Взятая нашем государством линия на политику импортозамещения в области IT-индустрии должна реализовываться, по нашему глубокому убеждению, прежде всего при доступе к порталу Госуслуг. Как писал один товарищ , «вариант с логином/паролем отброшен в силу профессиональной паранойи». Здесь речь идет о доступе на портал Госуслуги, используя для авторизации с помощью электронной подписи токены с интерфейсом PKCS#11 с поддержкой российской криптографии.

Итак, как же получить доступ в личный кабинет на портале Госуслуг с помощью личного сертификата, полученного в одном из аккредитованных УЦ?

Говоря об импортозамещении, мы имеем в виду следующее:

  • В качестве носителя личного сертификата гражданина РФ используется токен с интерфейсом PKCS#11 (рекомендации ТК26) с поддержкой российской криптографии отечественного производства. В качестве такого носителя могут, например, выступать Рутокен ЭЦП или программные и программно-аппаратные токены семейства LS11.
  • Используется отечественная операционная система семейства Linux. На самом деле может использоваться любой Linux;
  • Отечественный плагин, распространяемый через сайт www.gosuslugi.ru
  • Любой браузер, функционирующий на операционной системе Linux и поддерживающий плагины NPAPI. Мы выбрали отечественную разработку – браузер Redfox-48.0 .


Итак, что должен сделать Гражданин? Первое, получить в любом аккредитованном УЦ, например, в УЦ ООО «ЛИССИ-Софт», квалифицированный сертификат на токене PKCS#11 с поддержкой российской криптографии отечественного производства. Как уже говорилось это может быть и Рутокен ЭЦП и программно-аппаратный токен lsToken.

Скачать, установить и включить Плагин, предоставляемый порталом Госуслуг:




В том случае, если используется Linux с rpm-пакетами, то необходимо его распаковать и скопировать в соответствующие каталоги/директории/папки. Необходимо также будет выполнить скрипт postinst от имени root:

#sh –xv postinst

Поддерживаемые ключевые носители прописываются в файле /etc/ifc.cfg. При отсутствии в нем требуемого носителя (мы говорим о токенах PKCS#11, type=''pkcs11'' ) достаточно в нем прописать требуемые строки и в каталог /ust/lib/mozilla/plugins/lib соответствующую библиотеку, например:

{ name = «ЛИССИ-Софт LS11»;
alias = «ls11usb2016»;
type = «pkcs11»;
lib_win = «ls11usb2016.dll»;
lib_linux = «libls11usb2016.so»;
lib_mac = «libls11usb2016.dylib»;
},


Все, можно идти на портал Госуслуг:



Естественно необходимо вставить токен:



Если все прошло хорошо, то будет предложено, если на токене несколько сертификатов, выбрать тот, с которым вы будете заходить в свой личный кабинет:



После выбора сертификата необходимо будет еще ввести PIN-код для доступа к закрытому ключу:



И вы в личном кабинете:



Что еще? Порталу Госуслуг необходимо сделать последний шаг, а именно перейти на HTTPS с российскими шифрсьютами и тогда это будет прекрасный пример импортозамещения!!!
Поделиться с друзьями
-->

Комментарии (64)


  1. sintech
    09.09.2016 19:37
    +6

    Объясните пожалуйста, зачем мне менять бесплатный логин/пароль на православный, но платный сертификат?
    Возможно это имело смысл на заре становления госуслуг, когда персональные сертификаты выдавали бесплатно в каждом центре ростелекома (платным был только многоразовый usb-токен).
    Сейчас же получить сертификат можно только в сертифицированных коммерческих УЦ за сумму от 500 р. до нескольких тысяч.


    1. Disasm
      09.09.2016 21:29
      +6

      Ну как же, это ведь удобно: с токеном нужно будет не только пароль вводить (на этот раз от токена), но и помучаться с драйверами/плагинами/настройками браузера. Ах да, при этом вход в госуслуги по логину/паролю, насколько я помню, продолжает работать, так что безопасности это не прибавляет.


    1. Varkus
      10.09.2016 08:43
      +2

      Я за свой бесплатный пароль РТ отдал 400р.


    1. sandello
      10.09.2016 10:36

      Потенциально можно отправлять документы (например, в налоговую) из дома.


