Ситуация в общем то патовая. У нашего холдинга много организаций по России. И сотрудник из Твери может работать с отчетами из Красноярска например.
Раньше всё было просто - выпускали из 1С сертификат, выгружали его, копировали конкретному человеку и он уже отправлял/принимал отчеты из налоговой, пфр и пр.
Сейчас это невозможно - новые сертификаты как известно не экспортируемые, выгрузить не получится (получится конечно, но возможны серьёзные последствия).
Звонил сейчас в налоговую - с 4 раза мне сказали, что на одну организацию - один сертификат, на сотрудников мол по доверенности тоже нельзя.
И собственно вопрос, что делать то?) Какие варианты тут возможны?
Раньше всё было просто - выпускали из 1С сертификат, выгружали его, копировали конкретному человеку и он уже отправлял/принимал отчеты из налоговой, пфр и пр.
от своего имени или под ЭЦП руководителя? Если второе, то это не лучше чем сейчас экспортировать ключи.
(2) на себя? но наверное необходима доверенность? и опять же если я буду отправлять от себя в налоговую документ в карточке организации заполню доверенность на себя. Ок. А если уже завтра будет другой человек отправлять со своей подписью... Опять менять доверенность...
Ок. А если уже завтра будет другой человек отправлять со своей подписью... Опять менять доверенность...
да, весело. на каждого сотрудника нужна будет заверенная МЧД. И при каждой подписи надо будет её прилагать. Подпись будет получать на физлицо без привязки к юрлицу или ИП
(23) Да хватит уже делать загадочный вид - ответ на этот вопрос есть прямо в этой ветке, не заметили? А в другой - возможные последствия применения этого "ответа", которые не нравятся автору. И правильно!
Так что осторожнее с надуванием щек... а то можно и пукнуть ненароком :-)
(24) не заметил, читаю комментарии сверху вниз, и отвечаю на них по мере прочтения, другую ветку тоже прочитал, человек не понимает что он пишет и к реальности это не имеет отношения.
человек не понимает что он пишет и к реальности это не имеет отношения
Аххха, к вашей реальности... А у него - своя реальность. И переход из одной реальности в другую бывает внезапным и неприятным - как ведро ледяной воды на голову.
Впрочем, не вижу смысла убеждать: "блажен, кто верует".
(26) Человек который говорит о комплексной проверки со стороны фнс, прокуратуры и фсб - не совсем отдает отчет как проводятся данные мероприятия и не понимает как это происходит в "реальности", а вы Игорь если имеете какие-то "вопросы" по поводу того что ключи копируются и тд, не стоит показывать тут свою несостоятельность вести культурную беседу, мы с вами живем в одном городе и если есть какие-то вопросы ко мне напишите в личные сообщения и мы их решим а не будем опускаться до шуток в стиле "... пукнуть, не пукнуть..."
А на бумаге расписываться "за директора" - не треш? На это вообще есть статья в УК - в курсе?
Надо усвоить: ЭЦП - это полный аналог собственноручной подписи, которая может иметь серьезные последствия, в зависимости от подписанной бумаги.
Запомните это и хватит стонать и жаловаться на "неудобства" - ЭЦП придумали и внедрили для удобства владельца подписи, а не для вашего.
(7)
Но опять же, пробросить по сети можно только на один компьютер.
Надеюсь, вы отдаете себе отчет, что подписываться документы будут не на том компьютере, в который вставлен токен, а на том, куда ЭЦП проброшена? И если этот комп с утра в одном регионе, через час - в другом, а после обеда - в третьем, то это так же легко отслеживается, как и копирование подписи.
(10)Полностью согласен, сами приучили что подпись можно скопировать куда угодно, у многих наверняка на флешках ни одна такая лежит. Сами директора просто не допонимают что это походу и если им объяснить что вот у 10 людей есть значиимая подпись для ЛЮБЫХ операций может включиться режим паранои.
Сейчас предлагают оформить подписи на сотрудников, но какая процедура получение доверенности от органа, принимающего отчетность пока не разбирались. В СБИС можно завести сотрудника с логином и паролем - он сможет создавать и просматривать отчеты, но отправлять и подписывать должен держатель ключа. Кстати по ключу в реестре СБИС не допускал мультивхода - кто новый входит - старый вылетает и в системе остается только один по сертификату...
Сейчас предлагают оформить подписи на сотрудников, но какая процедура получение доверенности от органа, принимающего отчетность пока не разбирались. В СБИС можно завести сотрудника с логином и
тогда выпускать ЭЦП на сотрудников + физическая передача доверенности в ФНС для возможности сдачи отчетности с этой подписью через 1С-отчетность
Объясните, как вы собираетесь сдавать несколькими подписями отчеты в 1С-Отчетности, если к одной учетке 1С-Отчетности можно прикрутить только одну ЭЦП? Ну да, можно в каждой конфигурации сделать по отдельной учётке Отчетности. Например, одна учетка для Бухгалтерии, вторая - для ЗУП/Камин. И сдавать в итоге двумя подписями. Первой ЭЦП главбух сдаёт в Бухгалтерии. Второй ЭЦП расчетчик сдаёт в ЗУПе/Камине.
