[reest]

А я Тензору 2000 руб/год отдаю. Опять жаба ночью придет и будет душить.   Хотя на сайте с доп услугами  https://ca.kontur.ru/certificate/44  указано вообще 3000 руб.

[LostSoul]

18 минут назад, reest сказал:

А я Тензору 2000 руб/год отдаю. Опять жаба ночью придет и будет душить.   Хотя на сайте с доп услугами  https://ca.kontur.ru/certificate/44  указано вообще 3000 руб.

смотря какой пакет расширенных атрибутов в сертификате вам реально нужен.

если не нужен никакой, то у них там есть хитрость. 

Есть услуга , называется она "сдача нулевой отчетности для ООО и ИП на УСН" .

За 500р вы получаете "пустую" ЭЦП и пакет из возможности отправить 4 нулевых отчетности.

Вот ЭЦП забираете , а нулевые отчетности не отправляете.

 

updated:   я ошибся, не услуга как раз у Тензора.

 

https://sbis.ru/tariffs?tab=added

 

вот тут

 

Цитата

 

Аккаунт СБИС

Обязателен при подключении тарифа

 

500р

• Электронная подпись на носителе клиента
• Сдача нулевой отчетности по 1 компании
• 50 исходящих пакетов документов контрагентам (свыше – 7 руб. за 1 пакет)
• Каталог всех компаний РФ (базовые данные и рейтинги)
• Публикация в каталоге сведений о своих компаниях
• Обмен сообщениями и видеозвонки
• 2 Гб в защищенном облачном хранилище СБИС Диск

 

Регистрируете у них аккаунт в сервисе электронной отчетности - получаете первый год бесплатно, далее 500р в год.

ЭЦП "без нифига расширенного"  входит в стоимость аккаунта.

Для госуслуг и РКН ее достаточно.

За то, чтоб сделать ключ экспортируемым денег не берут.

 

[reest]

Самое страшное животное - жаба, приходит каждую ночь и душит.... 

Спасибо за совет, наконец то будем экономны.

[Andrei]

В 17.02.2019 в 20:43, LostSoul сказал:

Есть услуга , называется она "сдача нулевой отчетности для ООО и ИП на УСН" .

За 500р вы получаете "пустую" ЭЦП и пакет из возможности отправить 4 нулевых отчетности.

Вот ЭЦП забираете , а нулевые отчетности не отправляете.

Для этого регать "пустое" ООО на УСН?

У нас вот ООО на УСН, но отчетность-то совсем ненулевая. И мы ее подаем, т.е. ЭЦП используем "как положено" :)

[LostSoul]

3 минуты назад, Andrei сказал:

Для этого регать "пустое" ООО на УСН?

У нас вот ООО на УСН, но отчетность-то совсем ненулевая. И мы ее подаем, т.е. ЭЦП используем "как положено" :)

Не нужно.  Они, по моему, даже вариант налогообложения никак не проверяют.

Просто через их сервис отчётности нельзя будет сдать ( в рамках тарифа по 500р ) никакую иную отчетность , кроме "нулевой".

Ну мы и не сдаем.  Просто билет купили, а на трамвае не поехали.

Сдаем прямо на сайте налоговой, через их собственный сервис, используя 500р ЭЦП

 

[Andrei]

1 минуту назад, LostSoul сказал:

Просто билет купили, а на трамвае не поехали.

Просто взять вторую ЭЦП "только для пустой отчетности" и использовать ее для РКН?

[LostSoul]

Только что, Andrei сказал:

Просто взять вторую ЭЦП "только для пустой отчетности" и использовать ее для РКН? 

Если у вас уже есть первая и именно в тензоре, то думаю фокус не пройдет.

У нас это подпись единственная и нам ее хватает для всего.

( Во всяких там тендерах на госзакупках не участвуем и алкоголем не торгуем )

Для подписи отправляемых через госуслуги или сайт налоговой документов, получения реестра РКН или регистрация кассы такой подписи достаточно.

