Rutoken EDS 2.0 3000, COVID-19, CA Rosreestr und Operationen mit Rosreest online ver. 2.0

Hallo Khabrovites!



Mehrere Dinge haben mich dazu veranlasst, diesen Artikel zu schreiben:

1. Eine Schuld gegenüber der Firma "Active", die mir freundlicherweise ihre neue Krypto-Token Rutoken EDS 2.0 Modifikation 3000 zur Verfügung gestellt hat. Nastya_dIch werde dich markieren, weil Sie sind die letzte Person, die im Namen des Unternehmens postet
2. COVID-19, das die Arbeit von Rosreestr in den Modus "nur nach Vereinbarung" mit chronischer Unfähigkeit, sich dort einzuschreiben, überführte
3. Gesetzesänderungen, die nach einer Reihe von Skandalen im letzten Jahr im Zusammenhang mit der Verwendung elektronischer Signaturen verabschiedet wurden
4. Rosreestr-Update in Bezug auf die Durchführung elektronischer Transaktionen und die Einreichung anderer elektronischer Anträge

Also, wahrscheinlich, lass uns gehen. Wenn Sie an etwas nicht interessiert sind, können Sie zu einem interessanten Titel gehen.

Rutoken EDS 2.0 3000

Daten

Neuer Token unter der alten Marke. Es scheint am Ende wie eine Art Additiv 3000 und es ist überhaupt nicht klar, worum es geht. Inzwischen haben wir einen grundlegend neuen Träger von Schlüsselinformationen vor uns. Das einzige, was es mit dem klassischen Rutoken EDS 2.0 verbindet, ist, dass es mit ihm kompatibel sein kann und nach wie vor nicht wiederherstellbare private Schlüssel, kryptografische Vorgänge, die direkt im Gerätecontroller ausgeführt werden, und private Schlüssel niemals ihre Grenzen verlassen kann.



Was ist der Unterschied? Vielleicht gibt es vier Unterschiede:

1. Dieser Funktionstastenträger (PKU) arbeitet an einem Protokoll (eigentlich Metaprotokolu) SESPAKE , das uns durch Abhören den Schutzkanal zwischen Treiber und Controller gibt
2. Mehrfache Beschleunigung bei der Arbeit mit einem Token mit mehreren Schlüsseln mit Zertifikaten
3. Unfähigkeit, im FCN-Modus über PKCS # 11 zu arbeiten
4. Fehlender Betrieb ohne CryptoPro

Lass uns jetzt in Ordnung gehen.



FKN mit SESPAKE ermöglicht den Schutz des Austauschkanals zwischen dem Treiber / Verschlüsselungsanbieter und dem Speichercontroller. Zuvor war ein solches Abfangen möglich, und jeder Wireshark-Lüfter mit installierter USB-Kappe konnte offene PIN-Codes in Betracht ziehen, wenn er mit dem klassischen Rutoken EDS 2.0 arbeitete, das in den APDU-Befehlen des Controllers gesendet wird. Dies gibt möglicherweise einen Angriffsvektor zum Abhören der PIN und zum weiteren Signieren von allem und jedem ohne Benutzerinteraktion. Und obwohl die formal privaten Schlüssel immer noch nicht wiederherstellbar sind, ist dies möglicherweise keine Grundsatzfrage mehr.



Beschleunigung. Ich weiß nicht wie und warum, aber wenn Sie mehrere Zertifikate auf einem Rutoken EDS 2.0-Token hatten, wurden die Bremsen bereitgestellt. Besonders wenn die Software versucht, alle Zertifikate zu durchsuchen oder einen Container mit dem richtigen zu finden. Ihr bescheidener Diener hat die Situation persönlich begriffen, als in einigen EDF-Systemen die Entschlüsselung eines kleinen Dokuments mehr als eine Minute dauerte. Alles endete damit, dass Tensor in seinen Plugins sogar die Verwendung von Hardware-Token in Verbindung mit der CryptoPro 5th-Version verbot, was viel Misstrauen hervorrief . Jetzt ist nicht alles so, ich bemerke nicht einmal den Unterschied zwischen dem Zeitpunkt, an dem ein Zertifikat auf dem Token vorhanden war, und dem Zeitpunkt, an dem vier davon vorhanden sind (Tensor funktioniert seit Herbst 2019 nicht mehr mit Hardwareschlüsseln in Plug-In-Versionen).



