бы одну ситуацию, когда строгий учет оборачивается серьезными проблемами при правомерной деятельности.
Объясняю начинающим в экономике - есть такое понятие, накладные расходы. Банкиры утверждают, что на данный момент накладные расходы от строгости государственного учёта составляют более 50% стоимости транзакции. Государство может сколько угодно сложным образом организовать учёт и граждане будут вынуждены выполнять это. Но есть такой зверь, как межстрановая конкуренция и те государства, которые не могут относительно просто и понятно для акторов выполнять свои функции, превращаются в аналоги северной кореи. В северной корее всё в порядке, но жить люди предпочитают в южной.
То есть ЭЦП сделает из России Северную Корею? Нет, ну Вы первый начали манипуляции...
И как думаете с точки зрения строгости где сейчас находится Россия среди стран?
Вы невнимательны. Я не агитирую против ЭЦП. Я агитирую против безответственности чиновников, внедривших сырой, коррупционноёмкий, слабо защищённый от мошенников, продукт.
Будет удобный токен, доступный человеку с незаконченным средним, допускающий помощь техника, но не снижающий при этом защищённость владельца - милости просим.
Так что Ваши идиотские манипуляции мимо.
Всё так. Наплевать на человека. Я уже п сал об этом - это борьба с малым бизнесом." Бабы новых нарожают..." очень печально, что в го ударстве все тот же совковый подход к решению проблем. Значит участь этого государства будет такая же. А жаль.
Не пытайтесь заболтать тему, а то кажется. что вы в доле). Я называю вещи своими именами: мне не нужно знать, какие принципы заложены, например, в телевизоре. Я хочу его иметь , покупаю и пользуюсь. Ключевое слово: хочу. Мне не нужно знать как там устроено какое-то несиметричное шифрование, мне не нужна и сама подпись - зачем она мне? До вчерашнего для я работа без нее и не хочу ее. Объясните, зачем она мне? Она нужна надзорным органам, чтобы отсечь нелегалов или заставить их платить. так вот пусть те, кому она нужна, и оплачивают весь праздник по установке и обслуживанию. так вот мне навязывают эту подпись. Все ИП должны ее иметь. Без нее нельзя торговать. Наша цивилизация -цивилизация торговцев. Она выросла на торговле. Сейчас нарушаются сами принципы торговли: ты мне товар - я тебе деньги. Помимо государства с налогами, влезает некто третий. Типа государство решило: вот Вася, будете и ему платить, потому что он тоже жить хорошо хочет. Все эти кассы. сканеры, подписи, покупка к ним причиндалов, плата за обслуживание и т.п - это рэкет.
Игорь Грек вообще определяет цивилизацию как товарное хозяйствование.
ЗЫ: Сейчас (на самом деле процесс начался в позапрошлом веке и занял почти весь прошлый) произошла жульническая подмена сути денег.
У меня мама тоже когда-то захотела заиметь компьютер и начать им пользоваться. И была крайне недовольна тем, что надо еще изучить как пользоваться этим компьютером. Та же история была и со смартфоном. Вы сейчас недовольны ровно тем же самым.
ЭЦП это способ ГАРАНТИРОВАННОЙ защищенной аутентификации удаленно, то есть с использованием глобальной сети. Это эквивалент "посещения офиса с документом, удостоверяющем личность", только ходить никуда не надо и однозначность, достоверность и защищенность во многих смыслах выше, чем поход с паспортом.
Да кто третий то влезает, я никак не пойму? Удостоверяющей центр Вы называете третьим? К Вам такая же просьба, ознакомьтесь с технологией ассиметричного шифрования. Тогда Вам станет ясна роль УЦ и не будете раздавать смешные, как по мне, ярлыки.
Ваша мама захотела иметь комп, а ИП подпись заставили иметь за деньги. Подпись ИП навязали, и не иметь ее нельзя. А получить можно и обслуживать, чтобы работала только у некой третьей стороны за деньги. Ваша мама может выбросить комп, а ИП не могут отказаться от подписи и плат за обслуживание.
Это ложь). Потому как мы видели, что недавно была продана квартира вместе с собственником с помощью элекронной подписи, которую собсвенник и не получал. Да и объяснили уже, что никаких гарантий от мошенничества эта подпись не дает.
