3 августа 2021 года Минцифры представило мобильное приложение «Госключ» для подписания договоров онлайн. Оно уже доступно в магазинах приложений App Store и Google Play.
Минцифры пояснило, что «Госключ» — это «удобный и безопасный сервис для пользователей портала Госуслуг с подтвержденной учетной записью». Пользователь в приложении может за несколько минут бесплатно создать электронную подпись, которая хранится в защищенной и безопасной инфраструктуре электронного правительства. Приложение позиционируется, как «мобильная усиленная электронная подпись для использования на Портале Госуслуг».
В настоящее время электронную подпись из «Госключа» можно использовать для подписания договора на оказание услуг сотовой связи, например, стать абонентом Tele2. Другие операторы связи, включая МТС, «Мегафон» и «Билайн», собираются скоро также подключиться к этому сервису.
Минцифры уточнило, что собирается расширить перечень сделок и юридических документов, которые можно подписывать с помощью «Госключа». Пользователи через некоторое время смогут подписывать через сервис договора по купли-продажи автомобилей и аренды недвижимости.
Мобильное приложение «Госключ» использует сервисы единой цифровой платформы для создания и выдачи электронной подписи, предоставляемые ПАО «Ростелеком» и ПАО «Банк ВТБ» в рамках эксперимента по использованию электронной подписи, который сейчас реализует Минцифры.
Из описания нового мобильного приложения от Минцифры для Android:
- приложение «Госключ» позволяет получить сертификат усиленной электронной подписи и подписывать документы при работе с Порталом Госуслуг;
- ключ электронной подписи создается, хранится и применяется в приложении, не нужны USB-токены, СМС-пароли и, самое главное, все функции доступны без личной явки и без бумаги.
Разрешения, необходимые для установки и работы приложения «Госключ»:
- местоположение, включая approximate location (network-based) и precise location (GPS and network-based);
- доступ (чтение, запись, удаление) к фото/мультимедиа/файлам в основном хранилище мобильного устройства и к USB-накопителю;
- камера (съемка фото и видео);
- другие опции, включая полный доступ к сетевым настройкам и запуск при включении устройства.
Примечательно, что в Политике конфиденциальности мобильного приложения «Госключ» заявлена обработка персональных данных пользователей ОАО «Инфотекс Интернет Траст». Это российский аккредитованный удостоверяющий центр.
Судя по отзывам на приложение в Google Play, Минцифры еще будет его дорабатывать, так как у некоторых пользователей оно работает некорректно. Также сейчас не работает ссылка на страницу поддержки приложения.
Комментарии (43)
keydon2
03.08.2021 22:53+10Астрологи объявляют неделю мошенников. Количество слежки за пользователями и продаж квартир и автомобилей неизвестным людям увеличивается вдвое.
edogs
04.08.2021 01:44+2Квартиры все же вряд ли, для этого надо отдельное заявление в росреестр или же сразу получать эцп у росреестра.
В принципе ничего особо не изменилось. Раньше куча объяв на авито была (может и сейчас есть) раньше, где для получения квал. подписи достаточно было скана паспорта, скана снилса и фотки с паспортом в руках посланных на обычное е-мыло где-нибудь на маил.ру что характерно. Формально нелегально, т.к. требуется личное присутствие.
Тут по большому счету то же самое, поэтому нам не вполне понятно как тут личное присутствие обходят. Кто-нибудь из юристов может пояснить?
Ark_V
04.08.2021 06:38+3Через удостоверение от единой системы идентификации и авторизации ЕСИА (которая для этого и делалась), подтверждение учетной записи в которой либо через личное присутствие в МФЦ делалось, либо через Сбербанк, где тоже личное присутствие было.
edogs
04.08.2021 13:26Что-то мы запутались, усиленная ведь может быть только квалифицированной? А квалифицированная только усиленной? То есть тут выдают квалифицированную? Или нет?
