Проблемы, с которыми я столкнулась при получении и использовании электронной подписи:
Задача была получить электронную подпись (ЭП) физического лица (ФЛ) для работы с Росреестром и проверить некоторые её возможности для личных целей и для рабочих (с условием использования бесплатного ПО для личного пользования и ПО организации для работы - напоминаю, что с 01.09.2023 года УЦ не могут выдавать УКЭП с привязкой на организацию сотрудникам, с 01.09.2024 сотрудники организации должны будут использовать для рабочих целей только свою личную УКЭП с приложением машиночитаемой доверенности (МЧД) от организации, подробнее об этом можно узнать на сайте налоговой "Применение электронной подписи").
1. Выбор удостоверяющего центра (УЦ)
У меня уже был опыт получения ЭП ФЛ лет 6 назад (в феврале 2017 года), тогда я не сильно задумываясь выбрала ближайший и удобный для меня УЦ по территориальному принципу, подала заявку, получила счет, отправила сканы документов, приехала в офис УЦ, мне выпустили при мне подпись на купленный у них же носитель (Рутокер Lite).
Тогда это обошлось в 3500 рублей, в эту сумму входило:
- 1500 рублей (выпуск сертификата ключа квалифицированной ЭП);
- 0 рублей (добавление свойства для взаимодействия с Росреестром);
- 1200 рублей (сертифицированный ключевой носитель ruToken);
- 650 рублей (годовая лицензия на использование СКЗИ -
Крипто Про CSP 4.0).
По работе мне приходится работать с электронными подписями, я кое-что пониманию в законодательной базе по данному вопросу, а также знакома с ПО криптопровайдера КриптоПро, процедуре формирования ключей электронных подписей, структуре открытого и закрытого ключа, знакома с процедурой установки ключей в систему, экспорта, настройки плагинов для работы на различных сайтах и в различных браузерах.
В общем, без сложностей мне скучно, даже получение ЭП ФЛ не было необходимостью как 6 лет назад, так и сейчас, поэтому важен был опыт и заинтересовало предложение УЦ АО "ИнфоТеКС Интернет Траст", по следующим причинам:
- уже встречала ЭП от данного УЦ (АО "ИИТ");
- в приложении Госключ в доверенных сертификатах включен АО "ИИТ";
- на сайте УЦ всё очень красиво расписано https://uc.iitrust.ru/ : и как легко получить подпись, и как быстро, и о возможности получить усиленную квалифицированную электронную подпись (УКЭП) дистанционно;
- наличие чата с продажами и техподдержкой через телеграмм бота (https://t.me/iitchatbot), что для меня очень удобно, т.к. я люблю пообщаться с техподдержкой в чате;
- бесплатный криптопровайдер ViPNet CSP, разработчиком которого является Акционерное общество «Информационные технологии и коммуникационные системы» (АО "ИнфоТеКС"), для физического лица это важно и нужно развивать бесплатные аналоги для массового использования.
Т.к. 6 лет назад я уже приобрела защищенный носитель ruToken, то нашла его, отформатировала и решила использовать для записи нового УКЭП, предварительно уточнив подойдёт ли он для формирования подписи, так же пыталась уточнить по процедуре записи УКЭП на носитель. Получила ответ от отдела продаж: "смогут записать на ваш носитель, если он технически исправен. Спустя 5 лет, я не могу вам гарантировать, что он технически исправен. Мы не оставляем закрытые ключи клиентов на своих ресурсах, при любом сценарии". В итоге я поняла, что УЦ вообще ничего не записывает и не формирует подпись, это делает сам владелец УКЭП на своём устройстве, УЦ может только предоставить услуги по настройке и консультированию.
2. Возможность дистанционного получения УКЭП
УКЭП можно получить только при идентификации владельца-заказчика, проверке его данных.
Как произвести идентификацию:
- Лично при наличии документов;
- При использовании действующей КЭП его владельцем.
Т.е. вариант дистанционного получения УКЭП только один => наличие действующей КЭП.
Но АО "ИИТ" предлагает вариант получения УКЭП в мобильном приложении (МП) Госключ. В моём случае это была бы заявка "Росреестр для физлиц с дистанционной идентификацией через МП Госключ", т.к. мне нужна именно ЭП со свойствами для работы с Росреестром.
Изучив инструкцию https://iitrust.ru/downloads/lk/GosK-manual.pdf , поняла, что для формирования КЭП в МП Госключ нужно зарегистрировать стандартную или подтвержденную биометрию на госуслугах, а для этого нужно либо иметь действующий загранпаспорт нового образца с чипом, либо зарегистрировать биометрию в МФЦ или банке. Подробнее о регистрации биометрии здесь - https://ebs.ru/citizens/ .
