Массовая незаконная электронная подпись или мина замедленного действия: Формат МинЦифры №472
1 «А был ли мальчик?»
Многие и помногу подписывают документы электронной подписью (ЭП), рассчитывая, что их подпись законная. «Законная» не в смысле «сошлась математика» или «нет сомнений в сертификате подписанта». «Законная» — в смысле соответствия закону, как минимум основному по электронной подписи: 63-ФЗ «Об электронной подписи».
Вопрос 1. Если в постановлении или приказе госОргана про документы с ЭП явно не сказано, что требуется подпись «в соответствии с 63-ФЗ», то означает ли это, что такая подпись может противоречить требованиям 63-ФЗ, но быть допустимой?
Рассмотрим ситуацию, когда в постановлении или приказе госОргана явно есть ссылка на 63-ФЗ. Например, МинТруд приказ № 578н (т.е. речь про ЭП в рамках Трудового Кодекса, т.е. 197-ФЗ) требует ЭП, «сформированные в соответствии с требованиями Федерального закона от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи» или в полной формулировке:
ЕДИНЫЕ ТРЕБОВАНИЯ
К СОСТАВУ И ФОРМАТАМ ДОКУМЕНТОВ, СВЯЗАННЫХ С РАБОТОЙ,
ОФОРМЛЯЕМЫХ В ЭЛЕКТРОННОМ ВИДЕ БЕЗ ДУБЛИРОВАНИЯ
НА БУМАЖНОМ НОСИТЕЛЕ
1. Документ, связанный с работой, оформленный в электронном виде без дублирования на бумажном носителе (далее — электронные документы, связанные с работой), должен состоять из следующих структурных элементов:
…
электронная подпись (электронные подписи) (при наличии) основной части документа и приложения к основной части электронного документа, связанного с работой, представленная в виде файлов электронной подписи, установленные статьей 22.3 Трудового кодекса Российской Федерации (Собрание законодательства Российской Федерации, 2002, N 1, ст. 3; 2021, N 48, ст. 7947), и сформированные в соответствии с требованиями Федерального закона от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; 2022, N 29, ст. 5306);
Вопрос 2 (ключевой вопрос): Определен ли в 63-ФЗ формат электронной подписи?
Что он должен был быть определен — это однозначно. Читаем 63-ФЗ:
http://www.consultant.ru/document/cons_doc_LAW_112701/fe1ea3ca3855c3a34b9d8f333f8eb8d9149c5df9/
Статья 8.
4. Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, устанавливает:
…
5) формат электронной подписи, обязательный для реализации всеми средствами электронной подписи, по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности;
(п. 5 введен Федеральным законом от 30.12.2015 N 445-ФЗ)
В соответствии с Постановлениями Правительства РФ от 28.11.2011 N 976 (О ФЕДЕРАЛЬНОМ ОРГАНЕ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ, УПОЛНОМОЧЕННОМ В СФЕРЕ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ПОДПИСИ), от 02.06.2008 N 418 (О МИНИСТЕРСТВЕ ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РФ) МинЦифра является уполномоченным органом в области использования электронной подписи, на который в том числе возложены полномочия по установлению формата электронной подписи (п. 5 ч. 4 ст. 8 ФЗ «Об электронной подписи»).
МинЦифры достаточно «долго думая» и видимо «в муках» родила:
Приказ Минцифры России от 14.09.2020 N 472 «Об утверждении Формата электронной подписи, обязательного для реализации всеми средствами электронной подписи»
(далее №472) Который начинается с
В соответствии с положениями пункта 5 части 4 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; 2019, N 26, ст. 3889) и абзаца третьего пункта 1 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 2 июня 2008 г. N 418 (Собрание законодательства Российской Федерации, 2008, N 42, ст. 4825; 2018, N 40, ст. 6142), приказываю:
1. Утвердить Формат электронной подписи, обязательный для реализации всеми средствами электронной подписи, согласно приложению к настоящему приказу.
http://publication.pravo.gov.ru/Document/View/0001202010290040
Формат действует см.:»Дата опубликования: 29.10.2020»
Редакция от 14.09.2020 — Действует с 09.11.2020
https://normativ.kontur.ru/document? moduleid=1&documentid=374443#l2
Т.е. нет сомнений, что формат утверждён и введен в действие, однако вспоминаем Отлагательное условие:
по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности;
т.е. МинЦифры должна его (приказ и формат ЭП) была согласовать с ФСБ (федеральный орган исполнительной власти в области обеспечения безопасности) .
Вопрос 3. Существует ли опубликованное или секретное согласование со стороны ФСБ формата, разработанного МинЦифрой (№472)?
