--- title: "PKI.gov.kz – сертификаты" description: "1. Получение регистрационных свидетельств С получением сертификатов и ключей особых проблем возникну..." author: "Zozimos" published: "2012-10-10T22:35:52+00:00" modified: "2012-10-11T02:17:59+00:00" locale: "ru" canonical_url: "https://yvision.kz/post/pki-gov-kz-sertifikaty-295510" markdown_url: "https://yvision.kz/post/pki-gov-kz-sertifikaty-295510/markdown" site_name: "Yvision.kz" --- # PKI.gov.kz – сертификаты > 1. Получение регистрационных свидетельств С получением сертификатов и ключей особых проблем возникну... **1. Получение регистрационных свидетельств** С получением сертификатов и ключей особых проблем возникнуть не должно, все просто и четко описано в соответствующих инструкциях. Единственное что нужно решить для себя, так это место хранения ваших ключей. Тут есть два подхода: на аппаратном носителе (удостоверение личности или Казтокен) или в файле на компьютере. С точки зрения безопасности аппаратные носители самый правильный выбор, он вам гарантирует, что ваши ключи будут всегда в единственном варианте и только на этом носителе. Это означает, что если вы держите у себя в руках этот носитель – значит ключи только у вас. С файлом на компьютере такой гарантии нет, этот файл может быть скопирован на различные компьютеры и устройства, причем не только вами. Соответственно, если кто-то смог скопировать себе ваш файл с ключами и пароль к этому файлу вы выбрали простой, то есть большая вероятность того, что этот «кто-то» сможет воспользоваться вашими ключами. Что значит воспользоваться? Это значит, что «кто-то» сможет выполнять некие действия от вашего имени, может получать информацию о вас от государственных органов, при этом вся ответственность за эти действия ляжет на вас. Поэтому, этот файл(ы) с ключами и сертификатами надо защищать сильным паролем, а сам файл можно записать на флешку и хранить его в сейфе. Не храните эти файлы на своем компьютере. При выборе аппаратного носителя встает выбор устройства: удостоверение личности или казтокен. Каждый из них имеет как свои преимущества так и недостатки. Недостаток казтокена – его надо купить за свои деньги, а удостоверение вам выдаст государство. Но для того чтобы работать с удостоверением, вам необходимо купить кард ридер, опять же за свои деньги. А если вы работаете на нескольких компьютерах, то чтобы не таскать с собой кард ридер вам придется купить их несколько. Т.е. в любом случае придется платить за безопасность. Я сделал свой выбор в пользу казтокена, потому что им можно воспользоваться на любом компьютере без дополнительно оборудования. Ну не хочу я всегда носить с собой кард ридер. Если вы выбираете удостоверение личности, то при его получении в ЦОНе попросите сменить ПИН к нему. Иначе вам могут назначить ПИН по умолчанию (год вашего рождения). Впоследствии у вас не будет возможности сменить ПИН самостоятельно. **2. Сертификаты физических лиц - обзор** Выдаются 2 сертификата: один для ЭЦП, второй для аутентификации. Оба сертификата выпускаются на секретные ключи RSA (2048бит) и сроком на один год. Отличаются они только политикой применения. Оба сертификата содержат политику «1.2.398.3.3.1.1 Регламент Национального удостоверяющего центра Республики Казахстан» и путь (где скачать и посмотреть) до нее: [http://pki.gov.kz/info/ca_policy.pdf](http://pki.gov.kz/info/ca_policy.pdf) ![PKI.gov.kz – сертификаты](https://storage.yvision.kz/images/user/zozimos/Qo5u81hgg4CfH9kPdJ4PRRiFf8o4jW.jpg) Но по этому адресу никакого регламента нет. Т.е. ссылка из сертификата идет на несуществующий регламент? ![PKI.gov.kz – сертификаты](https://storage.yvision.kz/images/user/zozimos/nPuon0YwirLq5IihI6EFsPS1KD8n4R.jpg) Не беда, на самом сайте НУЦ находим регламент и изучаем его: [http://pki.gov.kz/images/content/reglament_nucrk.pdf](http://pki.gov.kz/images/content/reglament_nucrk.pdf) В регламенте в пункте «1.3.2 Пользователи НУЦ» сказано: *"Пользователями НУЦ являются физические, юридические лица РК и государственные служащие, которые входят в одну или несколько из ниже перечисленных групп:* - *пользователи регистрационных свидетельств, изданных НУЦ;* - *владельцы регистрационных свидетельств, изданных НУЦ.* *1.3.2.1. Пользователи регистрационных свидетельств* *Пользователями регистрационных свидетельств являются лица, использующие для каких-либо целей регистрационные свидетельства, изданные Национальным удостоверяющим центром.* *1.3.2.2. Владельцы регистрационных свидетельств* *Владельцами регистрационных свидетельств являются лица, на имя которых Национальным удостоверяющим центром выданы регистрационные свидетельства, правомерно владеющие закрытыми ключами, соответствующими открытым ключам, указанным в регистрационных свидетельствах."