А зачем мне ваше шифрование и вообще подпись, если ИП прекрасно обходились без нее? Объясните мне, зачем мне подпись. Я говорю, что она мне не нужна, вы утверждаете, что нужна и за деньги нужна. Какая польза мне от нее, если я ее не вижу? Я вижу новый гимор и новый побор. Чтобы этого не замечать надо шифрование и программирование изучить?
Это одно из неудобств строгого учета, придется привыкать. Сколько-то лет назад и бумажные документы в налоговую считались избыточными.
Я уже устал повторять, ознакомьтесь с технологией. При соблюдении нескольких простых правил мошенничество с ЭЦП исключено. Кто же виноват в том, что кто-то не соблюдал правила?
Я говорю, что это технология, существенно облегчающая жизнь большинству. Я физ лицо и имею ЭЦП, потому что ряд манипуляций с сервисами ГосУслуг мне логистичеки - по времени, расходам и труду - проще выполнить с использованием ЭЦП. Кардинально проще. Вам может быть проще бумагами, но посмотрите со стороны государства - строгий учет, однозначная надежная и безопасная аутентификация, уделенное использование, экономия в сотрудниках, исключение человеческого фактора и все это за Ваш счет. Причем смешной счет. Сколько стоит по времени поездка с бумагами? А сколько стоит час Вашего времени исходя из Вашего дохода? Готов спорить что ЭЦП тупо дешевле.
А технические сложности в начале эксплуатации бывают у всех, Вы не представляете что я наслушался несколько лет назад производя ПНР системы криптографичекой защиты в мед учреждения области. А сегодня каждый второй пользуется электронной регистратурой. Даже были случаи самостоятельного увольнения предпенсионных сотрудников из-за не желания изучать новые приемы ведения медицинского учета с использованием ПК, бумажки им были роднее. Ваша ситуация точно такая же, Вы не хотите даже почитать как работает шифрование, потому что даже не допускаете мысли, что есть позитив. И не почитав заявляете глупости о мошенничестве с использованием ЭЦП.
А 150 лет назад прекрасно обходились без электричества, и? Думаете не было таких, кто сетовал на необходимость платить за проводку и приборы, предпочитая достаточные лучины и маслянные лампы. И ругались, когда начли вводить ограничительные меры на использование устаревших источников света.
Я Вам предложил изучить принцип работы, чтобы Вы грубых ошибок не совершали, как например разговор о ненадежности. Для пользования Вам достаточно выполнить пару простейших манипуляций, прописанных в мануале. И да, у Вас могут быть с этим проблемы, но вы приравниваете свои личные сложности к избыточности технологии в целом. Вот то что Вам это не нужно, я могу понять, но я не могу понять как Вы делаете выводы о всей системе исходя из своего единичного неудачного опыта.
Ну, что же, достаточно полный и обстоятельный ответ. Принимается.) Будем подождать, время покажет, что к чему.
Сейчас ЭЦП можно получить мошенническим путём и сам гражданин об этом не узнает. Было несколько случаев, следовательно, это возможно. Сейчас невозможно запретить получение кем-то твоей электронной подписи. Сейчас невозможно получить оперативное извещение о мошеннических действиях с твоей подписью.
О каких же простых правилах Вы говорите и почему обычный гражданин, который НЕ СОБИРАЛСЯ пользоваться подписью, должен их изучать?
Почему должен изучать правила пользования того предмета, который использует? Я даже не знаю что Вам ответить... Даже правилам пользования вилкой и ложкой, не говоря про нож, люди учатся. А Вы нет?
Если не собирался, пусть не пользуется, в чем проблема. Если его обязывают как ИП, а он не хочет, пусть закрывает ИП. Эффективность и полезность технологии неоспорима. Можно поспорить о вопросах технической реализации в единичных случаях. Можно поспорить о размере вознаграждения для УЦ. Но есть позитивное влияние и есть нормативно-правовая база обязывающая к использованию(предположительно, со слов собеседников, я на самом деле не знаю) и есть единицы, чем-то недовольные. Как разумнее поступить с точки зрения государства - упразднить или наплевать на недовольных? Выше Вы про издержки написали - Вы серьезно считаете, что издержки уменьшаться, когда ради одного-двух предпринимателей, истинно влюбленных в бумагу, на весь отдел ФНС будут держать людей для обработки этой бумаги. Это ведь не один оператор, это вся вертикаль персонала, с техническим обеспечением, помещениями, соц пакетом и тд.
