Госуслуги уже давно не про запись на приём в ведомственные учреждения и не про единое окно (чтобы этот термин не значил) — мы расширяем горизонт и развиваем полноценную цифровую экосистему.  На этот раз перед нами стояла задача разработать решение для подписания документов с помощью мобильного приложения, которое получило название «Госключ».  

На связи команда проекта «Госключ» и директор проектов РТЛабс Константин Белов. Задачами, связанными с пилотированием новых процессов на региональных и даже федеральном уровнях, нас удивить сложно. Они — частый гость в наших офисах, но редко речь идет про мини-революцию и борьбу с «устоями».

Не секрет, что коронавирус заметно поменял все сферы жизни и бизнеса. И было бы странно, если бы пандемия не повлияла и на процесс подписания документов при помощи государственных сервисов.

Сперва про технологические аспекты «Госключа», не ударяясь в квантовую механику

Что же вообще это такое — наш «Госключ»? Это комплексный проект, в котором задействованы несколько крупных систем.

Обо всех я расскажу максимально крупными мазками, чтобы была понятна общая концепция:

Госуслуги

У портала несколько ключевых ролей:

  • Верификация и разрешение на выпуск сертификата электронной подписи пользователю, имеющему подтвержденную учетную запись на Госуслугах.

  • Информирование пользователя обо всех подписаниях, выполненных с помощью мобильного приложения «Госключ». Абсолютно все транзакции проходят через Госуслуги и оставляют свой след. Другими словами — это доверенная среда. 

  • Полная внутренняя логистика данных — от направления документов на подписание в «Госключ» до обратной транспортировки уже подписанного документа инициатору подписания (или отказа от подписания, если пользователь резко решил передумать).

Само мобильное приложение «Госключ», реализованное на базе IDPoint (включает в себя бэкэнд и мобильный фронт).

«Госключ» умеет все, что необходимо в рамках любых кейсов подписания документов, встроен в Госуслуги через Trust Gate (шлюз, адаптер или шина, кому как нравится, нам больше нравится называть именно так, как написано до скобочки):

  • Выпуск сертификата электронной подписи.

  • Отображение документа пользователю на экране мобильного телефона или планшета с возможностью детально изучить этот документ перед подписанием.

  • Собственно, само подписание документов с помощью свежевыпущенного сертификата электронной подписи или уже созданного пользователем ранее.

За разработку мобильного приложения «Госключ» взялась команда ИнфоТеКС Интернет Траст. Они обладают обширными компетенциями в области мобильной электронной подписи. IDPoint с идентификацией по загранпаспорту – их разработка. В то же время, ИнфоТеКС Интернет Траст – один из крупных аккредитованных удостоверяющих центров, глубоко погруженный в проблематику и практические аспекты массовой выдачи и применения сертификатов электронной подписи.

Кстати, упомянутый выше TrustGate – тоже продукт, разработанный коллегами из ИнфоТеКС Интернет Траст, являющийся универсальным шлюзом для взаимодействия информационных систем с видами сведений (СМЭВ3), ЕСИА/Цифровым профилем гражданина и Единой Биометрической Системой (ЕБС).

И внешние информационные системы – инициаторы подписания

Речь про сотовых операторов:

  • Билайн

  • Tele2

  • МТС

  • Мегафон

  • Yota

Каждый из пяти операторов связи при помощи нашей связки поддерживает возможность активации SIM-карт с функцией «саморегистрации». Для этого не нужно никакой биометрии или походов с паспортами в офис. Что немаловажно – все кристально чисто с точки зрения законодательства.

Почему УНЭП?

«Госключ» поддерживает как подписания документов УКЭП-ами, так и УНЭП-ами. Но все же концепция «Госключа» до конца 2021 года выстроена вокруг неквалифицированных подписей (УНЭП).

Теперь пара слов о том, в чем заключается отличие Усиленной неквалифицированной электронной подписи (УНЭП) от Усиленной квалифицированной электронной подписи (УКЭП).

Технологически УНЭП равноценен УКЭП-у. Это две уникальные последовательности символов: закрытый код (ключ электронной подписи) и открытый код (ключ проверки электронной подписи), связанных между собой. УНЭП и УКЭП дают всю необходимую информацию о лице, подписавшем документ, а также позволяют обнаружить факт внесения изменений в документ после его подписания.  

