Негізгі сертификаттар

ҰКО (RSA_OLD) pki_rsa
ҰКО (GOST_OLD) pki_gost
НКО (RSA) root_rsa
НКО (GOST) root_gost
ҰКО (RSA) nca_rsa
ҰКО (GOST) nca_gost

Кері шақырылған сертификаттардың тізімі

ҰҚО (RSA_OLD) CRL Delta CRL
ҰҚО (GOST_OLD) CRL Delta CRL
ҰҚО (RSA) CRL Delta CRL
ҰҚО (GOST) CRL Delta CRL

ЭЦҚны қайта шығарғыңыз келе ме? бөлімге өту >>

Welcome, Guest
Username Password: Remember me

Незащищённое соединение Судебный Кабинет.
(1 viewing) (1) Guest
  • Page:
  • 1

TOPIC: Незащищённое соединение Судебный Кабинет.

Незащищённое соединение Судебный Кабинет. 3 weeks, 1 day ago #5289

  • Kraftwerk
  • OFFLINE
  • Новый участник
  • Posts: 3
  • Karma: 0
Сайт Судебный Кабинет (протокол HTTPS) office.sud.kz использует недействительный сертификат безопасности. Сертификат истёк 27 октября 2018 г., 18:17:07. Естественно сайт не доступен при использовании защищённого протокола HTTPS, и требуется внести его в исключения, чего не только вообще не может рекомендоваться, но не рекомендуется и Национальным Удостоверяющим Центром, насколько я знаю. При этом же сайт Судебный Кабинет использует и незащищённый протокол (HTTP) office.sud.kz, где сайт доступен, и при том этот сайт использует подписание документов Электронной Цифровой Подписью (ЭЦП) выдаваемой Национальным Удостоверяющим Центром, сиречь Вами.

Администраторам сайта Судебный Кабинет проблема известна, естественно, что они и подтверждают в переписке:
«Уважаемый пользователь!Сертификат который использует сайт, браузеры идентифицируют как небезопасный. С уважением, Служба поддержки Судебного кабинета ВС РК». И хотя мне и не было предложено добавить сайт с недействительным сертификатом безопасности в исключения, доступ по незащищённому протоколу HTTP остается, и по нему же вероятно подписываются документы при помощи ЭЦП. При том позвольте вам напомнить, что передача данных по незащищённому протоколу позволяет перехватывать данные, как то личный пароль входа на сайт Судебного Кабинета ВС РК, вместе с логином, например.

В связи со сказанным у меня есть несколько вопросов:
1) Контролирует ли (сертификация) Национальный Удостоверяющий Центр модули обработки ЭЦП на сторонних сайтах?
2) Можно ли считать ЭЦП подписанные по незащищённому протоколу скомпрометированными, как и сами сертификаты ЭЦП? Признает ли их скомпрометированными суд?
3) Является ли все это преступной халатностью, и какова ответственность?

..впрочем последние вопросы скорее относятся к прокуратуре, и прошу считать его обращением также и в прокуратуру.
Last Edit: 3 weeks, 1 day ago by Kraftwerk.

Re: Незащищённое соединение Судебный Кабинет. 3 weeks ago #5290

Согласно пункту 6 Правил проверки подлинности электронной цифровой подписи (далее – Правила), утвержденных Приказом Министра по инвестициям и развитию Республики Казахстан от 9 декабря 2015 года № 1187, информационная система проверяет регистрационные свидетельства подписывающей стороны путем выполнения следующих проверок с использованием средств криптографической защиты информации и средств электронной цифровой подписи (далее – ЭЦП) удостоверяющего центра:
1) проверка срока действия регистрационного свидетельства,
2) проверка регистрационного свидетельства на отозванность (аннулирование),
3) проверка области использования ЭЦП регистрационного свидетельства,
4) проверка номера политики регистрационного свидетельства и разрешенных способах его использования,
5) проверка построения корректной цепочки от проверяемого регистрационного свидетельства до доверенного корневого регистрационного свидетельства удостоверяющего центра, с учетом промежуточных регистрационных свидетельств удостоверяющих центров,
6) проверка метки времени,
7) проверка полномочий лица, подписавшего документ.
При несоответствии ЭЦП или регистрационного свидетельства требованиям одной из вышеуказанных проверок, за исключением подпункта 6) и 7) настоящего пункта, ЭЦП или регистрационное свидетельство считается недействительным.
При этом техническая реализация проверки подлинности ЭЦП и регистрационного свидетельства возлагается на информационную систему.

Re: Незащищённое соединение Судебный Кабинет. 2 weeks, 6 days ago #5291

  • Kraftwerk
  • OFFLINE
  • Новый участник
  • Posts: 3
  • Karma: 0
То есть согласно согласно вашего ответа подписи в Судебном Кабинете могут считаться скомпороментироваными по крайней мере с периода: «office.sud.kz использует недействительный сертификат безопасности. Сертификат истёк 27 октября 2018 г., 18:17:07. Текущее время — 26 сентября 2019 г., 11:03». Так? Как видимо и пароли к сертификатам, и возможно и сами сертификаты подписей AUTH и RSA?
Last Edit: 2 weeks, 6 days ago by Kraftwerk.

Re: Незащищённое соединение Судебный Кабинет. 2 weeks, 5 days ago #5296

То есть согласно согласно вашего ответа подписи в Судебном Кабинете могут считаться скомпороментироваными по крайней мере с периода: «office.sud.kz использует недействительный сертификат безопасности. - Неверно.

При подписи ключами ЭЦП сертификат безопасности не участвует в цепочке доверия, и никак не влияет на процедуру подписи.

Re: Незащищённое соединение Судебный Кабинет. 2 weeks, 2 days ago #5305

  • Kraftwerk
  • OFFLINE
  • Новый участник
  • Posts: 3
  • Karma: 0
Позвольте упростить вопросы:
Допустимо ли использование незащищённого протокола HTTP на государственном сайте предоставляющем подписание документов ЭЦП пользователями. Допустимо ли использование таким сайтом просроченного сертификата в течении многих и многих месяцев? Норма ли это?

И немного более сложный вопрос в простом контексе: Передаётся ли пароль к ЭЦП по незащищённому протоколу в этом случае? Если не передается, то где происходит идентификация? Локально на компьютере пользователя? Если локально, то есть ли на форуме инфомационная тема посвящённая локальной безопасности в вопросе сохранения паролей, а именно защиты от несанкционированного чтения буфера обмена, или клавиатурного отслеживания, а также снимков экрана?

За перехват личного пароля непосредственно к стороннему сайту НУЦ естественно ответственности не несёт, если ему не вменено это. Проверяет ли НУЦ безопасность сайтов системы электронного правительства РК, и относится ли к этой системе сайт office.sud.kz?
Last Edit: 2 weeks, 2 days ago by Kraftwerk.
  • Page:
  • 1
Time to create page: 0.21 seconds
FaLang translation system by Faboba