Plusieurs choses m'ont poussé à écrire cet article:
- Une dette envers la société "Active", qui m'a gentiment fourni son nouveau crypto-token Rutoken EDS 2.0, modification 3000. Nastya_d, Je vais vous taguer parce que vous êtes la dernière personne à publier au nom de l'entreprise
- COVID-19, qui a transféré le travail de Rosreestr vers le mode "sur rendez-vous uniquement" avec une incapacité chronique de s'y inscrire
- Modifications législatives adoptées après une série de scandales de l'année dernière liés à l'utilisation de la signature électronique
- Mise à jour Rosreestr en termes de conduite de transactions électroniques et de soumission de toute autre demande électronique
Alors, probablement, allons-y. Si quelque chose ne vous intéresse pas, vous pouvez accéder à un titre intéressant.
Rutoken EDS 2.0 3000
Les données
Nouveau jeton sous l'ancienne marque. Cela ressemble à une sorte d'additif 3000 à la fin et on ne sait pas du tout de quoi il s'agit. En attendant, nous avons devant nous un support fondamentalement nouveau d'informations clés. La seule chose qui l'unit au classique Rutoken EDS 2.0 est qu'il peut être compatible avec lui, et comme auparavant, il peut stocker des clés privées irrécupérables, des opérations cryptographiques avec lesquelles se produisent directement dans le contrôleur de l'appareil, et les clés privées ne quittent jamais ses limites.
Quelle est la différence? Il y a peut-être quatre différences:
- Cette fonction key carrier (PKU), travaillant sur un protocole (en fait metaprotokolu) SESPAKE , qui nous donne le canal de protection entre le driver et le contrôleur en écoutant
- Accélération multiple lorsque vous travaillez avec un jeton qui a plusieurs clés avec des certificats
- Incapacité de travailler en mode FCN via PKCS # 11
- Manque de fonctionnement sans CryptoPro
Allons dans l'ordre maintenant.
FKN avec SESPAKE permet de protéger le canal d'échange entre le pilote / fournisseur de chiffrement et le contrôleur de stockage. Auparavant, une telle interception était possible, et tout fan de Wireshark avec un USBcap installé pouvait envisager des codes PIN ouverts lorsqu'il travaillait avec le classique Rutoken EDS 2.0, qui sont diffusés dans les commandes APDU du contrôleur, ce qui donne potentiellement un vecteur d'attaque pour écouter le code PIN et signer ultérieurement tout et tout le monde. sans interaction de l'utilisateur. Et bien que les clés formellement privées restent encore irrécupérables, cela peut ne plus être une question de principe.
Accélération. Je ne sais pas comment et pourquoi, mais si vous aviez plusieurs certificats sur un même jeton Rutoken EDS 2.0, les freins étaient fournis. Surtout lorsque le logiciel essaie de parcourir tous les certificats ou de trouver un conteneur avec le bon. Votre humble serviteur a personnellement saisi la situation lorsque, dans certains systèmes EDF, le décryptage d'un petit document prenait plus d'une minute. Tout s'est terminé avec le fait que Tensor dans ses plugins a même interdit l'utilisation de jetons matériels en conjonction avec CryptoPro 5ème version, ce qui a suscité beaucoup de suspicion . Maintenant, tout n'est pas ainsi, je ne remarque même pas la différence entre le moment où il y avait un certificat sur le jeton et maintenant, quand il y en a quatre (Tensor ne fonctionne toujours pas avec les clés matérielles dans les versions de plug-in quelque part depuis l'automne 2019).
Le mode PKCS # 11 est la possibilité d'utiliser la bibliothèque du fabricant qui implémente l'API PKCS # 11 standard pour travailler avec (directement sans le CryptoProvider). Il s'utilise un peu sous Windows, car L'API Windows Crypto est le moyen dominant. Sous Linux, hélas, semble-t-il, si vous ne saisissez pas l'opportunité hypothétique d'installer CryptoPro sous Linux et de l'utiliser. CryptoPro pour Linux est essentiellement une implémentation de l'API Windows Crypto, c'est-à-dire qu'aucun logiciel traditionnel pour Linux ne l'a pris en charge et ne le prendra pas en charge. C'est plutôt une opportunité pour les développeurs de réduire les commandes gouvernementales et de développer des produits serveur appropriés pour Linux avec la possibilité de la cryptographie GOST. Il n'est pas question de l'utiliser dans Linux Desktop. Néanmoins, Rutoken fournit sa bibliothèque PKCS # 11 pour l'ancien Rutoken EDS 2.0 et j'ai même réussi à me lier d'amitié avec lui avec le plugin de State Services pour l'authentification par signature électronique. Avec FKN, une telle possibilité n'existe pas, si je comprends bien, mais peut-être que la société Active me corrigera.