Неквалифицированной электронной подписью можно подписывать только те договоры, на которые есть двустороннее соглашение между участниками либо должны присутствовать нормативно-правовые акты, поддерживающие технологию подписания УНЭП.

С соглашениями все просто: берется какое-нибудь государственное ведомство и коммерческая компания, или просто две коммерческие компании. Между ними заключается соглашение, по которому использование УНЭПов в рамках подписания документов теперь возможно. И всё – можно запасаться УНЭП-ами и подписывать договоры.

С нормативкой немного сложнее, так как она всегда означает тяжелую цепочку межведомственных согласований. Это всегда долгий процесс, и порой изначальная идея зарубается в самый последний момент, так как вдруг может выясниться, что это противоречит какому-нибудь выпущенному 20 лет назад федеральному закону.

Забегая вперед, отмечу, что у нас есть НПА, по которому прописана возможность дистанционного заключения договоров на регистрацию SIM-карт с помощью УНЭП.

УКЭП же не требует заключения никаких двусторонних соглашений и полностью приравнивается к собственноручно поставленной подписи, но стоит денег.

УНЭП и УКЭП:

  • УКЭП можно получить лично в удостоверяющем центре либо дистанционно с помощью загранпаспорта, связки ЕСИА (Единая система идентификации и аутентификации) +ЕБС (Единая биометрическая система) или же по действующему УКЭПу.

  • УНЭП «Госуслуг» можно получить всего лишь скачав приложение «Госключ» в маркетах и авторизовавшись в ЕСИА с подтвержденной учетной записью. УНЭП бесплатна для физических лиц.

Как все начиналось

В начале апреля 2021 года коллегами из Минцифры был создан чатик, содержащий в названии ключевую дату - 1 июня. Именно это число должно было стать точкой отсчета нового способа регистрации SIM-карт с помощью экспериментального подхода и объединения усилий крупного бизнеса и государства.

Почему мы начали именно с SIM-карт? Ответов на этот вопрос, на самом деле, много, но я бы остановился на двух важных:

  • Для подобного пилотирования нужен серьезный ресурс разработки, потому что быть первопроходцами – значит экспериментировать и иметь риски выкинуть тысячи человеко-часов.  Это не каждой компании по карману – большинству проще пройти по уже проторенной тропинке.

  • Достаточная степень эволюции экосистем у операторов связи. Они были готовы встраиваться в нашу концепцию и при этом являются достаточно гибкими в продуктовом подходе.

Мы сразу принялись за работу: начали анализировать и продумывать способы реализации нашей задачи. Сперва у нас даже не было понимания, кто из операторов первым сможет приступить к работе с нами, а работа предстояла, мягко скажем, кропотливая. Спустя некоторое время мы договорились с Tele2 и незамедлительно перешли к первым шагам реализации проекта.

От слов к делу

Мы изучили текущий процесс активации SIM-карт с помощью мобильного личного кабинета операторов и нашли возможные точки встраивания двух ключевых элементов связки:

  • Идентификация пользователя через Госуслуги.

  • Переход на скачивание «Госключа» (или deeplink в само мобильное приложение, если оно уже скачано на смартфон), вся дальнейшая магия проходит именно там.

После многодневных усилий мы согласовали подход. Разумеется, вся визуализация будет показана на примере мобильного личного кабинета Tele2, как первопроходца:

  • Пользователь покупает SIM-карту.

  • Скачивает приложение из сторов.

  •  Делает три элегантных нажатия на экран своего смартфона.

  • Переходит к процессу сканирования и активации SIM-карты.

  •  Для активации SIM-карты необходимо отсканировать штрихкод.

  • Пользователь располагает штрихкод в выделенной зоне для автоматического сканирования.

  • После считывания штрихкода на экран выводится информация о SIM-карте.

  • Для заключения договора клиенту нужно идентифицироваться одним из доступных способов. Для авторизации через Госуслуги необходимо иметь подтвержденную учетную запись.

  • Клиент выбирает идентификацию через Госуслуги и вводит данные для входа в личный кабинет.

  • После идентификации пользователь видит на экране свои персональные данные.

  • Пользователь может ознакомиться с условиями договора и перейти к подписанию.

