Várias coisas me levaram a escrever este artigo:
- Uma dívida para com a empresa "Active", que gentilmente me cedeu seu novo crypto-token Rutoken EDS 2.0, modificação 3000. Nastya_d, Vou marcar você porque você é a última pessoa a postar em nome da empresa
- COVID-19, que transferiu o trabalho de Rosreestr para o modo "somente com hora marcada" com uma incapacidade crônica de se inscrever lá
- Mudanças na legislação que foram adotadas após uma série de escândalos no ano passado relacionados ao uso de assinatura eletrônica
- Atualização do Rosreestr em termos de realização de transações eletrônicas e preenchimento de quaisquer outros aplicativos eletrônicos
Então, provavelmente, vamos. Se você não está interessado em algo, pode ir para um título interessante.
Rutoken EDS 2.0 3000
Dados
Novo token com a marca antiga. Parece algum tipo de aditivo 3000 no final e não está claro do que se trata. Enquanto isso, temos diante de nós um portador fundamentalmente novo de informações importantes. A única coisa que o une ao clássico Rutoken EDS 2.0 é que ele pode ser compatível com ele e, como antes, pode armazenar chaves privadas irrecuperáveis, operações criptográficas com as quais ocorrem diretamente no controlador do dispositivo, e as chaves privadas nunca saem de seus limites.
Qual é a diferença? Talvez haja quatro diferenças:
- Este portador de chave de função (PKU), trabalhando em um protocolo (na verdade, metaprotokolu) SESPAKE , que nos dá o canal de proteção entre o driver e o controlador, ouvindo
- Várias acelerações ao trabalhar com um token que tem várias chaves com certificados
- Incapacidade de trabalhar no modo FCN via PKCS # 11
- Falta de operação sem CryptoPro
Vamos em ordem agora.
FKN com SESPAKE torna possível proteger o canal de troca entre o provedor de driver / criptografia e o controlador de armazenamento. Anteriormente, tal interceptação era possível, e qualquer ventilador Wireshark com um USBcap instalado poderia contemplar códigos PIN abertos ao trabalhar com o Rutoken EDS 2.0 clássico, que são transmitidos nos comandos APDU do controlador, o que potencialmente fornece um vetor de ataque para espionar o PIN e assinar ainda mais tudo e todos sem interação do usuário. E embora as chaves formalmente privadas ainda permaneçam irrecuperáveis, isso pode não ser mais uma questão de princípio.
Aceleração. Não sei como e por que, mas se você tivesse vários certificados em um token Rutoken EDS 2.0, os freios foram fornecidos. Principalmente quando o software tenta passar por todos os certificados ou encontrar um contêiner com o certificado certo. Seu humilde servo percebeu pessoalmente a situação quando, em alguns sistemas EDF, a descriptografia de um pequeno documento demorava mais de um minuto. Tudo terminou com o fato de que Tensor em seus plug-ins até baniu o uso de tokens de hardware em conjunto com a 5ª versão do CryptoPro, o que despertou muitas suspeitas . Agora nem tudo é assim, eu nem percebo a diferença entre quando havia um certificado no token e agora, quando há quatro deles (o Tensor ainda não funciona com chaves de hardware em versões de plug-in em algum lugar desde o outono de 2019).
O modo PKCS # 11 é a capacidade de usar a biblioteca do fabricante que implementa a API PKCS # 11 padrão para trabalhar com ela (diretamente sem o CryptoProvider). É usado um pouco no Windows, porque A API de criptografia do Windows é a forma dominante. No Linux, infelizmente, ao que parece, se você não aproveitar a oportunidade hipotética de instalar o CryptoPro no Linux e usá-lo. CryptoPro para Linux é essencialmente uma implementação da API Windows Crypto, ou seja, nenhum software tradicional para Linux tem suporte e não irá suportá-lo. Em vez disso, é uma oportunidade para os desenvolvedores reduzirem os pedidos do governo e desenvolverem produtos de servidor apropriados para Linux com a possibilidade de criptografia GOST. Não há dúvida de usá-lo no Linux Desktop. No entanto, Rutoken fornece sua biblioteca PKCS # 11 para o antigo Rutoken EDS 2.0 e eu até consegui de alguma forma fazer amizade com o plug-in de State Services para autenticação por assinatura eletrônica. Com o FKN não existe essa possibilidade, pelo que entendi, mas talvez a empresa Active me corrija.
