Следите за новостями

Цифра дня

32 млн платежных карт находится в обращении в РК

Цифровая гигиена: цифровые внутренности документов

Рассмотрим «под микроскопом» реальный документ, полученный через портал «электронного правительства».

23 января 2020 13:30, Владимир Туреханов, Profit.kz
Рубрики: Безопасность

Несколько месяцев назад мы поговорили про принцип работы ЭЦП с небольшим достаточно абстрактным примером. Изначально то, что мы будем изучать сегодня, было частью предыдущей статьи. Но, ознакомившись с реакцией бета-тестеров, решил разбить материал на две статьи.

Назовем эту статью специальным выпуском цикла «Цифровой гигиены». Почему специальным? В ней не будет никаких рекомендаций. Просто рассмотрим внутренности одного документа. А рассмотрим мы «под микроскопом» реальный документ, полученный через портал «электронного правительства», на примере справки о зарегистрированном юридическом лице, филиале или представительстве.

Справку запрашивал я, подписав запрос своей ЭЦП. Немного удивило то, что в справке не указаны учредители (участники, члены) — соответствующее поле пустое. Но сегодня не об этом.

Самостоятельная проверка документа с egov.kz

Граждане, придумавшие, что должно быть в документах, которые получают услугополучатели через портал «электронного правительства», большие молодцы. Посмотрите на изображения реальной справки, полученной мной.

Обратите внимание на области, выделенные синей и красной рамками (рамки нарисовал я сам, изначально их в документе не было). Это QR-коды. Что это за коды такие? — желающие детально разобраться могут сходить по ссылке. А мы с вами, для простоты, будем считать, что это специальным образом сформированное изображение, позволяющее закодировать информацию, считать которую можно специальным устройством или программой.

Вся прелесть использования QR-кодов в данном случае еще и в том, что даже будучи распечатанным, можно проверить, что документ действительно выдан соответствующим государственным органом и он действительно такой, какой был изначально. Как? Смотрим ниже.

Так вот, в изображении в синей рамке закодировано следующее:

760724300757
10100345756646
30.07.2019 19:56:03
http://egov.kz/services/eds-generation-download/rest/document/download/id/00000000-05e6-d5ac-c8f6-8bb3506a648b/view/ru

Нетрудно догадаться, что это мой ИИН, уникальный номер документа, дата и время выдачи справки и ссылка на саму справку в виде PDF-документа. Но самое главное впереди.

Давайте посмотрим теперь на пять QR-кодов в красной рамке. Опустив скучные технические подробности, скажу, что из них получается вот такой текст:

<?xml version="1.0" encoding="UTF-8"?>
<ns2:response xmlns:ns2="http://3001_v2.reports.egp.gbdul.tamur.kz">
  <ns2:requestNumber>10100345756646</ns2:requestNumber>
  <ns2:declarantId>760724300757</ns2:declarantId>
  <ns2:requestDate>2019-07-30T19:56:03.739+06:00</ns2:requestDate>
  <ns2:requestSystemId>PORTAL</ns2:requestSystemId>
  <ns2:status>
    <ns2:code>APPROVED</ns2:code>
    <ns2:name>
      <ns2:ru>Справка подготовлена</ns2:ru>
      <ns2:kk>Анықтама дайындалды</ns2:kk>
    </ns2:name>
  </ns2:status>
  <ns2:businessData>
    <ns2:ReportNumber>1901/19-29665</ns2:ReportNumber>
    <ns2:Organization>
      <OrgFormCode>0</OrgFormCode>
      <BIN>160440007161</BIN>
      <OrganizationNameRu>Некоммерческое акционерное общество «Государственная корпорация «Правительство для граждан»</OrganizationNameRu>
      <OrganizationNameKz>«Азаматтарға арналған үкімет» мемлекеттік корпорациясы» коммерциялық емес акционерлік қоғамы</OrganizationNameKz>
      <RegistrationDepartment>
        <Code>1901</Code>
        <NameRu>Департамент юстиции города Астаны</NameRu>
        <NameKz>Астана қаласының Әділет департаменті</NameKz>
      </RegistrationDepartment>
      <RegistrationType>
        <Code>1</Code>
        <NameRu>Регистрация</NameRu>
        <NameKz>Тіркеу</NameKz>
      </RegistrationType>
      <RegistrationDate>2016-04-07+06:00</RegistrationDate>
      <RegistrationLastDate>2016-04-07+06:00</RegistrationLastDate>
      <OrganizationLeader>
        <FIO>
          <SurName>БАЛТАШЕВА</SurName>
          <Name>АСЕМГУЛЬ</Name>
          <MiddleName>СЕРИКОВНА</MiddleName>
        </FIO>
        <PositionInfo>
          <NameRu>Руководитель, назначенный (избранный) уполномоченным органом юридического лица</NameRu>
          <NameKz>Заңды тұлғаның уәкілетті органымен тағайындалған(таңдалған) басқарушы</NameKz>
          <AppointmentDate>2019-04-08+06:00</AppointmentDate>
        </PositionInfo>
      </OrganizationLeader>
      <FoundersCount>1</FoundersCount>
      <ActivityTypeNameRu>Деятельность прочих головных компаний; Аренда и управление собственной недвижимостью</ActivityTypeNameRu>
      <ActivityTypeNameKz>Деятельность прочих головных компаний; Аренда и управление собственной недвижимостью</ActivityTypeNameKz>
      <LegalAddress>
        <RKA>0201500033365131</RKA>
        <NameRu>Казахстан, город Нур-Султан, район Есиль, Проспект Мангилик Ел, здание 10, почтовый индекс 010000</NameRu>
        <NameKz>Қазақстан, Нұр-Сұлтан қаласы, Есіл ауданы, Даңғылы Мәңгілік Ел, ғимарат 10, пошталық индексі 010000</NameKz>
      </LegalAddress>
    </ns2:Organization>
    <ns2:Requestor>
      <ns2:Person>
        <FIO>
          <SurName>ТУРЕХАНОВ</SurName>
          <Name>ВЛАДИМИР</Name>
          <MiddleName>БАЙДУЛЛАЕВИЧ</MiddleName>
        </FIO>
      </ns2:Person>
      <ns2:Legal>true</ns2:Legal>
    </ns2:Requestor>
  </ns2:businessData>
  <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <ds:SignedInfo>
      <ds:CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
      <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#gost34310-gost34311"/>
      <ds:Reference URI="">
        <ds:Transforms>
          <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
          <ds:Transform Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments"/>
        </ds:Transforms>
        <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#gost34311"/>
        <ds:DigestValue>TcRonULTbGBUI96bBo7DJSasm3hUOWLu7M4J2Utm/C4=</ds:DigestValue>
      </ds:Reference>
    </ds:SignedInfo>
    <ds:SignatureValue>WloDt3V8/128NnL4CVlJ4MvtWq4HF1i2vr0yIZ4U8trLtfJGbj//JogvwVKTbMFG/0I+IF18Xzg6TMfv3geT3w==</ds:SignatureValue>
    <ds:KeyInfo>
      <ds:X509Data>
        <ds:X509Certificate>
          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
        </ds:X509Certificate>
      </ds:X509Data>
    </ds:KeyInfo>
  </ds:Signature>
</ns2:response> 

Т.е. мы можем получить в электронном виде все те данные, что и в распечатанном документе, и даже немного больше. Для тех, кто хочет самостоятельно проверить, как получить подобный текст из QR-кодов в справке, напишите в Telegram-группу Разговоры о цифровой гигиене.

Обратим внимание на наиболее важные поля данных:

<ds:DigestValue>TcRonULTbGBUI96bBo7DJSasm3hUOWLu7M4J2Utm/C4=</ds:DigestValue>
<ds:SignatureValue>WloDt3V8/128NnL4CVlJ4MvtWq4HF1i2vr0yIZ4U8trLtfJGbj//JogvwVKTbMFG/0I+IF18Xzg6TMfv3geT3w==</ds:SignatureValue>
<ds:X509Certificate>
  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
</ds:X509Certificate> 

Это:

— контрольная сумма электронного документа;
— электронная подпись контрольной суммы;
— сертификат открытого ключа ЭЦП, которой была выполнена электронная подпись.