И Вам предложу почитать про работу ассиметричного шифрования. Тогда Вы узнаете, что то, что Вы описываете, технически не возможно. Давайте ссылку, будем изучать. Может я отстал от жизни и уже мошенники средней руки заимели квантовые вычислительные мощности или зарейдили все удостоверяющие центры, включая корневой.
Антон!
Речь совсем о другом. Речь о разумной достаточности, которую тупо похерили.
Это, как если бы вам поручили разработать "танк поддержки поля боя". А Вы понимая, что поле боя может быть и на воде, и под водой, и в атмосфере, и в ближнем космосе, сделали глубоководный батискаф-глиссер, вертикального взлета и посадки, для безвоздушного пространства, на гусеничном ходу!
При этом, Ваши технические решения могут быть гениально-асимметрично-парадоксальны! Вот только, как танк поддержки боя, он будет хреновый и фатально дорогой.
ЭЦП ,в той редакции которая функционирует- ИЗБЫТОЧЕН и ГРОМОЗДОК !
Нет, в взаимоотношениях с ФНС, никаких супер секретов, которые необходимо так кодировать . Около 99% всех телодвижений с ФНС , это тупые запросы, справки, уточнения и т.п. бюрократия. При этом любая финансовая ошибка не может выйти из этой пары- гражданин(ИП-ЮЛ) - ФНС, т.е. здесь не возможен увод больших сумм денег безвозвратно и тем более на сторону! Причём, все заявления-уточнения-запросы (инфа в них )формируется в самой ФНС, а ты только генерируешь свою подпись, т.е. только подпись, никакой дополнительной личной информации от тебя им не идет! Кроме баланса, но и это не большой секрет для ИП и МСП их сейчас можно получить проще и без взламывания ЭЦП.
Или вы думаете, что кто-то может криминально отправить мою переплату на Каймановы острова? Или перевести в оплату своих пеней мою переплату...? Там конечно могут быть какие нибудь личные гадости, но в 99,99% случаев, никаких мотиваций для криминала нет, т.к там всё "возвратимо в зад".
Найдите , какую либо криминальную схему, в паре "простой пользователь -ФНС", при которой оправдан взлом этой ЭЦП. Про квартиры, машины не надо писать, практика показывает, что наличие ЭЦП упрощает криминальную процедуру, путем физического захвата носителя и токена, что позволяет провести бесследное хищение из любой точки планеты, в отличии от нотариуса, доверенностей личного присутствия, свидетелей и т.п., .
А 99% личной инфы находится практически свободном доступе , да и хакнуть личный комп. объекта значительно проще, грандиозно-информативней и безопаснее, чем ломать ваше "асимметричное шифрование".
Есть очень узкий слой ЮЛ , которым нужно такое шифрование. но их несколько тысяч. А для всех остальных 10-ов миллионов клиентов ФНС, эта тяжеловесная ЭЦП, есть обуза и доп.поборы.
Есть классика мировой цивилизации- именно баланс разумной достаточности и есть признак гениального творения, типа- "...отсечение всего лишнего, при сохранении оптимального функционала..."
У ФНС, с их ЭЦП, это не получилось, от слова "совсем", их творение избыточно, дорого, не устойчиво, не универсально и не безопасно(много третьих лиц) .
У меня создается впечатление, что Вы не до конца понимаете предназначения ЭЦП. Эта штука позволяет гарантированно, однозначно и удаленно идентифицировать лицо, физическое или юридическое. ЭЦП ничего не шифрует и не защищает, это аналог Вашего физического похода куда-либо, где по Вашему паспорту, отпечаткам пальцев и ДНК устанавливают Вашу личность и там Вы пользуясь своими правами и возможностями ставите свою подпись принимая то или иное решение. Где и для чего лицо ставит подпись полагаю не нужно пояснять.
