Тема от Egor (2021-07-18 13:31:46 отредактировано Egor)

  • Egor
  • Посетитель
  • Неактивен

Украли ЭЦП (не физический носитель)

Приветствую!

Столкнулся с ситуацией - моя ЭЦП использована без моего ведома,
при этом сам носитель (Рутокен Лайт) никому не передавался и ни у кого доступа к нему нет.

Рутокен подключался к компьютеру использовался не более 5 минут ежемесячно, никакого пиратского или неизвестного ПО не использовалось.

Отсюда возникает много вопросов:
1) Могли ли скопировать ЭЦП с Рутокена (вирус, троян)? Если да - для этого же нужен КриптоПро, при этом КриптоПро не запускался или это можно сделать как-то проще?

2) вопрос снят

3) При подписании документов ЭЦП делаются ли онлайн запрос в удостоверяющий центр? Хранятся ли эти логи, можно ли их каким-то образом запросить время и ip адрес компьютера, на котором подписывался документ с помощью ЭЦП?

4) На данный момент можно ли как-то узнать (логи КриптоПро на компьютере или еще как-то), когда примерно был скопирована ЭЦП?


Буду благодарен за информацию и помощь.



Используемое ПО:
macOS последней версии
КриптоПро CSP 5.0
Браузер Хром
Контур.Плагин к браузеру для работы с сервисами СКБ Контур.

Ответ от asoldatov

  • asoldatov
  • Посетитель
  • Неактивен

Re: Украли ЭЦП (не физический носитель)

Egor, добрый день.
Если возникли подозрения, что Вашим сертификатом электронной подписи воспользовались без Вашего ведома - СРОЧНО обращайтесь в Удостоверяющий Центр, что выпустил для Вас сертификат и запросите его аннулирование (отзыв).

Что касается вопросов:
1. Если ключ создавался с признаком "Экспортируемый" - да, его можно скопировать. Можно даже скопировать в "тихом" режиме, без отображения графических окон пользователю.
2. Старайтесь ВСЕГДА менять пин-коды на нестандартные. КриптоПро CSP никогда не запрашивает пин-код, заданный по умолчанию.
3. Все зависит от формата подписи, что была сформирована. Какие-то можно сформировать в offline-режиме (предварительно выполнив установку сертификатов и CRL на рабочее место). Какие-то - только выполнив специальный запрос к серверам Удостоверяющего Центра (куда и рекомендую Вам обратиться, чтобы прояснить данный вопрос).
4. Нет.

Ответ от Egor

  • Egor
  • Посетитель
  • Неактивен

Re: Украли ЭЦП (не физический носитель)

asoldatov пишет:

СРОЧНО обращайтесь в Удостоверяющий Центр, что выпустил для Вас сертификат и запросите его аннулирование (отзыв)

Спасибо, уже обратился.


asoldatov пишет:

2. Старайтесь ВСЕГДА менять пин-коды на нестандартные. КриптоПро CSP никогда не запрашивает пин-код, заданный по умолчанию.

Я задал пин-код контейнера, потом просто жму "Сменить пароль контейнера" - появляется окно с предложением ввода нового пин-кода, при этом старый не запрашивается.

Почти аналогично с пин-кодом носителя. При попытке сменить пин - запрашивается текущий, но если я жму "Вернуть пароль по умолчанию" - пин сбрасывается без вопросов.

Я не пойму, зачем пины, если я могу открыть КриптоПро и просто их сбросить/поменять?

Ответ от asoldatov

  • asoldatov
  • Посетитель
  • Неактивен

Re: Украли ЭЦП (не физический носитель)

Повторюсь - криптопровайдер не запрашивает пин-коды, заданные по умолчанию.
Если бы Вы изменили пин-код на нестандартный - он бы запрашивался при выполнении операций с ключом + попытке сброса/изменения пин-кода.

Ответ от Egor

  • Egor
  • Посетитель
  • Неактивен

Re: Украли ЭЦП (не физический носитель)

asoldatov пишет:

Повторюсь - криптопровайдер не запрашивает пин-коды, заданные по умолчанию.
Если бы Вы изменили пин-код на нестандартный - он бы запрашивался при выполнении операций с ключом + попытке сброса/изменения пин-кода.

Разобрался. Новый пин начинает запрашиваться только после отсоединения носителя от компьютера, т.е. если я сменил пин и не отсоединил носитель от компьютера - пин можно еще раз сменить без запроса только что установленного.

Ответ от Ксения Шаврова

  • Ксения Шаврова
  • Администратор
  • Неактивен

Re: Украли ЭЦП (не физический носитель)

Судя по информации на сайте "КриптоПро", это корректное поведение https://www.cryptopro.ru/blog/2020/07/2 … ie-parolei

Ответ от Egor

  • Egor
  • Посетитель
  • Неактивен

Re: Украли ЭЦП (не физический носитель)

Всем спасибо за участие, оказалось, что была выпущена левая ЭЦП. Уже есть уголовное дело и у данного УЦ приостановлена аккредитация.