Falta de operação sem CryptoPro. Isso provavelmente se deve ao parágrafo anterior. Mas, na prática, houve alguma confusão ao usar o Rutoken EDS 2.0. Por alguma razão, poucas pessoas sabem que o Rutoken EDS 2.0 pode funcionar perfeitamente com a 5ª versão do CryptoPro. Talvez devido ao fato de ter surgido muito antes do CryptoPro 5. Como resultado, vários participantes do mercado desenvolveram soluções personalizadas que permitem trabalhar com o Rutoken EDS 2.0 sem o CryptoPro. Isso gerou sérias dificuldades para diagnosticar problemas nos locais. Você diz que tem o CryptoPro e o Rutoken EDS 2.0, mas eles dizem que o Rutoken EDS 2.0 não funciona com o CryptoPro. Desde 3000, parece não haver alternativa. Apenas CryptoPro 5. Bom ou ruim - o tempo dirá.
Imagens
Se você estiver usando a versão 5 do CryptoPro, o suporte vem pronto para uso. As diferenças para o usuário são mínimas. Criação de um contêiner de chave:
em contraste com uma mídia sem corte, agora você pode escolher em qual modo gerar um par de chaves. O superior é o novo modo FKN, o inferior é o antigo modo Rutoken EDS 2.0 com suporte a PKCS # 11, no meio está o modo de token burro, no qual o provedor de criptografia faz todo o trabalho.
Ao criar o primeiro contêiner no modo FKN, o CryptoPro solicitará que você defina o código PUK e a senha:
Como resultado, receberemos um par de chaves, que pode ser visualizado no Painel de Controle Rutoken:
Resumo
O Rutoken EDS 2.0 3000 tornou-se para mim um substituto muito esperado para o portador de chave funcional usado anteriormente do APK CryptoPro Rutoken CSP 3.6, que só era capaz de usar os padrões GOST antigos. No entanto, estou muito chateado que para trabalhar com tudo isso, tenho que manter uma máquina virtual com Windows. Seria ótimo se Rutoken revelasse uma descrição de sua implementação do protocolo SESPAKE. Acho que será possível anexar bibliotecas Linux padrão para trabalhar com este token sem problemas.
COVID-19 e RosReestr
A pandemia afetou negativamente a capacidade de trabalhar com RosReestr. Não sei sobre outras regiões, mas algum tipo de bacanal aconteceu em São Petersburgo. Por um lado, o MFC mudou completamente para trabalhar com hora marcada (agora eles saíram, mas continuam nos serviços da RosReestr). Por outro lado, tornou-se possível inscrever-se apenas nos primeiros minutos do início do dia a partir das 9h00 e com 2 a 3 semanas de antecedência. A mídia noticiou que os corretores faziam tudo para eles próprios e depois vendiam a sua vez - mas como o registro era personalizado, além de comprar fila, também era necessário fazer um fideicomisso para esse empresário, porque ninguém mais podia ir em turnos.
Uma alternativa a isso tornaram-se os tabeliães, que podem enviar eletronicamente à Rosreestr documentos para registrar uma transação, mas cobram muito para autenticar a transação. Outra alternativa é o DomClick do Sberbank: se o comprador comprar com base em uma hipoteca, o DomClik permite que você registre tudo eletronicamente (mesmo com um pequeno benefício a uma taxa de juros).
O comprador foi encontrado na hipoteca e, juntos, decidiram pela emissão da DomClick. Mas não estava lá. O imóvel revelou-se antigo e o registro de direitos foi realizado em 1995. Se você registrou seus direitos antes de 31/01/1998, você precisa de:
- ou enviar um pedido de registro de direitos anteriormente adquiridos com antecedência (exige o pagamento de uma taxa estadual)
- ou enviar tal pedido simultaneamente com a transação, então é gratuito
No entanto, DomKlik não sabe como enviar tais pedidos. Os notários também não fazem isso por razões que eu não conheço, que eu não descobri. O negócio estava em perigo, já que o MFC ofereceu o recorde já em 23 de setembro.
