Итак, как же получить доступ в личный кабинет на портале Госуслуг с помощью личного сертификата, полученного в одном из аккредитованных УЦ?
Говоря об импортозамещении, мы имеем в виду следующее:
- В качестве носителя личного сертификата гражданина РФ используется токен с интерфейсом PKCS#11 (рекомендации ТК26) с поддержкой российской криптографии отечественного производства. В качестве такого носителя могут, например, выступать Рутокен ЭЦП или программные и программно-аппаратные токены семейства LS11.
- Используется отечественная операционная система семейства Linux. На самом деле может использоваться любой Linux;
- Отечественный плагин, распространяемый через сайт www.gosuslugi.ru
- Любой браузер, функционирующий на операционной системе Linux и поддерживающий плагины NPAPI. Мы выбрали отечественную разработку – браузер Redfox-48.0 .
Итак, что должен сделать Гражданин? Первое, получить в любом аккредитованном УЦ, например, в УЦ ООО «ЛИССИ-Софт», квалифицированный сертификат на токене PKCS#11 с поддержкой российской криптографии отечественного производства. Как уже говорилось это может быть и Рутокен ЭЦП и программно-аппаратный токен lsToken.
Скачать, установить и включить Плагин, предоставляемый порталом Госуслуг:
В том случае, если используется Linux с rpm-пакетами, то необходимо его распаковать и скопировать в соответствующие каталоги/директории/папки. Необходимо также будет выполнить скрипт postinst от имени root:
#sh –xv postinst
Поддерживаемые ключевые носители прописываются в файле /etc/ifc.cfg. При отсутствии в нем требуемого носителя (мы говорим о токенах PKCS#11, type=''pkcs11'' ) достаточно в нем прописать требуемые строки и в каталог /ust/lib/mozilla/plugins/lib соответствующую библиотеку, например:
{ name = «ЛИССИ-Софт LS11»;
alias = «ls11usb2016»;
type = «pkcs11»;
lib_win = «ls11usb2016.dll»;
lib_linux = «libls11usb2016.so»;
lib_mac = «libls11usb2016.dylib»;
},
Все, можно идти на портал Госуслуг:
Естественно необходимо вставить токен:
Если все прошло хорошо, то будет предложено, если на токене несколько сертификатов, выбрать тот, с которым вы будете заходить в свой личный кабинет:
После выбора сертификата необходимо будет еще ввести PIN-код для доступа к закрытому ключу:
И вы в личном кабинете:
Что еще? Порталу Госуслуг необходимо сделать последний шаг, а именно перейти на HTTPS с российскими шифрсьютами и тогда это будет прекрасный пример импортозамещения!!!
Комментарии (64)
Alexsandr_SE
09.09.2016 21:12Пользователи будут ставить линь и копаться в командной строке?
dartraiden
09.09.2016 22:01+4Я сомневаюсь даже, что пользователи Linux вообще будут скачивать какие-то левые бинарники и копировать их в недра системы. Даже несвободный софт принято ставить через репозитории (в том числе и сторонние), чтобы менеджер пакетов разруливал установку, обновление, удаление, конфликты и так далее.
V-core
09.09.2016 23:33Это все от лукавого! < sarcazm>
лучше внедрите себе сертификат безопасности от ФСБ, он по словам коллег из Казахстана обеспечит защиту пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.
< /sarcazm >
V2008
10.09.2016 09:491) А это что за зверь «сертификат безопасности от ФСБ»?
2) «по словам коллег из Казахстана» — на заборе много что пишут!
3) «беспечит защиту пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет» — а это как? Просветите.V-core
10.09.2016 14:18+3Это я по статье на хабре- Казахстан внедряет свой CA для прослушивания всего TLS-трафика
V2008
10.09.2016 18:50-2Надо знать протокол HTTPS/TLS, чтобы понимать, что прослушка шифрованного трафика (если вы не контролируете клиентское место) нонсенс!!!
Disasm
10.09.2016 19:28+4Надо всё-таки прочитать статью, чтобы понять, о чём идёт речь.
TL;DR: в Казахстане предлагают установить «государственный» сертификат «безопасности» CA всем жителям в браузеры и делать глобальный MITM всего HTTPS.V2008
10.09.2016 22:01-1Прочитал и что?
