9 сентября 2016 в 17:58

Импортозамещение при доступе в личный кабинет на портале Госуслуг из песочницы

Взятая нашем государством линия на политику импортозамещения в области IT-индустрии должна реализовываться, по нашему глубокому убеждению, прежде всего при доступе к порталу Госуслуг. Как писал один товарищ , «вариант с логином/паролем отброшен в силу профессиональной паранойи». Здесь речь идет о доступе на портал Госуслуги, используя для авторизации с помощью электронной подписи токены с интерфейсом PKCS#11 с поддержкой российской криптографии.

Итак, как же получить доступ в личный кабинет на портале Госуслуг с помощью личного сертификата, полученного в одном из аккредитованных УЦ?

Говоря об импортозамещении, мы имеем в виду следующее:

  • В качестве носителя личного сертификата гражданина РФ используется токен с интерфейсом PKCS#11 (рекомендации ТК26) с поддержкой российской криптографии отечественного производства. В качестве такого носителя могут, например, выступать Рутокен ЭЦП или программные и программно-аппаратные токены семейства LS11.
  • Используется отечественная операционная система семейства Linux. На самом деле может использоваться любой Linux;
  • Отечественный плагин, распространяемый через сайт www.gosuslugi.ru
  • Любой браузер, функционирующий на операционной системе Linux и поддерживающий плагины NPAPI. Мы выбрали отечественную разработку – браузер Redfox-48.0 .


Итак, что должен сделать Гражданин? Первое, получить в любом аккредитованном УЦ, например, в УЦ ООО «ЛИССИ-Софт», квалифицированный сертификат на токене PKCS#11 с поддержкой российской криптографии отечественного производства. Как уже говорилось это может быть и Рутокен ЭЦП и программно-аппаратный токен lsToken.

Скачать, установить и включить Плагин, предоставляемый порталом Госуслуг:




В том случае, если используется Linux с rpm-пакетами, то необходимо его распаковать и скопировать в соответствующие каталоги/директории/папки. Необходимо также будет выполнить скрипт postinst от имени root:

#sh –xv postinst

Поддерживаемые ключевые носители прописываются в файле /etc/ifc.cfg. При отсутствии в нем требуемого носителя (мы говорим о токенах PKCS#11, type=''pkcs11'' ) достаточно в нем прописать требуемые строки и в каталог /ust/lib/mozilla/plugins/lib соответствующую библиотеку, например:

{ name = «ЛИССИ-Софт LS11»;
alias = «ls11usb2016»;
type = «pkcs11»;
lib_win = «ls11usb2016.dll»;
lib_linux = «libls11usb2016.so»;
lib_mac = «libls11usb2016.dylib»;
},


Все, можно идти на портал Госуслуг:



Естественно необходимо вставить токен:



Если все прошло хорошо, то будет предложено, если на токене несколько сертификатов, выбрать тот, с которым вы будете заходить в свой личный кабинет:



После выбора сертификата необходимо будет еще ввести PIN-код для доступа к закрытому ключу:



И вы в личном кабинете:



Что еще? Порталу Госуслуг необходимо сделать последний шаг, а именно перейти на HTTPS с российскими шифрсьютами и тогда это будет прекрасный пример импортозамещения!!!
Альтист Данилов @V2008
карма
–11,0
рейтинг 0,0
Пользователь
Похожие публикации
Самое читаемое

Комментарии (73)