И если да, то почему тогда одного лишь входа через ЕСИА (при подтвержденной учетке) недостаточно для квал подписи?Ark_V
04.08.2021 18:32Закон 63-фз статья 5, 3 вида
простая (коды, пароли)
усиленная НЕквалифицированная (полученная на основе криптографии,действует на условиях и основании договора регулирующего ее применение между применяющими ее сторонами, позволяет определить лицо, подписавшее электронный документ, позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания)
усиленная квалифицированная, те же требования что и неквалифицированной + принадлежность владельцу заверена удостоверяющим центром и создается сертифицированным П/О
и получается, что вход через ЕСИА не обеспечивает того, что обеспечивает квалифицированная подпись.
elve
03.08.2021 22:58+10Сразу же интересует момент - как можно отказаться от этой услуги? Уж очень она упрощает возможность украсть у меня все и разом.
Andrey_Epifantsev
04.08.2021 07:01+1Да, было бы неплохо, если бы кто-нибудь написал подробную статью-инструцию как это можно сделать.
mctMaks
04.08.2021 10:34+2как это можно сделать
<sarcasm> Уточните что можно сделать "украсть" или "отказаться" <\sarcasm>
Andrey_Epifantsev
04.08.2021 11:41В принципе можно и то и то. Здесь частенько бывают статьи про то, как кто-нибудь что-нибудь взламывает.
janatem
03.08.2021 23:45+2электронную подпись, которая хранится в защищенной и безопасной инфраструктуре электронного правительства
А вот с этого места хорошо бы поподробней. Сам ключ должен храниться только на устройствах пользователя, но некоторые сервисы это правило нарушали — не только разрешали альтернативные схемы хранения, но и, в некотором смысле, навязывали хранение на стороне сервера как единственную возможность. Я в свое время не смог побороть Федеральную налоговую службу, но надеялся, что хотя бы другие государственные сервисы будут делать, как положено.
LAG_LAGbI4
04.08.2021 00:32+5может мне кто-то может объяснить смысл облачного хранения ЭЦП. т.е. ты заходишь в сервис используя простую ЭЦП, а внутри сервиса хранится усиленная квалифицированная эЦП. Какой блин в этом смысл. ведь всё равно, чтобы использовать эцп достаточно простой подписи.
Ark_V
04.08.2021 06:54+1Усиленная ЭП более наглядно и тесно связанна с предметом подписи чем простая и этим ее "неотрекаемость" более очевидна и доказуема, имхо.
vikarti
04.08.2021 09:32+1Возможность кому то еще давать этой подписью ограниченно пользоватся.
Примеры:- Банк Точка, оказывают услугу по регистрации ИП И открытию счета. но надо подписать бумагу про ЭЦП (там даже хеш напечатан). Зачем? Им нужно от имени клиента заявление в налоговую отправить.
- Бухгалтерские сервисы как при банках так и отдельные (вроде Эльбы/МоеДело) — для общения с налоговой нужна подпись. Хотя логичнее бы нормальной подписью (на токене) подписать какую то электронную доверенность на права сервиса общаться с налоговой и только на это.
elve
04.08.2021 10:14+1Знакомый бухгалтер рассказывал, что изначально можно было такие права делегировать, к примеру, на персональную подпись бухгалтера. А потом переиграли и теперь все документы подписываются только эцп директора - что означает наличие доступа к этой подписи у большого круга лиц.
Mur81
04.08.2021 19:37vikarti
04.08.2021 21:02Проблема в том, что мне вот например из статей вроде той что по ссылке — не понятно как ситуацию с аутсорсным бухгалтером то решать? (Считаем что я ему — доверяю общение с налоговой, в моем случае — там прямо контракт с материальной ответственностью за ошибки сервиса). Бухгалтер формирует документы и просит подписать? Или все же вернут в каком то виде электронную доверенность на право общения с налоговой, которую надо подписать? Или будут через какую то дыру как раньше делать подпись без ограничений (и удаленно разумеется)
Mur81
04.08.2021 23:10+1Ну по приведённой мною ссылке однозначно написано, что все сотрудники (а бухгалтер на аутсорсе это считай такой же сотрудник) кроме генерального директора будут работать с личной ЭЦП плюс доверенность от организации (я так понимаю подписанной ЭЦП гендира). При этом закрытый ключ гендира будет храниться на аппаратном токене и будет неизвлекаемым, поэтому размножить подпись по сотрудникам (как это все сейчас делают) не получится.