E aí eu saio todo de branco e digo: "Vamos fazer eletronicamente nós mesmos?"
Mudanças na legislação
Talvez valha a pena começar pelo fato de que no ano passado a obrigatoriedade de notarização da operação foi cancelada se houvesse um bem comum e todos os titulares das ações participassem da operação. Claro, isso é uma coisa positiva, porque os notários são completamente loucos - esses caras deveriam ficar longe, se possível.
Após uma série de escândalos ( um , dois , três ) varridos em 2019 relacionados ao registro de direitos imobiliários e à criação de pessoas jurídicas por meio de assinatura eletrônica, algumas alterações à lei foram adotadas... Resumindo: agora, por padrão, é possível usar o ES para transações imobiliárias apenas se o certificado ES for emitido pelo centro de certificação de Rosreestr, ou melhor, sua filha, a Instituição Orçamentária Estadual Federal "Câmara Cadastral". Você pode cancelar esse padrão indicando explicitamente que deseja fazer isso com o certificado de qualquer CA. No entanto, para isso, você precisa enviar uma solicitação à Rosreestr por meio do MFC e, para isso, pré-registrar-se com 2 a 3 semanas de antecedência (veja acima) - ou seja, sem ganho de tempo.
Bem? CA Rosreestr acaba sendo a única alternativa. Começamos a estudar. O CA está localizado no link . Clique em "Quanto custa?" 2.200 rublos com uma entrada para um token. 700 rublos - Fornecido eletronicamente, a identidade é verificada no escritório... Merda! Em formato eletrônico, isso significa que eles funcionam de acordo com o esquema com um pedido de certificado. Ou seja, você pode gerar um par da forma mais correta em seu local de trabalho, enviar uma solicitação para eles e no escritório você só passar pelo procedimento de identificação - que é o que o CA deve fazer.
Nós nos cadastramos, inserimos todos os dados no perfil. Pressionamos "Enviar pedido". O site faz diagnósticos automáticos do software instalado: tudo atende aos requisitos necessários, pois apenas plug-ins de navegador comuns são usados, não como o Tensor. Geramos um par no modo FCN em nosso novo Rutoken EDS 2.0 3000. Estamos esperando. Alguns minutos depois, emails sobre outras ações chegam ao e-mail. Diz-se que espera o documento para pagamento. Em cerca de meia hora, chega um recibo de pagamento com um código QR. Pagamento ao orçamento, portanto, UIN é usado. Pagamos 700 rublos por meio de um banco online. Após mais 20 minutos, o aplicativo entra no estado pago. Bundle Bank <-> GIS GMP <-> Rosreestr funciona mais rápido do que os pagamentos aos detalhes da conta, mas a velocidade específica pode depender do banco selecionado.Ligamos para o número indicado na carta para marcar um horário para verificação de identidade - existem números até hoje. Correndo para o escritório da câmara cadastral. E aqui está o resultado - às 14:00 eles estavam intrigados com esta pergunta. Às 16 horas, passamos pelo procedimento do cartão de identidade e, enquanto dirigíamos para casa, foram emitidos certificados. O procedimento é bastante minucioso, além de todas as verificações documentais, também são tiradas fotografias.Certificados, aliás, são por 15 meses , e não como de costume por um ano.
Resumo
Apesar do fato de que Rosreestr permaneceu um monólito de fato no mercado de ES para transações imobiliárias, ele funciona bem. Antes disso, usei o TC Tensor, onde um indivíduo pode obter um certificado ES por 500 rublos. Mas a velocidade do trabalho, o fato de não haver necessidade de instalar softwares adicionais, como Tenzor, um certificado de 15 meses - tudo isso me dá motivos para elogiar Rosreestr pela primeira vez em muitos anos. O pagamento indevido de 200 rublos em relação ao Tensor vale a pena, IMHO.