  • +6
    Объясните пожалуйста, зачем мне менять бесплатный логин/пароль на православный, но платный сертификат?
    Возможно это имело смысл на заре становления госуслуг, когда персональные сертификаты выдавали бесплатно в каждом центре ростелекома (платным был только многоразовый usb-токен).
    Сейчас же получить сертификат можно только в сертифицированных коммерческих УЦ за сумму от 500 р. до нескольких тысяч.
    • +6
      Ну как же, это ведь удобно: с токеном нужно будет не только пароль вводить (на этот раз от токена), но и помучаться с драйверами/плагинами/настройками браузера. Ах да, при этом вход в госуслуги по логину/паролю, насколько я помню, продолжает работать, так что безопасности это не прибавляет.
    • +2
      Я за свой бесплатный пароль РТ отдал 400р.
    • 0
      Потенциально можно отправлять документы (например, в налоговую) из дома.
      • 0
        Доступ к личному кабинету на сайте налоговой возможен по логину/паролю госуслуг. В кабинете можно отправить обращение в налоговую, на которое вам ответят отсканированным письмом в формате tiff запакованном в zip.
        • 0
          Документы нужно подписывать. Без ключа это нереально
          • +1
            В налоговой можно получить ключ, который будет храниться в их облачном хранилище. Вроде бы его достаточно для большинства действий.
            • 0
              Оно под линуксом заведется? Проверяли?
              • +1
                Оно же облачное. И в браузере не хранится. Отправлял 3-НДФЛ из под линукса, отправлял запросы на налоговую льготу — всё работает. Там нечему не работать.
                • 0
                  Хм… Я пытался завести УЭК + ЛК Налоговой… Год назад не взлетело, оттуда и скепсис.
                  • +1
                    Для УЭК нужен Крипто-ПРО УЭК. На сайте Крипто-ПРО УЭК для линукса нет, на форуме рассылают какую-то версию по запросу.
                  • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Доступ в личный кабинет налогоплательщика ФНС возможен и по личному сертификату, хранящемуся на токене PKCS#11 с ГОСТ-ами:

          http://soft.lissi.ru/about/news/2015/12/65/
      • 0
        Личный кабинет в налоговой работает и так. Достаточно один раз получить логин и пароль лично.
    • 0
      Такое впечатление, что в конце статьи должна стоять большая табличка с надписью «Сарказм».
    • 0
      500 р. за ЭЦП это еще вершина айсберга, вам еще нужен будет как минимум СКЗИ, который тоже денег стоит. Да можно купить Рутокен ЭЦП, у которого на борту свои средства шифрования есть, но он сам стоит от 1200 р. помимо ЭЦП.
      А это мы еще не дошли до того момент, что корневых сертификатов авторизованных центров в России нет в штатной поставке винды, что вызывает сложности у обычных юзверов при использовании…
      В общем все это импортозамещение конечно своё, но за дорого.
  • 0
    Пользователи будут ставить линь и копаться в командной строке?
    • +4
      Я сомневаюсь даже, что пользователи Linux вообще будут скачивать какие-то левые бинарники и копировать их в недра системы. Даже несвободный софт принято ставить через репозитории (в том числе и сторонние), чтобы менеджер пакетов разруливал установку, обновление, удаление, конфликты и так далее.
  • 0

    Это все от лукавого! < sarcazm>
    лучше внедрите себе сертификат безопасности от ФСБ, он по словам коллег из Казахстана обеспечит защиту пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.
    < /sarcazm >