* Вот тут становится не понятно кем является физическое лицо: пользователем или владельцем? Читая текст регламента можно сделать следующий вывод. Если я использую сертификаты, но не правомерно владею ключами – то я Пользователь. Если я правомерно владею ключами, но не использую их – я Владелец. Далее по всему регламенту идет перемешивание этих двух субъектов. То владелец, то пользователь. Например, для того чтобы отозвать сертификат нужен и владелец и пользователь одновременно: *"**Владелец** регистрационного свидетельства может сам отправить заявку на отзыв своего регистрационного свидетельства через веб-ресурс НУЦ. Для этого **пользователю** необходимо пройти аутентификацию при помощи своего регистрационного свидетельства выданного НУЦ на алгоритме RSA."* Также как и с путем до регламента, в сертификатах прописаны неверные пути до политик применения: [http://pki.gov.kz/info/policy_auth_ind.pdf](http://pki.gov.kz/info/policy_auth_ind.pdf) и [http://pki.gov.kz/info/policy_sign_ind.pdf](http://pki.gov.kz/info/policy_sign_ind.pdf) ![PKI.gov.kz – сертификаты](https://storage.yvision.kz/images/user/zozimos/rspjVqT1aCk7P5XtkuBNtvdQGsJiZk.jpg) Находим их самостоятельно на сайте: [http://pki.gov.kz/images/content/pprs_ecp_fiz_lic.pdf](http://pki.gov.kz/images/content/pprs_ecp_fiz_lic.pdf) и [http://pki.gov.kz/images/content/pprs_aut_fiz_lic_rk.pdf](http://pki.gov.kz/images/content/pprs_aut_fiz_lic_rk.pdf) Изучая их, понимаешь, что они давно уже устарели и не соответствуют выдаваемым в настоящее время сертификатам. Такого быть не должно. Все должно быть четко и однозначно. Это же Национальный Удостоверяющий Центр Республики Казахстан. Еще интересный момент. В сертификатах, выданных на удостоверении личности, прописан неизвестный email пользователя: E = [EGOV.ECP@MAIL.RU](mailto:EGOV.ECP@MAIL.RU). ![PKI.gov.kz – сертификаты](https://storage.yvision.kz/images/user/zozimos/f15Jd618VUZrarGANFL2Eij55I4uys.jpg) Что это за адрес? Чей он? Почему на mail.ru? **2. Сертификаты – сфера применения** Со сферой применения остается много вопросов. Где можно использовать сертификаты НУЦ? В каких информационных системах? Попробуем разобраться, основываясь на доступной информации. Согласно закону об ЭЦП РК (распространяется только на сертификаты ЭЦП, не учитываются сертификаты аутентификации), подпись будет действительна и признаваться в случае, если *«3) электронная цифровая подпись используется в соответствии со сведениями, указанными в регистрационном свидетельстве.»* В выдаваемых НУЦом сертификатах (регистрационных свидетельств) ЭЦП указаны следующие сведения: *1. Использование ключа: Цифровая подпись, Неотрекаемость (c0)* *2. Политика сертификата: *ссылка на Политику применения такого сертификата ([http://pki.gov.kz/info/policy_sign_ind.pdf](http://pki.gov.kz/info/policy_sign_ind.pdf)), а также просто текстом прописано* «Для подписи электронных документов физическим лицом. Предназначение - сфера Электронного Правительства»* ![PKI.gov.kz – сертификаты](https://storage.yvision.kz/images/user/zozimos/HEzO0gk2eF6376pWdMF1YUiql9mTv0.jpg) Смотрим политику применения: **Общее.** *«Регистрационные свидетельства ЭЦП физических лиц предназначены для проверки электронной цифровой подписи физического лица в автоматизированных информационных системах вообще и в рамках Национальной идентификационной системы Республики Казахстан в частности.»* **Разрешено.** *Регистрационные свидетельства, выпущенные в соответствии с настоящим ППРС, и соответствующие ключи могут использоваться как на территории Республики Казахстан, так и за ее пределами для обеспечения юридической силы электронных документов (сообщений) посредством использования электронной цифровой подписи в процессах электронного взаимодействия. Регистрационные свидетельства ЭЦП ФЛ должны применяться в отношениях государственный орган РК – гражданин РК (G2C).* **Запрещено.** *Применение регистрационных свидетельств ЭЦП ФЛ не должно противоречить законодательству Республики Казахстан, данной ППРС и регламенту НУЦ.* Исходя из этого, можно однозначно сказать, что эти сертификаты можно использовать в отношениях Государство-Гражданин (G2C) и Государство-Юридическое лицо(G2B). А вот применение этих сертификатов в отношениях Гражданин- Гражданин (C2C), Гражданин-Юридическое лицо (C2B) и Юридическое лицо- Юридическое лицо (B2B) неоднозначно. Вроде как явного запрета на это в документах нет. И этот вопрос остается загадкой. С точки зрения простой логики, сертификат Гражданина можно рассматривать как его электронное удостоверение личности, которое он может использовать в информационных системах для идентификации и аутентификации себя. Т.е. если в простом мире Гражданин идентифицирует себя в любом месте (например, в коммерческой организации) предоставляя свое обычное удостоверение личности, то в электронном мире он может сделать тоже самое с помощью личных сертификатов. Значит, коммерческая организация может взять себе «на вооружение» использование сертификатов НУЦ, выданных физическим лицам. Но будет ли это законно? Загадка. --- Source: [https://yvision.kz/post/pki-gov-kz-sertifikaty-295510](https://yvision.kz/post/pki-gov-kz-sertifikaty-295510)