Особенно это «Судя по всему, сертификат будет подменяться не только для HTTPS-соединений, но и для других зашифрованных TLS-соединений, включая FTPS, IMAP и SMTP с TLS.». А кто судит? Какой сертификат подменяется? Неужели на сайте GOOGLE?Disasm
10.09.2016 22:08+2При установке SSL соединения (любого, не только HTTPS), чаще всего от сервера в одном из первых пакетов приходит сертификат сервера. Вот этот сертификат будет подменяться. Для каждого такого сертификата будет сгенерирован новый, но с другим родителем — с государственным сертификатом CA. Если пользователь соединяется с сервером гугла, то да, будет сгенерирован поддельный «государственный» сертификат сервера гугла.
Disasm
10.09.2016 22:14+2Всё это верно и для TLS, разумеется, с поправкой на необходимость парсить протокол, в котором это всё передаётся.
V2008
10.09.2016 22:17-4Вы на полном серьезе? Подмена сертификата делается, чтобы увести вас на другой сайт!!! Бедный GOOGLE теперь у него Казахский сертфикат, а он спит и сладкие сны видит. Интересно, а в Казахском сертификате, я так понимаю RSA, открытый ключ тоже казахский или туда неведомым пуем попал открытый ключ о GOOGLE,
sergio_deschino
09.09.2016 23:47+1Как-то не очень тривиально, не находите? Мне больше нравится вариант Германии, где я по своему паспорту, при наличии ридера, могу авторизоваться на любом портале гос.учреждений. Как ещё один вариант, есть электронная почта, получаемая в любом почтовом отделении, которую я могу использовать вместо физического адреса и которая считается официальной почтой. правда, по логину и паролю.
Ридер хоть и стоит сто евро, но есть, обычно, не в одном экземпляре на почти любой фирме, если надо что-то сделать без отрыва от производства.
Theodor
10.09.2016 00:52+2Вы тут про какие-то ненужные удобства, а здесь про импортозамещение же.
*где тег сарказма?*sergio_deschino
10.09.2016 01:46Ну, я даже не знаю сарказм это или нет, потому что у немцев импортозамещение, а вернее, просто использование своего тоже имеет свои пунктики, иногда даже не смешные))
Например, мои коллеги в первую очередь рассматривают варианты местного производства и только убедившись в том, что импортный аналог лучше возьмут его… Или не возьмут, тут уж как повезёт
Moog_Prodigy
10.09.2016 11:09+2Тут не нужно путать «импортозамещение» и «использование своего». Также в этом ряду совершенно не стоит сравнивать «нанотехнологии» и «обьекты\структуры с размерами 10-9». И «олимпиада» это совсем не состязание спортсменов или бросание копья.
Pritorius
10.09.2016 09:13Аналогично в РФ можно бесплатно получить УЭК и купить ридер, и не платить за ЭП.
V2008
10.09.2016 11:05Так в Германии и в Бельгии (http://soft.lissi.ru/articles/googlechromgost/, https://news.ycombinator.com/item?id=7567306 ) и у нас надеюсь «времена настанут» электронные паспорта с тем же интерфейсом PKCS#11/
Pritorius
10.09.2016 09:19+1Автор, а не проще в ближайшем МФЦ получить бесплатно УЭК, купить один раз ридер и не париться с продлением подписи каждый год. Для юр. лица да, усиленная ЭП это манна небесная, позволяющая вообще из офиса не выходить, а для гражданина… по мне так проще один раз на ридер потратится.
V2008
10.09.2016 09:55Первое, продлевается не подпись (подпись вы ставите сами), а сертификат, который по закону действует только в течение года. И УЭК у вас или не УЭК, сертификат (как и паспорт тоже, только значительно реже) вы обязаны каждый год получать новый!!! Сейчас и гражданин для обращения в ФНС, например, должен будет иметь сертификат ключа проверки электронной подписи (так звучит по закону).
Так что ридер это не панацея. А вы его с собой носите?Pritorius
12.09.2016 04:39УЭК у меня работает с момента получения, без всяких продлений и тп. ЭП на свистке получаю новую каждый год. Что я делаю не так?
А зачем мне его с собой носить? В медучреждениях и госструктурах свои ридеры, и дома свой. Больше не откуда я гос услугами не пользуюсь.
svboobnov
10.09.2016 09:56Тут штука в том, что некоторые торговые площадки для совершения сделок требуют вход с помощью российского криптосредства, а без использования такого критосредства Вы не сможете поставить на электронных документах юридически значимые подписи. Да, gpg имеет прекрасные средства для подписания/шифрования данных, но gpg юридически ничтожен на просторах РФ.
Так что рассматривайте госуслуги.ру как тренировочную площадку, перед входом на госзакупки или B2B — биржи.V2008
10.09.2016 09:58Что касается gpg он прекрасно может работать и электроннорй подписью по ГОСТ — и подписывать и проверять (Kleopatra). Посмотрите здесь:
GnuPg-2, Kleopatra, KMail и российская криптография
http://soft.lissi.ru/articles/KleopatraKmailGnuPg/
sandello
10.09.2016 10:35+1А теперь попробуйте отправить письмо в налоговую и подписать этим ключем.