Atualização Rosreestr sobre transações eletrônicas
No artigo anterior sobre este tema, consideramos a execução de transações usando o portal principal da Rosreestr (não disponível no momento da redação). A princípio, decidi seguir o caminho habitual, mas rapidamente descobri que o número cadastral das instalações inserido não foi validado, embora tenha sido inserido de forma absolutamente correta. A análise do código HTML mostrou que uma muleta foi inserida no validador, que rejeita a maioria dos números cadastrais do primeiro grupo de números, que denota uma região. Todas as regiões, exceto seis peças (16, 26, 47, 61, 63 e 76) foram banidas. Naturalmente, em nenhum lugar está escrito sobre isso. Eu queria explodir.
No entanto, rapidamente me lembrei que uma funcionalidade semelhante, mas com uma interface diferente, foi apresentada no relato pessoal de um cidadão em Rosreestr(autorização via ESIA), que não consegui testar no último artigo. Fui lá e um exame superficial mostrou que não há restrições para Peter. Então vamos fazer isso.
Sobre as possíveis razões para este comportamento de Rosreestr
— . . , . , , .
Vá até a aba "Serviços e serviços" e selecione o serviço que você precisa: A
seguir, teremos vários passos para preencher o formulário (dependendo do serviço selecionado):
Na primeira etapa, basta concordar e marcar a caixa.
Além disso, infelizmente, não publico as capturas de tela, pois elas contêm muitos dados pessoais.
Na segunda etapa, você precisa verificar e preencher os dados do candidato. Os dados são extraídos do ESIA, mas se o seu perfil não estiver completamente preenchido, algo terá que ser adicionado. Rosreestr também mal consegue os endereços de residência e registro da ESIA - provavelmente você terá que especificá-los manualmente. Observe também que nesta etapa existe a oportunidade de adicionar outros candidatos . Isso deve ser feito se o apartamento tiver vários proprietários.
Na terceira etapa, você especifica (neste caso) os dados da propriedade (detalhes das instalações, compartilhamentos, etc.).
A quarta etapa é a mais difícil. Aqui você precisa fazer o upload de todos os documentos. Começando com digitalizações do passaporte, que cada requerente certifica com a sua assinatura eletrónica, terminando com contratos e outros documentos, que devem ser autenticados com a assinatura eletrónica de quem os assina. Por exemplo, um contrato deve ser assinado por todas as partes da transação. Além disso, você pode precisar de um documento que possui apenas em papel ou de uma parte que não esteja envolvida na transação - por exemplo, o consentimento de um cônjuge. Aqui pode recorrer a um notário - o notário sabe digitalizar os documentos e assinar as digitalizações com a sua assinatura electrónica e o facto de o documento electrónico resultante ser totalmente idêntico ao documento em papel. Talvez, se todo o documento for lavrado pelo próprio notário,então ele pode imediatamente torná-lo eletrônico com sua assinatura, sem imprimi-lo em papel - ele não verificou se os cartórios funcionam dessa forma na prática.
Para assinar um documento com várias assinaturas eletrônicas de modo que todas as assinaturas caiam em um arquivo (Rosreestr não suporta a capacidade de especificar vários arquivos com assinaturas que se referem a um documento), nos comentários à última postagem, foi recomendado usar o utilitário gratuito Cryptoline da Taxcom . Na verdade, o utilitário é um incêndio, embora a interface seja excêntrica.
Na última (quinta) etapa, você deve verificar novamente a composição da inscrição enviada, assiná-la e enviá-la. Antes do envio, ser-lhe-á perguntado se deseja elaborar uma segunda candidatura no mesmo pacote de documentos. Se você está registrando uma transação (transferência de direitos), e não apenas o registro de direitos, isso deve ser feito. Além disso, o primeiro pedido deve ser apresentado pelos atuais proprietários das instalações, e o segundo - em nome daqueles a quem o direito é transferido. Em ambas as declarações, você precisa anexar um acordo assinado por todas as partes da transação.
Resumo
Em uma situação aparentemente sem esperança, havia uma saída. Isso ocorre porque os geeks não são um estilo de vida, mas um desejo pelo desconhecido. Minha experiência passada, tecida a partir de um simples desejo de experimentar o desconhecido, transformou-se em benefícios reais.