Если в постановлении \ приказе говорится, что требуется «подпись в соответствии с 63-ФЗ», то это означает что должен быть утвержденный формат подписи, иначе все подписи будут несовместимы между собой, т.е. это не обязательно PKCS\CMS\CADES\CADES-E (2016) и даже не обязательно RSA, а может быть и симметричный алгоритм формирования подписи, а также любой алгоритм расчета хеш. Если нет единого утвержденного формата, то все это «подписание» во всяком случае на гос-уровне в рамках соблюдения 63-ФЗ теряет всякий смысл, вследствие отсутствия единого формата и обеспечения элементарной совместимости.
Внутренние форматы ЭП операторов электронного документооборота (счета фактур и т.п.) тоже могут оказаться «вне закона», несмотря на то, что большими буквами они пишут:
Юридическую силу электронного документа регулирует Федеральный закон № 63-ФЗ «Об электронной подписи». В тексте закона сказано, что электронный документ, заверенный КЭП, равноценен аналогу на бумаге.
«Вне закона» хотя бы на том основании, что формат ЭП этих операторов не соответствует требованиям 63-ФЗ, но в регламентах идет ссылка на него.
Второй вариант подразумевает, что все-таки достанут «из рукава» и нам покажут согласование от ФСБ этого самого формата ЭП (№472), что узаконит №472.
2 «Что это было?» или формат МинЦифры №472
2.1 Будем считать, что №472 — законный (иначе ситуация становится абсолютно абсурдной). Тогда возникают вопросы:
А) как формировать ЭП в соответствие с №472? Видимо должны быть какие-то методические рекомендации разработчика СКЗИ, т.к. просто сказать, что нужно выбрать «gost двенадцатого года» — недостаточно. Есть подозрения, что №472 задумывался как перепев RFC 5652 (CMS 2009 года) с заменой RSA на ГОСТ.
RFC 5652 Cryptographic Message Syntax (CMS)
https://www.protokols.ru/WP/wp-content/uploads/2009/09/rfc5652.pdf
Б) как проверить, что имеющаяся «на руках» подпись соответствует формату №472 (читай «соответствует 63-ФЗ»). Какая методика проверки?
Какой может быть алгоритм экспресс-проверки?
Хотелось бы увидеть онлайн сервис, который проверял бы файл подписи на соответствие 63-ФЗ (читай формату №472) и выдавал отчет проверки с указанием (расшифровкой) конкретных несоответствий.
Есть сервисы, которые проверят подпись на соответствие разным форматам:
— Проверку ЭП по стандарту XMLdsig в соответствии с W3C Recommendation (2008) …
— Проверку ЭП в формате PKCS#7 в соответствии с RSA Laboratories (1998) «PKCS #7: …
…
Но нигде нет проверки ЭП на соответствие формату №472.
Пробовали проверить свои подписи на соответствие 63-ФЗ, т.е. формату №472? Речь не про проверку «математика + сертификат», а именно на соответствие утвержденному Государственному формату.
Как вариант, брать имеющиеся подписи, их смотреть в микроскоп в ASN.1 декодере, например, https://lapo.it/asn1js/
и проверять наличие в файле всех обязательных OID (фраза «должен быть» к этому обязывает) и сверять их значения с указанными в №472, соблюдение последовательностей SEQUENCE, отсутствие не учтенных в №472 элементов.
2.2 Еще есть: Р 1323565.1.025–2019
Информационная технология. Криптографическая защита информации. Форматы сообщений, защищенных криптографическими методами
https://docs.cntd.ru/document/563507879
Как он соотносится с приказом №472?
Если ни из 63-ФЗ, ни из №472 нет ссылок на Рекомендации по стандартизации в
части ЭП (не только на указанный Р 1323565.1.025–2019), то вроде как: лебедь
(правительство\министерства\службы, определяющие СВОЙ документооборот с ЭП в
своей отрасли) — рак (МинЦифры, ФСБ со своим 63-ФЗ) и щука (Фед. агентство по
тех. регулированию и метрологии, т.е. бывший ГОССТАНДАРТ).
Например, ФССП сама себе определила формат ЭП: «Об определении вида электронной подписи …»
https://www.garant.ru/products/ipo/prime/doc/400220620/
тем самым проигнорировав требование 63-ФЗ, что формат определяет МинЦифра (при выполнении выше указанного отлагательного условия).
Может быть есть более «глубокая» (глубоководная) связь «рака с щукой»?, т.е. №472 с рекомендациями по стандартизации бывшего ГОССТАНДАРТа? Вообще, насколько обязательны все эти ГОСТы и рекомендации по стандартизации? Вроде как N 184-ФЗ «О техническом регулировании» все поотменял, а они снова «по-всплывали»?
