3 августа 2021 года Минцифры представило мобильное приложение «Госключ» для подписания договоров онлайн. Оно уже доступно в магазинах приложений App Store и Google Play.

Минцифры пояснило, что «Госключ» — это «удобный и безопасный сервис для пользователей портала Госуслуг с подтвержденной учетной записью». Пользователь в приложении может за несколько минут бесплатно создать электронную подпись, которая хранится в защищенной и безопасной инфраструктуре электронного правительства. Приложение позиционируется, как «мобильная усиленная электронная подпись для использования на Портале Госуслуг».

В настоящее время электронную подпись из «Госключа» можно использовать для подписания договора на оказание услуг сотовой связи, например, стать абонентом Tele2. Другие операторы связи, включая МТС, «Мегафон» и «Билайн», собираются скоро также подключиться к этому сервису.

Минцифры уточнило, что собирается расширить перечень сделок и юридических документов, которые можно подписывать с помощью «Госключа». Пользователи через некоторое время смогут подписывать через сервис договора по купли-продажи автомобилей и аренды недвижимости.

Мобильное приложение «Госключ» использует сервисы единой цифровой платформы для создания и выдачи электронной подписи, предоставляемые ПАО «Ростелеком» и ПАО «Банк ВТБ» в рамках эксперимента по использованию электронной подписи, который сейчас реализует Минцифры.

Из описания нового мобильного приложения от Минцифры для Android:

  • приложение «Госключ» позволяет получить сертификат усиленной электронной подписи и подписывать документы при работе с Порталом Госуслуг;
  • ключ электронной подписи создается, хранится и применяется в приложении, не нужны USB-токены, СМС-пароли и, самое главное, все функции доступны без личной явки и без бумаги.


Разрешения, необходимые для установки и работы приложения «Госключ»:

  • местоположение, включая approximate location (network-based) и precise location (GPS and network-based);
  • доступ (чтение, запись, удаление) к фото/мультимедиа/файлам в основном хранилище мобильного устройства и к USB-накопителю;
  • камера (съемка фото и видео);
  • другие опции, включая полный доступ к сетевым настройкам и запуск при включении устройства.

Примечательно, что в Политике конфиденциальности мобильного приложения «Госключ» заявлена обработка персональных данных пользователей ОАО «Инфотекс Интернет Траст». Это российский аккредитованный удостоверяющий центр.

Судя по отзывам на приложение в Google Play, Минцифры еще будет его дорабатывать, так как у некоторых пользователей оно работает некорректно. Также сейчас не работает ссылка на страницу поддержки приложения.

Комментарии (43)


  1. robertd
    03.08.2021 22:36
    +1

    JIC был/есть частный стартап в этой области nopaper.ru приложение которых кажется сильно удобней, плюс позволяет подписывать произвольные документы


  1. keydon2
    03.08.2021 22:53
    +10

    Астрологи объявляют неделю мошенников. Количество слежки за пользователями и продаж квартир и автомобилей неизвестным людям увеличивается вдвое.


    1. edogs
      04.08.2021 01:44
      +2

      Квартиры все же вряд ли, для этого надо отдельное заявление в росреестр или же сразу получать эцп у росреестра.

      В принципе ничего особо не изменилось. Раньше куча объяв на авито была (может и сейчас есть) раньше, где для получения квал. подписи достаточно было скана паспорта, скана снилса и фотки с паспортом в руках посланных на обычное е-мыло где-нибудь на маил.ру что характерно. Формально нелегально, т.к. требуется личное присутствие.
      Тут по большому счету то же самое, поэтому нам не вполне понятно как тут личное присутствие обходят. Кто-нибудь из юристов может пояснить?


      1. Ark_V
        04.08.2021 06:38
        +3

        Через удостоверение от единой системы идентификации и авторизации ЕСИА (которая для этого и делалась), подтверждение учетной записи в которой либо через личное присутствие в МФЦ делалось, либо через Сбербанк, где тоже личное присутствие было.


        1. edogs
          04.08.2021 13:26

          Что-то мы запутались, усиленная ведь может быть только квалифицированной? А квалифицированная только усиленной? То есть тут выдают квалифицированную? Или нет?
          И если да, то почему тогда одного лишь входа через ЕСИА (при подтвержденной учетке) недостаточно для квал подписи?


