ЭЦП открывает доверенную сессию
Пользователь подписывает одноразовый challenge. Сервер проверяет CMS через Kalkan Gateway, извлекает ИИН/сертификат и открывает сессию. После этого ЭЦП не используется на каждое сообщение, чтобы чат оставался быстрым.
ЭЦП + E2EE + Ratchet v2
Мессенджер, где сервер не читает переписку
Вход подтверждается ЭЦП через Kalkan Gateway, но сами сообщения после входа не подписываются каждую отправку. Переписка шифруется на устройстве, ключи меняются после каждого сообщения, а QR-код позволяет сверить, что ключи собеседника не подменены.
Сервер не хранит plaintext
На сервер попадают зашифрованные пакеты, хэши, служебные статусы и метаданные доставки. Открытый текст сообщения, файл и локальное ratchet-состояние остаются на устройстве пользователя.
Нет режима «войти за владельца»
В системе не должно быть функции, позволяющей администратору, оператору, сотруднику поддержки или третьему лицу зайти в чат через чужую ЭЦП. Передача ЭЦП даже «по согласию» противоречит самой модели безопасности.
Как это шифруется
Ratchet v2: ключ меняется после каждого сообщения
Схема сделана так, чтобы один украденный ключ не открывал всю переписку. Старые message-key не сохраняются на сервере, а локальная цепочка ключей постоянно двигается вперёд.
ECDH P-256создаёт общий секрет между устройствами
→
HKDF-SHA256разделяет root/chain/message ключи
→
AES-256-GCMшифрует текст и файлы
→
Delete old keyстарый ключ удаляется после использования
QR/код сверки
Защита от подмены ключей
В диалоге есть QR/код сверки. Два участника сравнивают его по телефону или лично. Если код совпадает у обоих, публичные E2EE-ключи не были подменены посредником.
root: c3edad39db54f1b0
sender key: 9a06c221710e
В самом chat.php технические отпечатки показываются мелко и серым цветом: они нужны для диагностики, но не должны мешать переписке.
Памятка ЭЦП
Чужую ЭЦП нельзя использовать даже с устного согласия
Использование чужой ЭЦП, закрытого ключа ЭЦП, P12/PFX-файла, PIN-кода или пароля запрещено.
Владелец ЭЦП обязан защищать свой закрытый ключ от неправомерного доступа и использования. Использование закрытого ключа ЭЦП другого лица может повлечь административный штраф до 200 МРП в зависимости от статуса субъекта ответственности.
Никто не должен просить пользователя «дать ЭЦП на минуту», «войти за него», «подписать вместо него» или «расшифровать чат для проверки». В этой системе такое действие считается нарушением модели безопасности.
Что получает сервер и что он не может выдать в открытом виде
Сервер может хранить
- зашифрованные сообщения и файлы;
- хэши, статусы доставки, технические идентификаторы;
- информацию о входе через ЭЦП и журнал безопасности;
- публичные E2EE-ключи и отпечатки сертификатов.
Сервер не должен иметь
- закрытый ключ ЭЦП пользователя;
- PIN-код, пароль, P12/PFX-файл;
- локальное ratchet-состояние устройства;
- открытый текст переписки и файлов.
Важно: сервис технически не предусматривает доступ администратора, оператора или третьего лица к открытому тексту переписки. При законном запросе сервер может располагать только теми данными, которые реально хранятся на сервере: зашифрованными пакетами, хэшами, журналами и метаданными. Вопрос допустимости конкретных материалов как доказательств всегда оценивается по закону и судом; система не обещает «автоматическую недопустимость», но не может сама расшифровать содержимое без устройства/ключей участника.
Ответственность
Что будет, если чужую ЭЦП используют «для входа в госорган» или для доступа к чату
Эта памятка написана для пользователя простым языком. Квалификация всегда зависит от фактов дела, статуса лица и последствий, но сама идея «войти за человека по его ЭЦП» опасна юридически и технически.
Административный штраф может доходить до 200 МРП в зависимости от того, кто нарушитель: физическое лицо, должностное лицо, малый, средний или крупный бизнес.
Может применяться, если доступ к охраняемой законом информации, объекту информатизации или электронным данным получен неправомерно и повлёк существенный вред.
Риск возникает, если переписку, файлы, ключи, сведения или иные данные получили, скопировали, передали или использовали без законного основания.
Опасная зона — требование передать ключ ЭЦП, пароль, P12/PFX-файл, PIN-код, устройство или локальные ключи расшифрования под давлением, угрозами или зависимостью.
Если чужая ЭЦП используется для создания видимости, будто действие совершил владелец, это может повлечь риск квалификации, связанной с подделкой или использованием подложных данных/документов.
Если чужая ЭЦП используется для обмана, получения выгоды, оформления ложных сведений или действий должностного лица, возможны более тяжёлые последствия вплоть до лишения свободы по применимой статье.
Для госорганов, сотрудников организаций и администраторов правило такое же: сервис не содержит функции «войти в чат за владельца ЭЦП», «расшифровать по просьбе владельца» или «открыть переписку по служебной необходимости». Даже если владелец устно согласился, передача и использование его закрытого ключа ЭЦП нарушает модель безопасности.
О доказательствах: если материалы из чата получены через чужую ЭЦП, принуждение, обход шифрования, подмену устройства, несанкционированный доступ или с нарушением процессуального порядка, их нужно оспаривать как недопустимые или ненадлежащие доказательства. Сервис технически может подтвердить только серверные факты: зашифрованный пакет, хэш, время, получателя, отправителя и журнал входа. Открытый текст, полученный вне штатной расшифровки на устройстве участника, не должен считаться достоверным системным оригиналом переписки.
Финальное решение о допустимости доказательств принимает суд по процессуальному закону. Поэтому страница не обещает «автоматическую недействительность любых доказательств», а фиксирует техническую позицию сервиса: сервер не хранит ключи расшифрования и не подтверждает plaintext, полученный незаконным способом.
Начать безопасно
Перейти к входу через ЭЦП
После входа ЭЦП только открывает доверенную сессию. Переписка дальше работает через E2EE Ratchet v2 без повторного подписания каждого сообщения.