Вышел, например, Р 1323565.1.025–2019, — как понять: кто и в каких случаях обязан его исполнять?
Вообще, интересно «как это работает»? Вначале группа ТК26 (РОСССТАНДАРТ) пишет (завершает в 2014):
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ (ПРОЕКТ) ИСПОЛЬЗОВАНИЕ АЛГОРИТМОВ ГОСТ 28147–89, ГОСТ Р 34.11 И ГОСТ Р 34.10 В КРИПТОГРАФИЧЕСКИХ СООБЩЕНИЯХ ФОРМАТА CMS
https://www.cryptopro.ru/sites/default/files/products/csp/rus-popov-cms-gost-00-re.pdf
Потом группа из МинЦифры делает проект №472 (завершает в 2017), потом группа ИнфоТеКС разрабатывает Р 1323565.1.025–2019, потом видимо уже другая группа из МинЦифры обсуждает и организует согласования и экспертизы №472 (2020)? Все вроде как делают во многом одно и тоже (ASN.1\CMS\gost). В чем хитрость? Почему не поручить одной группе?
2.3 Если формат №472 — общегосударственный, то главное, что должно быть написано в описании к любому СКЗИ для ЭП — это Большими буквами «поддержка формата №472» (читай поддержка самого 63-ФЗ). Тут же возникают вопросы к государственной сертификации всех СКЗИ, выполненной после 14.09.20.
Посмотрим на то, что лежит совсем на поверхности, например, пункт №6 приказа №472 весь с ошибками. На примере Content-type:
а) В №472: п. 6.1:
Тип содержимого (Content-type). Должен быть добавлен в атрибут id-contentType с объектным идентификатором вида »1.2.840.113549.1.3»;
б) В RFC 5652 (п. 11.1):
Атрибут content-type должен быть подписанным (signed) или аутентифицированным (authenticated) атрибутом, для него недопустимо быть неподписанным (unsigned), неаутентифицированным (unauthenticated) или незащищённым (unprotected) атрибутом.
Ниже приведён идентификатор объекта для атрибута content-type.
id-contentType OBJECT IDENTIFIER::= { iso (1) member-body (2)
us (840) rsadsi (113549) pkcs (1) pkcs9(9) 3 }
Значения атрибута content-type имеют тип ASN.1 ContentType
ContentType::= OBJECT IDENTIFIER
в) В файле sig «из-под пера» КриптоПро:
OBJECT IDENTIFIER 1.2.840.113549.1.9.3 contentType (PKCS #9)
г) »1.2.840.113549.1.3» — это pkcs#3
https://oidref.com/1.2.840.113549.1.3
а нужен: https://oidref.com/1.2.840.113549.1.9.3
В помощь пара книжек по ASN.1 наших классиков:
Юрий Строжевский http://rsdn.org/article/ASN/ASN.xml
Юрий Семенов http://book.itep.ru/4/44/asn44132.htm
3 «Моя хата с краю» или позиция регуляторов-потребителей и интеграторов
Отраслевые регуляторы (не МинЦифра) в свои приказы вписывают требования «подпись в соответствии с 63-ФЗ». Когда им задаешь вопрос:, а какой требуется формат ЭП?, а нужно ли соблюдать пресловутый формат №472?, то следует ответ: «мы то откуда знаем, спрашивайте это в КриптоПро». Например, неформальный ответ МинТруда (в контексте реализации упомянутого ранее приказа № 578н по кадровому документообороту):»№472 — это приказ для разработчиков криптопровайдеров» (т.е. не «для нас»).
Вендоры СЭД по этому вопросу ровно также спрашивателей отправляют лесом в КриптоПро, например, разработчики СЭД «Дело» отправляют туда же в ответах на вопрос из чата своего вэбинара по ЭП.Т. е. озвучивается легенда: у нас в СЭД только кнопочка «Подписать», а все вопросы по форматам ЭП — это пожалуйста к криптопровайдеру (CSP).
Форуму КриптоПро этот вопрос задан, но «воз и ныне там»:
Электронная подпись по 63-ФЗ и приказы МинЦифры
https://www.cryptopro.ru/forum2/default.aspx? g=posts&t=21655
Напомню, что рассуждения выше справедливы при условии, что №472 законен, т.е. существует явное согласование ФСБ. Если вдруг единого формата вообще нет (т.е. нет искомого согласования и выходит, что №472 — это «филькина грамота»), то использование электронной подписи возможно исключительно в рамках отдельных «n-сторонних» регламентов, где две (три, n) стороны фиксируют собственный формат ЭП, как например, ФССП («Об определении вида электронной подписи …»). Понятно, что в этом случае о массовой технологии подписания документов (разными системами) не может быть и речи.