Manque de fonctionnement sans CryptoPro. Cela est probablement dû au paragraphe précédent. Mais en pratique, il y avait une certaine confusion lors de l'utilisation de Rutoken EDS 2.0. Pour une raison quelconque, peu de gens savent que Rutoken EDS 2.0 peut parfaitement fonctionner avec la 5ème version de CryptoPro. Peut-être parce qu'il est apparu bien avant CryptoPro 5. En conséquence, divers acteurs du marché ont développé des solutions personnalisées qui vous permettent de travailler avec Rutoken EDS 2.0 sans CryptoPro. Cela a conduit à des difficultés assez sérieuses pour diagnostiquer les problèmes sur les sites. Vous dites que vous avez CryptoPro et Rutoken EDS 2.0, mais ils vous disent que Rutoken EDS 2.0 ne fonctionne pas via CryptoPro. Depuis 3000, il semble n'y avoir aucune alternative. Seulement CryptoPro 5. Bon ou mauvais - le temps nous le dira.
Images
Si vous utilisez la version CryptoPro 5, le support sort de la boîte. Les différences pour l'utilisateur sont minimes. Création d'un conteneur de clés:
contrairement à un média émoussé, vous avez désormais le choix dans quel mode générer une paire de clés. Le haut est le nouveau mode FKN, en bas se trouve l'ancien mode Rutoken EDS 2.0 avec prise en charge PKCS # 11, au milieu se trouve le mode de jeton stupide dans lequel le fournisseur de crypto fait tout le travail.
Lors de la création du premier conteneur en mode FKN, CryptoPro vous demandera de définir le code PUK et le mot de passe: en
conséquence, nous recevrons une paire de clés, qui peut être visualisée via le panneau de configuration Rutoken:
Résumé
Rutoken EDS 2.0 3000 est devenu pour moi un remplaçant tant attendu du support de clé fonctionnelle précédemment utilisé de l'APK CryptoPro Rutoken CSP 3.6, qui ne pouvait utiliser que les anciens standards GOST. Néanmoins, je suis très contrarié que pour travailler avec tout cela, je dois garder une machine virtuelle avec Windows. Ce serait formidable si Rutoken révélait une description de sa mise en œuvre du protocole SESPAKE. Je pense qu'il sera possible d'attacher des bibliothèques Linux standard pour travailler avec ce jeton sans aucun problème.
COVID-19 et RosReestr
La pandémie a nui à la capacité de travailler avec RosReestr. Je ne connais pas d’autres régions, mais une sorte de bacchanale a eu lieu à Saint-Pétersbourg. D'une part, le MFC est complètement passé au travail sur rendez-vous (maintenant ils sont partis, mais ils continuent à rester sur les services de RosReestr). D'un autre côté, il est devenu possible de s'inscrire pour cela seulement dans les premières minutes du début de la journée après 9h00 et quelque part 2-3 semaines à l'avance. Les médias ont rapporté que les agents immobiliers réservaient tout pour eux-mêmes, puis vendaient leur tour - mais comme l'enregistrement était personnalisé, en plus d'acheter une file d'attente, il était également nécessaire d'émettre une fiducie pour un tel homme d'affaires, car personne d'autre ne pouvait y aller à tour de rôle.
Une alternative à cela est devenue les notaires, qui peuvent envoyer électroniquement des documents d'enregistrement d'une transaction à Rosreestr, mais ils facturent beaucoup pour notariser la transaction. Une autre alternative est DomClik de Sberbank: si l'acheteur achète sur une hypothèque, alors DomClik vous permet de tout enregistrer électroniquement (même avec un petit avantage à un taux d'intérêt).
L'acheteur a été trouvé sur l'hypothèque et, ensemble, ils ont décidé de passer par DomClick. Mais ce n'était pas là. La propriété s'est avérée ancienne et l'enregistrement des droits a été effectué en 1995. Si vous avez enregistré vos droits avant le 31/01/1998, vous avez besoin de:
- ou soumettre à l'avance une demande d'enregistrement de droits acquis antérieurement (nécessite le paiement d'une taxe d'État)
- ou soumettre une telle demande simultanément à la transaction, alors c'est gratuit
Cependant, DomClick ne sait pas comment soumettre de telles demandes. Les notaires n'entreprennent pas non plus cela pour des raisons que je ne connais pas. L'accord était en péril, le MFC ayant offert le record dès le 23 septembre.