V2008
10.09.2016 11:06Не понял — с каким «этим ключом»?
Если я его получил вместе с сертификатом на аккедитованном УЦ, то в чем проблема?!sandello
10.09.2016 12:32+1Проблема, как обычно, в реализации. По большому счету я имел в виду описанное окружение полностью: линукс, браузер и т.д. Квест можно начинать с входа в ЛК налоговой по ключу (не через госуслуги, там работает ;))
Sleuthhound
10.09.2016 12:09>>Что еще? Порталу Госуслуг необходимо…
Закрыться, т.к. толку от него НУЛЬ! Сколько не пытался через него получить услуги, не так давно — элементарную вещь, свидетельство о рождении 2-го ребенка, всегда прихожу в назначенное время куда нужно, а там тебя и не ждали, сидишь как обычный смертный в очереди, хотя должны принять по времени, как правило все бумажки начинают заполнять при тебе, то есть ты все равно теряешь те же 30-60 минут, как если бы ты пришел туда и без заявки с портала. Пытался заплатить задолженность по налогу, и тут не вышло, ошибка при попытке заплатить с пл.карты, при этом через ЛК Налоговой все поплатилось без проблем. Дак на какой черт нужен этот портал, если ты все равно теряешь с ним время, причем вдвойне, заполняя данные на портале, а потом еще и в точке выдачи услуги?sandello
10.09.2016 12:33+3Не испытывал проблем. Машину снять/поставить на учет — через ГУ удобнее, загран. паспорт — тоже. Имхо не повезло. Не до всех организаций докатилась информатизация в нормальных объемах
KOLANICH
10.09.2016 12:50+1Пара вопросов, если вы представитель компании, всё это разработавшей.
1 Зачем нужен npapi плагин к браузеру, почему не использовать дополнение на js в связке с openssl?
2 Какая выгода для пользователей (не считая «не получить люлей от ФСБ») в импортозамещении российскими алгоритмами зарубежных, если зарубежные более исследованы и считаются более безопасными?sandello
10.09.2016 14:07+21. openssl не имеет сертификата, т.е. не может быть использовано там, где дело касается перс. данных, гос. тайны и т.п. хрени.
2. речь не о выгоде, а о законе
svboobnov
13.09.2016 00:34На 2) Выгода только в том, чтоб не получить люлей от ФСБ. Других я не заметил.
3cky
10.09.2016 16:27+2В общем случае в Linux все это дело не работает. Упомянутый IFCPlugin написан Ростелекомом и последний раз обновлялся еще аж в 2014 году, при попытке войти через Aktiv Rutoken lite, полученный в СКБ Контур, ключ мигает несколько раз светодиодом активности, после чего Госуслуги сообщают, что «У вас нет действующих сертификатов». Хотя в установленной в виртуальную машину Windows сертификаты на том же самом ключе видятся нормально.
V2008
10.09.2016 17:38Aktiv Rutoken lite — это не СКЗИ PKCS#11 с поддержкой российской криптографии (перевод lite — легкий). Там нет никакой поддержки ГОСТ Р 34.10-2001 и тем более 2012. Это фактически флэшка, на которой для записи объектов с сертификатом и ключами используется инерфейс PKCS#11 для работы с объектами. В СКБ Контур вам вместе с Aktiv Rutoken lite дали еше что-то типа КриптоПро CSP, с помощью которого и используется этот lite. Что раз подчеркиваю, Aktiv Rutoken lite — это не СКЗИ PKCS#11, это просто аля флэшка. На http://www.rutoken.ru/products/all/rutoken-lite/ черным по белому написано:
«Семейство ключевых носителей для различных программных и аппаратных средств криптографической защиты информации (СКЗИ). Рутокен Lite можно использовать для безопасного хранения ключей шифрования и электронной подписи, паролей и других данных во встроенной защищенной памяти устройства. „
И Госуслуги вам отвечают правильно. А то что плагин обновлялся “аж в 2014 году» так это не недостаток, а достоинство: не надо ломать то, что и так хорошо работает. Берите Rutoken ЭЦП (http://www.rutoken.ru/products/all/rutoken-ecp/ ) «Электронный идентификатор с аппаратной реализацией российских стандартов электронной подписи, шифрования и хэширования» и у вас все получится.3cky
10.09.2016 21:16КриптоПро CSP для Linux я тоже поставил, тесты на их сайте прогнал, там все работает. Но Госуслуги все равно сертификаты в Linux не видят, только в Windows. По-моему, это ненормально.