      1. sintech
        10.09.2016 11:08

        Доступ к личному кабинету на сайте налоговой возможен по логину/паролю госуслуг. В кабинете можно отправить обращение в налоговую, на которое вам ответят отсканированным письмом в формате tiff запакованном в zip.


        1. sandello
          10.09.2016 12:55

          Документы нужно подписывать. Без ключа это нереально


          1. Disasm
            10.09.2016 15:27
            +1

            В налоговой можно получить ключ, который будет храниться в их облачном хранилище. Вроде бы его достаточно для большинства действий.


            1. sandello
              10.09.2016 17:18

              Оно под линуксом заведется? Проверяли?


              1. Deamk
                10.09.2016 18:46
                +1

                Оно же облачное. И в браузере не хранится. Отправлял 3-НДФЛ из под линукса, отправлял запросы на налоговую льготу — всё работает. Там нечему не работать.


                1. sandello
                  10.09.2016 18:47

                  Хм… Я пытался завести УЭК + ЛК Налоговой… Год назад не взлетело, оттуда и скепсис.


                  1. Deamk
                    10.09.2016 18:52
                    +1

                    Для УЭК нужен Крипто-ПРО УЭК. На сайте Крипто-ПРО УЭК для линукса нет, на форуме рассылают какую-то версию по запросу.


                  1. serg65535
                    11.09.2016 02:37

                    Может чушь скажу, не ругайтесь, но в этом случае (облегчение запутанных регламентов установки и поддержка всех браузеров) помогли бы сторонние сервисы, облегчающие ведение документооборота с государством вообще, и хранение ЭЦП в своём облаке, в частности. Я постоянно отправляю в налоговую документы, подписанные моей ЭЦП, которой я никогда в жизни не видел — сервисы типа «Контур-Эльба» и «Моё дело» хранят её где-то у себя.

                    Да и вообще, техническая сложность документооборота с государством не так страшна, поскольку свободный рынок должен помочь в таких случаях: в США например, самостоятельно рассчитать и заполнить по всем правилам годовую декларацию тоже довольно сложно, но есть дофига программ и сервисов, которые автоматизируют для вас этот процесс.


        1. V2008
          11.09.2016 09:17

          Доступ в личный кабинет налогоплательщика ФНС возможен и по личному сертификату, хранящемуся на токене PKCS#11 с ГОСТ-ами:

          http://soft.lissi.ru/about/news/2015/12/65/


      1. RomanKharin
        12.09.2016 12:51

        Личный кабинет в налоговой работает и так. Достаточно один раз получить логин и пароль лично.


    1. blik13
      12.09.2016 12:21

      Такое впечатление, что в конце статьи должна стоять большая табличка с надписью «Сарказм».


    1. diakc
      12.09.2016 12:50

      500 р. за ЭЦП это еще вершина айсберга, вам еще нужен будет как минимум СКЗИ, который тоже денег стоит. Да можно купить Рутокен ЭЦП, у которого на борту свои средства шифрования есть, но он сам стоит от 1200 р. помимо ЭЦП.
      А это мы еще не дошли до того момент, что корневых сертификатов авторизованных центров в России нет в штатной поставке винды, что вызывает сложности у обычных юзверов при использовании…
      В общем все это импортозамещение конечно своё, но за дорого.


  1. Alexsandr_SE
    09.09.2016 21:12

    Пользователи будут ставить линь и копаться в командной строке?


    1. dartraiden
      09.09.2016 22:01
      +4

      Я сомневаюсь даже, что пользователи Linux вообще будут скачивать какие-то левые бинарники и копировать их в недра системы. Даже несвободный софт принято ставить через репозитории (в том числе и сторонние), чтобы менеджер пакетов разруливал установку, обновление, удаление, конфликты и так далее.


  1. V-core
    09.09.2016 23:33

    Это все от лукавого! < sarcazm>
    лучше внедрите себе сертификат безопасности от ФСБ, он по словам коллег из Казахстана обеспечит защиту пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.
    < /sarcazm >


    1. V2008
      10.09.2016 09:49

      1) А это что за зверь «сертификат безопасности от ФСБ»?
      2) «по словам коллег из Казахстана» — на заборе много что пишут!
      3) «беспечит защиту пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет» — а это как? Просветите.


