СоХабр закрыт.

С 13.05.2019 изменения постов больше не отслеживаются, и новые посты не сохраняются.

H Импортозамещение при доступе в личный кабинет на портале Госуслуг в черновиках Из песочницы

Электронное правительство, Браузеры, Настройка Linux
Взятая нашем государством линия на политику импортозамещения в области IT-индустрии должна реализовываться, по нашему глубокому убеждению, прежде всего при доступе к порталу Госуслуг. Как писал один товарищ , «вариант с логином/паролем отброшен в силу профессиональной паранойи». Здесь речь идет о доступе на портал Госуслуги, используя для авторизации с помощью электронной подписи токены с интерфейсом PKCS#11 с поддержкой российской криптографии.

Итак, как же получить доступ в личный кабинет на портале Госуслуг с помощью личного сертификата, полученного в одном из аккредитованных УЦ?

Говоря об импортозамещении, мы имеем в виду следующее:

  • В качестве носителя личного сертификата гражданина РФ используется токен с интерфейсом PKCS#11 (рекомендации ТК26) с поддержкой российской криптографии отечественного производства. В качестве такого носителя могут, например, выступать Рутокен ЭЦП или программные и программно-аппаратные токены семейства LS11.
  • Используется отечественная операционная система семейства Linux. На самом деле может использоваться любой Linux;
  • Отечественный плагин, распространяемый через сайт www.gosuslugi.ru
  • Любой браузер, функционирующий на операционной системе Linux и поддерживающий плагины NPAPI. Мы выбрали отечественную разработку – браузер Redfox-48.0 .


Итак, что должен сделать Гражданин? Первое, получить в любом аккредитованном УЦ, например, в УЦ ООО «ЛИССИ-Софт», квалифицированный сертификат на токене PKCS#11 с поддержкой российской криптографии отечественного производства. Как уже говорилось это может быть и Рутокен ЭЦП и программно-аппаратный токен lsToken.

Скачать, установить и включить Плагин, предоставляемый порталом Госуслуг:




В том случае, если используется Linux с rpm-пакетами, то необходимо его распаковать и скопировать в соответствующие каталоги/директории/папки. Необходимо также будет выполнить скрипт postinst от имени root:

#sh –xv postinst

Поддерживаемые ключевые носители прописываются в файле /etc/ifc.cfg. При отсутствии в нем требуемого носителя (мы говорим о токенах PKCS#11, type=''pkcs11'' ) достаточно в нем прописать требуемые строки и в каталог /ust/lib/mozilla/plugins/lib соответствующую библиотеку, например:

{ name = «ЛИССИ-Софт LS11»;
alias = «ls11usb2016»;
type = «pkcs11»;
lib_win = «ls11usb2016.dll»;
lib_linux = «libls11usb2016.so»;
lib_mac = «libls11usb2016.dylib»;
},

Все, можно идти на портал Госуслуг:



Естественно необходимо вставить токен:



Если все прошло хорошо, то будет предложено, если на токене несколько сертификатов, выбрать тот, с которым вы будете заходить в свой личный кабинет:



После выбора сертификата необходимо будет еще ввести PIN-код для доступа к закрытому ключу:



И вы в личном кабинете:



Что еще? Порталу Госуслуг необходимо сделать последний шаг, а именно перейти на HTTPS с российскими шифрсьютами и тогда это будет прекрасный пример импортозамещения!!!
linux для всех, госуслуги, электронные сертификаты, импортозамещение
+4
~11500
  Альтист Данилов (@V2008)

комментарии (65)