  • Пользователю предлагается подписать договор с помощью приложения «Госключ»

  • Пользователь автоматически переходит в магазин приложений App Store/Google Play для установки приложения

  • Запуск приложения на мобильном устройстве

  • Пользователь устанавливает приложение, вводит свой номер телефона и получает СМС с кодом, вводит код активации.

  • Происходит регистрация экземпляра «Госключа».

  • После завершения регистрации СКЗИ пользователь переадресовывается на страницу аутентификации бэкэнда Госключа и вводит свои данные.

  • Единая система идентификации и авторизации (ЕСИА) передает в «Госключ» код авторизации.

  • Для использования приложения необходимо ознакомиться с лицензионным соглашением.

  • Пользователь принимает условия соглашений и правил.

  • Пользователь переходит к этапу установки пароля для защиты ключей электронной подписи.

  • Водит пальцем по экрану, чтобы сгенерировать случайные числа.

  • Пользователь придумывает пароль либо использует генератор для создания безопасного пароля, необходимого для защиты данных и работы с приложением.

  • Пользователь подтверждает свой пароль повторным вводом и переходит на этап получения сертификата УНЭП.

  • Приложение формирует запросы на сертификаты ЭП и аутентификации.

  • Запросы передаются в бэкэнд «Госключа» в удостоверяющий центр для обработки.

  • Сертификаты выпускаются и передаются в приложение «Госключ».

  • Пользователь может переходить к подписанию документов.

  • Пользователь может ознакомиться именно с тем договором, который был направлен инициатором подписания, и подписать именно его.

  • После подписания клиент автоматически возвращается в приложение «Мой Tele2» по бэклинку.

  • Запускается процесс активации SIM-карты.

  • Клиенту на экране выводится информация о принятии заявки на активацию SIM-карты.

  • После активации SIM-карты, клиенту доступна вся информация о его номере телефона, тарифе, балансе и прочих услугах, предоставляемых Tele2.

Несмотря на то, что это довольно сложный процесс, вся процедура занимает от силы минут 5 (но если вы забыли пароль от учетной записи на Госуслугах, прибавьте к этому еще пару минут). По каждому шагу есть понятная инструкция, у пользователя нет шанса заплутать и ошибиться.

В этой последовательности вы не увидели Госуслуги, это абсолютно нормально – они в данном кейсе не нужны. Но, как я уже упоминал в самом начале статьи, Госуслуги «помнят всё».

Портал предоставляет пользователю весь лог событий, привязанный к его учетной записи, которая используется в связке с «Госключом».

Госуслуги информирует пользователя о всех состояниях документа:

  • Запрос подписания документов (когда из мобильного приложения Tele2 запрос ушёл в «Госключ» и ждёт подписания);

  • Факт успешной подписи документа или пакета документов;

В случае с подписанием пакета документов логика также крайне простая, на каждый документ инициатор подписания должен выслать открепленную sig-подпись, к примеру, 2 документа – 2 открепленных (отсоединенных) sig-подписи инициатора.

  • Отказ от подписания документов;

Пользователь может в какой-то момент передумать подписывать документ, в данном случае инициатор получит статус отказа от подписания, процесс завершится для обоих.

  • Истекло время подписания документов: на подписание документов отводится строго определенный срок, по истечению которого подписание аннулируется, о чем пользователю и инициатору приходит уведомление.

Госуслуги в обязательном порядке предоставляет всю информацию о том, какие документы были переданы (с ними можно ознакомиться), а также показывает связанную с ними открепленную (отсоединенную) sig-подпись оператора сотовой связи. Это сделано в первую очередь для безопасности пользователя и всех действий с его учетной записью, о которых я обязательно напишу отдельно в конце статьи.

Сам механизм проработан таким образом, что Госуслуги, являясь транспортом и доверенной средой, может работать с любым инициатором подписания. Это могут быть договоры на широкополосный интернет или же заключение дистанционных договоров с сотрудниками - все, что угодно. Единственное ограничение, которое мы имеем на текущий момент – соглашения должны быть заключены с двух сторон. Плюс это не должно противоречить существующей нормативке.

Запуская проект, мы понимали всю его сложность и серьезность. Мы понимали, что столкнемся с мошенническими операциями из-за скомпрометированных учетных записей Госуслуг.

Со случаями компрометации и активаций SIM-карт мы активно боремся: поднимаем логи, находимся в тесной связи с операторами сотовой связи и аннулируем договоры.