      1. V-core
        10.09.2016 14:18
        +3

        1. V2008
          10.09.2016 18:50
          -2

          Надо знать протокол HTTPS/TLS, чтобы понимать, что прослушка шифрованного трафика (если вы не контролируете клиентское место) нонсенс!!!


          1. Disasm
            10.09.2016 19:28
            +4

            Надо всё-таки прочитать статью, чтобы понять, о чём идёт речь.
            TL;DR: в Казахстане предлагают установить «государственный» сертификат «безопасности» CA всем жителям в браузеры и делать глобальный MITM всего HTTPS.


            1. V2008
              10.09.2016 22:01
              -1

              Прочитал и что?
              Особенно это «Судя по всему, сертификат будет подменяться не только для HTTPS-соединений, но и для других зашифрованных TLS-соединений, включая FTPS, IMAP и SMTP с TLS.». А кто судит? Какой сертификат подменяется? Неужели на сайте GOOGLE?


              1. Disasm
                10.09.2016 22:08
                +2

                При установке SSL соединения (любого, не только HTTPS), чаще всего от сервера в одном из первых пакетов приходит сертификат сервера. Вот этот сертификат будет подменяться. Для каждого такого сертификата будет сгенерирован новый, но с другим родителем — с государственным сертификатом CA. Если пользователь соединяется с сервером гугла, то да, будет сгенерирован поддельный «государственный» сертификат сервера гугла.


                1. Disasm
                  10.09.2016 22:14
                  +2

                  Всё это верно и для TLS, разумеется, с поправкой на необходимость парсить протокол, в котором это всё передаётся.


                1. V2008
                  10.09.2016 22:17
                  -4

                  Вы на полном серьезе? Подмена сертификата делается, чтобы увести вас на другой сайт!!! Бедный GOOGLE теперь у него Казахский сертфикат, а он спит и сладкие сны видит. Интересно, а в Казахском сертификате, я так понимаю RSA, открытый ключ тоже казахский или туда неведомым пуем попал открытый ключ о GOOGLE,


                  1. Disasm
                    10.09.2016 22:21
                    +5

                    Ох, какой же бред вы несёте. Почитайте, пожалуйста, матчасть.


  1. sergio_deschino
    09.09.2016 23:47
    +1

    Как-то не очень тривиально, не находите? Мне больше нравится вариант Германии, где я по своему паспорту, при наличии ридера, могу авторизоваться на любом портале гос.учреждений. Как ещё один вариант, есть электронная почта, получаемая в любом почтовом отделении, которую я могу использовать вместо физического адреса и которая считается официальной почтой. правда, по логину и паролю.
    Ридер хоть и стоит сто евро, но есть, обычно, не в одном экземпляре на почти любой фирме, если надо что-то сделать без отрыва от производства.


    1. Theodor
      10.09.2016 00:52
      +2

      Вы тут про какие-то ненужные удобства, а здесь про импортозамещение же.
      *где тег сарказма?*


      1. sergio_deschino
        10.09.2016 01:46

        Ну, я даже не знаю сарказм это или нет, потому что у немцев импортозамещение, а вернее, просто использование своего тоже имеет свои пунктики, иногда даже не смешные))
        Например, мои коллеги в первую очередь рассматривают варианты местного производства и только убедившись в том, что импортный аналог лучше возьмут его… Или не возьмут, тут уж как повезёт


        1. Moog_Prodigy
          10.09.2016 11:09
          +2

          Тут не нужно путать «импортозамещение» и «использование своего». Также в этом ряду совершенно не стоит сравнивать «нанотехнологии» и «обьекты\структуры с размерами 10-9». И «олимпиада» это совсем не состязание спортсменов или бросание копья.


          1. sergio_deschino
            10.09.2016 11:27

            Тоже согласен


    1. Pritorius
      10.09.2016 09:13

      Аналогично в РФ можно бесплатно получить УЭК и купить ридер, и не платить за ЭП.


      1. Kolonist
        10.09.2016 17:47
        +2

        А разве проект УЭК не закрыли?


        1. Sheti
          10.09.2016 19:26
          +3

          Ещё коптит. Сам недавно проверял. Правда смысла от него на Госуслугах не больше, чем от логина/пароля. А по большому счёту даже меньше, потому как нужно ещё помучиться его запустить.


        1. Pritorius
          12.09.2016 04:28

          Нет, у меня работает.


