Высокие технологии, блокчейн, цифровизация - идут в зад1
Бюрократия
Ха, а вы знаете, что такое электронный документооборот?
Распечатать бумагу, принести в отдел документооборота, там ставят печать "Входящие" на распечатку, потом сканируют. И так с каждой бумажкой.
раскрыть ветку (66)
И особый кайф когда пририсылают сканы распечаток подписанных при помощи ЭЦП. Вот что я должен с этим документом делать. Как в теории я должен убедиться в достоверности такой ЭЦП. Просто смотреть на синий штамп и верить?
раскрыть ветку (49)
Вообще да. Потому что по данным из этого штампа на раз вычисляется, реальная ли это подпись
раскрыть ветку (13)
Нет. Нет откреплённой подписи - можно слать нах с такими письмами.
У нас указание от ФСТЭК: документооборот с ПДН допустим только при подписании ЭЦП или предоставлении оригинала запроса с подписью/печатью.
На базе этого утверждён областной документооборот, где ВСЕ запросы теперь поступают хотя бы не факсом).
Окей. И как по данным из этого штампа проверить подпись? Вот например тебе приходит такой документ. Как по данным штампа проверить подписывала ли Ю.И.Распопова этот документ или нет?
Чтобы облегчить тебе работу сразу подскажу. Юлия Ивановна Распопова на самом деле является заместителем руководителя в управлении Роспотребнадзора по Тюменской области. У неё действительно есть ЭЦП с серийным номером 4FF90492EDD7E2BDD0A95257DB860FB7 выданная Казначейством России, которая действовала с 09.11.2023 по 01.02.2025, то есть на момент создания документа.
раскрыть ветку (11)
к письму должен прилагаться архивчик, в котором помимо визуализации должны лежать исходник сиг-подпись и сертификат. Но для большинства пользователей это "какие-то ненужные файлы"
раскрыть ветку (3)
Ключевое слово "должны". А по факту тебе дают распечатку на бумаге или скан распечатки или пересланный по факсу.
раскрыть ветку (1)
Если файлов никаких нет, то из распечатки следует только одно. Что подписью на штампике был подписан КАКОЙ-ТО документ. Не обязательно этот. Всё.
Собственно, ты сам и ответил на свой вопрос: выяснить, существует ли такой человек и подписывал ли он это документ реально.
Защищенность ЭП в этом случае не выше обычной подписи от руки, которая подделывается даже проще. И именно аналогом собственноручной подписи эта картинка и является.
раскрыть ветку (6)
выяснить, существует ли такой человек
Ок. Ну вот я знаю, что такой человек существует.
подписывал ли он это документ реально.
Как при помощи этой картинки проверить подписывал ли он этот документ или нет? Вот например у меня есть смутные подозрения, что он такой документ не подписывал. Как глядя только на эту картинку это проверить?
И именно аналогом собственноручной подписи эта картинка и является.
Этот штамп просто картинка. Никаким аналогом подписи он не является. Аналогом собственноручной подписи является оригинальный файл + подпись. А это просто картинка не имеющая никакой юридической силы.
раскрыть ветку (4)
Выяснить письменным запросом в организацию. Довольно примитивно.
Глядя на рукописную подпись ведь тоже приходится принимать на веру, что это не подделка)) Или так же запросом проверять, других путей нет.
раскрыть ветку (3)
Выяснить письменным запросом в организацию. Довольно примитивно.
Ну то есть этот штамп никаких защитных функций не выполняет. Если бы на документе не было бы ни штампа ни подписи, то я бы мог точно так же проверить его просто позвонив/написав челу и спросив "а вы с этим согласны". То есть степень защиты у такого документа точно такая же как и у листа без подписи.
Или так же запросом проверять, других путей нет.
Действительно... других путей нет... ведь ЭЦП ещё не изобрели.... хотя подождите ка.
раскрыть ветку (2)
Да, все именно так насчет защиты
А чтобы проверять эцп, надо иметь эцп. А не просто распечатку, мы же о ней говорим
А чтобы проверять эцп, надо иметь эцп. А не просто распечатку, мы же о ней говорим
раскрыть ветку (1)
Ну то есть ты сейчас пришёл к тому, с чего я начала. Распечатанный документ с ЭЦП == документ без подписи.
Если к письму не прикреплена отсоединённая подпись или файл это просто скан документа, на котором ЭЦП была ДО сканирования, то такой документ ФСТЭК признаёт недействительным.
В смысле? Есть присоединённая и отсоединённая электронная подпись, присоединённая прямо в файле документа находится, отсоединённая - отдельным файлом. Проверяется на https://e-trust.gosuslugi.ru/check/sign например.