Избыточно - возможно, на мой взгляд нет, у Вас могут быть объективные причины считать иначе
Дорого - ну Вы серьезно? Годовое обслуживание ЭЦП меньше чем любой человек расходует на дополнительный комфорт в месяц. Гораздо меньший комфорт чем куда-то ездить. К слову каждое обращение к нотариусу стоит соизмеримо с годовым обслуживанием ЭЦП. Плюс время.
Не устойчиво - эта техническая сторона, сегодня и по моей оценке сложновато реализовано, не каждому комфортно. Так же как было не комфортно Вам и мне при покупке первого смартфона, например.
Не универсально - это как? Что Вы хотите, чтобы еще борщ ЭЦП варила? Это подпись, работает как подпись но только существенно эффективнее. Разве что не везде сегодня и сейчас можно использовать, но это не на долго, полагаю.
Не безопасно(много третьих лиц) - я уже спрашивал, не помню у Вас или нет, и так ответа не получил. О каких третьих лицах идет речь, которые снижают безопасность?
Поделитесь источником, откуда Вы это черпаете.
Антон!
Вы и правда приравниваете ЭЦП к отпечатку пальца, радужке глаза, физическому присутствию и т.п.? Вы это серьёзно?
Если мой логин и пароль , зачастую предустановленный компе, достанется третьему лицу , вместе с "супер-квалифицированной ЭЦП", то по факту получатель этого , сразу становится Мною, с полным моим персональным функционалом..
А вот если он, похитите мой палец, глаз или морду лица, то не факт , что ему поверят, что это Я лично пришел к нотариусу))))
Он похож на адептов крипты, которые фетишизируют её достоинства и в упор не хотят обсуждать недостатков.
Вообще фанатиков проще всего различать по тому, что они не хотят отвечать на неудобные вопросы именно потому, что у них нет ответов.
А вот это утверждение категорически поддерживаю.
Кстати, а Вы то сами почему ни на один мой вопрос из моего предыдущего комментария Вам, не ответили?
Потому что мне Вы уникальных вопросов не задавали и на типовые вопросы уже были типовые ответы. Не вижу смысла засорять повторением ветку.
А странная попытка выведать у меня место России в некоем ряду строгости стран не вызвала у меня ничего, кроме удивления.
Вы даже имели наглость предложить мне изучить ассиметричное шифрование. Хрен с ним, это моя профессия (я из МИРЭА, в конце концов), поэтому я эту тему представляю. Но с какой стати кто угодно должен изучать способы шифрования, безопасной передачи ключа, проблемы прерванной сессии, доверенных лиц, если ему просто надо пообщаться с налоговой? Если человек не умеет ни читать, ни писать, это ещё не повод поражать его в гражданских правах. Вам эта мысль в голову не приходила?
Вот почему то так и подумал...
Хорошо что Вы не уклоняетесь от неудобных вопросов, потому что у Вас нет ответов.
Неплохо, когда у оппонента нет ничего, кроме сарказма. Это означает, что валидных аргументов.у него не осталось и дискуссию можно считать законченной.
Вы просто читаете мои мысли. Действительно приятно - уже дважды перечитал ветку обсуждений и еще перечитаю. Согласитесь, АШ очень хорош тем, что нельзя ни удалить ни редактировать свой текст, оставленный ранее. Очень четко прослеживается масса параметров беседы, как в нашем случае кто перешел на личности и начал упражняться в сарказме. Не так ли?
Двумя руками поддерживаю Вашу инициативу закончить. Зачем тратить время на бессмысленные состязания в остроте языка с Вами, когда есть конструктивные и интересные собеседники по теме. Удачи.
Всё дело в том, что тот, кто внедрял эту систему, он не отвечал за неё ни головой, ни баблом. Ему по фигу проблемы всей страны. Он знай хрипит на манер Антона - обязали, значит будете выполнять.
А в результате даже в паспорте используется две ДУБЛИРУЮЩИЕ друг друга записи - код подразделения и название этого подразделения. И вся страна во всех документах пишет не десять цифр, а несколько строчек и не дай бог перепутать.
А эффективность работы этих долбодятлов не волнует. Они же не банк, разориться не могут.