Der PKCS # 11-Modus ist die Möglichkeit, die Bibliothek des Herstellers zu verwenden, die die Standard-PKCS # 11-API für die Arbeit damit implementiert (direkt ohne den CryptoProvider). Es wird ein wenig unter Windows verwendet, tk. Die Windows Crypto API ist der dominierende Weg. Leider scheint es unter Linux, wenn Sie nicht die hypothetische Gelegenheit nutzen, CryptoPro unter Linux zu installieren und zu verwenden. CryptoPro für Linux ist im Wesentlichen eine Implementierung der Windows Crypto API, dh keine herkömmliche Software für Linux hat sie unterstützt und wird sie auch nicht unterstützen. Es ist vielmehr eine Gelegenheit für Entwickler, Regierungsaufträge zu kürzen und geeignete Serverprodukte für Linux mit der Fähigkeit zur Kryptografie von GOST zu entwickeln. Es ist keine Frage der Verwendung in Linux Desktop. Trotzdem liefert Rutoken seine PKCS # 11-Bibliothek für das alte Rutoken EDS 2.0 und ich haben es sogar irgendwie geschafft, ihre Freunde mit dem Plug-In von State Services zur Authentifizierung durch elektronische Signatur zu finden. Mit FKN gibt es keine solche Möglichkeit, wie ich es verstehe, aber vielleicht wird mich die Active Company korrigieren.



Fehlender Betrieb ohne CryptoPro. Dies ist höchstwahrscheinlich auf den vorherigen Absatz zurückzuführen. In der Praxis gab es jedoch einige Verwirrung bei der Verwendung von Rutoken EDS 2.0. Aus irgendeinem Grund wissen nur wenige, dass Rutoken EDS 2.0 perfekt mit CryptoPro 5th funktioniert. Möglicherweise aufgrund der Tatsache, dass es lange vor CryptoPro 5 erschien. Infolgedessen haben verschiedene Marktteilnehmer benutzerdefinierte Lösungen entwickelt, mit denen Sie mit Rutoken EDS 2.0 ohne CryptoPro arbeiten können. Dies führte zu ernsthaften Schwierigkeiten bei der Diagnose von Problemen auf den Standorten. Sie sagen, dass Sie CryptoPro und Rutoken EDS 2.0 haben, aber sie sagen Ihnen, dass Rutoken EDS 2.0 nicht über CryptoPro funktioniert. Seit 3000 scheint es keine Alternative zu geben. Nur CryptoPro 5. Gute oder schlechte Zeit wird es zeigen.

Bilder

Wenn Sie die CryptoPro 5-Version verwenden, ist die Unterstützung sofort einsatzbereit. Die Unterschiede für den Benutzer sind minimal. Erstellen eines Schlüsselcontainers:







Im Gegensatz zu den stumpfen Medien haben Sie jetzt die Wahl, in welchem ​​Modus ein Schlüsselpaar generiert werden soll. Der obere ist der neue FKN-Modus, der untere ist der alte Rutoken EDS 2.0-Modus mit PKCS # 11-Unterstützung, in der Mitte der dumme Token-Modus, in dem der Krypto-Anbieter die ganze Arbeit erledigt.



Beim Erstellen des ersten Containers im FKN-Modus werden Sie von CryptoPro aufgefordert, den PUK-Code und das Kennwort festzulegen:











Als Ergebnis erhalten wir ein Schlüsselpaar, das über die Rutoken-Systemsteuerung angezeigt werden kann:

Zusammenfassung

Rutoken EDS 2.0 3000 wurde für mich zu einem lang erwarteten Ersatz für den zuvor verwendeten funktionalen Schlüsselträger aus dem APK CryptoPro Rutoken CSP 3.6, der nur alte GOST-Standards verwenden konnte. Trotzdem bin ich sehr verärgert, dass ich eine virtuelle Maschine mit Windows behalten muss, um mit all diesen Dingen arbeiten zu können. Es wäre großartig, wenn Rutoken eine Beschreibung seiner Implementierung des SESPAKE-Protokolls enthüllen würde. Ich denke, dass es möglich sein wird, Standard-Linux-Bibliotheken anzuhängen, um problemlos mit diesem Token zu arbeiten.