          1. Ark_V
            04.08.2021 18:32

            Закон 63-фз статья 5, 3 вида

            простая (коды, пароли)

            усиленная НЕквалифицированная (полученная на основе криптографии,действует на условиях и основании договора регулирующего ее применение между применяющими ее сторонами, позволяет определить лицо, подписавшее электронный документ, позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания)

            усиленная квалифицированная, те же требования что и неквалифицированной + принадлежность владельцу заверена удостоверяющим центром и создается сертифицированным П/О

            и получается, что вход через ЕСИА не обеспечивает того, что обеспечивает квалифицированная подпись.


  1. elve
    03.08.2021 22:58
    +10

    Сразу же интересует момент - как можно отказаться от этой услуги? Уж очень она упрощает возможность украсть у меня все и разом.


    1. Andrey_Epifantsev
      04.08.2021 07:01
      +1

      Да, было бы неплохо, если бы кто-нибудь написал подробную статью-инструцию как это можно сделать.


      1. mctMaks
        04.08.2021 10:34
        +2

        как это можно сделать

        <sarcasm> Уточните что можно сделать "украсть" или "отказаться" <\sarcasm>


        1. Andrey_Epifantsev
          04.08.2021 11:41

          В принципе можно и то и то. Здесь частенько бывают статьи про то, как кто-нибудь что-нибудь взламывает.


  1. janatem
    03.08.2021 23:45
    +2

    электронную подпись, которая хранится в защищенной и безопасной инфраструктуре электронного правительства

    А вот с этого места хорошо бы поподробней. Сам ключ должен храниться только на устройствах пользователя, но некоторые сервисы это правило нарушали — не только разрешали альтернативные схемы хранения, но и, в некотором смысле, навязывали хранение на стороне сервера как единственную возможность. Я в свое время не смог побороть Федеральную налоговую службу, но надеялся, что хотя бы другие государственные сервисы будут делать, как положено.


    1. LAG_LAGbI4
      04.08.2021 00:32
      +5

      может мне кто-то может объяснить смысл облачного хранения ЭЦП. т.е. ты заходишь в сервис используя простую ЭЦП, а внутри сервиса хранится усиленная квалифицированная эЦП. Какой блин в этом смысл. ведь всё равно, чтобы использовать эцп достаточно простой подписи.


      1. Ark_V
        04.08.2021 06:54
        +1

        Усиленная ЭП более наглядно и тесно связанна с предметом подписи чем простая и этим ее "неотрекаемость" более очевидна и доказуема, имхо.


      1. vikarti
        04.08.2021 09:32
        +1

        Возможность кому то еще давать этой подписью ограниченно пользоватся.
        Примеры:


        • Банк Точка, оказывают услугу по регистрации ИП И открытию счета. но надо подписать бумагу про ЭЦП (там даже хеш напечатан). Зачем? Им нужно от имени клиента заявление в налоговую отправить.
        • Бухгалтерские сервисы как при банках так и отдельные (вроде Эльбы/МоеДело) — для общения с налоговой нужна подпись. Хотя логичнее бы нормальной подписью (на токене) подписать какую то электронную доверенность на права сервиса общаться с налоговой и только на это.


        1. elve
          04.08.2021 10:14
          +1

          Знакомый бухгалтер рассказывал, что изначально можно было такие права делегировать, к примеру, на персональную подпись бухгалтера. А потом переиграли и теперь все документы подписываются только эцп директора - что означает наличие доступа к этой подписи у большого круга лиц.