    • 0
      1) А это что за зверь «сертификат безопасности от ФСБ»?
      2) «по словам коллег из Казахстана» — на заборе много что пишут!
      3) «беспечит защиту пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет» — а это как? Просветите.
      • +3
        • –2
          Надо знать протокол HTTPS/TLS, чтобы понимать, что прослушка шифрованного трафика (если вы не контролируете клиентское место) нонсенс!!!
          • +4
            Надо всё-таки прочитать статью, чтобы понять, о чём идёт речь.
            TL;DR: в Казахстане предлагают установить «государственный» сертификат «безопасности» CA всем жителям в браузеры и делать глобальный MITM всего HTTPS.
            • –1
              Прочитал и что?
              Особенно это «Судя по всему, сертификат будет подменяться не только для HTTPS-соединений, но и для других зашифрованных TLS-соединений, включая FTPS, IMAP и SMTP с TLS.». А кто судит? Какой сертификат подменяется? Неужели на сайте GOOGLE?
              • +2
                При установке SSL соединения (любого, не только HTTPS), чаще всего от сервера в одном из первых пакетов приходит сертификат сервера. Вот этот сертификат будет подменяться. Для каждого такого сертификата будет сгенерирован новый, но с другим родителем — с государственным сертификатом CA. Если пользователь соединяется с сервером гугла, то да, будет сгенерирован поддельный «государственный» сертификат сервера гугла.
                • +2
                  Всё это верно и для TLS, разумеется, с поправкой на необходимость парсить протокол, в котором это всё передаётся.
                • –4
                  Вы на полном серьезе? Подмена сертификата делается, чтобы увести вас на другой сайт!!! Бедный GOOGLE теперь у него Казахский сертфикат, а он спит и сладкие сны видит. Интересно, а в Казахском сертификате, я так понимаю RSA, открытый ключ тоже казахский или туда неведомым пуем попал открытый ключ о GOOGLE,
                  • +5
                    Ох, какой же бред вы несёте. Почитайте, пожалуйста, матчасть.
  • +1
    Как-то не очень тривиально, не находите? Мне больше нравится вариант Германии, где я по своему паспорту, при наличии ридера, могу авторизоваться на любом портале гос.учреждений. Как ещё один вариант, есть электронная почта, получаемая в любом почтовом отделении, которую я могу использовать вместо физического адреса и которая считается официальной почтой. правда, по логину и паролю.
    Ридер хоть и стоит сто евро, но есть, обычно, не в одном экземпляре на почти любой фирме, если надо что-то сделать без отрыва от производства.
    • +2
      Вы тут про какие-то ненужные удобства, а здесь про импортозамещение же.
      *где тег сарказма?*
      • 0
        Ну, я даже не знаю сарказм это или нет, потому что у немцев импортозамещение, а вернее, просто использование своего тоже имеет свои пунктики, иногда даже не смешные))
        Например, мои коллеги в первую очередь рассматривают варианты местного производства и только убедившись в том, что импортный аналог лучше возьмут его… Или не возьмут, тут уж как повезёт
        • +2
          Тут не нужно путать «импортозамещение» и «использование своего». Также в этом ряду совершенно не стоит сравнивать «нанотехнологии» и «обьекты\структуры с размерами 10-9». И «олимпиада» это совсем не состязание спортсменов или бросание копья.
          • 0
            Тоже согласен
    • 0
      Аналогично в РФ можно бесплатно получить УЭК и купить ридер, и не платить за ЭП.
      • +2
        А разве проект УЭК не закрыли?
        • +3
          Ещё коптит. Сам недавно проверял. Правда смысла от него на Госуслугах не больше, чем от логина/пароля. А по большому счёту даже меньше, потому как нужно ещё помучиться его запустить.
        • 0
          Нет, у меня работает.
        • 0
          не закрыли, но получить новые нельзя.
    • 0
      Так в Германии и в Бельгии (http://soft.lissi.ru/articles/googlechromgost/, https://news.ycombinator.com/item?id=7567306 ) и у нас надеюсь «времена настанут» электронные паспорта с тем же интерфейсом PKCS#11/
  • +1
    Автор, а не проще в ближайшем МФЦ получить бесплатно УЭК, купить один раз ридер и не париться с продлением подписи каждый год. Для юр. лица да, усиленная ЭП это манна небесная, позволяющая вообще из офиса не выходить, а для гражданина… по мне так проще один раз на ридер потратится.
    • 0
      Первое, продлевается не подпись (подпись вы ставите сами), а сертификат, который по закону действует только в течение года. И УЭК у вас или не УЭК, сертификат (как и паспорт тоже, только значительно реже) вы обязаны каждый год получать новый!!! Сейчас и гражданин для обращения в ФНС, например, должен будет иметь сертификат ключа проверки электронной подписи (так звучит по закону).
      Так что ридер это не панацея. А вы его с собой носите?
      • 0
        УЭК у меня работает с момента получения, без всяких продлений и тп. ЭП на свистке получаю новую каждый год. Что я делаю не так?

        А зачем мне его с собой носить? В медучреждениях и госструктурах свои ридеры, и дома свой. Больше не откуда я гос услугами не пользуюсь.
  • 0
    Тут штука в том, что некоторые торговые площадки для совершения сделок требуют вход с помощью российского криптосредства, а без использования такого критосредства Вы не сможете поставить на электронных документах юридически значимые подписи. Да, gpg имеет прекрасные средства для подписания/шифрования данных, но gpg юридически ничтожен на просторах РФ.
    Так что рассматривайте госуслуги.ру как тренировочную площадку, перед входом на госзакупки или B2B — биржи.
    • 0
      Что касается gpg он прекрасно может работать и электроннорй подписью по ГОСТ — и подписывать и проверять (Kleopatra). Посмотрите здесь:

      GnuPg-2, Kleopatra, KMail и российская криптография

      http://soft.lissi.ru/articles/KleopatraKmailGnuPg/
      • 0
        О как, спасибо, не знал.
  • +1
    А теперь попробуйте отправить письмо в налоговую и подписать этим ключем.
    • 0
      Не понял — с каким «этим ключом»?
      Если я его получил вместе с сертификатом на аккедитованном УЦ, то в чем проблема?!
      • +1
        Проблема, как обычно, в реализации. По большому счету я имел в виду описанное окружение полностью: линукс, браузер и т.д. Квест можно начинать с входа в ЛК налоговой по ключу (не через госуслуги, там работает ;))
  • 0
    >>Что еще? Порталу Госуслуг необходимо…

    Закрыться, т.к. толку от него НУЛЬ! Сколько не пытался через него получить услуги, не так давно — элементарную вещь, свидетельство о рождении 2-го ребенка, всегда прихожу в назначенное время куда нужно, а там тебя и не ждали, сидишь как обычный смертный в очереди, хотя должны принять по времени, как правило все бумажки начинают заполнять при тебе, то есть ты все равно теряешь те же 30-60 минут, как если бы ты пришел туда и без заявки с портала. Пытался заплатить задолженность по налогу, и тут не вышло, ошибка при попытке заплатить с пл.карты, при этом через ЛК Налоговой все поплатилось без проблем. Дак на какой черт нужен этот портал, если ты все равно теряешь с ним время, причем вдвойне, заполняя данные на портале, а потом еще и в точке выдачи услуги?
    • +3
      Не испытывал проблем. Машину снять/поставить на учет — через ГУ удобнее, загран. паспорт — тоже. Имхо не повезло. Не до всех организаций докатилась информатизация в нормальных объемах
  • +1
    Пара вопросов, если вы представитель компании, всё это разработавшей.
    1 Зачем нужен npapi плагин к браузеру, почему не использовать дополнение на js в связке с openssl?
    2 Какая выгода для пользователей (не считая «не получить люлей от ФСБ») в импортозамещении российскими алгоритмами зарубежных, если зарубежные более исследованы и считаются более безопасными?
    • +2
      1. openssl не имеет сертификата, т.е. не может быть использовано там, где дело касается перс. данных, гос. тайны и т.п. хрени.
      2. речь не о выгоде, а о законе
    • 0
      На 2) Выгода только в том, чтоб не получить люлей от ФСБ. Других я не заметил.
  • +2
    В общем случае в Linux все это дело не работает. Упомянутый IFCPlugin написан Ростелекомом и последний раз обновлялся еще аж в 2014 году, при попытке войти через Aktiv Rutoken lite, полученный в СКБ Контур, ключ мигает несколько раз светодиодом активности, после чего Госуслуги сообщают, что «У вас нет действующих сертификатов». Хотя в установленной в виртуальную машину Windows сертификаты на том же самом ключе видятся нормально.
    • 0
      Aktiv Rutoken lite — это не СКЗИ PKCS#11 с поддержкой российской криптографии (перевод lite — легкий). Там нет никакой поддержки ГОСТ Р 34.10-2001 и тем более 2012. Это фактически флэшка, на которой для записи объектов с сертификатом и ключами используется инерфейс PKCS#11 для работы с объектами. В СКБ Контур вам вместе с Aktiv Rutoken lite дали еше что-то типа КриптоПро CSP, с помощью которого и используется этот lite. Что раз подчеркиваю, Aktiv Rutoken lite — это не СКЗИ PKCS#11, это просто аля флэшка. На http://www.rutoken.ru/products/all/rutoken-lite/ черным по белому написано:

      «Семейство ключевых носителей для различных программных и аппаратных средств криптографической защиты информации (СКЗИ). Рутокен Lite можно использовать для безопасного хранения ключей шифрования и электронной подписи, паролей и других данных во встроенной защищенной памяти устройства. „