Для ЭДО от Диадок - тоже

 

[Andrei]

Не Тензор. У нас ЭЦП от "Контура". Для налоговой, диадока, реестра, кассы достаточно. Пока она экспортируется. Но выше сказали, что новые уже не экспортируются. Соответственно для реестра уже ОПА.

Для тендеров она тоже не подходит: наши потенциальные клиенты только на Сбербанк-АСТ, пришлось брать отдельно.

[LostSoul]

11 минут назад, Andrei сказал:

Но выше сказали, что новые уже не экспортируются.

Во первых у них другой ( более дорогой ) токен , обеспечивающий подпись по ГОСТ внутри кристалла в брелке.

Во вторых, вполне вероятно что у них он не экспортируемый потому что просто забыли попросить об обратном.

Экспортирумый или нет это флаг(аттрибут) сохраненного ключа,  и его могут поставить а могут и нет.

 

 

[Andrei]

1 минуту назад, LostSoul сказал:

Экспортирумый или нет это флаг(аттрибут) сохраненного ключа,  и его могут поставить а могут и нет.

Ясно. Значит я не так понял вышевысказавшихся коллег. Я так понял, что новые с поддержкой ГОСТа (а такие для реестра и надо) теперь ВСЕ ПРИНЦИПИАЛЬНО не экспортируются. Если я оказался не прав, то фух... :) Выдохнул. :)

[LostSoul]

1 минуту назад, Andrei сказал:

Выдохнул. :)

Там специфика ситуации следующая.

По букве закона давать сертификат на электронном носителе вообще не требуется.

Он может быть просто распечатан на листочке с печатью и подписью.

 

Но есть тонкости, они в следующем.

Удостоверяющий центр он ( как бы формально ) удостоверяет подлинность отпечатка приватного ключа  , удостоверяет  что у лица, предъявившего такой-то цифровой отпечаток с своего секретного ( приватного ) ключа были проверены документы от организации такой-то ( или паспорт физ. лица такого-то ).

 

Сам приватный ключ , лицо , обращающееся за удостоверением своего отпечатка должно генерировать самостоятельно , хранить у себя и никому не показывать.

( так как любой, получивший доступ к приватному ключу может потом им воспользоваться, совершив юридически значимые действия от имени владельца ключа )

 

То есть "идеальный вариант"  1) генерируем ключ   2) генерируем с него отпечаток-запрос-на-удостоверение  , несем ( высылаем ) свой запрос в удостоверяющий центр,   удостоверяющий центр дает сертификат ( хоть на бумажке ) , где написано "предъявитель цифрового отпечатка предьявил документы,  что он действительно является директором ООО "Рога и Копыта" .

И заверен сертификат этот "отпечатком" на основе приватного ключа удостоверяющего центра.

Который в свою очередь заверен корневым сертификатом министерства связи автоматизации.

А главный приватный ключ минсвязи -- это как игла кощея в яйце , корень доверия ( root of trust )

( То есть ситуация, полностью аналогичная https сертификатам )

 

Но на практике , количество людей , способных на сегодня самостоятельно сгенерировать себе ключ и запрос на выпуск сертификата -- что-то около нуля.

 

 

 

[Andrei]

5 минут назад, LostSoul сказал:

Но на практике , количество людей , способных на сегодня самостоятельно сгенерировать себе ключ и запрос на выпуск сертификата -- что-то около нуля.

Т.е. Контур/Тензор/etc делают это за нас и вообще-то можно обойтись и без них? Каким образом?

[LostSoul]

И на этот случай в законе тоже предусмотрена процедура.

Заявителя должны в удостоверяющем центре усадить за специальное "гостевое" рабочее место, с установленным на нем Криптопро ,  и показать ему какие кнопки нажимать , что сгенерировать себе сертификат , сформировать запрос.

Ну и показать, как забрать потом свой приватный ключ с собой на дискетке/флешке/токене.

 

Естественно, что заниматься таким гемороем ни в каких реальных УЦ не хотят.

Вместо этого, они всем обращающимся дают подписать бумажку-доверенность,  что вы , нетесанная деревенщина , доверяете свое право придумать себе приватный ключ сотрудникам УЦ , чтоб они сделали это за вас.