раскрыть ветку (6)
присоединённая прямо в файле документа находится
Отлично. Только после того как ты документ распечатал, а потом отсканировал её там уже нет.
отсоединённая - отдельным файлом.
И без исходного файла она бесполезна. Ещё раз. ЭЦП это по сути просто алгоритм шифрования. Я знаю ключ расшифровки Пупкина А. А. Я беру файл цифровой подписи, расшифровываю, внутри лежит хеш подписанного файла. Я вычисляю хеш проверяемого файла, потом сравниваю его с тем что находится в подписи, если совпадают, то значит был подписан этот файл. Причём так как зашифровано было при помощи ключа Пупкина А.А. то значит зашифровать мог только он и ни кто другой.
Без исходного файла откреплённая подпись бесполезна. Ты знаешь что что-то было подписано, но не знаешь что.
И да хеш скана распечатки и хеш исходного документа разные. Если хотя бы бит меняется то хеши не совпадают.
раскрыть ветку (5)
раскрыть ветку (4)
Можно. Но для этого у тебя должен быть именно тот скан, который подписывался. Ты его распечатал/отправил по факсу/отсканировал и это уже другой файл
раскрыть ветку (2)
Скан будет подписан индивидуально. Электронная подпись гарантирует, что файл юридически значимо подписан владельцем КЭП.
раскрыть ветку (1)
Чел. Это в теории. А на практике ни кто индивидуально сканы не подписывает. Тебе присылают бумажную распечатку подписанного документа. Распечатанный документ не возможно превратить в исходный файл.
ЭЦП подтверждает, что электронный документ от Пупкина. Подпись Пупкина на скане не подтверждает достоверности автора документа. Для этого нужна нотариально заверенная подпись
раскрыть ветку (26)
раскрыть ветку (24)
раскрыть ветку (22)
ЭЦП это по сути шифрование. Исходный файл шифруется. Точнее не сам файл, а его хешь, но в данном случае не важно. Я знаю ключ для расшифровки. Проверка ЭЦП сводится к тому, что я расшифровываю хешь и сравниваешь его с хешем проверяемого файла. Если они совпали, то значит был подписан именно этот файл, именно этим человеком и с момента подписания он не изменялся. Если хотя бы один бит был ищвенён то хеши не совпадут.
Ты уже догадываешься в чём проблема? ЭЦП привязано к конкретному файлу. Если распечатать документ, а потом сделать скан, то это будет уже другой файл. Внешне он даже может выглядеть похоже, там будут те же буквы, но это другой файл в другом формате.
И да, ЭЦП это собственно зашифрованные данные, синий синяк на документе это просто картинка не имеющая отношения к ЭЦП. Этот синий штамп ничего не доказывает. Я тебе кучу таких нарисуют.
Ты уже догадываешься в чём проблема? ЭЦП привязано к конкретному файлу. Если распечатать документ, а потом сделать скан, то это будет уже другой файл. Внешне он даже может выглядеть похоже, там будут те же буквы, но это другой файл в другом формате.
И да, ЭЦП это собственно зашифрованные данные, синий синяк на документе это просто картинка не имеющая отношения к ЭЦП. Этот синий штамп ничего не доказывает. Я тебе кучу таких нарисуют.
раскрыть ветку (20)
Я комент выше написал, у меня не приняли документы с электронной подписью. А распечатанные бумажки пожалуйста)
раскрыть ветку (1)
раскрыть ветку (3)
Подпись без исходного файла - бесполезна. Скан - это не исходный файл.
Как вариант - можно прилагать QR код со ссылкой на подписанный документ в системе документооборота, где можно сравнить документ и проверить подпись. Правда, зачем скан тогда посылать? Если люди так у любят бумагу - можно послать одну страничку с резюме документа и внизу страницы - QR код
Файл подписи не имеет смысла без оригинала. Ты знаешь что какой то документ был подписан, но не знаешь какой.
Если распечатать документ, а потом сделать скан, то это будет уже другой файл. Внешне он даже может выглядеть похоже, там будут те же буквы, но это другой файл в другом формате.
Ну если изначально подписывался не растровый файл, а, например, xml, то ничто не мешает сделать из скана точно такой же xml и уже его хэш проверять))
раскрыть ветку (7)
мешает сделать тот факт, что xml должен совпадать абсолютно, включая пробелы. Из скана невозможно извечь и определить где двойные пробелы, табуляция и т.д.
Значит, файлы не совпадают и ЭПЦ поддельная.
Это очень сложно. Файлы должны совпадать идеально. С точностью до бита. Если мы например говорим про документ ворд, то учитывается всё. Включая всякие металанные которые пользователь не видит и не редактирует. Да даже если текст. Знаешь сколько людей отступы пробелами делает. Внешне отступ табуляцией и отступ пробелом выглядит одинаково, а коды символов разные.