Есть несколько рекомендаций, как этого избежать:

  • Включите двухфакторную авторизацию. Это хороший вариант обезопасить свой аккаунт от мошенников;

  • Привязывайте к госуслугам ту почту, которой действительно пользуетесь. Вы сможете своевременно увидеть все события, происходящие в вашем личном кабинете (все это по дефолту дублируется в почту);

  • Хотя бы иногда заходите на портал и проверяйте штрафы, налоги - пользуйтесь им.

Что мы имеем в итоге:

  1. На момент написания статьи Tele2, МТС, Билайн, Мегафон и Yota успешно подключены к «Госключу». С помощью «Госключа» активировано уже более 120 000 SIM-карт. Это хорошая цифра, говорящая о работоспособности этого решения.

  2. С помощью подобных решений количество «серых» SIM-карт снижается: мы не берем в расчет скомпрометированные учетные записи, по которым прошла активация, все подобные события отслеживаются и договора аннулируются.

  3. Мечта интроверта — можно забыть про необходимость посещения людных салонов сотовой связи для активации SIM-карты по паспорту, вы не привязаны к месту активации

  4. Удачный эксперимент, подтверждающий гипотезу о том, что государственные сервисы достаточно легко встраиваются в крупный бизнес и наоборот.

Последний пункт может стать основным пунктом развития цифрового общества на годы вперед, как мы это видим на примере Сингапура.

А мы, тем временем, ждем новых релизов и задач – они уже в работе.

Stay tuned.

Комментарии (8)


  1. Ximik-6
    28.12.2021 11:43

    Красавцы! Всё новое и неожиданное - двигатель прогресса. Аутентификация в ЕСИА действительно проходит по TLS ГОСТ из приложения?


    1. DiamondDust Автор
      28.12.2021 15:19
      +3

      Это первое сертифицированное решение с web-over-ГОСТ-TLS. И пока единственное :)


  1. Tempgshhdydhgddggd
    28.12.2021 18:02
    +1

    Здравствуйте. Учитывая последние течения я просто боюсь существования такого приложения. Это если мягко говорить. Жду электронный паспорт, чтобы его можно было приложить к телефону, ввести пароль и только тогда это работало. Как бы то не было но это будет лучше.


    1. DiamondDust Автор
      28.12.2021 19:29

      Приветствую! Я понимаю Ваши опасения, более того, я даже отчасти отразил их в статье, так как глупо было бы отрицать отсутствие потенциальных рисков и угроз.

      Но если вести речь про изменения, то следует не только принимать во внимание потенциальные риски, но и учитывать те преимущества, которые в себе кроет подобный подход.

      Я бы с радостью услышал, чего конкретно Вы боитесь и, возможно, более точно бы ответил или же наоборот, принял это вместе с нашей командой во внимание и недопустил в дальнейшем.


  1. Tele2
    29.12.2021 02:15
    +3

    Коллеги, большое спасибо за статью и за сотрудничество! Было приятно поработать вместе. Успехов!


    1. DiamondDust Автор
      29.12.2021 13:42

      Это очень взаимно :)


  1. aarhipov
    30.12.2021 10:20

    Спасибо. Действительно удобно, но есть но. Я менял оператора на Теле2 с помощью госключа и было все очень просто, но у старого оператора оказались неверные паспортные данные. И все в одночасье сломалось. Сходил актуализировал данные. Заявки на перенос создавались автоматически каждые три дня, но в них была ошибка с датами. Теле2 звали к себе в офис, ссылаясь на свои инструкции....

    Госключ удобно, но пока мало функционала. Ждём, что хотя бы опсосы начнут по полной ей пользоваться.


    1. DiamondDust Автор
      30.12.2021 11:33

      Спасибо за обратную связь, да, замена оператора - немного другой процесс, это MNP и он пока что находится в состоянии "боевой отладки"

      Большое количество отказов по MNP (без привязки к Госключу) - это некорректные данные. На бумаге же заявления принимались многие годы, многие родители регистрировали сим-карты детей на себя, а дети выросли и сталкиваются с такой проблемой.

      Верификация сведений об абонентах - это важное направление работы, но работа эта увы, не технологическая, а методическая и достаточно скурпулезная. Внедрение Госключа позволит оптимизировать этот процесс насколько это возможно.