+6
sintech ,  
Объясните пожалуйста, зачем мне менять бесплатный логин/пароль на православный, но платный сертификат?
Возможно это имело смысл на заре становления госуслуг, когда персональные сертификаты выдавали бесплатно в каждом центре ростелекома (платным был только многоразовый usb-токен).
Сейчас же получить сертификат можно только в сертифицированных коммерческих УЦ за сумму от 500 р. до нескольких тысяч.
+6
Disasm ,   * (был изменён)
Ну как же, это ведь удобно: с токеном нужно будет не только пароль вводить (на этот раз от токена), но и помучаться с драйверами/плагинами/настройками браузера. Ах да, при этом вход в госуслуги по логину/паролю, насколько я помню, продолжает работать, так что безопасности это не прибавляет.
+2
Varkus ,  
Я за свой бесплатный пароль РТ отдал 400р.
0
sandello ,  
Потенциально можно отправлять документы (например, в налоговую) из дома.
0
sintech ,   * (был изменён)
Доступ к личному кабинету на сайте налоговой возможен по логину/паролю госуслуг. В кабинете можно отправить обращение в налоговую, на которое вам ответят отсканированным письмом в формате tiff запакованном в zip.
0
sandello ,  
Документы нужно подписывать. Без ключа это нереально
+1
Disasm ,  
В налоговой можно получить ключ, который будет храниться в их облачном хранилище. Вроде бы его достаточно для большинства действий.
0
sandello ,  
Оно под линуксом заведется? Проверяли?
+1
Deamk ,  
Оно же облачное. И в браузере не хранится. Отправлял 3-НДФЛ из под линукса, отправлял запросы на налоговую льготу — всё работает. Там нечему не работать.
0
sandello ,  
Хм… Я пытался завести УЭК + ЛК Налоговой… Год назад не взлетело, оттуда и скепсис.
+1
Deamk ,  
Для УЭК нужен Крипто-ПРО УЭК. На сайте Крипто-ПРО УЭК для линукса нет, на форуме рассылают какую-то версию по запросу.
0
serg65535 ,  
Может чушь скажу, не ругайтесь, но в этом случае (облегчение запутанных регламентов установки и поддержка всех браузеров) помогли бы сторонние сервисы, облегчающие ведение документооборота с государством вообще, и хранение ЭЦП в своём облаке, в частности. Я постоянно отправляю в налоговую документы, подписанные моей ЭЦП, которой я никогда в жизни не видел — сервисы типа «Контур-Эльба» и «Моё дело» хранят её где-то у себя.

Да и вообще, техническая сложность документооборота с государством не так страшна, поскольку свободный рынок должен помочь в таких случаях: в США например, самостоятельно рассчитать и заполнить по всем правилам годовую декларацию тоже довольно сложно, но есть дофига программ и сервисов, которые автоматизируют для вас этот процесс.
0
V2008 ,  
Доступ в личный кабинет налогоплательщика ФНС возможен и по личному сертификату, хранящемуся на токене PKCS#11 с ГОСТ-ами:

http://soft.lissi.ru/about/news/2015/12/65/
0
RomanKharin ,  
Личный кабинет в налоговой работает и так. Достаточно один раз получить логин и пароль лично.
0
blik13 ,  
Такое впечатление, что в конце статьи должна стоять большая табличка с надписью «Сарказм».
0
diakc ,  
500 р. за ЭЦП это еще вершина айсберга, вам еще нужен будет как минимум СКЗИ, который тоже денег стоит. Да можно купить Рутокен ЭЦП, у которого на борту свои средства шифрования есть, но он сам стоит от 1200 р. помимо ЭЦП.
А это мы еще не дошли до того момент, что корневых сертификатов авторизованных центров в России нет в штатной поставке винды, что вызывает сложности у обычных юзверов при использовании…
В общем все это импортозамещение конечно своё, но за дорого.
0
Alexsandr_SE ,   * (был изменён)
Пользователи будут ставить линь и копаться в командной строке?
+4
dartraiden ,   * (был изменён)
Я сомневаюсь даже, что пользователи Linux вообще будут скачивать какие-то левые бинарники и копировать их в недра системы. Даже несвободный софт принято ставить через репозитории (в том числе и сторонние), чтобы менеджер пакетов разруливал установку, обновление, удаление, конфликты и так далее.
0
+1 –1
V-core ,  

Это все от лукавого! < sarcazm>
лучше внедрите себе сертификат безопасности от ФСБ, он по словам коллег из Казахстана обеспечит защиту пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.
< /sarcazm >

