Опыт получения токена закрытого ключа для Единого Портала Госуслуг

    Всё нижеописанное относится к физлицам Российской Федерации.

    Зачем это надо?


    Как вы, возможно, знаете — авторизация на портале госуслуг возможна тремя способами — при помощи логина и пароля (где роль логина играет номер СНИЛС), при помощи USB-ключа ЭЦП (криптографического токена), и при помощи CSP.
    Мне проще помнить небольшой ПИН к токену, чем каждый раз держать перед глазами карточку СНИЛС с цифрами номера, и вспоминать пароль (а требования к паролю у ЕПГУ серьезные).Поэтому я решил получить аппаратный токен с ключом ЭЦП.
    До кучи — квалифицированую подпись токеном можно использовать и помимо портала госуслуг.

    Что это?


    По существу — это устройство eToken ГОСТ, объединяющее в одном корпусе функционал JavaCard/PKCS11-смарткарты и USB HID ридера, так что драйверы ему не нужны.
    При выдаче токена сертификат открытого ключа привязывается к вашим регистрационным данным: СНИЛС, ФИО, E-Mail. Действует год. Стоит 660 рублей. Позволяет формировать квалифицированную (т.е. удостоверенную аккредитованным УЦ) электронную подпись, являющуюся юридически значимым аналогом собственноручной.

    Как это?


    На момент принятия решения я уже был зарегистрирован на портале госуслуг, и имел активированную учетную запись. Это делает процедуру получения тривиальной.

    Итак, идете в офис обслуживания клентов Ростелекома, уполномоченный выдавать токены и активировать учетные записи к порталу госуслуг.
    Список доступен для скачивания на самом портале.
    Предполагается, что у вас уже есть активированная учетная запись на портале, либо, по крайней мере вы там зарегистрированы, и выбрали способ активации «В офисе Ростелекома». То есть дома регистрируетесь на портале, потом идете в офис Ростелекома.
    Если учетная запись не активирована — там же, в офисе активируете её, предъявив СНИЛС и паспорт.
    После активации оплачиваете 660 рублей в кассу, и подписываете четыре или пять листиков — согласие на обработку персональных данных, заявление на выдачу ключа, акт приемки-сдачи, и что-то еще.
    Вам выдают памятку по использованию ЭП, копию акта, и бланк сертификата открытого ключа. Последнее — по сути дамп сертификата, загруженного в токен. Да, и конечно же выдают сам токен — маленькую фиолетовую «флэшечку».
    Всё, поздравляю. Теперь вы можете подписывать юридически значимые документы направо и налево.

    Осторожно, грабли!


    Не обошлось без недоразумений. Токен выпускается с умолчательным пин-кодом «1234567890», который настоятельно рекомендуется сменить. И это понятно. Так вот, из памятки никак не следовало, как это можно делать. Пришлось потревожить милых девочек из контактного центра Ростелекома.
    Вкратце — надо зайти в личный кабинет на портале госуслуг, и зайти в раздел «Мои данные», который доступен сразу на главной странице. Там и есть виджет «смена пин-кода».
    Другие грабли заключаются, в том, что eToken PKI client версий 5.1 и 4.55 упорно отказываются показывать содержимое токена, считая его неинициализированным. Мальчик из аладдиновской поддержки сказал, что токеном предлагается рулить через КриптоПро CSP/JCP. Коий стоит примерно 2000 рублей. Вместе с АРМом для работы с PKCS#7 документами (trusted.ru) — аж 3500.
    При выдаче меня предупредили, что ключ — только для подписи (Закрытые ключи ГОСТ действительно бывают двух типов — ключ подписи, и ключ обмена (согласования) — для выработки общего ключа шифрования на сертификате). Но в бланке сертификата недвусмысленно написано — "[Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных]".
    Так что посмотрим.

    Использование с порталом госуслуг


    Когда вы первый раз пробуете авторизоваться на портале госуслуг при помощи токена, вам будет предложено поставить плагин к браузеру. На Хроме в 32- и 64-разрядной Windows 7 работает без проблем. Утверждается, что есть для Linux и Mac OS X. Не проверял.
    После того, как плагин установится — вы можете войти на портал. Прав администратора для установки, кстати, не требует. Ставится под конкретного пользователя.
    Метки:
    Поделиться публикацией
    Комментарии 34
    • 0
      А я вот купил года два назад себе eToken PRO Java 72K, на котором храню всякие вебманивые сертификаты и подобное. Его никак нельзя заюзать? Надо обязательно покупать еще один?
      • 0
        Если поддерживает ГОСТ — технически, вероятно, можно. Другое дело — пойдет ли на это Ростелеком в лице своих сотрудников.
      • 0
        Я правильно понимаю, что закрытый ключ уже загружен в токен, а использование крипто-про обязательно (т.е. ключи будут все равно обрабатываться на компе)?
        Ох уж эти госуслуги.
        • 0
          1. Да. Загружаются в токен в процессе выдачи
          2. Нет, крипто про для входа на ЕПГУ не нужен. Нужен только плагин, заточенный на эти токены.