А если главбух сдачу отчетности из Бухгалтерии хочет переложить, допустим, на троих своих подчиненных? Как им сдавать? Учётка-то одна, и ЭЦП к ней привязана одна.
Размножать неразмножаемый контейнер и молиться, чтобы ФНС не спалила?
У нас большая часть действий главбуха подпадает под такое "незаконно" - он постоянно что-то нарушает.
Вы уж определитесь какие действия "незаконны" - копирование ключа или его использование доверенным лицом без регистрации доверенности.... Интересно как до сих пор мы все незаконно жили записывая ключи в реестр компа или на иной носитель....
Абстрактная незаконность без наличия ответственности за такую абстракцию - страшное дело....
ЗЫ. Ни в коем случае не призываю менять свое мироощущение - считаете незаконным - не делайте этого...
Незаконно делать то, что не приносит денег государству, т.е. нашим провителям. Мы же ведь , в конце концов, на них работаем и обслуживаем их. Пока и Их стороны заблуждение с эцп каждому по "одной"
Экспорт ключа из токена JaCarta LT с "неэкспортируемым" флагом
- Зарегистрировать библиотеку Smartcard Sniffer (https://github.com/ea/smartcard-sniffer) в реестре. У меня На Windows 10 x64 метод не работал, на Windows 7 x64 - да.:
для x64 системы по адресу [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs] прописать путь библиотеки, например: D:\SmartcardSniffer.dll. Если значение уже было не пустое, добавить через запятую и/или пробел.
Там же должно быть:
LoadAppInit_DLLs (REG_DWORD) = 1
RequireSignedAppInit_DLLs (REG_DWORD) = 0
- В КриптоПро CSP - Сервис - Протестировать - указываем ключ на токене. Произойдёт запись дампа обмена в файл rundll32.exe.txt в каталоге в файлом SmartcardSniffer.dll.
- Устанавливаем Perl, если не установлен. Strawberry Perl for Windows (https://strawberryperl.com/) Настраиваем ассоциацию для *.pl-файлов, чтобы открывались через Perl
- в CMD прогоняем дамп-файл через Perl-скрипт (https://github.com/votadlos/Antitoken/blob/master/dumpContfromAPDU.pl): type rundll32.exe.txt | dumpContfromAPDU.pl
Скрипт должен создать каталог с именем вида 1668894107, в котором будут лежать 4 файла ключа: header.key, masks.key, name.key, primary.key.
- Если файлы оказались пустыми (name.key может быть не пустой, но всё равно некорректный), то прогоняем дамп-файл через другой скрипт в CMD (https://github.com/votadlos/Antitoken/blob/master/writeBinaryAPDU.pl): type rundll32.exe.txt | JaCartawriteBinaryAPDU.pl
Скрипт должен создать каталог с именем вида 1668894107, в котором будут лежать сотни файлов вида "001_out(4)39_6A_42_32":
001 - идентификатор последовательности запрос-ответ;
out - означает, что эти байты передавались из карточки в приложение, соответственно, от приложения в карточку - будет "in";
(4) - количество переданныхполученных байтов;
39_6A_42_32 - первые 4 байта.
- Собираем 4 файла ключа. Для просмотра и редактирования файлов дампа пользуемся HEX-редактором. Я использовал "HxD Hex Editor" (https://mh-nexus.de) - Собираем primary.key.
должен иметь размер 36 байт, начало - 30_22_04_20, поэтому в нашей директории ищем файл следующего вида: №_out(36)30_22_04_20. Скорее всего такой файл будет один - сохраняем его с именем primary.key
- Собираем masks.key.
Имеет размер 56 байт и начало - 30_36_04_20, соответствующий файл в моём бинарном дампе был - 855_out(64)30_36_04_20. Также, скорее, этот файл будет один-два - это искомый masks.key.
- Собираем header.key.