COVID-19 und RosReestr

Die Pandemie beeinträchtigte die Fähigkeit, mit RosReestr zu arbeiten. Ich weiß nichts über andere Regionen, aber in St. Petersburg ist eine Art Bacchanalia passiert. Einerseits hat der MFC nach Vereinbarung vollständig auf Arbeit umgestellt (jetzt sind sie ausgeschieden, bleiben aber weiterhin für RosReestr-Dienste). Andererseits wurde es möglich, sich erst in den ersten Minuten des Tagesanfangs nach 9:00 Uhr und irgendwo 2-3 Wochen im Voraus anzumelden. Die Medien berichteten, dass Makler alles für sich selbst gebucht und dann ihren Zug verkauft hatten - aber da der Rekord personalisiert war, war es neben dem Kauf einer Warteschlange auch notwendig, ein Vertrauen für einen solchen Geschäftsmann aufzubauen, da sonst niemand abwechselnd gehen konnte.



Eine Alternative dazu sind Notare geworden, die Dokumente zur Registrierung einer Transaktion elektronisch an Rosreestr senden können, für die Beglaubigung der Transaktion jedoch eine hohe Gebühr erheben. Eine andere Alternative ist DomClik von der Sberbank: Wenn der Käufer eine Hypothek kauft, können Sie mit DomClik alles elektronisch registrieren (auch mit einem kleinen Vorteil zu einem Zinssatz).



Der Käufer wurde auf der Hypothek gefunden, und zusammen beschlossen sie, über DomClick ausgegeben zu werden. Aber es war nicht da. Das Anwesen erwies sich als alt, und die Registrierung der Rechte erfolgte 1995. Wenn Sie Ihre Rechte vor dem 31.01.1998 registriert haben, benötigen Sie:

• oder einen Antrag auf Registrierung von zuvor entstandenen Rechten im Voraus stellen (erfordert die Zahlung einer staatlichen Gebühr)
• oder einen solchen Antrag gleichzeitig mit der Transaktion einreichen, dann ist er kostenlos

DomKlik weiß jedoch nicht, wie solche Anträge einzureichen sind. Notare unternehmen dies auch aus mir unbekannten Gründen nicht, was ich nicht herausgefunden habe. Der Deal war in Gefahr, da der MFC den Rekord bereits am 23. September anbot.



Und dann komme ich ganz in Weiß heraus und sage: "Lass es uns elektronisch selbst machen?"

Gesetzesänderungen

Vielleicht lohnt es sich, mit der Tatsache zu beginnen, dass im vergangenen Jahr die obligatorische Beglaubigung der Transaktion annulliert wurde, wenn es ein gemeinsames Eigentum gibt und alle Eigentümer der Aktien an der Transaktion teilnehmen. Das ist natürlich positiv, denn die Notare sind total verrückt - diese Leute sollten wenn möglich wegbleiben.



Nach einer Reihe von Skandalen ( eins , zwei , drei ) im Jahr 2019 im Zusammenhang mit der Registrierung von Immobilienrechten und der Schaffung juristischer Personen unter Verwendung einer elektronischen Signatur wurden einige Gesetzesänderungen verabschiedet... Kurz gesagt: Standardmäßig ist es jetzt nur möglich, ES für Immobilientransaktionen zu verwenden, wenn das ES-Zertifikat vom Zertifizierungszentrum von Rosreestr oder vielmehr von seiner Tochter, der FGBU "Katasterkammer", ausgestellt wird. Sie können diese Standardeinstellung abbrechen, indem Sie explizit angeben, dass Sie dies mit dem Zertifikat einer Zertifizierungsstelle tun möchten. Dazu müssen Sie jedoch einen Antrag über das MFC bei Rosreestr einreichen und sich dafür 2-3 Wochen im Voraus vorregistrieren (siehe oben) - das heißt, kein Zeitgewinn.