0
V2008 ,  
1) А это что за зверь «сертификат безопасности от ФСБ»?
2) «по словам коллег из Казахстана» — на заборе много что пишут!
3) «беспечит защиту пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет» — а это как? Просветите.
+3
V-core ,  

Это я по статье на хабре- Казахстан внедряет свой CA для прослушивания всего TLS-трафика

–2
V2008 ,  
Надо знать протокол HTTPS/TLS, чтобы понимать, что прослушка шифрованного трафика (если вы не контролируете клиентское место) нонсенс!!!
+4
Disasm ,  
Надо всё-таки прочитать статью, чтобы понять, о чём идёт речь.
TL;DR: в Казахстане предлагают установить «государственный» сертификат «безопасности» CA всем жителям в браузеры и делать глобальный MITM всего HTTPS.
–1
V2008 ,  
Прочитал и что?
Особенно это «Судя по всему, сертификат будет подменяться не только для HTTPS-соединений, но и для других зашифрованных TLS-соединений, включая FTPS, IMAP и SMTP с TLS.». А кто судит? Какой сертификат подменяется? Неужели на сайте GOOGLE?
+2
Disasm ,  
При установке SSL соединения (любого, не только HTTPS), чаще всего от сервера в одном из первых пакетов приходит сертификат сервера. Вот этот сертификат будет подменяться. Для каждого такого сертификата будет сгенерирован новый, но с другим родителем — с государственным сертификатом CA. Если пользователь соединяется с сервером гугла, то да, будет сгенерирован поддельный «государственный» сертификат сервера гугла.
+2
Disasm ,  
Всё это верно и для TLS, разумеется, с поправкой на необходимость парсить протокол, в котором это всё передаётся.
–4
V2008 ,  
Вы на полном серьезе? Подмена сертификата делается, чтобы увести вас на другой сайт!!! Бедный GOOGLE теперь у него Казахский сертфикат, а он спит и сладкие сны видит. Интересно, а в Казахском сертификате, я так понимаю RSA, открытый ключ тоже казахский или туда неведомым пуем попал открытый ключ о GOOGLE,
+5
Disasm ,  
Ох, какой же бред вы несёте. Почитайте, пожалуйста, матчасть.
+1
sergio_deschino ,  
Как-то не очень тривиально, не находите? Мне больше нравится вариант Германии, где я по своему паспорту, при наличии ридера, могу авторизоваться на любом портале гос.учреждений. Как ещё один вариант, есть электронная почта, получаемая в любом почтовом отделении, которую я могу использовать вместо физического адреса и которая считается официальной почтой. правда, по логину и паролю.
Ридер хоть и стоит сто евро, но есть, обычно, не в одном экземпляре на почти любой фирме, если надо что-то сделать без отрыва от производства.
+2
Theodor ,  
Вы тут про какие-то ненужные удобства, а здесь про импортозамещение же.
*где тег сарказма?*
0
sergio_deschino ,  
Ну, я даже не знаю сарказм это или нет, потому что у немцев импортозамещение, а вернее, просто использование своего тоже имеет свои пунктики, иногда даже не смешные))
Например, мои коллеги в первую очередь рассматривают варианты местного производства и только убедившись в том, что импортный аналог лучше возьмут его… Или не возьмут, тут уж как повезёт
+2
Moog_Prodigy ,  
Тут не нужно путать «импортозамещение» и «использование своего». Также в этом ряду совершенно не стоит сравнивать «нанотехнологии» и «обьекты\структуры с размерами 10-9». И «олимпиада» это совсем не состязание спортсменов или бросание копья.
0
sergio_deschino ,  
Тоже согласен
0
Pritorius ,  
Аналогично в РФ можно бесплатно получить УЭК и купить ридер, и не платить за ЭП.
+2
Kolonist ,  
А разве проект УЭК не закрыли?
+3
Sheti ,  
Ещё коптит. Сам недавно проверял. Правда смысла от него на Госуслугах не больше, чем от логина/пароля. А по большому счёту даже меньше, потому как нужно ещё помучиться его запустить.
0
Pritorius ,  
Нет, у меня работает.
0
V2008 ,  
Так в Германии и в Бельгии (http://soft.lissi.ru/articles/googlechromgost/, https://news.ycombinator.com/item?id=7567306 ) и у нас надеюсь «времена настанут» электронные паспорта с тем же интерфейсом PKCS#11/
+1
Pritorius ,   * (был изменён)
Автор, а не проще в ближайшем МФЦ получить бесплатно УЭК, купить один раз ридер и не париться с продлением подписи каждый год. Для юр. лица да, усиленная ЭП это манна небесная, позволяющая вообще из офиса не выходить, а для гражданина… по мне так проще один раз на ридер потратится.
0
V2008 ,  
Первое, продлевается не подпись (подпись вы ставите сами), а сертификат, который по закону действует только в течение года. И УЭК у вас или не УЭК, сертификат (как и паспорт тоже, только значительно реже) вы обязаны каждый год получать новый!!! Сейчас и гражданин для обращения в ФНС, например, должен будет иметь сертификат ключа проверки электронной подписи (так звучит по закону).
Так что ридер это не панацея. А вы его с собой носите?
0
Pritorius ,  
УЭК у меня работает с момента получения, без всяких продлений и тп. ЭП на свистке получаю новую каждый год. Что я делаю не так?