          1. Mur81
            04.08.2021 19:37

            1. vikarti
              04.08.2021 21:02

              Проблема в том, что мне вот например из статей вроде той что по ссылке — не понятно как ситуацию с аутсорсным бухгалтером то решать? (Считаем что я ему — доверяю общение с налоговой, в моем случае — там прямо контракт с материальной ответственностью за ошибки сервиса). Бухгалтер формирует документы и просит подписать? Или все же вернут в каком то виде электронную доверенность на право общения с налоговой, которую надо подписать? Или будут через какую то дыру как раньше делать подпись без ограничений (и удаленно разумеется)


              1. Mur81
                04.08.2021 23:10
                +1

                Ну по приведённой мною ссылке однозначно написано, что все сотрудники (а бухгалтер на аутсорсе это считай такой же сотрудник) кроме генерального директора будут работать с личной ЭЦП плюс доверенность от организации (я так понимаю подписанной ЭЦП гендира). При этом закрытый ключ гендира будет храниться на аппаратном токене и будет неизвлекаемым, поэтому размножить подпись по сотрудникам (как это все сейчас делают) не получится.
                Так-то новая система уже больше месяца как бы работает. Можно напрягать свой УЦ на предмет разъяснения и всего такого. Но есть стойкое ощущение, что в реальности ничего еще не реализовано и не работает. Всё как обычно будет допиливаться в последний момент, а потом 1-го января все будут бегать с выпученными глазами. Ну как это обычно у нас бывает. У нас же как, всё такие изменения надо обязательно с первого января запускать, и по хрену, что вся страна в пьяном угаре неделю.


  1. anonymous
    00.00.0000 00:00


    1. Ark_V
      04.08.2021 06:44
      +3

      По идее, ЭП это средство крипто-защиты информации (СКЗИ) и персональных данных, по 152-фз курирование защиты ПД с использованием СКЗИ возложено на ФСБ, так что по идее на ФНС туда жалобу писать надо было, и думаю вряд ли ФСБ стало бы ФНС тут покрывать.


      1. janatem
        04.08.2021 14:39

        Тут проблема не в том, что ФНС один раз что-то сделали не так, а системная. Почему вообще считается нормальным, когда приватный ключ пользователя живет на сервере? Это же вопиющее нарушение с точки зрения основ криптографии. Возможно, в каких-то регулирующих ФЗ именно это и прописано. (В некотором смысле, так и правда удобней пользователю — меньше шансов потерять ключ.) Конкретно ФНС не только разрешает такую схему хранения ключа, но и технически затрудняет использовать нормальную схему (видимо, не из вредности, а по раздолбайству). Не знаю, как сейчас, но несколько лет назад, когда я с этим столкнулся, предлагалось использовать их закрытый проприетарный (хотя наверняка лицензированный ФСБ) софт под винду, который, начиная с какой-то версии, перестал нормально работать у меня в виртуалке. И мне кажется, что ситуация не только не улучшается (я бы ожидал переход на более стандартный универсальный открытый софт), но и усугубляется за счет увеличения популярности и количества подобных сервисов.


        1. Ark_V
          04.08.2021 19:06

          Почему вообще считается нормальным, когда приватный ключ пользователя живет на сервере?

          Не знаю, по моему это в корне противоречит Приложению к приказу ФАПСИ РФ от 13 июня 2001 г. N 152 "Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", там все расписано как должно обращаться с СКЗИ, и оно все довольно жестко, и за несоблюдение административная ответственность, а в случае повлекшем ущерб еще говорят и уголовная может быть за халатность, т.ч. трудно себе представить, как то, что там написано совмещается с тем что вы рассказываете, и заявлениями типа

          "где для получения квал. подписи достаточно было скана паспорта, скана снилса и фотки с паспортом в руках посланных на обычное е-мыло где-нибудь на маил.ру "


          1. vikarti
            04.08.2021 21:07

            Ну — мне вот двумя УЦ приходилось пользоваться.
            В одном — подписывается все и проверяется, затем за своим компом производится генерация ключевой пары и запись на токен. И выдана инструкция по которой это сможет сделать самая тупая блондинка.
            Во втором — паспорт? ок. вот вам ваш токен, мы все сами сгенерировали.
            Процедура обновления в обоих УЦ более нормальная.


  1. Black_Spirit
    04.08.2021 05:42
    +1

    Нежданчик. Что благородней духом. Бежать ставить приложение или, ополчась, на их поделки, заявление о запрете выпуска сертификата на себя, пока мошенник не выпустит его за тебя?


    1. elve
      04.08.2021 09:27
      +1

      У нас в стране много сертификационных центров. Обмена информацией между ними и какой-то централизованной гос. базой нет. Мошеннику главное не придти в тот, в котором вы выпустили свою подпись.