Файл, похоже, со всяким описанием, однако его целостность как-то контролируется, поэтому если его собрать не полностью неправильно контейнер работать не будет. О нем известно, что он содержит много информации, причем, в основном текстовой, через APDU передается порциями по 256 байт. Соответственно, в нашем дампе собираем в отдельную папочку все файлы вида №_out(256?) какие-то_байты. Я написал 256?не случайно, поскольку видел, как header.key передавался порциями по 253 байта, какая там логика выбора размера порций - не известно, но в любом случае эти порции будут радикально отличаться по размеру от всего остального трафика из карточки. Дополнительно к этим файлам надо обязательно добавить предыдущий порциям из 256 байтов ответ от карточки длиной 10 байт и с началом 30_82, а также, возможно, оставшийся "хвостик", следующий за порциями по 256 байт (или 253 или еще сколько, но обычно - больше всех остальных, и равных). Все эти файлы надо слить в один в порядке следования (поскольку вначале названия файла стоит номер последовательности - упорядочивание по алфавиту дает порядок следования) - это можно сделать утилиткой copy:
copy * /b header.key
В моём дампе это были 19 файлов от "803_out(10)30_82_0A_2E" до "825_out(70)00_00_3F_3F". Первый файл 10 байт, далее 13 файлов 200 байт, оставшиеся соответсвенно 30, 70, 10, 30 и 70 байт.
- Собираем name.key.
Содержит имя контейнера, передаваемое обычно одной порцией (в рамках исследования я делал контейнер с очень длинным именем, это видно на видео, чтобы спровоцировать передачу имени контейнера в нескольких порциях - это удалось, передача проводилась аналогично передаче header.key: сначала первые 10 байт, затем - все остальное), искомый файл - следующего вида №_out(длина имени)30_ДлинаИмени_16_ДлинаИмениМинус2.
В моём дампе это оказались файлы: 007_out(10)30_26_16_24, 008_out(30)35_33_2D_37 и 010_out(70)00_00_3F_3F с размерами соответсвенно 10, 30 и 70 байт.
- Копируем все 4 файла в корень диска в папку формата *.000.
- Делаем экспортируемым при помощи "CertFix.001069.exe" (https://disk.yandex.ru/d/nHEtCCKsyZgFSw) или более ранней версии, с отключенным интернетом.
- Копируем ключ в реестр при помощи КриптоПро CSP.
- При необходимости экспортируем из реестра в 2 файла: сертификат (CER) и контейнер ключа (PFX).
Фигня все это, уже делал с десяток эцп не на директора, просто из 1С отправляете заявление на эцп но только не на директора, а на любого сотрудника + 1 документ доверенность в бумажном виде. ВСЕ. Доверенности до конца 2022 отменили машиночитаемые
(28) Аналогичная фигня. У нас несколько торговых точек, на каждой из них продается крепкий алкоголь, соответственно, на каждой должна быть электронная подпись в виде рутокена. Налоговая выпускает только один, и только для руководителя. Сделали доверенность на бухгалтера в Такскоме - и вуаля, по старой технологии на него можно выпустить хоть десять подписей и прописать их на рутокены, которые снова вставляются в сервера с УТМ, и все продолжает нормально функционировать.
Где-то месяца три назад мне позвонил сотрудник Тензора, и любезно сообщил что за 1500 р, они (Тензор) могут скопировать контейнер ЭЦП в реестр. Я задумался над его предложением (вдруг это некое ноухау от Тензора) но решил его проверить через гугл-яндекс поиск, оказалось эта возможность уже есть и придумана не Тензором. (тогда и не знал, что можно копировать ЭЦП).
В Рознице 2.3.12.34 при попытке подписать документ ЭДО, ЭЦП ИП от физического лица теперь выдает что : в этой версии программы не поддерживаются сертификаты физических лиц 1с
(40) Ну всё правильно, либо ЭЦП юр лица, либо МЧД + ЭЦП физлица сотрудника. Подключить сертификат физлица в ЭДО можно только с доверенностью. Вы в своей 1с должны создать машиночитаемую доверенность и подписать её ЭЦП юр лица, с указанием данных сотрудника, на которого её оформляете. И уже использовать ЭЦП физлица ЭТОГО сотрудника.
(40) Но сначала надо проверить включен ли функционал МЧД. Через "Меню - Все функции / функции технического специалиста" надо найти константу "Использовать машиночитаемые доверенности" и поставить галочку, если её нет. После этого в карточке организации по кнопке "ЭДО" появится раздел "Машиночитаемые доверенности", там их и оформляете. Регистрация проходит автоматически через ФНС.
(47) В бухгалтерии хотели настроить, в фнс он отправил а вот простую которую к эдо прицепить нет, причем и выбора не было в настройках эдо этих довереностей
1. Делайте сертификаты в СБИС или любом центре, кроме налоговой. Эти сертификаты можно скопировать куда вам нужно на любой компьютер.
2. Если не устраивает 1, то делайте сертификаты по доверенностям.
(43) Доверенность создается в электронном виде прямо в 1с и по кнопке "подписать и отправить" отправляется на регистрацию в ФНС (если речь про МЧД).
В сертификате ИП, как юрлица, содержится ИНН физлица и номер ОГРНИП. Если только ИНН физлица, то 1с расценивает такую подпись как сертификат физлица.