В сертификате, помимо самого открытого ключа, содержится, в том числе, информация о подписанте и сроке действия ключа ЭЦП (ФИО и ИИН в сертификате представлены полностью):

АТА███████ БАК██████ САП██████
IIN6106████████
O=ГОСУДАРСТВЕННОЕ УЧРЕЖДЕНИЕ "МИНИСТЕРСТВО ЮСТИЦИИ РЕСПУБЛИКИ КАЗАХСТАН"
OU=BIN940340000421
C=KZ
L=НУР-СУЛТАН
ST=АСТАНА
Valid From: April 7, 2019
Valid To: April 6, 2020 

Таким образом, у нас есть все необходимые данные для самостоятельной проверки полученного нами документа на предмет целостности и идентифицируемости:

— целостность — подтверждение того, что информация не была изменена при передаче и/или хранении;
— идентифицируемость — подтверждение того, что информацию отправил именно этот субъект (человек) и предотвращение отказа отправителя информации от факта, что информация была отправлена именно им.

И, если вдруг в информационной системе какого-либо государственного органа будет другая информация, у вас есть возможность оспорить ее, имея на руках документ в электронном (например, в формате PDF) или даже в бумажном виде.

Да, я понимаю, что далеко не каждый сможет самостоятельно произвести все эти манипуляции. Главное, что такая возможность имеется. Кто знает, может быть кто-то захочет создать сервис или приложение для проверки документов, полученных с портала «электронного правительства», основываясь на данных, имеющихся в самом документе? Тогда широкие массы смогут проверять достоверность документов, выданных на портале «электронного правительства», без участия государственных органов.

Запросы на оказание услуг через egov.kz, подписанные ЭЦП

Мы рассмотрели, как самостоятельно проверить на достоверность документ, полученный в результате оказания государственной услуги. А как быть с проверкой запросов, подписанных ЭЦП услугополучателя и отправленных через портал «электронного правительства»?

Здесь все сложнее. В интерфейсе портала «электронного правительства» нет функции просмотра запроса в форме электронного документа. А нужно это, прежде всего, все для того же: иметь возможность доказать свою правоту в случае возникновения спорной ситуации, используя технические средства. Мы ведь не только за справками обращаемся через egov.kz. Это и обращения в государственные органы, и заявления на вступление в брак, и открытие ТОО, например.

Кроме того, согласно пункту 9, Стандарта государственной услуги «Выдача справки из Государственной базы данных «Юридические лица» (Приложение 7 к приказу Министра юстиции Республики Казахстан от 26 июня 2019 года № 349), электронный запрос на получение справки из Государственной базы данных «Юридические лица» является документом, необходимым для оказания данной государственной услуги. Т.е. электронный запрос является основанием для оказания данной государственной услуги. С большой долей вероятности это верно если не для всех, то для большинства государственных услуг, оказываемых в электронном виде.

Другими словами, если запрос на оказание услуги был отправлен в форме электронного документа, подписанного вашей ЭЦП, услуга была оказана, то и электронный документ должен храниться, т. к. является основанием для оказания государственной услуги. Если нет документа, то и услуга была оказана без основания. А если она была оказана без основания, вполне вероятно, могут наступить какие-либо юридические последствия как у услугополучателя, так и у услугодателя.

8 августа 2019 года я запросил Министерство юстиции РК предоставить изначальный запрос в электронном виде на получение государственной услуги «Получение справки о зарегистрированном юридическом лице, филиале или представительстве», подписанный моей ЭЦП, результатом которого является справка с уникальным номером 10100345756646 (та самая, которую мы рассмотрели выше).

К сожалению, в ответе на мое письмо запрашиваемой информации не оказалось, поэтому 22 августа я сделал повторный запрос, ответ на который я не получил. 30 сентября, через блог-платформу руководителей государственных органов, я обратился к Министру юстиции РК. На мое удивление, на это обращение вообще никакой реакции не оказалось. Поэтому 30 октября направил в Министерство юстиции жалобу на действия (бездействие) сотрудников Министерства юстиции РК.

28 ноября мне был предоставлен ответ. Если вкратце, за изначальным запросом в электронном виде мне было рекомендовано обратиться в Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан. И напомнили, что в случае несогласия с таким ответом я могу обратиться в суд. Пожалуй, так я и поступлю. Буду держать вас в курсе.

А на сегодня все. Всяческих вам безнаказанных благ. И это уже совсем другая история. Причем, у каждого своя.

PS: большое спасибо Нурлану Муханову за помощь в разборе формата данных, приведенных в справке.