V2008
10.09.2016 21:35Первое, когда ваш сертификат вместе с ключом хранится на токене PKCS#11 споддержкой российской криптографии в соответствии со стандартом PKCS11 v.2.20 и выше и Рекомендациями ТК-26, то никакого «КриптоПро CSP для Linux» не надо!!!
Второе, «тесты на их сайте» показывают только то, что их CSP работает и не более того, а не то что вы с этим сертификатом и этим CSP попадете на сайт Госуслуг.
Третье, обратитесь к тем кто вам выдал сертификат на Aktiv Rutoken lite и пусть они вам объяснят почему вы не можете попасть на сайт Госуслуг.
Четвертое, пусть они вам переиздадут сертификат на Rutoken ЭЦП. Вот тут они, скорее всего, потребуют доплаты, но зато вы сможете работать с ним на любой платформе, для которой есть библиотека у Rutoken ЭЦП. По крайней мере это и Windows, и Linux, и Mac, и FreeBsd. И тогда у вас все получится. Статья не про КриптоПро CSP, а про токены PKCS#11 v.2.20 и выше с реализацией ГОСТ.3cky
10.09.2016 21:59Понимаете, когда мне понадобилась ЭЦП для Госуслуг, я вспомнил, как громко и подробно рассказывали по телевизору, что Ростелеком открывает удостоверяющие центры по всей стране и получить ЭЦП стало необычайно просто. Разумеется, я сразу же позвонил в колл-центр Ростелекома, где меня убедили, что всё действительно так. На сайте Госуслуг Ростелеком также числится среди авторизованных удостоверяющие центров. Я пошел в центральный офис Ростелекома в нашем городе-герое, чтобы стать счастливым обладателем Единственно Правильной ЭЦП™, где *внезапно* мне дали от ворот поворот — оказывается, Ростелеком давным-давно уже не выдает ЭЦП физлицам «из-за технических причин». Собственно, на сайте у них, как оказалось, написано то же самое. Поэтому обладателем Единственно Правильной ЭЦП™ я так и не стал.
В общем, виртуальная машина с Windows решает проблему, а доплачивать достаточно серьезные суммы за продолжение экспериментов ради торжества импортозамещения я, увы, не готов.V2008
10.09.2016 22:13Да, таковы наши реалии. И взяться за перо меня заставила наша действительность. Вместо того, что иметь один токен PKCS#11 (или на худой конец контейнер PKCS#12, но стандартный как того требует ТК-26) с сертификатом и ключом и ходить с ним на все торговые площадки, Госуслуги, ФНС и т.д., при чем с любого браузера, с любой ОС и опять т.д., мы вынуждены получать различные сертификаты, потому что кто-то под себя придумал записывать в него новое/OID, покупать какие-то CSP (при чем ничего общего со стандартами не имеющее) и можно продолжать.
Обращайтесь, чем смогу помогу.svboobnov
13.09.2016 00:43ЭЭЭ, ну, так со времён Петра Алексеевича Романова (который царь) заведено было (за точность цифр не ручаюсь): «Писцам за правку бумаг на лощёных листах брать 50 копеек, на гербовых — рубль, а на гербовых с вензелями — рубль с полтиной. На рядовой (обычной) бумаге прошения не принимать.»
Эти КриптоПро, рутокены-шмутокены суть есть заместители бумаг лощёных, гербовых и с вензелями.
V2008
10.09.2016 21:44Да, внимательно посмотрите файл /etc/ifc.cfg (мы говорим о токенах PKCS#11, type=''pkcs11'' ), и вы увидите, что там нет Aktiv Rutoken lite. А про CSP я уже писал.
Nekudo
12.09.2016 15:30Господа, хочу заметить, что с PKCS#11 сейчас в РФ умеют работать только информационные системы ЕГАИС и портала Госуслуг. Это действительно безопасно для пользователя в части гарантирования неизвлекаемости закрытого ключа (ключа электронной подписи в рамках терминологии 63-ФЗ) и сохранения его конфиденциальности, в т.ч. от самого УЦ, который Вам выдаёт электронную подпись, т.к. ключи генерятся непосредственно токеном. Ну и как наверное уже писали, при работе с токенами с поддержкой PKCS#11 не придётся приобретать лицензию на средство электронной подписи КриптоПро CSP (хотя, например, vipnet csp распространяется бесплатно)
V2008
12.09.2016 15:32Добавлю или повторюсь, это и доступ на портал ФНС ГОСТ-ому HTTPS с PKCS#11 — http://soft.lissi.ru/about/news/2015/12/65/
Nekudo
12.09.2016 16:04Добавлю, что с квалифицированным сертификатом физическое лицо может участвовать в электронных торгах на электронных торговых площадках, не предъявляющих дополнительных требований к ЭП.