    1. V2008
      10.09.2016 11:05

      Так в Германии и в Бельгии (http://soft.lissi.ru/articles/googlechromgost/, https://news.ycombinator.com/item?id=7567306 ) и у нас надеюсь «времена настанут» электронные паспорта с тем же интерфейсом PKCS#11/


  1. Pritorius
    10.09.2016 09:19
    +1

    Автор, а не проще в ближайшем МФЦ получить бесплатно УЭК, купить один раз ридер и не париться с продлением подписи каждый год. Для юр. лица да, усиленная ЭП это манна небесная, позволяющая вообще из офиса не выходить, а для гражданина… по мне так проще один раз на ридер потратится.


    1. V2008
      10.09.2016 09:55

      Первое, продлевается не подпись (подпись вы ставите сами), а сертификат, который по закону действует только в течение года. И УЭК у вас или не УЭК, сертификат (как и паспорт тоже, только значительно реже) вы обязаны каждый год получать новый!!! Сейчас и гражданин для обращения в ФНС, например, должен будет иметь сертификат ключа проверки электронной подписи (так звучит по закону).
      Так что ридер это не панацея. А вы его с собой носите?


      1. Pritorius
        12.09.2016 04:39

        УЭК у меня работает с момента получения, без всяких продлений и тп. ЭП на свистке получаю новую каждый год. Что я делаю не так?

        А зачем мне его с собой носить? В медучреждениях и госструктурах свои ридеры, и дома свой. Больше не откуда я гос услугами не пользуюсь.


  1. svboobnov
    10.09.2016 09:56

    Тут штука в том, что некоторые торговые площадки для совершения сделок требуют вход с помощью российского криптосредства, а без использования такого критосредства Вы не сможете поставить на электронных документах юридически значимые подписи. Да, gpg имеет прекрасные средства для подписания/шифрования данных, но gpg юридически ничтожен на просторах РФ.
    Так что рассматривайте госуслуги.ру как тренировочную площадку, перед входом на госзакупки или B2B — биржи.


    1. V2008
      10.09.2016 09:58

      Что касается gpg он прекрасно может работать и электроннорй подписью по ГОСТ — и подписывать и проверять (Kleopatra). Посмотрите здесь:

      GnuPg-2, Kleopatra, KMail и российская криптография

      http://soft.lissi.ru/articles/KleopatraKmailGnuPg/


      1. svboobnov
        13.09.2016 00:32

        О как, спасибо, не знал.


  1. sandello
    10.09.2016 10:35
    +1

    А теперь попробуйте отправить письмо в налоговую и подписать этим ключем.


    1. V2008
      10.09.2016 11:06

      Не понял — с каким «этим ключом»?
      Если я его получил вместе с сертификатом на аккедитованном УЦ, то в чем проблема?!


      1. sandello
        10.09.2016 12:32
        +1

        Проблема, как обычно, в реализации. По большому счету я имел в виду описанное окружение полностью: линукс, браузер и т.д. Квест можно начинать с входа в ЛК налоговой по ключу (не через госуслуги, там работает ;))


  1. Sleuthhound
    10.09.2016 12:09

    >>Что еще? Порталу Госуслуг необходимо…

    Закрыться, т.к. толку от него НУЛЬ! Сколько не пытался через него получить услуги, не так давно — элементарную вещь, свидетельство о рождении 2-го ребенка, всегда прихожу в назначенное время куда нужно, а там тебя и не ждали, сидишь как обычный смертный в очереди, хотя должны принять по времени, как правило все бумажки начинают заполнять при тебе, то есть ты все равно теряешь те же 30-60 минут, как если бы ты пришел туда и без заявки с портала. Пытался заплатить задолженность по налогу, и тут не вышло, ошибка при попытке заплатить с пл.карты, при этом через ЛК Налоговой все поплатилось без проблем. Дак на какой черт нужен этот портал, если ты все равно теряешь с ним время, причем вдвойне, заполняя данные на портале, а потом еще и в точке выдачи услуги?