раскрыть ветку (4)
синий синяк на документе это просто картинка не имеющая отношения к ЭЦП. Этот синий штамп ничего не доказывает. Я тебе кучу таких нарисуют.
А проверку они пройдут потом? Нарисовать можно вообще что угодно, где угодно и когда угодно.
раскрыть ветку (1)
А как ты выполнишь проверку не имея оригинала файла и не имея файл подписи. Повторюсь штамп с циферками это просто картинка. Она не выполняет никакой функции, чисто придание документу солидности.
стоит добавить что к подписи идет сертификат удостоверяющего центра ключа. И хоть математически подпись может проверяться, важно не забывать проверять какой УЦ его выпустил. Сейчас вообще дошло до того, что наложение УКЭПа по ГОСТу с усиленной валидацией требуют онлайн доступа к УЦ чтобы исключить фейковый УЦ и исключить подпись отозванным сертификатом (ну и чтоб гемору айтишникам добавить)
раскрыть ветку (1)
Поправка. Он не обязателен. Так как есть такая вещь как цепочка сертификации. То есть проверка корректности ЭЦП строится на том, что мы знаем ключ расшифровки подписи, зашифрованной Пупкиным А.А. Если мы лично с ним знакомы, то это не проблема, он нам лично дал свой ключ и мы проверяем. Такое возможно в контексте каких то закрытых систем. Например я хочу добавить в своё ПО проверку целостности прошивки. Я жёстко прописываю, что ПО должно быть подписано таким то ключом и контроллер не стартует дальше если не видит нужной подписи. Но в контексте документов это не удобно. Я не могу быть лично знаком со всеми с кем имею дело.
Поэтому подпись Пупкина А.А. заверяет удостоверяющий центр, он подписывает его ключ и говорит "да этот ключ действительно принадлежит Пупкину А.А. который работает в такой то организации на такой то должности". Но мы не знаем подписи удостоверяющего центра, поэтому его подписывает вышестоящий удостоверяющий центр, а его в свою очередь ещё более вышестоящий. И так по цепочке пока не выйдем корневой удостоверяющий центр, подпись которого мы знаем и которому доверяем. В России это Минцифры. То есть если у тебя установлен корневой сертификат Минцифры, то проверка всей цепочки сертификации происходит автоматом. А если не установлен то ты просто не можешь проверить ЭЦП, ПО просто не даст полноценно проверить если не может проверитью всю цепочку сертификации.
Текст документа хешируется (грубо говоря вычисляется очень большое число, которое почти уникально для этого набора символов, повторное вычисление по тексту даст то же число). Хеш шифруется закрытым ключом подписи (он есть только у владельца). Получается набор кракозябликов. Это - электронная подпись. Её можно расшифровать публичным ключом (он есть у всех т.к. обычно просто приложен рядом к подписи). Для проверки - нужно повторно вычислить хеш, расшифровать подпись, сравнить. Если числа совпадают - подпись верна. Изменение даже одного символа в документе изменит хеш, т.е. не имея закрытого ключа документ не изменить и подпись тоже не подделать (всякие крипто-приколы в рассчёт не берём, они сложны и не зная уязвимостей алгоритма шифрования маловероятны).
ЭЦП - электронно-цифровая подпись, ее можно проверить только электронно. Как только ты распечатал подписанный файл с кучей прямоугольных штампов ЭЦП - это филькина грамота. Там уже ничего не проверить и не подтвердить. Для чего эти штампы придумали не понятно. Разве только для бабулей, которые видят штаип в распечатке - ну все, доки в порядке - вот же штамп.
конечно, потому что когда делали дырку в стене для корпоративной АТС, то хуйнули перфоратором кабели. Или диски стали выходить один за одним в СХД, потому что они сука были из одной партии и не очень надежные. ЗиП не хватило и данные сказали пока.
Но! У нас же есть бэкап! Но регулярную проверку резервных копий никто не делал, потому что было лень, да и ресурсов на такую операцию зажидились купить. И оказалось, что рабочего бэкапа тоже нет.
Поэтому все ваши журналы/проводки/фиг знает что еще не сохранилось, упс, такая жизнь.
И что бы будешь делать без бумажных копий?
Ты можешь сказать, что такое маловероятно. Так вот нет, очень даже вероятно.
Поэтому я никогда не откажусь, пока возможно, от бумажных копий.
раскрыть ветку (8)
раскрыть ветку (1)
Это решается орг мерами, где за недорого нанимается секретарь, который соберет подписи и организует ведение документооборота.
Я уже битый, четверть века в ИТ. Работал во всех основных направлениях, от поддержки до разработки и архитектуры систем. Верить в безусловную надежность информационных систем может только очень наивный человек.