Et puis je sors tout en blanc et je dis: "Faisons-le nous-mêmes électroniquement?"
Modifications de la législation
Cela vaut peut-être la peine de commencer par le fait que l'année dernière, la notarisation obligatoire de la transaction a été annulée s'il existe une propriété commune partagée et que tous les propriétaires des actions participent à la transaction. Bien sûr, c'est une chose positive, car les notaires sont complètement fous - ces gars-là devraient rester à l'écart si possible.
Après une série de scandales ( un , deux , trois ) qui ont balayé en 2019 liés à l'enregistrement des droits immobiliers et à la création d'entités juridiques à l'aide d'une signature électronique, quelques amendements à la loi ont été adoptés... En bref: désormais, par défaut, il n'est possible d'utiliser ES pour les transactions immobilières que si le certificat ES est délivré par le centre de certification de Rosreestr, ou plutôt sa fille, la FGBU «Cadastral Chamber». Vous pouvez annuler cette valeur par défaut en indiquant explicitement que vous souhaitez le faire avec le certificat de n'importe quelle autorité de certification. Cependant, pour cela, vous devez soumettre une demande à Rosreestr via le MFC, et pour cela, pré-enregistrez-vous 2 à 3 semaines à l'avance (voir ci-dessus) - c'est-à-dire sans gain de temps.
Bien? CA Rosreestr s'avère être la seule alternative. Nous commençons à étudier. Le CA se trouve au niveau du lien . Cliquez sur "Combien ça coûte?" 2200 roubles avec une entrée pour un jeton. 700 roubles - Fournie par voie électronique, l'identité est vérifiée au bureau... Merde! Sous forme électronique, cela signifie qu'ils travaillent selon le schéma avec une demande de certificat. Autrement dit, vous pouvez générer une paire de la manière la plus correcte sur votre lieu de travail, leur envoyer une demande et, au bureau, vous devez simplement suivre la procédure d'identification - ce que doit faire l'AC.
Nous nous enregistrons, nous saisissons toutes les données dans le profil. Nous appuyons sur "Envoyer la demande". Le site effectue un diagnostic automatique des logiciels installés: tout répond aux exigences nécessaires, car seuls les plugins de navigateur courants sont utilisés, contrairement à Tensor. Nous générons une paire en mode FCN sur notre nouveau Rutoken EDS 2.0 3000. Nous attendons. Quelques minutes plus tard, des e-mails concernant d'autres actions arrivent à l'e-mail. On dit qu'il attend le document pour le paiement. Dans environ une demi-heure, un reçu de paiement avec un code QR arrive. Paiement au budget, par conséquent, l'UIN est utilisé. Nous payons 700 roubles via une banque en ligne. Après 20 minutes supplémentaires, l'application passe à l'état payant. Bundle Bank <-> GIS GMP <-> Rosreestr fonctionne plus rapidement que les paiements aux détails du compte, mais la vitesse spécifique peut dépendre de la banque sélectionnée.Nous appelons le numéro de téléphone indiqué dans la lettre pour prendre rendez-vous pour un temps pour vérifier l'identité - il y a même des numéros pour aujourd'hui. Courant au bureau de la chambre cadastrale. Et voici le résultat - à 14h00, ils ont été intrigués par cette question. À 16h00, nous avons suivi la procédure de la carte d'identité et en rentrant chez nous, des certificats ont été délivrés. La procédure est assez approfondie, en plus de tous les contrôles documentaires, des photographies sont également prises.Soit dit en passant, les certificats sont valables 15 mois et pas comme d'habitude pendant un an.
Résumé
Malgré le fait que Rosreestr est resté un monolithe de facto sur le marché ES des transactions immobilières, cela fonctionne bien. Avant cela, j'ai utilisé le TC Tensor, où un individu peut obtenir un certificat ES pour 500 roubles. Mais la rapidité du travail, le fait qu'il n'y ait pas besoin d'installer de logiciel supplémentaire, comme Tenzor, un certificat pour 15 mois - tout cela me donne des raisons de louer Rosreestr pour la première fois depuis de nombreuses années. Un trop-payé de 200 roubles par rapport à Tensor en vaut la peine, à mon humble avis.