Так-то новая система уже больше месяца как бы работает. Можно напрягать свой УЦ на предмет разъяснения и всего такого. Но есть стойкое ощущение, что в реальности ничего еще не реализовано и не работает. Всё как обычно будет допиливаться в последний момент, а потом 1-го января все будут бегать с выпученными глазами. Ну как это обычно у нас бывает. У нас же как, всё такие изменения надо обязательно с первого января запускать, и по хрену, что вся страна в пьяном угаре неделю.
anonymous
00.00.0000 00:00Ark_V
04.08.2021 06:44+3По идее, ЭП это средство крипто-защиты информации (СКЗИ) и персональных данных, по 152-фз курирование защиты ПД с использованием СКЗИ возложено на ФСБ, так что по идее на ФНС туда жалобу писать надо было, и думаю вряд ли ФСБ стало бы ФНС тут покрывать.
janatem
04.08.2021 14:39Тут проблема не в том, что ФНС один раз что-то сделали не так, а системная. Почему вообще считается нормальным, когда приватный ключ пользователя живет на сервере? Это же вопиющее нарушение с точки зрения основ криптографии. Возможно, в каких-то регулирующих ФЗ именно это и прописано. (В некотором смысле, так и правда удобней пользователю — меньше шансов потерять ключ.) Конкретно ФНС не только разрешает такую схему хранения ключа, но и технически затрудняет использовать нормальную схему (видимо, не из вредности, а по раздолбайству). Не знаю, как сейчас, но несколько лет назад, когда я с этим столкнулся, предлагалось использовать их закрытый проприетарный (хотя наверняка лицензированный ФСБ) софт под винду, который, начиная с какой-то версии, перестал нормально работать у меня в виртуалке. И мне кажется, что ситуация не только не улучшается (я бы ожидал переход на более стандартный универсальный открытый софт), но и усугубляется за счет увеличения популярности и количества подобных сервисов.
Ark_V
04.08.2021 19:06Почему вообще считается нормальным, когда приватный ключ пользователя живет на сервере?
Не знаю, по моему это в корне противоречит Приложению к приказу ФАПСИ РФ от 13 июня 2001 г. N 152 "Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", там все расписано как должно обращаться с СКЗИ, и оно все довольно жестко, и за несоблюдение административная ответственность, а в случае повлекшем ущерб еще говорят и уголовная может быть за халатность, т.ч. трудно себе представить, как то, что там написано совмещается с тем что вы рассказываете, и заявлениями типа
"где для получения квал. подписи достаточно было скана паспорта, скана снилса и фотки с паспортом в руках посланных на обычное е-мыло где-нибудь на маил.ру "
vikarti
04.08.2021 21:07Ну — мне вот двумя УЦ приходилось пользоваться.
В одном — подписывается все и проверяется, затем за своим компом производится генерация ключевой пары и запись на токен. И выдана инструкция по которой это сможет сделать самая тупая блондинка.
Во втором — паспорт? ок. вот вам ваш токен, мы все сами сгенерировали.
Процедура обновления в обоих УЦ более нормальная.
Black_Spirit
04.08.2021 05:42+1Нежданчик. Что благородней духом. Бежать ставить приложение или, ополчась, на их поделки, заявление о запрете выпуска сертификата на себя, пока мошенник не выпустит его за тебя?
elve
04.08.2021 09:27+1У нас в стране много сертификационных центров. Обмена информацией между ними и какой-то централизованной гос. базой нет. Мошеннику главное не придти в тот, в котором вы выпустили свою подпись.