      И Госуслуги вам отвечают правильно. А то что плагин обновлялся “аж в 2014 году» так это не недостаток, а достоинство: не надо ломать то, что и так хорошо работает. Берите Rutoken ЭЦП (http://www.rutoken.ru/products/all/rutoken-ecp/ ) «Электронный идентификатор с аппаратной реализацией российских стандартов электронной подписи, шифрования и хэширования» и у вас все получится.
      • 0
        КриптоПро CSP для Linux я тоже поставил, тесты на их сайте прогнал, там все работает. Но Госуслуги все равно сертификаты в Linux не видят, только в Windows. По-моему, это ненормально.
        • 0
          Первое, когда ваш сертификат вместе с ключом хранится на токене PKCS#11 споддержкой российской криптографии в соответствии со стандартом PKCS11 v.2.20 и выше и Рекомендациями ТК-26, то никакого «КриптоПро CSP для Linux» не надо!!!
          Второе, «тесты на их сайте» показывают только то, что их CSP работает и не более того, а не то что вы с этим сертификатом и этим CSP попадете на сайт Госуслуг.
          Третье, обратитесь к тем кто вам выдал сертификат на Aktiv Rutoken lite и пусть они вам объяснят почему вы не можете попасть на сайт Госуслуг.
          Четвертое, пусть они вам переиздадут сертификат на Rutoken ЭЦП. Вот тут они, скорее всего, потребуют доплаты, но зато вы сможете работать с ним на любой платформе, для которой есть библиотека у Rutoken ЭЦП. По крайней мере это и Windows, и Linux, и Mac, и FreeBsd. И тогда у вас все получится. Статья не про КриптоПро CSP, а про токены PKCS#11 v.2.20 и выше с реализацией ГОСТ.
          • 0
            Понимаете, когда мне понадобилась ЭЦП для Госуслуг, я вспомнил, как громко и подробно рассказывали по телевизору, что Ростелеком открывает удостоверяющие центры по всей стране и получить ЭЦП стало необычайно просто. Разумеется, я сразу же позвонил в колл-центр Ростелекома, где меня убедили, что всё действительно так. На сайте Госуслуг Ростелеком также числится среди авторизованных удостоверяющие центров. Я пошел в центральный офис Ростелекома в нашем городе-герое, чтобы стать счастливым обладателем Единственно Правильной ЭЦП™, где *внезапно* мне дали от ворот поворот — оказывается, Ростелеком давным-давно уже не выдает ЭЦП физлицам «из-за технических причин». Собственно, на сайте у них, как оказалось, написано то же самое. Поэтому обладателем Единственно Правильной ЭЦП™ я так и не стал.