А зачем мне его с собой носить? В медучреждениях и госструктурах свои ридеры, и дома свой. Больше не откуда я гос услугами не пользуюсь.
0
svboobnov ,  
Тут штука в том, что некоторые торговые площадки для совершения сделок требуют вход с помощью российского криптосредства, а без использования такого критосредства Вы не сможете поставить на электронных документах юридически значимые подписи. Да, gpg имеет прекрасные средства для подписания/шифрования данных, но gpg юридически ничтожен на просторах РФ.
Так что рассматривайте госуслуги.ру как тренировочную площадку, перед входом на госзакупки или B2B — биржи.
0
V2008 ,  
Что касается gpg он прекрасно может работать и электроннорй подписью по ГОСТ — и подписывать и проверять (Kleopatra). Посмотрите здесь:

GnuPg-2, Kleopatra, KMail и российская криптография

http://soft.lissi.ru/articles/KleopatraKmailGnuPg/
0
svboobnov ,  
О как, спасибо, не знал.
+1
sandello ,  
А теперь попробуйте отправить письмо в налоговую и подписать этим ключем.
0
V2008 ,  
Не понял — с каким «этим ключом»?
Если я его получил вместе с сертификатом на аккедитованном УЦ, то в чем проблема?!
+1
sandello ,  
Проблема, как обычно, в реализации. По большому счету я имел в виду описанное окружение полностью: линукс, браузер и т.д. Квест можно начинать с входа в ЛК налоговой по ключу (не через госуслуги, там работает ;))
0
+2 –2
Sleuthhound ,  
>>Что еще? Порталу Госуслуг необходимо…