      1. Black_Spirit
        04.08.2021 10:04
        +1

        Думаю, для них не проблема будет аннулировать мою и выпустить мошеннику новую. На самом деле жуть. Теперь только пароль от еасиа нужен и все.


        1. elve
          04.08.2021 10:16
          +1

          Это будет заметно сразу. А надо, чтобы жертва как можно дольше была в неведении, чтобы жулик успел скрыться с награбленным. Поэтому выпускать новую подпись будут в другом удостоверяющем центре.


      1. Mur81
        04.08.2021 19:42

        Какой-то обмен с какой-то базой есть. Т.к. сейчас если ЭЦП выпускаешь в течение нескольких часов с госуслуг прилетает письмо, что на вас выпущена ЭЦП.
        Другой вопрос насколько надёжно это работает и все ли УЦ отчитываются о выпущенных сертификатах.
        Впрочем со следующего года работа с ЭЦП кардинально меняется (формально старт новой системы произошёл уже 1-го июля). Здесь можно почитать.


      1. vikarti
        04.08.2021 21:09

        Да? А откуда список выданных сертификатов на госуслугах взялся? С указанием кто его выдал и серийника. И да — можно потом связаться и спросить а вы вообще кто и зачем выдали? Правда вместо внятного объяснения можно получить отзыв а может потом появится запрос от бухсервиса с просьбой подписать заявление и отправить скан о том что не возражаю чтобы выдали сертификат, бухсервису.


  1. serginfo2009
    04.08.2021 06:53
    +1

    Хорошая попытка, дорогое правительство, но нет.

    Зная качество всего, что происходит на стыке IT и государства, вангую экспоненциальный рост мошенничества с использованием ЭЦП.


  1. tormozillo
    04.08.2021 07:32
    +2

    Раньше было неравенство людей по социальному статусу, по размеру имущества, физической силе и т.д. Мы же живём в эпоху цифрового неравенства. Тот редкий индивидуум кто шарит в ЭЦП получает все профиты, а большинству населения (даже с высшим ИТ-образованием) ничего не шарящих, предлагается поверить в эту технологию на словах, поэтому они будут вечно угнетенными, у них будут воровать подписи и проделывать различные аферы, доказывать свою невиновность тоже нечем, т.к. наше родное законодательство по сути считает ЭЦП неотделимой частью организма человека, т.е. если документ подписан вашим ворованным ЭЦП то автоматически считается что это сделала ваша рука.


    1. elve
      04.08.2021 09:16
      +3

      При этом ЭЦП хранится в некоем "защищенном хранилище", а не у гражданина. Можно шарить сколько угодно, но если твое участие не требуется, то обойдутся без тебя =)


      1. tormozillo
        05.08.2021 14:32

        Прошаренный как раз этого и не будет делать. Как бы это смешно и страшно ни звучало, поможет только чипирование всех граждан РФ )


        1. elve
          05.08.2021 14:50

          Я кажется упустил нить беседы. С чем именно должно помочь чипирование?


          1. tormozillo
            06.08.2021 07:43

            Закрытый ключ ЭЦП нужно записать на чип и вживить в мозг.


            1. elve
              06.08.2021 07:58

              А как его тогда перевыпускать раз в год? =)


              1. tormozillo
                06.08.2021 08:20
                +1

                А зачем? Риск утечки только при операциях на мозге, или усекновении головы. В первом случае как раз и можно перевыпускать, во втором и не надо больше уже

                Если без шуток, именно подобными аргументациями плавно подведут население к необходимости чипирования, но про то что там кроме ЭЦП ещё много чего может быть особо много рассказывать не будут. Я конечно не верю в успех мероприятия, но попытки безусловно в будущем мы увидим, если доживем.


  1. talkingpipe
    04.08.2021 08:06
    +11

    А мы точно говорим о приложении, которое служит для подтверждения юридически значимых действий?
    Лицензионное соглашение:
    --

    6. Ответственность

    6.1. Приложение предоставляется Пользователю исключительно на условиях «как есть». Правообладатель ни при каких условиях не несет ответственности за любой ущерб (прямой или косвенный), связанный с использованием или невозможностью использования Приложения, за последствия несанкционированного использования Приложения третьими лицами.