            В общем, виртуальная машина с Windows решает проблему, а доплачивать достаточно серьезные суммы за продолжение экспериментов ради торжества импортозамещения я, увы, не готов.
            • 0
              Да, таковы наши реалии. И взяться за перо меня заставила наша действительность. Вместо того, что иметь один токен PKCS#11 (или на худой конец контейнер PKCS#12, но стандартный как того требует ТК-26) с сертификатом и ключом и ходить с ним на все торговые площадки, Госуслуги, ФНС и т.д., при чем с любого браузера, с любой ОС и опять т.д., мы вынуждены получать различные сертификаты, потому что кто-то под себя придумал записывать в него новое/OID, покупать какие-то CSP (при чем ничего общего со стандартами не имеющее) и можно продолжать.
              Обращайтесь, чем смогу помогу.
              • 0
                ЭЭЭ, ну, так со времён Петра Алексеевича Романова (который царь) заведено было (за точность цифр не ручаюсь): «Писцам за правку бумаг на лощёных листах брать 50 копеек, на гербовых — рубль, а на гербовых с вензелями — рубль с полтиной. На рядовой (обычной) бумаге прошения не принимать.»
                Эти КриптоПро, рутокены-шмутокены суть есть заместители бумаг лощёных, гербовых и с вензелями.
        • 0
          Да, внимательно посмотрите файл /etc/ifc.cfg (мы говорим о токенах PKCS#11, type=''pkcs11'' ), и вы увидите, что там нет Aktiv Rutoken lite. А про CSP я уже писал.
  • 0
    Господа, хочу заметить, что с PKCS#11 сейчас в РФ умеют работать только информационные системы ЕГАИС и портала Госуслуг. Это действительно безопасно для пользователя в части гарантирования неизвлекаемости закрытого ключа (ключа электронной подписи в рамках терминологии 63-ФЗ) и сохранения его конфиденциальности, в т.ч. от самого УЦ, который Вам выдаёт электронную подпись, т.к. ключи генерятся непосредственно токеном. Ну и как наверное уже писали, при работе с токенами с поддержкой PKCS#11 не придётся приобретать лицензию на средство электронной подписи КриптоПро CSP (хотя, например, vipnet csp распространяется бесплатно)
    • 0
      Добавлю или повторюсь, это и доступ на портал ФНС ГОСТ-ому HTTPS с PKCS#11 — http://soft.lissi.ru/about/news/2015/12/65/
      • 0
        Добавлю, что с квалифицированным сертификатом физическое лицо может участвовать в электронных торгах на электронных торговых площадках, не предъявляющих дополнительных требований к ЭП.
        Но, как я и говорил, эти площадки не умеют работать с криптографией «на борту» ключевого носителя.
        • 0
          Вот в этом наша беда. Нас заставляют не придерживаться стандартов, в том числе и международных. Если говорить про PKCS#11, то наши ГОСТ-ы там есть!!! Так же как и OpenSSL они есть в том или ином виде, а сейчас и в GCrypt. У нас сейчас стандарт некий CSP аля Микрософт. И все наши электронные площадки заточены под него, а не под рекомендации ТК-26. А чем проблема взять тот же плагин с Госуслуг и использовать его на тех ЭТП!!!
    • 0
      А эти ключи все УЦ выдают или большинство генерируют открытый и закрытый ключи сами?
      • 0
        По хорошему ключевую пару пользователь должен генерить сам и им подписывать запрос на сертификат (PKCS10). На практике ключевая пара генериться на УЦ в вашем присутствии. Оптимально необходимо требовать, просить и т.п., чтобы сертификат и его ключевая пара (открытый и закрытый ключи) выдавались на токенах с поддержкой российской криптографии и интерфейсом PKCS#11. Это может быть как чисто аппаратный токен тина Рутокен ЭЦВ или MSKEY-K, а также и программно-аппаратные токены. На худой конец нужно требовать, чтобы вместе с ключиком вам выдавали резервную копию вашего сертификата и ключа в контейнере PKCS#12. Резервная копия позволит вам восстановить ваш сертификат и ключи.
        • 0
          Вообще это не «по хорошему», а единственный вариант который только и должен быть законным. За самостоятельную генерацию и техническую возможность оставить себе закрытую часть ключа нужно сажать года на три и покрытие всего ущерба.

          Пока не начнут подписывать самосгенерированные подписи не имеет смысла в это ввязываться.
          • 0
            Вот именно надо наказывать. УЦ должны принимать PKCS10 для проверки открытого ключа, уверенности, что у клиента есть закрытый ключ и он его генерил сам, и хранить его для разбирательства, а остальные поля СНИЛС и т.д. представитель УЦ должен брать из документов клиента. Тогда и притензий к УЦ будет меньше. И наказывать его уже можно только за неправильные/недостоверные поля в сертификате. Странно, что УЦ это сами не понимают.
            • 0
              Текущие УЦ это просто насосные конторы которые получают деньги из законодательного воздуха с обоснованием цен примерно аналогичным тому почему домен у руцентра стоит 800 рублей. Пока стая жареных петухов не выклюет им все болезненные места они ничего не поймут. Ждём новостей о том как «хакеры» сломали эти УЦ и украли закрытые ключи тысяч юр. и физ. лиц.
              • 0
                Хорошее предложение! Ждем-с!
  • 0
    И все же есть капля дегтя в этом бочке Меда!
    На токене оказывается может храниться один и только один сертификат и его ключевая пара при доступе на портал Госуслуг.
    И если вам потребуется получить еще один сертификат, то вам придется покупать еще один токен PKCS#11.
    Вообще-то это легко решаемая проблема(Тот же ФНС умеет работать с несколькими сертификатами на токене PKCS#11). Нужна добрая воля портала Госуслуг!!!
    • 0
      Это справедливо, если только на токене хранятся как боевые так и некие тестоовые сертификаты!!!

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.