НЕОЖИДАННЫЙ ЭКСПЕРИМЕНТ С ЭЦП
5 мая этого года в нашем телеграм канале (t.me/certkznews) мы опубликовали информацию от одного из активных участников нашего чата (t.me/cyberseckz) Анатолия Ремнева. Публикация содержала видеоматериал https://youtu.be/e1WQgkv5vqg о том, как отозванный ключ ЭЦП продолжает работать на государственных сервисах электронного правительства - esf.gov.kz, goszakup.gov.kz, office.sud.kz и stat.gov.kz.
К слову, фейл не был признан некоторыми специалистами, ситуация объяснялась тем, что ключ будет аннулирован по истечении 12 или 24 часов с момента его отзыва. Было заявлено, что сделаны преждевременные выводы и международная практика предусматривает короткое время действия отозванных ключей, пока идет процесс их синхронизации.
Имея отозванный ключ и достаточно времени, мы повторили процедуру подписи через 12, 24, 36, 48, 60 и 72 часа – результат остается неизменным и юридически не валидные ключи продолжают оставаться валидными в техническом смысле. При этом, корневым удостоверяющим центром PKI.GOV.KZ ключ не принимался.
Что это означает? Данный инцидент, а это серьезный кейс, ставящий под сомнение весь институт казахстанской системы ЭЦП и удостоверяющих центров, позволяет усомниться во всех документах с применением данной технологии. Также вопросы возникают и к процедуре сертификации, которая подтвердила соответствие указанных систем всем предъявляемым требованиям.
К слову, произошедшее является прямым нарушением правил проверки ЭЦП, утвержденных приказом министра МИР РК http://adilet.zan.kz/rus/docs/V1500012864
5 мая этого года в нашем телеграм канале (t.me/certkznews) мы опубликовали информацию от одного из активных участников нашего чата (t.me/cyberseckz) Анатолия Ремнева. Публикация содержала видеоматериал https://youtu.be/e1WQgkv5vqg о том, как отозванный ключ ЭЦП продолжает работать на государственных сервисах электронного правительства - esf.gov.kz, goszakup.gov.kz, office.sud.kz и stat.gov.kz.
К слову, фейл не был признан некоторыми специалистами, ситуация объяснялась тем, что ключ будет аннулирован по истечении 12 или 24 часов с момента его отзыва. Было заявлено, что сделаны преждевременные выводы и международная практика предусматривает короткое время действия отозванных ключей, пока идет процесс их синхронизации.
Имея отозванный ключ и достаточно времени, мы повторили процедуру подписи через 12, 24, 36, 48, 60 и 72 часа – результат остается неизменным и юридически не валидные ключи продолжают оставаться валидными в техническом смысле. При этом, корневым удостоверяющим центром PKI.GOV.KZ ключ не принимался.
Что это означает? Данный инцидент, а это серьезный кейс, ставящий под сомнение весь институт казахстанской системы ЭЦП и удостоверяющих центров, позволяет усомниться во всех документах с применением данной технологии. Также вопросы возникают и к процедуре сертификации, которая подтвердила соответствие указанных систем всем предъявляемым требованиям.
К слову, произошедшее является прямым нарушением правил проверки ЭЦП, утвержденных приказом министра МИР РК http://adilet.zan.kz/rus/docs/V1500012864