Разъясните мне, долбодятлу, как поход в банк с бумагами, с предварительной подготовкой бумаг, их покупкой, приобретением и обслуживанием принтера, ездой в банк, временем на эту процедуру, ожидание в очереди и обратный путь домой и тд и тп может быть эффективнее чем минутная манипуляция на компьютере не выходя из дома/офиса?
Умоляю, разъясняя мне выше спрошенное, избавьте меня от мифических сказок про систематическую фальсификацию ЭЦП и про Ваши личные технические сложности. У меня последних нет, и среди моего круга общения это большая-большая редкость. И всегда разрешение подобной исключительной проблемы происходит быстрее чем один визит в банк или поход к нотариусу.
Ну или сошлитесь на достоверный источник, где находится описание систематических мошеннических действий с использованием ЭЦП с упоминанием реально пострадавших.
Вам уже разъяснили, раза два, что усложнение процедуры использования эцп ведёт к передаче ключей третьим лицам. Вам уже разъясняли, что УЖЕ были случаи выдачи ЭЦП, про которые не знал владелец. Пока ещё в основном идёт квалифицированный пользователь - директора ООО, ИП. Как только пойдут всевозможные ПТУшники и ПТУшницы, историй будет вагон.
Их даже сейчас вагон с банковскими ячейками, хотя, казалось бы, куда уж надёжнее.
..
Антон! Ну вы как ребенок.
Вот вам схема на коленке :
Подделка документов и/или сговор с недобросовестными бюрократами. реальна и возможна.
Схема : по поддельному документу , либо сговору
Зарегистрировать ЭЦП чужого человека на себя, со своим тел. и @. После чего продать имущество другим лицам удаленно. Но сделать это ,из этого же города и даже выйти с компом в сеть, рядом с его домом... БИНГО!
Он затрахается доказывать , что это не он! При этом, пришлось засветил лицо "бомжа Пупкина", только один раз в Удостоверяющем центре, когда он получал ЭЦП.
Схема №2: Мошенничество на доверии.
Куча схем, как вынудить хозяина ЭЦП сдать свой логин-пароль и "потерять" свой ЭЦП. После чего удаленная регистрация хищения , даже в 5 метрах от места обитания терпилы. Хрен(растение) чего он докажет.
Думаю есть и более изысканные схемы, но и этих достаточно.
И как , ваше асимметричное шифрование, тех.поддержка, плагины и корневые танцы с бубнами помогли "терпиле"? Никак!
Но они оч.сильно облегчили жизнь жулью, т.к. можно достаточно много и сразу "рвануть", бесследно и не персонализировано.
Немного не так. ЭЦП дает настолько же гарантированную и однозначную идентификацию, как и радужка, ДНК и тд. И ключевой момент - БЕЗ физического присутствия. Что позволяет использовать АВТОМАТИЗАЦИЮ процесса идентификации. Вы понимаете, что в наше время визит в банк, например, нужен исключительно для идентификации клиента, а не для проведения той или иной операции. Сколько таких визитов каждый гражданин страны совершает в год в различные организации? С ЭЦП в этом нет необходимости.
Бесспорно, реально и возможно. Оцените, с кем проще договориться - с нотариусом или удостоверяющим центром?
Если я буду оперировать настолько маловероятными событиями, то это будут истории из фильмов, когда на коленке в паспорт, распечатанный на принтере вклеивают фото из школьного альбома и с этим паспортом получают коды пуска ракет. Ну полноте, ну нельзя привести в УЦ бомжа и получить на третье лицо ЭЦП.
Сколько раз в неделю Вы слышите рекомендацию или даже требование никому не передавать свой пароль? И не выполняете? И поэтому ЭЦП не надежно?