Забавно, что до 2020 (14.09.20) вообще не было никакого формата ЭП, ни в рамках 63-ФЗ (2011), ни его предшественника «Об ЭЦП». Т.е. если ранее можно было лепить «все что в голову придет» (даже в сертифицированных СКЗИ много всевозможных ручных настроек), то после 14.09.20 вроде как эту «лавочку» прикрыли. «Прикрыли», сделав еще хуже.
4 Перед законом все равны, но некоторые равнее
Забавно, но сама МинЦифры вводит двойные стандарты, например, МЧД хочешь подписывай в XMLDSIG, а хочешь в №472:
УТВЕРЖДЕНЫ
приказом Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 18.08.2021 г. N 857ЕДИНЫЕ ТРЕБОВАНИЯ К ФОРМАМ ДОВЕРЕННОСТЕЙ, НЕОБХОДИМЫХ ДЛЯ ИСПОЛЬЗОВАНИЯ КВАЛИФИЦИРОВАННОЙ ЭЛЕКТРОННОЙ ПОДПИСИ
1. Доверенность создается в электронной форме в формате XML и подписывается усиленной квалифицированной электронной подписью в формате XMLDSIG или в соответствии с Форматом электронной подписи, обязательным для реализации всеми средствами электронной подписи, утвержденным приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 14.09.2020 N 472 «Об утверждении Формата электронной подписи, обязательного для реализации всеми средствами электронной подписи» (зарегистрирован в Министерстве юстиции Российской Федерации от 29 октября 2020 г., регистрационный N 60631).
https://www.diadoc.ru/docs/laws/p-857
Как так? «Всеми средствами электронной подписи», но мы всё же ровнее…
5 «Кто виноват?» и «Что делать?»
Как так получилось, что выпущен «сырой» приказ с обязательным для всех форматом ЭП?
На МинЦифры по ID проекта:
01/02/10–17/00074234: https://regulation.gov.ru/projects#npa=74234
есть карточка проекта, но ссылки там кривые (просмотр урезанный, не удалось скачать документы).
Может кто-то участвовал в этом нелегком и небыстром согласовании и может рассказать детали?
Окончание независимой антикоррупционной экспертизы: октябрь 2017, и в проекте приказа подписантом значился еще министр Н.А. Никифоров.
Нашел замечания «Сигнал-КОМ»: https://www.e-notary.ru/news_14/
КриптоПро и кто-либо еще из вендоров давали замечания? Как могли такое «проспать» ТК26, РОССТАНДАРТ и т.п.?
Ввиду отсутствия необходимых подробностей по формированию формата ЭП или уточняющих ссылок на RFC 5652 (или других RFC) получился неполный (неполноценный) и кривой аналогофнет №472 на 10 листах, пытающийся на эллиптических кривых (gost) «переплюнуть» куда более «многобуквенный» RFC 5652.
«По хорошему» вместо RFC 5652 нужно было сразу вводить формат CADES хотя бы ETSI TS 101 733 V2.2.1 (2013–04):
https://www.etsi.org/del…60/ts_101733v020201p.pdf
а то и сразу ETSI 2016-го года (№472, Дата начала общественного обсуждения: 19 октября 2017 г.).
Для сравнения то, что уже в 2016/17 -том у соседей действовали:
http://online.budstandart.com/ru/catalog/doc-page.html? id_doc=65132
http://online.budstandart.com/ru/catalog/doc-page.html? id_doc=72925
Не говоря уже о соседях ЭП-передовиков, например, эстонцев.
Выше мы не затронули простую подпись, доверенное время и другие элементы 63-ФЗ, которые имеют отношение к единому формату ЭП. Формально, должен быть определен формат не только усиленной, но и простой подписи: разве они наносятся не средствами ЭП?, а чем тогда? «средствами не электронной подписи»? Формально он как бы определен в том же №472, т.к. нигде нет оговорок об обратном.
Странный замысел и реализация приказа МинЦифры про доверенное время (№ 857) мало чем отличается от обсуждаемого №472. А где в №472 прописаны CMS, которые Advanced (CADES), или форматы PADES (pdf-файл) и XADES (XML-файл) и другие, которые также применяются в рамках 63-ФЗ? «Впрочем, это уже совсем другая история».
Не хватает кармы поставить тег «Законодательство в ИТ», надеюсь, что более обкармованные товарищи прояснят вопрос относительно №472.