Black_Spirit
04.08.2021 10:04+1Думаю, для них не проблема будет аннулировать мою и выпустить мошеннику новую. На самом деле жуть. Теперь только пароль от еасиа нужен и все.
elve
04.08.2021 10:16+1Это будет заметно сразу. А надо, чтобы жертва как можно дольше была в неведении, чтобы жулик успел скрыться с награбленным. Поэтому выпускать новую подпись будут в другом удостоверяющем центре.
Mur81
04.08.2021 19:42Какой-то обмен с какой-то базой есть. Т.к. сейчас если ЭЦП выпускаешь в течение нескольких часов с госуслуг прилетает письмо, что на вас выпущена ЭЦП.
Другой вопрос насколько надёжно это работает и все ли УЦ отчитываются о выпущенных сертификатах.
Впрочем со следующего года работа с ЭЦП кардинально меняется (формально старт новой системы произошёл уже 1-го июля). Здесь можно почитать.
vikarti
04.08.2021 21:09Да? А откуда список выданных сертификатов на госуслугах взялся? С указанием кто его выдал и серийника. И да — можно потом связаться и спросить а вы вообще кто и зачем выдали? Правда вместо внятного объяснения можно получить отзыв а может потом появится запрос от бухсервиса с просьбой подписать заявление и отправить скан о том что не возражаю чтобы выдали сертификат, бухсервису.
serginfo2009
04.08.2021 06:53+1Хорошая попытка, дорогое правительство, но нет.
Зная качество всего, что происходит на стыке IT и государства, вангую экспоненциальный рост мошенничества с использованием ЭЦП.
tormozillo
04.08.2021 07:32+2Раньше было неравенство людей по социальному статусу, по размеру имущества, физической силе и т.д. Мы же живём в эпоху цифрового неравенства. Тот редкий индивидуум кто шарит в ЭЦП получает все профиты, а большинству населения (даже с высшим ИТ-образованием) ничего не шарящих, предлагается поверить в эту технологию на словах, поэтому они будут вечно угнетенными, у них будут воровать подписи и проделывать различные аферы, доказывать свою невиновность тоже нечем, т.к. наше родное законодательство по сути считает ЭЦП неотделимой частью организма человека, т.е. если документ подписан вашим ворованным ЭЦП то автоматически считается что это сделала ваша рука.
elve
04.08.2021 09:16+3При этом ЭЦП хранится в некоем "защищенном хранилище", а не у гражданина. Можно шарить сколько угодно, но если твое участие не требуется, то обойдутся без тебя =)
tormozillo
05.08.2021 14:32Прошаренный как раз этого и не будет делать. Как бы это смешно и страшно ни звучало, поможет только чипирование всех граждан РФ )
elve
05.08.2021 14:50Я кажется упустил нить беседы. С чем именно должно помочь чипирование?
tormozillo
06.08.2021 07:43Закрытый ключ ЭЦП нужно записать на чип и вживить в мозг.
elve
06.08.2021 07:58А как его тогда перевыпускать раз в год? =)
tormozillo
06.08.2021 08:20+1А зачем? Риск утечки только при операциях на мозге, или усекновении головы. В первом случае как раз и можно перевыпускать, во втором и не надо больше уже
Если без шуток, именно подобными аргументациями плавно подведут население к необходимости чипирования, но про то что там кроме ЭЦП ещё много чего может быть особо много рассказывать не будут. Я конечно не верю в успех мероприятия, но попытки безусловно в будущем мы увидим, если доживем.
talkingpipe
04.08.2021 08:06+11А мы точно говорим о приложении, которое служит для подтверждения юридически значимых действий?
Лицензионное соглашение:
--6. Ответственность
6.1. Приложение предоставляется Пользователю исключительно на условиях «как есть». Правообладатель ни при каких условиях не несет ответственности за любой ущерб (прямой или косвенный), связанный с использованием или невозможностью использования Приложения, за последствия несанкционированного использования Приложения третьими лицами.
