В Казахстане выявили серьезную проблему с ЭЦП
Специалисты по ИБ рассказали о нарушениях в процессе работы электронно-цифровой подписи и удостоверяющих центров.
Представители ЦАРКА рассказали об одном инциденте, который они охарактеризовали как «серьезный кейс, ставящий под сомнение весь институт казахстанской системы ЭЦП и удостоверяющих центров». По результатам проверки одного из отозванных ключей ЭЦП выяснилось, что он продолжил работать на государственных сервисах электронного правительства, хотя и не принимался корневым удостоверяющим центром Pki.gov.kz.
«5 мая в нашем телеграм канале мы опубликовали информацию от одного из активных участников нашего чата. Публикация содержала видеоматериал о том, как отозванный ключ ЭЦП продолжает работать на государственных сервисах электронного правительства — esf.gov.kz, goszakup.gov.kz, office.sud.kz и stat.gov.kz, — рассказывают в ЦАРКА. — К слову, фейл не был признан некоторыми специалистами, поскольку ключ мог быть аннулирован по истечении 12 или 24 часов с момента его отзыва. Было заявлено, что сделаны преждевременные выводы и международная практика предусматривает короткое время действия отозванных ключей, пока идет процесс их синхронизации. Имея отозванный ключ и достаточно времени, мы повторили процедуру подписи через 12, 24, 36, 48, 60 и 72 часа — результат остается неизменным».
По заявлению авторов сообщения, юридически не валидный ключ продолжил оставаться валидным в техническом смысле, хотя корневым удостоверяющим центром он уже не принимался.
«Это серьезный кейс, ставящий под сомнение весь институт казахстанской системы ЭЦП и удостоверяющих центров. Он позволяет усомниться во всех документах с применением данной технологии. Также вопросы возникают и к процедуре сертификации, которая подтвердила соответствие указанных систем всем предъявляемым требованиям», — заявили в ЦАРКА.
Отмечается, что произошедшее является прямым нарушением правил проверки ЭЦП, утвержденных приказом министра МИР РК.