Автор: two_oceans 
Мне тоже очень интересен этот вопрос. Что-то тут совсем напридумывали Вы.
прошу снисхождения, поскольку не являюсь профессионалом в этой области
Автор: two_oceans Во-первых, если включать как политику, то оид должен регистрировать УЦ, а не ИС. Так как смотрите внимательнее на кнопку которой выводится сообщение "заявление поставщика". Поставщик это УЦ. В цитатах выше тоже фигурирует УЦ.
На мой взгляд, название кнопки - результат работы переводчика интерфейса Windows. В следующей версии Windows здесь может быть другой текст.
ОИД же может зарегистрировать любая организация (и даже индивидуальный предприниматель).
Не понимаю, почему именно в этом случае ОИД должен быть зарегистрирован удостоверяющим центром, выдающим сертификат?
Автор: two_oceans Таким образом, у УЦ должно быть достаточное количество клиентов, которые (для примера) желают работать только на честном знаке. У каждого УЦ скорее всего получится свой оид (сравните с политиками для EV) Этот оид должен пройти через все регламенты УЦ. Понятно что УЦ не особо заинтересованы в таком варианте решения.
Все регламенты - это какие? Регламент УЦ и регламент УЦ минкомсвязи?
Автор: two_oceans Во-вторых, насколько помню в нормативке указано что сведения для одной ИС (ну когда ограничений не установлено) не должны препятствовать работе в других ИС. То есть еще один пункт в пользу оидов от УЦ.
Нельзя ли ссылку на конкретный документ и место?
Автор: two_oceans В-третьих, даже если расширение помечено критическим (насколько я понимаю), если приложение имеет расширение политик в списке известных, то приложение уже не вывалится в ошибку на критической отметке и сможет проигнорировать что одна политика там неизвестная от УЦ.
Нашел в стандарте
Цитата:ISO/IEC 9594-8:2017 (E):
7.3 Public-key certificate extensions
If the criticality flag is TRUE ,
unrecognized extensions shall cause the structure to be considered invalid, i.e., in a public-key certificate, an unrecognized
critical extension shall cause validation of a signature using that public-key certificate to fail. When a relying party
recognizes and is able to fully process an extension, then the relying party shall process the extension regardless of the
value of the criticality flag. When a relying party recognizes and is able to partially process an extension for which the
criticality flag is TRUE , then its behaviour in the presence of unrecognized elements is extension specific and may be
documented in each extension. However, the default behaviour, when not specified specifically for an extension, is to treat
the entire extension as unrecognized.
Здесь написано, что если ИС не может понять какое-то расширение сертификата
полностью, то её поведение (принять или не принять сертификат) зависит от типа расширения. Но по-умолчанию система должна такой сертификат отклонить.
Кто знает что означает фраза «and may be documented in each extension.» ?
Видимо означает, что тот кто придумал расширение и должен написать как интерпретировать флаг "критическое".
Мне не удалось найти отдельную интерпретацию флага "критическое" для расширения "политика" в стандарте.
По-моему это значит, что действует общее правило о непринятии такого сертификата ИС в случае недопонимания интерпретации критического расширения.
Автор: two_oceans Поэтому наверно скорее имеет смысл ввести централизованно совершенно новое расширение (не политики) со списком ограничений/разрешений и пометить критическим. Первая часть - выбор между "разрешено что не запрещено" (тип списка "черный") или "запрещено что не разрешено" (тип списка "белый") потом собственно список оидов ИС или использований сертификата. Это если указывать ограничение в сертификате как предполагает закон.
Конечно это было бы здорово.
Для этого надо, чтобы какая-нибудь организация зарегистрировала ОИД, опубликовала формат этого расширения и хотя-бы одна ИС начала его поддерживать.
Автор: two_oceans С другой стороны, лично я считаю, что вообще нет смысла эти ограничения хранить в сертификате и по идее должен быть какой-то отдельный реестр, чтобы можно было при необходимости заблокировать или разрешить использование сертификата без перевыпуска с фиксацией времени когда это произошло. Пока самое близкое к этому - ЕСИА, где можно назначить доступ пользоавтеля к той или иной ИС. К сожалению, есть только разделение входа по паролю или сертификату, но нет градации по разным сертификатам одного человека. Если такой инструмент есть, то наверно нет смысла множить сущности - заставлять УЦ вести реестр, регистрировать оиды, перевыпускать сертификаты когда захотели работать в двух ИС вместо одной, дублировать регистрацию ИС. Можно просто развивать такую функцию у ЕСИА.
Если же посмотреть далее, то закон вообще не предусматривает что человек будет отдавать сертифкат кому-то другому. Поэтому обосновать градацию по сертификатам одного человека будет очень сложно.
Речь не о том, чтобы передавать свою КЭП кому-то другому и не бояться (например директор даёт бухгалтеру).
Мне нужна КЭП для личного кабинета ФНС и для маркировки товара в «честный знак».
Мои сопли и слёзы убраны в спойлер:
Но я не хочу посредством КЭП остаться без квартиры, с непонятно откуда взявшимися кредитами на многие миллионы, отвечать за левые ООО открытые на моё имя для обналички и отмывания денег.
Примеры подобного (пока еще без украденных ключей КЭП) широко обсуждались на хабре.
Страшно подумать что можно сделать с помощью чужой КЭП. И для этого даже не обязательно красть ключи - достаточно получить доступ к компьютеру с подключенным токеном.
На текущий момент взаимодействие с ИС устроено таким образом, что пользователь "подписывает" документы фактически "вслепую". Ему приходится на веру принимать то, что показывается на экране JavaScript-лапшой, надёрганной из яндекса, гугла, непойми-каких счетчиков. После введения ПИН-кода в браузер где гарантия, что был подписан только показанный документ?
Если код самой ИС может быть теоретически "сертифицируется", то что насчет гуглов яндексов и прочего барахла?
Судя по периодическому подмигиванию лампочки ключа во время работы с кабинетом ФНС, ключ периодически что-то "подписывает", только вот что?
Антивирус это хорошо, но он помогает только от известных и массово распространённых инфекций.
Ставки слишком высоки.