6.2. Правообладатель не предоставляет гарантий в отношения безошибочной и бесперебойной работы Приложения или отдельных его компонент на Мобильном устройстве Пользователя, а также в отношении соответствия Приложения конкретным целям Пользователя, не гарантирует точность, полноту и своевременность полученной Пользователем информации, а также не предоставляет никаких иных гарантий, прямо не указанных в настоящем Соглашении.
wtigga
04.08.2021 09:37+2Сижу в очереди в МФЦ. Передо мной у окошка сидит немолодая женщина, которой сотрудница МФЦ помогает установить приложение Госуслуг: "… а тут нужно пароль сделать, мы вам сделаем 1234, чтобы легко запомнить". (очевидно, речь о пин-коде в приложении/блокировке экрана).
Здорово, правда?
Потерял телефон, 1234, госуслуги, 1234, иключ электронной подписи создается, хранится и применяется в приложении, не нужны USB-токены, СМС-пароли и, самое главное, все функции доступны без личной явки и без бумаги
, ачерез некоторое время смогут подписывать через сервис договора по купли-продажи автомобилей и аренды недвижимости
.
Ещё хуже, чем ЭЦП из удостоверяющих центров, которые выдают кому попало.
EVolans
04.08.2021 10:15+4Интересно, а служба метки времени туда уже встроена? Ведь без нее эти подписи ничего не стоят. Подписал, тут же отозвал подпись и выпустил новую. Старый подписанный документ превратился в пшик?
alhimik45
04.08.2021 12:48+3Чтобы обойти эту проблему они не будут добавлять отзыв подписей. Там ведь всё надежно и безопасно)
rimskipapa
06.08.2021 15:05ЭЦП и личная подпись стали две большие разницы,
как говорят в Одессе, –
каждые живут своей жизнью.
Если я правильно понимаю, то ЭЦП, равно и личная подпись, – подтверждение воли владельца подписи или/и ЭЦП.
То есть на каждый документ должна быть уникальная подпись, хорошо если и юридически заверенная, что и должно быть реализовано в ЭЦП, –
уникальность подписи на каждый документ и уникальная идентификация владельца подписи для каждого подписанного документа.
В Японии использовали заверенную нотариусом РАЗОВУЮ ПЕЧАТЬ для каждого документа с уникальным дефектом печати. Потом наборную печать разбирали и шрифт уничтожали.
Для нового документа собирали новую печать, заверяли оттиск у нотариуса по целевому назначению подписи.
Этого, сильно похоже, что не реализовано в нынешнем варианте ЭЦП.
Ибо для проверки уникальности подписи должна быть транспарентность и для автора документа и для его контрагентов.
Если подпись каждый раз уникальна, то в транспарентности нет опасности, если подпись хранят тайно, то, скорее всего такая ЭЦП реализована по принципу физическая ЕДИНАЯ ЛИЧНАЯ ПЕЧАТЬ, как биомаркер, что с тз безопасности чрезвычайно небезопасно, -- образцы биомаркеров воруют без особых трудностей, к сожалению.
Автор документа нуждается иметь в своём распоряжении копию или доступ к просмотру ЭЦП на предмет проверки реквизитов подписи: что подписано, когда подписано, кто/что заверили подпись, ID этой конкретной подписи, ID документа, иметь возможность получить заверенную выписку из этого реестра подписей, -- о документе и его реквизитах, заверенную копию документа. В этих требованиях к ЭЦП скрыт конфликт с существованием нотариусов в принципе, если их не включать в этот процесс и эту проблему не похоже что не решили, или решили?
Эту информацию нужно предоставлять и «потребителю» документа.
Видеть реквизиты подписи, – это не означает вмешиваться в суть реквизитов подписи.
То, что предлагают в ЭЦП, – наводит на вопросы о безопасности, ответов на которые не предоставляют.
robertd
JIC был/есть частный стартап в этой области nopaper.ru приложение которых кажется сильно удобней, плюс позволяет подписывать произвольные документы