    6.2. Правообладатель не предоставляет гарантий в отношения безошибочной и бесперебойной работы Приложения или отдельных его компонент на Мобильном устройстве Пользователя, а также в отношении соответствия Приложения конкретным целям Пользователя, не гарантирует точность, полноту и своевременность полученной Пользователем информации, а также не предоставляет никаких иных гарантий, прямо не указанных в настоящем Соглашении.


  1. wtigga
    04.08.2021 09:37
    +2

    Сижу в очереди в МФЦ. Передо мной у окошка сидит немолодая женщина, которой сотрудница МФЦ помогает установить приложение Госуслуг: "… а тут нужно пароль сделать, мы вам сделаем 1234, чтобы легко запомнить". (очевидно, речь о пин-коде в приложении/блокировке экрана).

    Здорово, правда?
    Потерял телефон, 1234, госуслуги, 1234, и

    ключ электронной подписи создается, хранится и применяется в приложении, не нужны USB-токены, СМС-пароли и, самое главное, все функции доступны без личной явки и без бумаги
    , а
    через некоторое время смогут подписывать через сервис договора по купли-продажи автомобилей и аренды недвижимости
    .

    Ещё хуже, чем ЭЦП из удостоверяющих центров, которые выдают кому попало.


  1. EVolans
    04.08.2021 10:15
    +4

    Интересно, а служба метки времени туда уже встроена? Ведь без нее эти подписи ничего не стоят. Подписал, тут же отозвал подпись и выпустил новую. Старый подписанный документ превратился в пшик?


    1. alhimik45
      04.08.2021 12:48
      +3

      Чтобы обойти эту проблему они не будут добавлять отзыв подписей. Там ведь всё надежно и безопасно)


  1. Osdleon
    04.08.2021 20:54

    precise location (GPS and network-based);

    А ГЛОНАСС ?


  1. rimskipapa
    06.08.2021 15:05

    ЭЦП и личная подпись стали две большие разницы,

    как говорят в Одессе, –

    каждые живут своей жизнью.

    Если я правильно понимаю, то ЭЦП, равно и личная подпись, – подтверждение воли владельца подписи или/и ЭЦП.

    То есть на каждый документ должна быть уникальная подпись, хорошо если и юридически заверенная, что и должно быть реализовано в ЭЦП, –

    уникальность подписи на каждый документ и уникальная идентификация владельца подписи для каждого подписанного документа.


    В Японии использовали заверенную нотариусом РАЗОВУЮ ПЕЧАТЬ для каждого документа с уникальным дефектом печати. Потом наборную печать разбирали и шрифт уничтожали.

    Для нового документа собирали новую печать, заверяли оттиск у нотариуса по целевому назначению подписи.

    Этого, сильно похоже, что не реализовано в нынешнем варианте ЭЦП.

    Ибо для проверки уникальности подписи должна быть транспарентность и для автора документа и для его контрагентов.

    Если подпись каждый раз уникальна, то в транспарентности нет опасности, если подпись хранят тайно, то, скорее всего такая ЭЦП реализована по принципу физическая ЕДИНАЯ ЛИЧНАЯ ПЕЧАТЬ, как биомаркер, что с тз безопасности чрезвычайно небезопасно, -- образцы биомаркеров воруют без особых трудностей, к сожалению.

    Автор документа нуждается иметь в своём распоряжении копию или доступ к просмотру ЭЦП на предмет проверки реквизитов подписи: что подписано, когда подписано, кто/что заверили подпись, ID этой конкретной подписи, ID документа, иметь возможность получить заверенную выписку из этого реестра подписей, -- о документе и его реквизитах, заверенную копию документа. В этих требованиях к ЭЦП скрыт конфликт с существованием нотариусов в принципе, если их не включать в этот процесс и эту проблему не похоже что не решили, или решили?

    Эту информацию нужно предоставлять и «потребителю» документа.

    Видеть реквизиты подписи, – это не означает вмешиваться в суть реквизитов подписи.

    То, что предлагают в ЭЦП, – наводит на вопросы о безопасности, ответов на которые не предоставляют.