 

После чего сотрудники УЦ генерируют вам и приватный ключ ( который как бы, по хорошему они знать не должны ) и запрос на сертификат, и сертификат.

 

Совсем слабым звеном в такой схеме , были широкие возможности злоупотребления со стороны сотрудников УЦ.

Поэтому была придумана несколько более безопасная процедура.

1) приватный ключ генерируется непосредственно в токен-брелке , наружу в компьютер  в результате соответствующего API запроса выдается только отпечаток с ключа

2) ключ по умолчанию делается не экспортируемым , чтоб злонамеренный сотрудник УЦ не мог сделать себе копию

3) Носитель с неизвлекаемым из него ключем вы уносите с собой,  ваш приватный ключ защищен от злоупотреблений

 

Если же вы ( понимая все риски ) попросите не ставить флаг "не экспортируемый"  , то его не поставят.

Ну и заодно и себе копию ключика могут сделать  ( нечистые на руку ).

 

 

 

 

Однако, вся это хорошо продуманная и описанная в законе и служебных инструкциях процедура разбивается об элементарное российское рукожопство и "распил".

Ни один обычный "рутокен"  не является настоящим криптопроцессором .

Точнее является, но только для алгоритма RSA.

С ключами по алгоритму ГОСТ они умеют работать только в режиме "запиши ключ" , "считай ключ" .

Поэтому , для извлечения любого "не извлекаемого" ключа из носителя достаточно всего лишь патченной в одном месте программы КриптоПро , которая этот фейковый флаг игнорирует.

 

Реально защищенным от извлечения ключа являются более дорогие версии брелков , в которых алгоритм гост загружен типа как Java апплет и выполняется внутри токена.

Ну то что там тоже какие-то дыры имеются, это естественно 146% , особенно учитывая что сам процессор и там и там буржуйский :-)

( и наши дыры тоже имеются, так как апплет российский )

Но в ходе "нормальной работы"  ключ из брелка в его первоначальном и переносимом виде никогда не извлекается.

 

Так вот, в силу нежелания сотрудников УЦ заниматься процедурой выдачи сертификата  по закону ( с самостоятельной генерацией ключа

клиентом )  , они требуют и настаивают что ключ могут выдать только на электронном токене , который "типа защищен".

 

[LostSoul]

Но в целом, все делается правильно.

По мере все большего числа выданных сертификатов  ЭЦП , через несколько лет наша промышленность наконец сможет вместо обмана и распила изготовить настоящий честный и недорогой токен с вшитым в него на уровне железа  ГОСТ-крипто ,   а люди - люди уже будут обучены делать правильно, как делают сейчас с фейковым криптоносителем.

 

[alibek]

29 минут назад, LostSoul сказал:

Так вот, в силу нежелания сотрудников УЦ заниматься процедурой выдачи сертификата  по закону ( с самостоятельной генерацией ключа

клиентом )  , они требуют и настаивают что ключ могут выдать только на электронном токене , который "типа защищен".

Причем тут УЦ? В тех УЦ, с которыми я работал, ничто не мешает сгенерировать сертификат самому. И сохранить его в токен, флешку или реестр.

Это большинство пользователей предпочитают токены.

 

54 минуты назад, Andrei сказал:

Я так понял, что новые с поддержкой ГОСТа (а такие для реестра и надо) теперь ВСЕ ПРИНЦИПИАЛЬНО не экспортируются.

Нет. При выборе УЦ нужно заранее уточнить, что требуется экспортируемый ключ (некоторые УЦ такое не дают, с ними работать не нужно).

[LostSoul]

7 минут назад, alibek сказал:

Причем тут УЦ? В тех УЦ, с которыми я работал, ничто не мешает сгенерировать сертификат самому. И сохранить его в токен, флешку или реестр.

Это большинство пользователей предпочитают токены.

Я в Москве обращался в несколько УЦ , и во всех столкнулся с прямым отказом выдать сертификат  на любом варианте "не защищенного" носителя.