    1. sandello
      10.09.2016 12:33
      +3

      Не испытывал проблем. Машину снять/поставить на учет — через ГУ удобнее, загран. паспорт — тоже. Имхо не повезло. Не до всех организаций докатилась информатизация в нормальных объемах


  1. KOLANICH
    10.09.2016 12:50
    +1

    Пара вопросов, если вы представитель компании, всё это разработавшей.
    1 Зачем нужен npapi плагин к браузеру, почему не использовать дополнение на js в связке с openssl?
    2 Какая выгода для пользователей (не считая «не получить люлей от ФСБ») в импортозамещении российскими алгоритмами зарубежных, если зарубежные более исследованы и считаются более безопасными?


    1. sandello
      10.09.2016 14:07
      +2

      1. openssl не имеет сертификата, т.е. не может быть использовано там, где дело касается перс. данных, гос. тайны и т.п. хрени.
      2. речь не о выгоде, а о законе


    1. svboobnov
      13.09.2016 00:34

      На 2) Выгода только в том, чтоб не получить люлей от ФСБ. Других я не заметил.


  1. 3cky
    10.09.2016 16:27
    +2

    В общем случае в Linux все это дело не работает. Упомянутый IFCPlugin написан Ростелекомом и последний раз обновлялся еще аж в 2014 году, при попытке войти через Aktiv Rutoken lite, полученный в СКБ Контур, ключ мигает несколько раз светодиодом активности, после чего Госуслуги сообщают, что «У вас нет действующих сертификатов». Хотя в установленной в виртуальную машину Windows сертификаты на том же самом ключе видятся нормально.


    1. V2008
      10.09.2016 17:38

      Aktiv Rutoken lite — это не СКЗИ PKCS#11 с поддержкой российской криптографии (перевод lite — легкий). Там нет никакой поддержки ГОСТ Р 34.10-2001 и тем более 2012. Это фактически флэшка, на которой для записи объектов с сертификатом и ключами используется инерфейс PKCS#11 для работы с объектами. В СКБ Контур вам вместе с Aktiv Rutoken lite дали еше что-то типа КриптоПро CSP, с помощью которого и используется этот lite. Что раз подчеркиваю, Aktiv Rutoken lite — это не СКЗИ PKCS#11, это просто аля флэшка. На http://www.rutoken.ru/products/all/rutoken-lite/ черным по белому написано:

      «Семейство ключевых носителей для различных программных и аппаратных средств криптографической защиты информации (СКЗИ). Рутокен Lite можно использовать для безопасного хранения ключей шифрования и электронной подписи, паролей и других данных во встроенной защищенной памяти устройства. „

      И Госуслуги вам отвечают правильно. А то что плагин обновлялся “аж в 2014 году» так это не недостаток, а достоинство: не надо ломать то, что и так хорошо работает. Берите Rutoken ЭЦП (http://www.rutoken.ru/products/all/rutoken-ecp/ ) «Электронный идентификатор с аппаратной реализацией российских стандартов электронной подписи, шифрования и хэширования» и у вас все получится.


      1. 3cky
        10.09.2016 21:16

        КриптоПро CSP для Linux я тоже поставил, тесты на их сайте прогнал, там все работает. Но Госуслуги все равно сертификаты в Linux не видят, только в Windows. По-моему, это ненормально.


        1. V2008
          10.09.2016 21:35

          Первое, когда ваш сертификат вместе с ключом хранится на токене PKCS#11 споддержкой российской криптографии в соответствии со стандартом PKCS11 v.2.20 и выше и Рекомендациями ТК-26, то никакого «КриптоПро CSP для Linux» не надо!!!
          Второе, «тесты на их сайте» показывают только то, что их CSP работает и не более того, а не то что вы с этим сертификатом и этим CSP попадете на сайт Госуслуг.
          Третье, обратитесь к тем кто вам выдал сертификат на Aktiv Rutoken lite и пусть они вам объяснят почему вы не можете попасть на сайт Госуслуг.
          Четвертое, пусть они вам переиздадут сертификат на Rutoken ЭЦП. Вот тут они, скорее всего, потребуют доплаты, но зато вы сможете работать с ним на любой платформе, для которой есть библиотека у Rutoken ЭЦП. По крайней мере это и Windows, и Linux, и Mac, и FreeBsd. И тогда у вас все получится. Статья не про КриптоПро CSP, а про токены PKCS#11 v.2.20 и выше с реализацией ГОСТ.