Закрыться, т.к. толку от него НУЛЬ! Сколько не пытался через него получить услуги, не так давно — элементарную вещь, свидетельство о рождении 2-го ребенка, всегда прихожу в назначенное время куда нужно, а там тебя и не ждали, сидишь как обычный смертный в очереди, хотя должны принять по времени, как правило все бумажки начинают заполнять при тебе, то есть ты все равно теряешь те же 30-60 минут, как если бы ты пришел туда и без заявки с портала. Пытался заплатить задолженность по налогу, и тут не вышло, ошибка при попытке заплатить с пл.карты, при этом через ЛК Налоговой все поплатилось без проблем. Дак на какой черт нужен этот портал, если ты все равно теряешь с ним время, причем вдвойне, заполняя данные на портале, а потом еще и в точке выдачи услуги?
+3
sandello ,  
Не испытывал проблем. Машину снять/поставить на учет — через ГУ удобнее, загран. паспорт — тоже. Имхо не повезло. Не до всех организаций докатилась информатизация в нормальных объемах
+1
KOLANICH ,  
Пара вопросов, если вы представитель компании, всё это разработавшей.
1 Зачем нужен npapi плагин к браузеру, почему не использовать дополнение на js в связке с openssl?
2 Какая выгода для пользователей (не считая «не получить люлей от ФСБ») в импортозамещении российскими алгоритмами зарубежных, если зарубежные более исследованы и считаются более безопасными?
+2
sandello ,  
1. openssl не имеет сертификата, т.е. не может быть использовано там, где дело касается перс. данных, гос. тайны и т.п. хрени.
2. речь не о выгоде, а о законе
0
svboobnov ,  
На 2) Выгода только в том, чтоб не получить люлей от ФСБ. Других я не заметил.
+2
3cky ,  
В общем случае в Linux все это дело не работает. Упомянутый IFCPlugin написан Ростелекомом и последний раз обновлялся еще аж в 2014 году, при попытке войти через Aktiv Rutoken lite, полученный в СКБ Контур, ключ мигает несколько раз светодиодом активности, после чего Госуслуги сообщают, что «У вас нет действующих сертификатов». Хотя в установленной в виртуальную машину Windows сертификаты на том же самом ключе видятся нормально.
0
V2008 ,  
Aktiv Rutoken lite — это не СКЗИ PKCS#11 с поддержкой российской криптографии (перевод lite — легкий). Там нет никакой поддержки ГОСТ Р 34.10-2001 и тем более 2012. Это фактически флэшка, на которой для записи объектов с сертификатом и ключами используется инерфейс PKCS#11 для работы с объектами. В СКБ Контур вам вместе с Aktiv Rutoken lite дали еше что-то типа КриптоПро CSP, с помощью которого и используется этот lite. Что раз подчеркиваю, Aktiv Rutoken lite — это не СКЗИ PKCS#11, это просто аля флэшка. На http://www.rutoken.ru/products/all/rutoken-lite/ черным по белому написано:

«Семейство ключевых носителей для различных программных и аппаратных средств криптографической защиты информации (СКЗИ). Рутокен Lite можно использовать для безопасного хранения ключей шифрования и электронной подписи, паролей и других данных во встроенной защищенной памяти устройства. „

И Госуслуги вам отвечают правильно. А то что плагин обновлялся “аж в 2014 году» так это не недостаток, а достоинство: не надо ломать то, что и так хорошо работает. Берите Rutoken ЭЦП (http://www.rutoken.ru/products/all/rutoken-ecp/ ) «Электронный идентификатор с аппаратной реализацией российских стандартов электронной подписи, шифрования и хэширования» и у вас все получится.
0
3cky ,  
КриптоПро CSP для Linux я тоже поставил, тесты на их сайте прогнал, там все работает. Но Госуслуги все равно сертификаты в Linux не видят, только в Windows. По-моему, это ненормально.
0
V2008 ,  
Первое, когда ваш сертификат вместе с ключом хранится на токене PKCS#11 споддержкой российской криптографии в соответствии со стандартом PKCS11 v.2.20 и выше и Рекомендациями ТК-26, то никакого «КриптоПро CSP для Linux» не надо!!!
Второе, «тесты на их сайте» показывают только то, что их CSP работает и не более того, а не то что вы с этим сертификатом и этим CSP попадете на сайт Госуслуг.
Третье, обратитесь к тем кто вам выдал сертификат на Aktiv Rutoken lite и пусть они вам объяснят почему вы не можете попасть на сайт Госуслуг.
Четвертое, пусть они вам переиздадут сертификат на Rutoken ЭЦП. Вот тут они, скорее всего, потребуют доплаты, но зато вы сможете работать с ним на любой платформе, для которой есть библиотека у Rutoken ЭЦП. По крайней мере это и Windows, и Linux, и Mac, и FreeBsd. И тогда у вас все получится. Статья не про КриптоПро CSP, а про токены PKCS#11 v.2.20 и выше с реализацией ГОСТ.
0
3cky ,  
Понимаете, когда мне понадобилась ЭЦП для Госуслуг, я вспомнил, как громко и подробно рассказывали по телевизору, что Ростелеком открывает удостоверяющие центры по всей стране и получить ЭЦП стало необычайно просто. Разумеется, я сразу же позвонил в колл-центр Ростелекома, где меня убедили, что всё действительно так. На сайте Госуслуг Ростелеком также числится среди авторизованных удостоверяющие центров. Я пошел в центральный офис Ростелекома в нашем городе-герое, чтобы стать счастливым обладателем Единственно Правильной ЭЦП™, где *внезапно* мне дали от ворот поворот — оказывается, Ростелеком давным-давно уже не выдает ЭЦП физлицам «из-за технических причин». Собственно, на сайте у них, как оказалось, написано то же самое. Поэтому обладателем Единственно Правильной ЭЦП™ я так и не стал.