Gut? CA Rosreestr ist die einzige Alternative. Wir fangen an zu lernen. Die Zertifizierungsstelle befindet sich unter dem Link . Klicken Sie auf "Wie viel kostet es?" 2200 Rubel mit einem Eintrag für einen Token. 700 Rubel - Elektronisch bereitgestellt, wird die Identität im Büro überprüft... Scheisse! In elektronischer Form bedeutet dies, dass sie gemäß dem Schema mit der Anforderung eines Zertifikats arbeiten. Das heißt, Sie können ein Paar an Ihrem Arbeitsplatz auf die korrekteste Weise generieren, eine Anfrage senden und im Büro einfach das Identifizierungsverfahren durchlaufen - was die Zertifizierungsstelle tun sollte.



Wir registrieren uns, wir geben alle Daten in das Profil ein. Wir drücken "Anfrage senden". Die Site führt eine automatische Diagnose der installierten Software durch: Alles erfüllt die erforderlichen Anforderungen, weil Es werden nur gängige Browser-Plugins verwendet, nicht wie bei Tensor. Wir generieren ein Paar im FCN-Modus auf unserem neuen Rutoken EDS 2.0 3000. Wir warten. Einige Minuten später werden E-Mails mit weiteren Aktionen an die E-Mail gesendet. Es soll auf das Dokument zur Zahlung warten. In ungefähr einer halben Stunde kommt eine Quittung zur Zahlung mit einem QR-Code an. Bei Zahlung an das Budget wird daher die UIN verwendet. Wir zahlen 700 Rubel über eine Online-Bank. Nach weiteren 20 Minuten geht der Antrag in den bezahlten Zustand über. Bundle Bank <-> GIS GMP <-> Rosreestr arbeitet schneller als Zahlungen an Kontodaten, die spezifische Geschwindigkeit kann jedoch von der ausgewählten Bank abhängen.Wir rufen die im Brief angegebene Telefonnummer an, um einen Termin für eine Überprüfung der Identität zu vereinbaren - es gibt auch für heute Nummern. Laufen zum Büro der Katasterkammer. Und hier ist das Ergebnis - um 14:00 Uhr waren sie von dieser Frage verwirrt. Um 16:00 Uhr durchliefen wir das Ausweisverfahren und während der Heimfahrt wurden Zertifikate ausgestellt. Das Verfahren ist ziemlich gründlich, zusätzlich zu allen Dokumentenprüfungen werden auch Fotos aufgenommen.Zertifikate sind übrigens für 15 Monate gültig und nicht wie üblich für ein Jahr.

Zusammenfassung

Trotz der Tatsache, dass Rosreestr ein De-facto-Monolith auf dem ES-Markt für Immobilientransaktionen geblieben ist, funktioniert es gut. Vorher habe ich den TC Tensor verwendet, bei dem eine Person ein ES-Zertifikat für 500 Rubel erhalten kann. Aber die Geschwindigkeit der Arbeit, die Tatsache, dass keine zusätzliche Software wie Tenzor installiert werden muss, ein Zertifikat für 15 Monate - all dies gibt mir Grund, Rosreestr zum ersten Mal seit vielen Jahren zu loben. Eine Überzahlung von 200 Rubel gegenüber Tensor lohnt sich meiner Meinung nach.

Rosreestr Update bezüglich elektronischer Transaktionen

Im vorherigen Artikel zu diesem Thema haben wir die Ausführung von Transaktionen über das Hauptportal von Rosreestr (zum Zeitpunkt des Schreibens nicht verfügbar) betrachtet. Zuerst entschied ich mich, dem ausgetretenen Pfad zu folgen, stieß aber sehr schnell auf die Tatsache, dass die eingegebene Katasternummer der Räumlichkeiten nicht validiert wurde, obwohl sie absolut korrekt eingegeben wurde. Die Analyse des HTML-Codes ergab, dass eine Krücke in den Validator eingefügt wurde, die die meisten Katasternummern für die erste Gruppe von Zahlen, die eine Region bezeichnet, ablehnt. Alle Regionen außer sechs Stücken (16, 26, 47, 61, 63 und 76) wurden somit verboten. Natürlich wird nirgends darüber geschrieben. Ich wollte bombardieren.



Ich erinnerte mich jedoch schnell daran, dass eine ähnliche Funktionalität, jedoch mit einer anderen Benutzeroberfläche, im persönlichen Konto eines Bürgers in Rosreestr dargestellt wurde(Autorisierung über ESIA), die ich im letzten Artikel nicht testen konnte. Ich ging dorthin und eine flüchtige Prüfung ergab, dass es für Peter keine Einschränkungen gibt. Also werden wir das tun.