Так как рядовые сотрудники даже просто не знают, иных вариантов процедуры кроме как "вставить чистый токен и дать ему команду сгенерировать внутри себя ключ".   Когда начинаешь настаивать ,  то вопрос поднимается выше до какого-нибудь старшего специалиста/руководителя который в принципе в курсе что так можно,  но делать так категорически не хочет.

Мне в тензоре в итоге просто подарили rutoken в подарок, сказав что им проще так,  чем чтоб я тратил их время и что-то сам сидел генерировал.

Так как особых переживаний , что моей подписью захотят что-то подписать у меня не было, то я согласился на такой вариант.

 

Может у вас там в глубинке люди более совестливые и исполнительные.

 

 

[alibek]

2 минуты назад, LostSoul сказал:

Я в Москве обращался в несколько УЦ

Возможно в Москве объем пользователей больше и все просто на поток поставлено, а с нестандартными пользователями никто не хочет возиться.

Но в тех УЦ, с которыми я сталкивался, сертификат я генерировал собственноручно в ЛК. И я не думаю, что у них какой-то самописный софт, скорее всего такой же коробочный УЦ, как и везде.

[LostSoul]

9 минут назад, alibek сказал:

(некоторые УЦ такое не дают, с ними работать не нужно).

И это опять таки, перестраховка, чтоб не отвечать потом, если что, за действия собственных сотрудников,  сделавших несанкционированные копии клиентских ключей.

 

В идеальной же процедуре приватный ключ в УЦ в принципе никогда не попадает.   К ним попадает запрос ,  а на выходе сертификат ( без приватного ключа ), так что и экспортировать нечего.

 

1 минуту назад, alibek сказал:

собственноручно в ЛК.

бугага.   ключ-то приватный ты где генерировал?

По хорошему -  должен с помощью крипто-про ( ну или openssl ) на своем надежно защищенном компе. А не на сайте "у дяди".

 

[alibek]

5 минут назад, LostSoul сказал:

ключ-то приватный ты где генерировал?

В разных местах. Как со специального рабочего места с КриптоПро, так и в openssl и xca. Да и на сайте "у дяди" тоже, с установленным плагином КриптоПро.

[jffulcrum]

12 часов назад, LostSoul сказал:

Может у вас там в глубинке люди более совестливые и исполнительные.

В Белгороде в УЦ мне сказали следующее: мы все знаем, как можно,но проверяющие нас на соблюдение лицензии джедаи из фанерно-спичечного бюро говорят делать вот так, и если узнают, что, к примеру, отдали просто файл pkcs12, а не на токен - выпишут штраф.

[LostSoul]

3 минуты назад, jffulcrum сказал:

выпишут штраф.

даже интересно, по какому пункту будет штраф , если законом разрешается....

хотя возможно там просто определенная аттестация АРМ для таких задач требуется с переодичностью каждые n дней , которую УЦ не проводит.

 

[jffulcrum]

Думать надо, что штраф выпишут с максимально общими формулировками, а там иди, судись с фсб, те сразу же про тайну музыку включат, процесс закрытый, адвокат со второй формой, эксперты - из ведомственного нии или ФГУП..

.

[neperpbl3]

Алгоритм создания сертификата PEM для подписания файла-запроса в РосКомНадзор:
1.    Скачать КриптоПро CSP  и установить на Windows;
2.    Импортировать сертификаты в Windows при помощи КриптоПро CSP. Сертификаты могут предоставлятся в виде файла реестра или токен USB-ключа. При импорте из файла реестра нужно в предварительно файле заменить ID пользователя на актуальный. Узнать его можно с помощью команды «whoami /USER»;
3.    Запустить программу P12FromGostCSP последней версии для ГОСТ 2012 и сохранить сертификаты в формате «.pfx». Версия программы для ГОСТ 2001 не работает с новыми сертификатами 2019 года сформированные по ГОСТ 2012 (программа попросту вылетает);
4.    Собрать openssl с поддержкой ГОСТ 2012. Проверить поддержку ГОСТа можно командой «openssl ciphers | tr ":" "\n" | grep GOST»;
5.    Ввести команду openssl pkcs12 -in file.pfx -out file.pem -nodes -clcerts.