Как отличить процесс входа от процесса подписания?

GoldenScrew · 22.07.2025 11:03:33

Здравствуйте!
Сейчас для физ. лиц используется один ЭЦП, который и для входа на порталы и для подписания.
Как теперь определять, что при входе на портал ничего не подписывается, никаких соглашений?
В чем заключается техническая разница подписания от входа на портал?
Так как для пользователя это одинаковые процедуры, выбор ключа и ввод пароля.

Danil · 22.07.2025 13:02:48

Здравствуйте!

Подписание происходи на стороне клиента с помощью инструмента NCALayer.
В NCALayer, во время выбора ключа, есть возможность посмотреть что вы сейчас будете подписывать.
Просмотр подписываемых данных

Технически разницы никакой нет - только разные подписываемые данные.

GoldenScrew · 22.07.2025 18:39:46

И что там можно понять простому пользователю? Там хэш просто
Получается недобросовестный сайт может вместо входа предложить подписать какой-то документ?

GoldenScrew · 22.07.2025 18:43:24

как разобраться досконально, что было в итоге подписано? Есть какой-то лог всех взаимодействий с ЭЦП? Где ЭЦП была использована, что ей было подписано?

GoldenScrew · 22.07.2025 18:45:50

Фактически выходит, что на экране может быть одна информация, а подписывается совершенно другое?

Zhuldyzai · 23.07.2025 11:51:41

Добрый день! В НУЦ РК имеется информация только о выпущенных регистрационных свидетельствах. После выдачи регистрационного свидетельства НУЦ РК не имеет технической возможности отслеживать использование ключей ЭЦП в сторонних информационных системах.

GoldenScrew · 23.07.2025 14:12:07

Ясно. Но как узнать, что именно подписывается при входе на портал депозитария финансовой отчётности dfo.kz ?
Ведь что-то подписывается, и скорее всего это не просто аутентификация.
Как получить файл, который был подписан?
Наверняка эта тема поднималась неоднократно, прошу дать разъяснения.

GoldenScrew · 23.07.2025 14:14:07

И самое важное, как доказать факт того, что документ пользователь на экране не видел, а следовательно не мог быть с ним ознакомлен?

SergeyKZ · 30.07.2025 08:17:36

Два раза сделайте декодирование из base64 подписываемых данных (например я использовал сервис https://www.base64decode.org), в итоге можно увидеть что подписывается "Пользовательское соглашение " в формате html. Обычный пользователь такое явно не сделает.

GoldenScrew · 05.08.2025 22:27:17

Ой-ой, ёй. Ещё и два раза зашифровали всё.
Интересно сколько ещё подобных сайтов злоупотребляет доверием населения.
Возникает вопрос, как запретить им и подобным недопорядочным, использование подобного метода подписи?
Это разработчики NCALayer одобряют им использование? Или любой разработчик сайта может так подписывать необходимые документы под видом входа на сайт?