В общем, виртуальная машина с Windows решает проблему, а доплачивать достаточно серьезные суммы за продолжение экспериментов ради торжества импортозамещения я, увы, не готов.
0
V2008 ,  
Да, таковы наши реалии. И взяться за перо меня заставила наша действительность. Вместо того, что иметь один токен PKCS#11 (или на худой конец контейнер PKCS#12, но стандартный как того требует ТК-26) с сертификатом и ключом и ходить с ним на все торговые площадки, Госуслуги, ФНС и т.д., при чем с любого браузера, с любой ОС и опять т.д., мы вынуждены получать различные сертификаты, потому что кто-то под себя придумал записывать в него новое/OID, покупать какие-то CSP (при чем ничего общего со стандартами не имеющее) и можно продолжать.
Обращайтесь, чем смогу помогу.
0
svboobnov ,  
ЭЭЭ, ну, так со времён Петра Алексеевича Романова (который царь) заведено было (за точность цифр не ручаюсь): «Писцам за правку бумаг на лощёных листах брать 50 копеек, на гербовых — рубль, а на гербовых с вензелями — рубль с полтиной. На рядовой (обычной) бумаге прошения не принимать.»
Эти КриптоПро, рутокены-шмутокены суть есть заместители бумаг лощёных, гербовых и с вензелями.
0
V2008 ,  
Да, внимательно посмотрите файл /etc/ifc.cfg (мы говорим о токенах PKCS#11, type=''pkcs11'' ), и вы увидите, что там нет Aktiv Rutoken lite. А про CSP я уже писал.
0
Nekudo ,  
Господа, хочу заметить, что с PKCS#11 сейчас в РФ умеют работать только информационные системы ЕГАИС и портала Госуслуг. Это действительно безопасно для пользователя в части гарантирования неизвлекаемости закрытого ключа (ключа электронной подписи в рамках терминологии 63-ФЗ) и сохранения его конфиденциальности, в т.ч. от самого УЦ, который Вам выдаёт электронную подпись, т.к. ключи генерятся непосредственно токеном. Ну и как наверное уже писали, при работе с токенами с поддержкой PKCS#11 не придётся приобретать лицензию на средство электронной подписи КриптоПро CSP (хотя, например, vipnet csp распространяется бесплатно)
0
V2008 ,  
Добавлю или повторюсь, это и доступ на портал ФНС ГОСТ-ому HTTPS с PKCS#11 — http://soft.lissi.ru/about/news/2015/12/65/
0
Nekudo ,  
Добавлю, что с квалифицированным сертификатом физическое лицо может участвовать в электронных торгах на электронных торговых площадках, не предъявляющих дополнительных требований к ЭП.
Но, как я и говорил, эти площадки не умеют работать с криптографией «на борту» ключевого носителя.
0
V2008 ,  
Вот в этом наша беда. Нас заставляют не придерживаться стандартов, в том числе и международных. Если говорить про PKCS#11, то наши ГОСТ-ы там есть!!! Так же как и OpenSSL они есть в том или ином виде, а сейчас и в GCrypt. У нас сейчас стандарт некий CSP аля Микрософт. И все наши электронные площадки заточены под него, а не под рекомендации ТК-26. А чем проблема взять тот же плагин с Госуслуг и использовать его на тех ЭТП!!!
0
SpiritOfVox ,  
А эти ключи все УЦ выдают или большинство генерируют открытый и закрытый ключи сами?