И все бы ничего, и бумажные архивы горят. Однако с электронными системами учета проблема в том, что нет второго экземпляра.
Есть некритичные документы, которые можно легко или восстановить, или подписать повторно. Там да, электронный документооборот очень полезен. Как только вы касаетесь систем юридически значимых и критичных с т.з. человека или организации, нужен второй юридически значимый экземпляр.
Возможно со временем такой сделают. Что то вроде персонального хранилища с цифровой копией критичной информации. Но пока этого нет.
Не плохо бы начать с оценки важности данных, если данные не сильно важны и их не страшно потерять, зачем их хранить? Для остального есть специальный порядок хранения, где всё строго бекапеться и сохраняется.
раскрыть ветку (1)
Политики резервного копирования давно описаны, и все разложено по полочкам.
другой вопрос что на это часто не выделяется денег или админам лень заниматься регулярной проверкой. Мало делать бекапы. Их обязательно надо проверять. Т.е. проводить тренировку аварийно восстановительных работ. Иначе можно бэкапить и не знать что восстановиться не получится. Видел такое в жизни.
Желание экономить понятное, но вера людей в то, что вот с ними никогда такого не случится порой к забавным фейлам приводит.
Когда в интеграторе работал, то один заказчик отказался от исполнительной документации, решил сэкономить. Мы строили инфраструктуру с нуля. И через месяц или два там случилась авария. В результате которой все настройки сетевого оборудования слетели. Резервных копий конфигов они не делали. Исполнительной не заказали. Ну и все, нет сети - нет инфраструктуры. Хорошо что у нас были копии, им восстановили конфиги на момент сдачи проекта. Но все что они делали сами - пропало.
Кривые руки тоже проблема. У одного заказчика сетевик не понимал как NAT работает. Я такое только один раз в жизни видел. Как его на работу взяли и доверили циску настраивать - я не понимаю. Нам выставили претензию, что мы криво все настроили. А потом оказалось, что их сетевик некомпетентный долбоеб.
Бумажные носители - forever ))
Поэтому все ваши журналы/проводки/фиг знает что еще не сохранилось, упс, такая жизнь.
И что бы будешь делать без бумажных копий?
А у нас были случаи когда протекла крыша. Куча бумажных документов превратилась в единый целлюлозный ком. А ещё бывают пожары, а ещё бывают переезды, когда просто коробка с бумагами теряется или уезжает не по тому адресу и её потом найти не могут. При этом замечу, что для электронных документов не составляет проблемы организовать автоматизированное, распределенное резервное копирование с контролем целостности. А вот как ты будешь организовывать резервное копирование бумажных документов? То есть если с электронными копиями у тебя должно сразу несколько отказов произойти. Повредилась основная копия, повредились резервные копии. То в случае с бумагой один пожар потом и всё. У тебя уничтожены оригиналы и опции восстановиться из резервной копии нет. Потому, что я не видел чтобы в какой то организации была полная резервная копия бумажного архива.
раскрыть ветку (3)
раскрыть ветку (2)
Тут правда есть нюанс. Мы видим только те наскальные записи которые дошли до наших дней. Но мы не знаем сколько их было потеряно.
раскрыть ветку (1)
Я помню кредит досрочно выплатил, звоню в страховую, говорю мол можно документы о досрочном погашении по электронке отправить? По телефону сказали мол окей. Я скачал справку у банка, она с электронной подписью, скачал заявление в формате pdf с сайта страховой. Заполнил его, подписал электронной подписью через гос услуги, отправил. Мне ответили ой нет, распечатайте пожалуйста, подпишите и отправте почтой)
раскрыть ветку (1)
Хотел подушнить что это не электронный документооборот, а переход от бумажного к электронному, но вспомнил что это процесс чуть ли не бесконечный, и называть его так скорее всего корректно.
Решили у нас так в объединении сделать электронные накладные для перекидки товарных ценностей между управлениями. По итогу для создания этой "электронной" накладной надо сделать заявку в SAP, с другой стороны на основании этой заявки создают электронную накладную, и печатают её в двух экземплярах (один водителю остаётся, другой получателю). После этого электронную накладную нужно подписать с помощью ЭЦП в том же SAP, приходовать её, прикрепить к ней приходный ордер и отдавать это всё в бухгалтерию...
Все о медицине
14.5K поста41.8K подписчик
Правила сообщества
1)Не оскорбляйте друг друга
2) Ув. коллеги, при возникновении спора относитесь с уважением
3) спрашивая совета и рекомендации готовьтесь к тому что вы получите критику в свой адрес (интернет, пикабу в частности, не является медицинским сайтом).