Доска почёта ЭЦП — esf.gov.kz
Информационная система электронных счетов-фактур, пожалуй, одна из самых известных информационных систем нашей страны. Находится в ведении Комитета государственных доходов Министерства финансов Республики Казахстан.
При анализе обнаружено одно замечание жёлтого уровня [😐] (об уровнях).
😐 Неполная реализация аутентификации по цифровым сертификатам
Для прохождения процедуры аутентификации нужны ключи ЭЦП и пароль от портала ИС ЭСФ.
Исходя из того, что для аутентификации необходимы ключи ЭЦП, можно предположить, что ИС ЭСФ выполняет аутентификацию по ЭЦП, но на самом деле выполняется аутентификацию по паролю.
Несмотря на то, что ИС ЭСФ предлагает выбрать хранилище сертификата и ввести от него пароль или пин-код, и даже несмотря на то, что после этого выполняется подписание данных (для работы с данным порталом необходимо установить дополнительный модуль NCALayer «Модуль ИС ЭСФ», в котором реализованы специфические методы), из ответа NCALayer берётся только информация о субъекте и само тело сертификата. Электронную цифровую подпись портал игнорирует.
Для выполнения аутентификации сервер требует предоставить тело сертификата, данные субъекта и пароль от ИС ЭСФ. Проверку отзыва предоставленного сертификата сервер не выполняет.
Важно понимать, что при таком подходе нельзя утверждать, что аутентификация выполняется при помощи ключей ЭЦП.
Vladimir Turekhanov ・ April 21, 2021