Инцидент, ставящий под сомнение казахстанский институт ЭЦП

5 мая этого года в нашем телеграм-канале (t.me/certkznews) мы опубликовали информацию от одного из активных участников нашего чата (t.me/cyberseckz) Анатолия Ремнева. Публикация содержала видеоматериал https://youtu.be/e1WQgkv5vqg о том, как отозванный ключ ЭЦП продолжает работать на государственных сервисах электронного правительства: esf.gov.kz, goszakup.gov.kz, office.sud.kz и stat.gov.kz.

К слову, "фейл" не был признан некоторыми специалистами – ситуация объяснялась тем, что ключ будет аннулирован по истечении 12 или 24 часов с момента его отзыва. Было заявлено, что сделаны преждевременные выводы и международная практика предусматривает короткое время действия отозванных ключей, пока идет процесс их синхронизации.

Имея отозванный ключ и достаточно времени, мы повторили процедуру подписи через 12, 24, 36, 48, 60 и 72 часа – результат остается неизменным и юридически невалидные ключи продолжают оставаться валидными в техническом смысле. При этом, корневым удостоверяющим центром PKI.GOV.KZ ключ не принимался.

Что это означает? Данный инцидент, а это серьезный кейс, ставящий под сомнение весь институт казахстанской системы ЭЦП и удостоверяющих центров, позволяет усомниться во всех документах с применением данной технологии. Также вопросы возникают и к процедуре сертификации, которая подтвердила соответствие указанных систем всем предъявляемым требованиям.

К слову, произошедшее является прямым нарушением правил проверки ЭЦП, утвержденных приказом министра МИР РК http://adilet.zan.kz/rus/docs/V1500012864

P.S. Выяснилось, что при получении справки из нарко-, псих- и тубдиспансеров через соответствующую государственную услугу на портале EGOV, вы получаете документы, подписанные просроченным ключом ЭЦП. По сути – нелегитимный документ.

Недавно поступил ответ представителя НИТ (публикуем с сохранением стилистики): Здравствуйте! Данному посту хотел бы от лица компании (АО "Национальные информационные технологии") пояснить следующее. Начну с того, что НУЦ РК публикует список отозванных ЭЦП на своем сайте crl.pki.gov.kz, то есть любой гражданин, любая организация может зайти, и по серийному номеру найти свой отозванный сертификат. Далее по самой ситуации.
Все информационные системы (или их владельцы) при проверке подписи в электронных документах ДОЛЖНЫ проверять регистрационные свидетельства на отозванность (аннулирование) на сайте Национального удостоверяющего центра Республики Казахстан, как это было всегда =) …то есть ответственность и техническая реализация проверки подлинности ЭЦП и регистрационного свидетельства возлагается на самого ВЛАДЕЛЬЦА информационной системы/сервиса.

Резюмируя, хочу сказать, что в случае, если какая-либо информационная система или сервис не производит проверку регистрационных свидетельств на предмет отзыва, то необходимо обратиться в техническую поддержку данной информационной системы/сервиса или в адрес ее владельца (уполномоченный госорган и т.д.) за разъяснением всех обстоятельств.