Gehen Sie zur Registerkarte "Dienste und Dienste" und wählen Sie den gewünschten Dienst aus:







Als Nächstes müssen Sie in mehreren Schritten einen Antrag ausfüllen (abhängig vom ausgewählten Dienst):







Im ersten Schritt müssen Sie nur zustimmen und das Kontrollkästchen aktivieren.



Außerdem veröffentliche ich die Screenshots leider nicht, da sie viele persönliche Daten enthalten.



Im zweiten Schritt müssen Sie die Daten des Bewerbers überprüfen und eingeben. Die Daten werden aus der ESIA abgerufen. Wenn Ihr Profil jedoch nicht vollständig ausgefüllt ist, muss etwas hinzugefügt werden. Rosreestr ruft auch schlecht Wohnsitz- und Registrierungsadressen von ESIA ab - höchstwahrscheinlich müssen Sie diese manuell angeben. Beachten Sie auch, dass in diesem Schritt die Möglichkeit besteht, weitere Bewerber hinzuzufügen . Dies muss erfolgen, wenn die Wohnung mehrere Eigentümer hat.



Im dritten Schritt geben Sie (in diesem Fall) Eigenschaftsdaten an (Details zu den Räumlichkeiten, Freigaben usw.).



Der vierte Schritt ist der schwierigste. Hier müssen Sie alle Dokumente hochladen. Beginnend mit Scans des Passes, den jeder Antragsteller mit seiner elektronischen Unterschrift beglaubigt, bis hin zu Verträgen und anderen Dokumenten, die mit elektronischen Unterschriften derjenigen, die sie unterschreiben, beglaubigt werden müssen. Beispielsweise muss ein Vertrag von allen Parteien der Transaktion unterzeichnet werden. Darüber hinaus benötigen Sie möglicherweise ein Dokument, das Sie nur in Papierform oder von einer Partei haben, die nicht an der Transaktion beteiligt ist - beispielsweise die Zustimmung eines Ehepartners. Hier können Sie auf einen Notar zurückgreifen - Notare wissen, wie man Dokumente scannt und die Scans mit ihrer elektronischen Signatur signiert, und die Tatsache, dass das resultierende elektronische Dokument vollständig mit dem Dokument auf Papier identisch ist. Vielleicht, wenn das gesamte Dokument vom Notar selbst erstellt wird,dann kann er es sofort mit seiner Unterschrift elektronisch machen, ohne es auf Papier auszudrucken - er hat nicht überprüft, ob Notare in der Praxis so funktionieren.



Um ein Dokument mit mehreren elektronischen Signaturen zu signieren, sodass alle Signaturen in eine Datei fallen (Rosreestr unterstützt nicht die Möglichkeit, mehrere Dateien mit Signaturen anzugeben, die sich auf ein Dokument beziehen), wurde in den Kommentaren zum letzten Beitrag empfohlen, das kostenlose Cryptoline-Dienstprogramm von Taxcom zu verwenden . In der Tat ist das Dienstprogramm ein Feuer, obwohl die Schnittstelle exzentrisch ist.



Im letzten (fünften) Schritt müssen Sie die Zusammensetzung des eingereichten Antrags erneut überprüfen, unterschreiben und senden. Vor dem Senden werden Sie nach Ihrem Wunsch gefragt, einen zweiten Antrag in demselben Dokumentpaket zu erstellen. Wenn Sie eine Transaktion (Übertragung von Rechten) und nicht nur die Registrierung von Rechten registrieren, muss dies erfolgen. Darüber hinaus muss der erste Antrag von den derzeitigen Eigentümern der Räumlichkeiten und der zweite Antrag im Namen derjenigen gestellt werden, auf die das Recht übertragen wird. In beiden Erklärungen müssen Sie eine Vereinbarung beifügen, die von allen Parteien der Transaktion unterzeichnet wurde.

Zusammenfassung

In einer scheinbar hoffnungslosen Situation gab es einen Ausweg. Das liegt daran, dass Geeks keine Lebensweise sind, sondern ein Wunsch nach dem Unbekannten. Meine Erfahrungen aus der Vergangenheit, die aus dem einfachen Wunsch entstanden waren, das Unbekannte auszuprobieren, wurden zu echten Vorteilen.