Но, как я и говорил, эти площадки не умеют работать с криптографией «на борту» ключевого носителя.V2008
12.09.2016 16:20Вот в этом наша беда. Нас заставляют не придерживаться стандартов, в том числе и международных. Если говорить про PKCS#11, то наши ГОСТ-ы там есть!!! Так же как и OpenSSL они есть в том или ином виде, а сейчас и в GCrypt. У нас сейчас стандарт некий CSP аля Микрософт. И все наши электронные площадки заточены под него, а не под рекомендации ТК-26. А чем проблема взять тот же плагин с Госуслуг и использовать его на тех ЭТП!!!
sintech
Объясните пожалуйста, зачем мне менять бесплатный логин/пароль на православный, но платный сертификат?
Возможно это имело смысл на заре становления госуслуг, когда персональные сертификаты выдавали бесплатно в каждом центре ростелекома (платным был только многоразовый usb-токен).
Сейчас же получить сертификат можно только в сертифицированных коммерческих УЦ за сумму от 500 р. до нескольких тысяч.
Disasm
Ну как же, это ведь удобно: с токеном нужно будет не только пароль вводить (на этот раз от токена), но и помучаться с драйверами/плагинами/настройками браузера. Ах да, при этом вход в госуслуги по логину/паролю, насколько я помню, продолжает работать, так что безопасности это не прибавляет.
Varkus
Я за свой бесплатный пароль РТ отдал 400р.
sandello
Потенциально можно отправлять документы (например, в налоговую) из дома.
sintech
Доступ к личному кабинету на сайте налоговой возможен по логину/паролю госуслуг. В кабинете можно отправить обращение в налоговую, на которое вам ответят отсканированным письмом в формате tiff запакованном в zip.
sandello
Документы нужно подписывать. Без ключа это нереально
Disasm
В налоговой можно получить ключ, который будет храниться в их облачном хранилище. Вроде бы его достаточно для большинства действий.
sandello
Оно под линуксом заведется? Проверяли?
Deamk
Оно же облачное. И в браузере не хранится. Отправлял 3-НДФЛ из под линукса, отправлял запросы на налоговую льготу — всё работает. Там нечему не работать.
sandello
Хм… Я пытался завести УЭК + ЛК Налоговой… Год назад не взлетело, оттуда и скепсис.
Deamk
Для УЭК нужен Крипто-ПРО УЭК. На сайте Крипто-ПРО УЭК для линукса нет, на форуме рассылают какую-то версию по запросу.
serg65535
Может чушь скажу, не ругайтесь, но в этом случае (облегчение запутанных регламентов установки и поддержка всех браузеров) помогли бы сторонние сервисы, облегчающие ведение документооборота с государством вообще, и хранение ЭЦП в своём облаке, в частности. Я постоянно отправляю в налоговую документы, подписанные моей ЭЦП, которой я никогда в жизни не видел — сервисы типа «Контур-Эльба» и «Моё дело» хранят её где-то у себя.
Да и вообще, техническая сложность документооборота с государством не так страшна, поскольку свободный рынок должен помочь в таких случаях: в США например, самостоятельно рассчитать и заполнить по всем правилам годовую декларацию тоже довольно сложно, но есть дофига программ и сервисов, которые автоматизируют для вас этот процесс.
V2008
Доступ в личный кабинет налогоплательщика ФНС возможен и по личному сертификату, хранящемуся на токене PKCS#11 с ГОСТ-ами:
http://soft.lissi.ru/about/news/2015/12/65/
RomanKharin
Личный кабинет в налоговой работает и так. Достаточно один раз получить логин и пароль лично.
blik13
Такое впечатление, что в конце статьи должна стоять большая табличка с надписью «Сарказм».
diakc
500 р. за ЭЦП это еще вершина айсберга, вам еще нужен будет как минимум СКЗИ, который тоже денег стоит. Да можно купить Рутокен ЭЦП, у которого на борту свои средства шифрования есть, но он сам стоит от 1200 р. помимо ЭЦП.
А это мы еще не дошли до того момент, что корневых сертификатов авторизованных центров в России нет в штатной поставке винды, что вызывает сложности у обычных юзверов при использовании…
В общем все это импортозамещение конечно своё, но за дорого.