Давайте зайдем с другой стороны. Вы упоминали нотариуса. Раньше я частенько пользовался подобными услугами. Что именно делает нотариус? Он за Вас ручается и берет за это деньги. Больше ничего. Он торгует своим авторитетом незаинтересованной стороны. Его авторитет незаинтересованной стороны обеспечивает вышестоящая структура я полагаю, не знаю как у них называется, коллегия какая-нибудь. В итоге вся эта дорогостоящая система дает ГАРАНТИИ за Вас от своего имени. И система работает исключительно на том, что Ваша единичная манипуляция, какая-бы емкая в плане стоимости не была, она всегда ниже чем авторитет системы нотариусов в денежном выражении в целом. И только поэтому нотариусу не выгодно выполнять мошеннические мероприятия. Как правило не выгодно. ЭЦП с УЦ это ровно такая же система, с точно таким же характером гарантий. Только цена ЭЦП за год соизмерима с ОДНИМ визитом к нотариусу. УЦ имеют многоуровневую структуру, и охватывают в итоге весь мир. То есть в денежном выражении, грубо твердость гарантий, у УЦ на несколько ПОРЯДКОВ больше чем у нотариусов любой страны. Плюс удаленное использование плюс автоматизация. В итоге ЭЦП это цифровой клон системы нотариальных гарантий с некоторыми наследованными недостатками, как, например, возможность подкупа оператора УЦ, утеря/кража ключа и тд. Из не наследованных недостатков только возможные технические сложности при использовании. И с массой небольших, существенных и кардинальных преимуществ.
Вы отвечаете не на тот вопрос, который был вынесен во главу угла.
Речь шла о двух вещах - во-первых, массовое использование банками ключей шифрования с менее сложной и более удобной программой доказало работоспособность менее сложных схем. А более сложный вариант ЗАСТАВЛЯЕТ несведущих людей обращаться к сведущим и ВЫНУЖДЕНО расставаться с ключом. Эти условия поставило государство и человек не может их избежать.
Во-вторых и это здесь мало звучало - необходимо различать уровни доступа по цене вопроса. И продажу квартиры не грех подписывать четырьмя подписями. А для заполнения письма в налоговую достаточно просто зарегистрировать емайл.
Вы вроде ранее решили закончить со мною беседу и я поддерживаю эту инициативу. Именно ранее текущего сообщения, я проверил по времени добавления. Так в чем же дело?
И я бы проигнорировал этот текст, но Вы тут затронули один действительно интересный аспект. Но при этом ранее позволили себе ничем не обоснованный, и прямо скажем не примечательный троллинг. Давая мне основания полагать, что троллинг продолжиться опять, когда Вам нечего будет ответить. Давайте так, если хотите продолжить со мною, то я с удовольствием поддержу, но только после того, как получу ответы на давным-давно заданные вопросы. Те самые, вместо ответа на которые Вы начали троллировать меня, причем в беседе с третьим лицом.
Поймите меня правильно, я ни в коем случае не считаю себя вправе кого-то к чему-то принуждать, просто я не могу тратить время на каждого тролля. Тем более взамен диалога с адекватными собеседниками.
Если нет, то и суда нет.
Я просто ответил на всё, на что посчитал нужным ответить. На риторические вопросы вроде отвечать не принято. Отвечаю так, как оно появляется в почте.
Троллингом тут занимаюсь не только я.
Если вижу автора, который пишет только то и так, как ему нравится, игнорируя реальность, естественно, кроме стёба это ничего вызвать не может. А попытка на обыкновенном форуме блеснуть знаниями AES RSA и прочих вещей и, главное, требовать от остальных понимания этих вопросов.... Прикольно, чо!
Ps Неотвеченных вопросов к себе не заметил.
Антон! Вы и правда обсуждаете не тот вопрос.
Никто здесь не против цифровизации услуг. Это удобно и все этим пользуются давно и успешно!
Основной вопрос - почему ЭЦП от ФНС сделали так топорно, избыточно, дорого и глючно! Ведь уже 20 лет есть практика удаленного банкинга, которая вылизана до предела и ее степень надежности вполне перекрывает все риски ЭЦП для ФНС.
Я с 2000-го года пользовался удаленным банкингом и удаленными биржевыми ключами. Начиная от шифр таблиц , дигипассов с вводом множества переменных и кончая разными банковским ключами на токенах. Практически все эти системы, позволяли их использовать при минимуме знаний, даже очень не продвинутому пользователю и без помощи сторонних специалистов.
Последние токены вообще не доставляли никаких напряжений. При этом они работали на всех компах, не требовали спец.операционки, (работали даже на "ХР"), доступны для использования даже очень простым людям, не требовали тех поддержки, удаленных настроек, и т.п. танцев с бубнами.