Mise à jour Rosreestr concernant les transactions électroniques
Dans l'article précédent sur ce sujet, nous avons examiné l'exécution des transactions en utilisant le portail principal de Rosreestr (non disponible au moment de la rédaction). Dans un premier temps, j'ai décidé de suivre les sentiers battus, mais je suis très vite tombé sur le fait que le numéro cadastral saisi des lieux n'était pas validé, bien qu'il ait été saisi absolument correctement. L'analyse du code HTML a montré qu'une béquille a été insérée dans le validateur, ce qui rejette la plupart des numéros cadastraux pour le premier groupe de chiffres, qui désigne une région. Toutes les régions sauf six pièces (16, 26, 47, 61, 63 et 76) ont ainsi été interdites. Bien sûr, il n'est écrit nulle part à ce sujet. Je voulais bombarder.
Cependant, je me suis rapidement souvenu qu'une fonctionnalité similaire, mais avec une interface différente, était présentée dans le compte personnel d'un citoyen de Rosreestr(autorisation via ESIA), que je n'ai pas pu tester dans le dernier article. J'y suis allé et un examen rapide a montré qu'il n'y avait aucune restriction pour Peter. Nous allons donc faire cela.
Sur les raisons possibles de ce comportement de Rosreestr
— . . , . , , .
Allez dans l'onglet "Services et services" et sélectionnez le service dont vous avez besoin:
Ensuite, nous aurons plusieurs étapes pour remplir une demande (selon le service sélectionné):
Lors de la première étape, il vous suffit d'accepter et de cocher la case.
De plus, malheureusement, je ne publie pas les captures d'écran, car elles contiennent beaucoup de données personnelles.
Dans la deuxième étape, vous devez vérifier et remplir les données du candidat. Les données sont extraites de l'EIES, mais si votre profil n'est pas complètement rempli, quelque chose devra être ajouté. Rosreestr extrait également mal les adresses de résidence et d'enregistrement de l'EIES - vous devrez probablement les spécifier manuellement. Notez également qu'à cette étape, il est possible d'ajouter d'autres candidats . Cela doit être fait si l'appartement a plusieurs propriétaires.
Dans la troisième étape, vous spécifiez (dans ce cas) les données de propriété (détails des locaux, partages, etc.).
La quatrième étape est la plus difficile. Ici, vous devez télécharger tous les documents. À commencer par des scans du passeport, que chaque demandeur certifie par sa signature électronique, se terminant par des contrats et autres documents, qui doivent être certifiés par les signatures électroniques de ceux qui les signent. Par exemple, un contrat doit être signé par toutes les parties à la transaction. De plus, vous pouvez avoir besoin d'un document que vous ne possédez que sur papier ou d'une partie qui n'est pas impliquée dans la transaction - par exemple, le consentement d'un conjoint. Ici, vous pouvez faire appel à un notaire - les notaires savent numériser des documents et signer les scans avec leur signature électronique et le fait que le document électronique résultant est complètement identique au document sur papier. Peut-être, si tout le document est rédigé par le notaire lui-même,alors il peut immédiatement le rendre électronique avec sa signature sans l'imprimer sur papier - il n'a pas vérifié si les notaires fonctionnent de cette façon dans la pratique.
Pour signer un document avec plusieurs signatures électroniques afin que toutes les signatures tombent dans un seul fichier (Rosreestr ne prend pas en charge la possibilité de spécifier plusieurs fichiers avec des signatures qui se rapportent à un document), dans les commentaires du dernier message, il a été recommandé d'utiliser l' utilitaire gratuit Cryptoline de Taxcom . En effet, l'utilitaire est un feu, même si l'interface est excentrique.
À la dernière (cinquième) étape, vous devez revérifier la composition de la candidature soumise, la signer et l'envoyer. Avant l'envoi, vous serez interrogé sur votre souhait de rédiger une seconde candidature dans le même lot de documents. Si vous enregistrez une transaction (transfert de droits), et pas seulement un enregistrement de droits, cela doit être fait. En outre, la première demande doit être présentée par les propriétaires actuels des locaux, et la seconde - au nom de ceux à qui le droit est transféré. Dans les deux déclarations, vous devez joindre un accord signé par toutes les parties à la transaction.
Résumé
Dans une situation apparemment désespérée, il y avait une issue. C'est parce que les geeks ne sont pas un mode de vie, mais un désir d'inconnu. Mon expérience passée, tissée d'un simple désir d'essayer l'inconnu, s'est transformée en de réels bénéfices.