          Более того, криптопро даже с SDK эти ключи не видит. А плагин видит.
          • +1
            Понятно. Немного напрягает то, что токен проходит через руки сотрудников ростелекома с умолчальным пин-кодом и готовым закрытым ключом.
            • 0
              Закрытый ключь генерируется самим токеном и его нельзя извлечь, можно только уничтожить. Максисмум, что может сделать сотрудник, зная ПИН — подписать за Вас заявление.
              • –1
                То есть если токен, например, сгорит — все?
                Что-то не верится, что нет механизма бэкапа закрытого ключа.
                • 0
                  Его нельзя по регламенту бэкапить. Да, все. Придется получать новый.
                  • 0
                    Не вижу ничего плохого в получении нового закрытого ключа. К тому же, вы можете быть 100% уверены, что Вашим закрытым ключем ни кто кроме Вас ничего не сможет подписать.
              • 0
                1. Не совсем так, закрытый ключь генерируется прямо на токене, что исключает его утечку.

                Читаем здесь:
                Аппаратно-реализованные алгоритмы
                — ГОСТ Р 34.10-2001 (генерация ключевых пар, формирование и проверка электронной цифровой подписи)
                • 0
                  Да, извините. Действительно, иногда забываю, что в ГОСТ закрытый ключ неотчуждаем.
            • 0
              Вы мобильные клиенты для Портала Госуслуг (android и т. п.) используете? Если да, то сохраняется ли в них возможность работы по логину/паролю после перехода на eToken на «большом компьютере»?
              • 0
                По идее должна сохраняться. Не пользовался мобильными, но, думаю, это ровно то же самое, что просто на сайт по СНИЛС войти.
              • 0
                Я когда регистировался на госуслугах был вопрос нужно ли под это дело заодно получить ЭЦП.
                Нужно учитывать, что помимо покупки токена нужно будет оплатить сертификат сроком действия год. Через год сертификат надо перевыпускать. Это 800-1000р. в год. На данный момент сомнительные траты, т.к. мне негде больше использовать ЭЦП.
                • 0
                  660 рублей. Токен вместе с сертификатом. Не нужно. Но можно. Есть желание попробовать заюзать его еще где-то помимо. Простое творческое любопытство.
                  • 0
                    Не нужно потом сертификат перевыпускать?
              • +1
                >> Токен выпускается с умолчательным пин-кодом «1234567890»

                Я с этими токенами работаю, скажу вам, что они как выпускаются, так и до конца срока своего действия в большинстве случаев пин-код остается неизменным. Ибо тётечкам-бухгалтерам сложновато запоминать длинные пароли.
                • +2
                  На таких тетечек обычно находится регламент под расписку, не? :)
                  Конто-субконто им не сложновато запоминать, а 4-6 циферок — сложновато.
                • 0
                  Интересно, а есть у кого опыт использования КриптоПро для той же цели? Не хочу платить за ненужный мне девайс, имхо, сертификата, более чем достаточно.
                  • +1
                    А за КриптоПро платить хотите? :)
                    • 0
                      … в 3-4 раза больше причем )
                      • 0
                        А надо? Я думал, что кейс такой — ставишь плагин, сертификат и логинишься, выбирая соответствующий пункт в форме.
                        • 0
                          Причем тут КриптоПро тогда?
                          • 0
                            Все, разобрался — это для генерации ключей тул, а не для авторизации.
                          • 0
                            Ставишь плагин, выткаешь токен, выбираешь авторизацию по токену. Всё.
                      • 0
                        Решил для себя проблему с запоминанием СНИЛС и пароля при помощи HP Protect tool и биометрического сенсора.
                        • +1
                          Еще летом пробовал получить ЭЦП для Госуслуг в Уфе. Офисы Ростелекома есть, токенов в них нет.
                          • 0
                            Сегодня получил токен, были в трех из четырех офисов :) Они правда не предупреждают, что токенов нет. На Арбате нету :(
                          • 0
                            С помощью этой ЭЦП можно на том же сайте госуслуг под документами подписываться? К примеру для оформления регистрации необходимо явиться собств еннику жилого помещения и нанимателя и подписать документы. Можно ли с помощью этого токена подписать на сайте и никуда не ездить?
                            • 0
                              Что будет через год? Опять платить 600 руб за воздух?
                              • 0
                                Я ж написал — да. За перевыпуск сертификата. Сколько — пока неизвестно. 660 — это вместе с токеном.
                                • 0
                                  Перевыпуск сертификата бесплатный. Деньги берут за физический носитель.
                              • 0
                                Эх, времена были… (

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.