          1. 3cky
            10.09.2016 21:59

            Понимаете, когда мне понадобилась ЭЦП для Госуслуг, я вспомнил, как громко и подробно рассказывали по телевизору, что Ростелеком открывает удостоверяющие центры по всей стране и получить ЭЦП стало необычайно просто. Разумеется, я сразу же позвонил в колл-центр Ростелекома, где меня убедили, что всё действительно так. На сайте Госуслуг Ростелеком также числится среди авторизованных удостоверяющие центров. Я пошел в центральный офис Ростелекома в нашем городе-герое, чтобы стать счастливым обладателем Единственно Правильной ЭЦП™, где *внезапно* мне дали от ворот поворот — оказывается, Ростелеком давным-давно уже не выдает ЭЦП физлицам «из-за технических причин». Собственно, на сайте у них, как оказалось, написано то же самое. Поэтому обладателем Единственно Правильной ЭЦП™ я так и не стал.

            В общем, виртуальная машина с Windows решает проблему, а доплачивать достаточно серьезные суммы за продолжение экспериментов ради торжества импортозамещения я, увы, не готов.


            1. V2008
              10.09.2016 22:13

              Да, таковы наши реалии. И взяться за перо меня заставила наша действительность. Вместо того, что иметь один токен PKCS#11 (или на худой конец контейнер PKCS#12, но стандартный как того требует ТК-26) с сертификатом и ключом и ходить с ним на все торговые площадки, Госуслуги, ФНС и т.д., при чем с любого браузера, с любой ОС и опять т.д., мы вынуждены получать различные сертификаты, потому что кто-то под себя придумал записывать в него новое/OID, покупать какие-то CSP (при чем ничего общего со стандартами не имеющее) и можно продолжать.
              Обращайтесь, чем смогу помогу.


              1. svboobnov
                13.09.2016 00:43

                ЭЭЭ, ну, так со времён Петра Алексеевича Романова (который царь) заведено было (за точность цифр не ручаюсь): «Писцам за правку бумаг на лощёных листах брать 50 копеек, на гербовых — рубль, а на гербовых с вензелями — рубль с полтиной. На рядовой (обычной) бумаге прошения не принимать.»
                Эти КриптоПро, рутокены-шмутокены суть есть заместители бумаг лощёных, гербовых и с вензелями.


        1. V2008
          10.09.2016 21:44

          Да, внимательно посмотрите файл /etc/ifc.cfg (мы говорим о токенах PKCS#11, type=''pkcs11'' ), и вы увидите, что там нет Aktiv Rutoken lite. А про CSP я уже писал.


  1. Nekudo
    12.09.2016 15:30

    Господа, хочу заметить, что с PKCS#11 сейчас в РФ умеют работать только информационные системы ЕГАИС и портала Госуслуг. Это действительно безопасно для пользователя в части гарантирования неизвлекаемости закрытого ключа (ключа электронной подписи в рамках терминологии 63-ФЗ) и сохранения его конфиденциальности, в т.ч. от самого УЦ, который Вам выдаёт электронную подпись, т.к. ключи генерятся непосредственно токеном. Ну и как наверное уже писали, при работе с токенами с поддержкой PKCS#11 не придётся приобретать лицензию на средство электронной подписи КриптоПро CSP (хотя, например, vipnet csp распространяется бесплатно)


    1. V2008
      12.09.2016 15:32

      Добавлю или повторюсь, это и доступ на портал ФНС ГОСТ-ому HTTPS с PKCS#11 — http://soft.lissi.ru/about/news/2015/12/65/


      1. Nekudo
        12.09.2016 16:04

        Добавлю, что с квалифицированным сертификатом физическое лицо может участвовать в электронных торгах на электронных торговых площадках, не предъявляющих дополнительных требований к ЭП.
        Но, как я и говорил, эти площадки не умеют работать с криптографией «на борту» ключевого носителя.


        1. V2008
          12.09.2016 16:20

          Вот в этом наша беда. Нас заставляют не придерживаться стандартов, в том числе и международных. Если говорить про PKCS#11, то наши ГОСТ-ы там есть!!! Так же как и OpenSSL они есть в том или ином виде, а сейчас и в GCrypt. У нас сейчас стандарт некий CSP аля Микрософт. И все наши электронные площадки заточены под него, а не под рекомендации ТК-26. А чем проблема взять тот же плагин с Госуслуг и использовать его на тех ЭТП!!!