За 20 лет удаленного банкинга ,у меня был один случай, когда я позвонил в тех.поддержку и мне просто порекомендовали заменить батарейку в дигипассе..., а потом они были с солнечной платой и даже этой проблемы уже не было . Я вообще никогда не задумывался , как будет работать токен, знаю что вставил в USB и у тебя всё нормально!
На этом фоне , этот ЭЦП это феерический геморрой и еще за "охрененные деньги", хотя по сути, по законам рынка, именно они должны доплачивать пользователям за это г...))) !
Главный вопрос, какая причина заставила, наплевать на проверенную, бесплатную технологию навязав всей стране эту дорогую и глючную ЭЦП?
Ответ пока очевиден только один - откаты, распилы, коррупция и корысть ФАСПИ. А корыстный ФАСПИ , это уже мотив и прямая дорога к предательству за денежку. И это тоже напрягает.
Антон, возможно , это именно Ваш бизнес, ваша кормушка на долгие годы, до пенсии, и Вы его упорно защищаете.., и мы Вас понимаем, но не оправдываем ...)))
Потому , как такие "кормушки" всегда когда-то накрываются "медным тазом", как знак "Ш" (шипы) . Вроде руководство ГАИ и продавило его для своих типографий, но... разум восторжествовал буквально через год, и ребята купив оборудование в надежде на многолетнюю кормушку остались с кредитами и минимальными заказами!
Антон, ищите запасной вид деятельности.
Я уверен, что через год-два, для большинства пользователей потребность в "квалифицированной ЭЦП" будет снижена кардинально и будет , система подписи , как в Альфа-Банке, где при перечислении любых сумм денег, только приход СМС пароля и всё. транзакция на миллионы рублей за 2 сек.
Кстати, самый лучший, удобный, интуитивно понятный , безглючный удаленный банковский интерфейс, это Альфа-Банк!!! Хотя я их и не люблю, за хитрожопость, и жадность...
Если ФНС хочет сделать, удобную платформу ЭЦП , для стандартных клиентов , которых 99%, которая сэкономит всем деньги, время, репутацию и нервы, то надо привлечь спецов именно Альфа-Банка. Я смотрю , они даже скорректировали цифровые корреляции в своих паролях.
Антон, браво! Лучше и не сказать!
А вы подумайте насколько нужна и обоснована эта услуга, при таком дурном исполнении.
И насколько вообще оправдан такой Удостоверяющий Центр.?
Если у вас есть флешка(токен) то вы напрямую общаетесь с ФНС, без посредников, наладчиков и т.п. прилипал.
А если у вас есть флешка(токен)ЦП ,которая не работает, или работает криво, и ее устанавливает некто третий , а то и некто четвёрнтый, то вся эта криптография теряет весь смысл, устойчивость такой системы стремится у "0".
Я скажу больше, при получении вашего ЦП третьим лицом, воспользоваться вашими правами проще, чем если бы у вас этого ЦП не было, а были просто доверенности и нотариус!
Практически все, кто получает такой ЦП , передают его либо юристам для подписания доков, либо бухгалтерам, т.к. самим оперативно им пользоваться неудобно, а время -деньги да и нервы дороже. и это уже практика !!! Т.е. удостоверяющий центр ничего по факту уже не удостоверяет вообще.В ином случае, для пользования вашими правами, пришлось бы таскаться к нотариусу и светить мордой лица и документами.
Скажу больше, если у чела есть ЦП и ты можешь ее заполучить, то чел уже не нужен от слова совсем...(((
Есть старый такой мем : "Если тайну знаешь только ты- то это тайна, если двое- то это секрет, а если трое, то это надпись на заборе".
В нашем случае, её знают больше чем трое. Т.е. эти ребята, со своей жадностью, грохнули систему безопасной идентификации . Ведь по сути ничего они не изменили. Есть комп. с программой и есть код активации токена, НО на банковской флешке всё тоже самое, только бесплатно.
НО эти "хитромудрые" устроили вокруг этой ЦП шоу "надувания щек" и не потому , что там что-то очень ноу-хаувное, а потому, что иначе как объяснить вымогательство денег за аналогичную бесплатную услугу.
Но из-за этой дури, они опошлили и дискредитировали весь "цифровой проект",! Уже все частники начинают отказываться от ЦП и возвращаться в бумагу, кроме юриков, тем пока все равно.
Лучше каждый раз обращаться к нотариусу? Или ездить в Москву за каждой, как вы говорите, "флешкой"? Красной там или синей..
А что вам мешает, отправить доки по почте заказным письмом.
Я подсчитал, что у меня за год было 6 обращений в ФНС. Почта мне обошлась в 260 руб. в год. а ЦП в 1200 р. годовая подписка.
При этом, я мог бы и не обращаться в ФНС, т.к. все обращения были по распределению переплат, уточнения по ним, и заявление на патент. При этом, все переплаты так не не были распределены...)))
В итоге плюнул, на эту переписку , пусть идет как идет. Может именно создание проблем в распоряжении возникшими переплатами, как переходящим кредитом, и есть хитрый план ФНС и смысл в "кривой ЦП"...)))
А флешку, когда вы регистрировали ИП или получали ИНН, вам бы просто дали, опечатанную, вы бы ее спрятали в тайный карман внутренних брюк и всё.
Нужно что-то подписать , воткнули в USB порт , получили СМС код на свой официальный тел. и всё. Как это и происходит, при биржевых транзакциях на миллионы и сотни миллионов рублей. И ходите с ней годами и с синей и с красной.
Что мешает?
Почему обязательно нужен Удостоверяющий центр ? Это что, ФНС по паспорту не смогла Вас идентифицировать с первого раза ? , Потом куча программ, плагинов, манипуляций , настроек, сертифицированные операционки, тех.поддержка из Москвы , абонплата за ежегодное сопровождение, если всё всё равно заканчивается USB портом, и кодом активации токкена...
Ведь во время активации ФЦ , как и банковской флешки, никто не может гарантировать, что именно вы его активировали , а не администратор Коля, который устанавливал его на сервер бух.фирмы или на ваш домашний комп.... А если нет разницы, то зачем платить больше?
сама бессрочная лицензия ФСБ на криптографию 7500, но сопутствующие требования и прочие мелочи превращают её в сложноуправляемую конструкцию. всё по Черномырдину.
с одной стороны - унификация и упрощение, с другой - вводимые при этом меры усложняют всё до беспредела.
Смешались в кучу кони... люди.
Вы не понимаете сути, поэтому вся пляска вокруг кажется вам бредом.
А суть в том, чтобы сделать эцп доступной только владельцу.
То есть, если не покупать крохоборские етокены (которые мало отличаются от обычной флешки), то ключ ЭЦП _НЕИЗВЛЕКАЕМ_ с токена.
Поэтому, в теории, при использовании какого-то ключа на флешке клиент всегда может судиться с банком. Мол не я это, ключ украл какой-то гад.
А тут именно сертифицированный токен, сертифицированный алгоритм, сертифицированный софт (ака крипто-про), правильный сертификат ЭЦП, защищенный паролем.
И все было бы почти хорошо, если бы не одно но. Суууука, какие же они все криворукие, эти программисты!
Я последние 2 месяца переводил с одного ИП на другое порядка 40 касс.
Это какой-то позор. За месяц с небольшим раза 3 падало у них.
А крипто-про и прочая тряхомудия завелась только на Internet Explorer с божьей помощью и тоже несколько раз падало при апдейтах win.
До сих пор хочется кого-нибудь распять и чтоб висел в назидание.
А можете мне, объяснить на пальцах, зачем мне, например, как ИП эта подпись за хорошие деньги? Даже бесплатно, зачем!?
Есть такая история с И.В.Сталиным. Когда законотворцы принесли ему новую редакцию с ужесточением наказания за что-то там, он спросил
"- Насколько увеличились преступления по этой статье?
Ему ответили "- ничего не изменилось!
Его ответ " - тогда не имеет смысла менять закон".
Поэтому вопрос, сколько судебных исков было, и сколько из них выиграл клиент, оспоривший криптосхему банковского токена?
Я не знаю ни одного. Потому, как очень сложно клиенту доказать, что криминальное использование вашего токена было не с вашего согласия или не из-за вашего разгильдяйства.
Страницы