Квест, конечно, интересный, но при отсутствии действующего загранпаспорта и нежелании регистрировать подтвержденную биометрию на 5 лет, решила идентифицировать по старинке в офисе УЦ. Выбрала центральный офис в своём городе.
3. Процедура оформления УКЭП с идентификацией в офисе АО "ИИТ"
3.1. Оформление заявки
Начинаю с заявки "Росреестр для физлиц", убираю все галочки, т.к. мне не нужен ни носитель, ни услуги по установке, выбираю выбранный офис для идентификации меня, заполняю личные данные, получаю счет, оплачиваю его.
3.2. Оплата
После заполнения данных и получения счета на оплату мне был сформирован личный кабинет (ЛК). Оплата прошла только на следующий день (может оплата картой прошла бы быстрее, но не знаю), после чего мне прислали письмо, которое я не прочитала внимательно и потом долго насиловала техподдержку по возникающим проблемам :) . Главное, что до меня пытались донести в этом письме: нужно выбрать криптопровайдера для формирования УКЭП, если вам нужно работать под КриптоПро, то нужно формировать под ним, приобретя лицензию на него или использовав уже зарегистрированный продукт (там где вы будете формировать должен стоять выбранный криптопровайдер). + Дисклеймер (отказ от ответственности) о факте возможных проблем при установке обоих криптопровайдеров на один компьютер.
3.3. Генерация контейнера ключей (запрос на сертификат)
Во вложении была инструкция по генерации запроса в ЛК при использовании криптопровайдера ViPNet CSP.
Захожу в личный кабинет, скачиваю и устанавливаю плагин JLSS.
Не задумываясь и не читая инструкции (скриншот выше) устанавливаю бесплатный криптопровайдер.
В любом случае, мне нужен был опыт работы с бесплатным криптопровайдером и на моём компьютере ранее не было установлено ни КриптоПро, ни ViPNet, поэтому без проблем установила ViPNet CSP (уже потом при возникновении проблем техподдержка на вопрос "когда я выбрала криптопровайдера" объяснили, что запрос на сертификацию будет производиться с тем криптопровайдером, который установлен в системе, а если в системе не установлен криптопровайдер, то будет предложен бесплатный ViPNet).
Сделала запрос на сайте криптопровайдера на получение дистрибутива на версию под Windows 11, заполнив форму заявки и указав в качестве организации "Физическое лицо".
!!! Возможно версия продукта была выбрана неверно под Windows 11, даже в инструкции написано, что нужно получить бета версию по другой ссылке, также в программе у меня пишется о необходимости обновления (при этом техподдержка когда разбиралась с ошибкой КриптоФайл кучу раз переустанавливали имеющуюся у меня версию, но не обновляли до бета-версии), так же важно помнить, что после генерации контейнера ключа и до установки сертификата электронной подписи в контейнер лучше в системе вообще ничего не менять, в том числе версии ПО.
При любых сомнениях и вопросах - обращайтесь в техподдержку.
Почти сразу на почту пришла ссылка на дистрибутив (действует 5 дней), в письме указаны серийный номер продукта и контрольная сумма для проверки целостности данных.
Установила, зарегистрировала со своими данными и серийным номером (всё как в инструкции), перезагрузила компьютер, захожу в ЛК.
В ЛК нажимаю кнопку "Сгенерировать запрос" - опять всё по инструкции (сгенерировала сразу на свой ruToken) - обязательно с паролем (для носителя все пароли были установлены и проверены заранее (и пользователя и администратора), установила драйвер рутокен и всё заранее проверила - если носитель новый, то можно найти стандартные пароли для этого типа и сменить для надежности, главное использовать безопасные пароли и не забывать их).
3.4. Идентификация
Далее этап идентификации - нужно приехать в офис, поехала в обед, но перед выездом решила позвонить и уточнить точно ли в офисе будет кто-нибудь и не будет перерыва. В итоге мне сказали, что нужно забронировать время и переключили на специалиста, который записал меня через час, сказав, что время идентификации зависит от работы системы (получение подтверждения).
Приехала в офис. Ожидания были, что именно там будут устанавливать сертификат ключа электронной подписи к моему сгенерированному контейнеру, поэтому я взяла с собой ruToken, хотя везде писали, что для идентификации нужно взять паспорт и СНИЛС и не говорилось про необходимость предоставлять сгенерированный контейнер. В действительности в офисе просто проверили мои документы и дождались получения подтверждения моей личности, у них там даже внешние устройства подключить нельзя, после чего я ушла получив на руки только оригиналы счетов и оплаты.
3.5. Выпуск сертификата
Уже вечером я самостоятельно на своём компьютере, где генерировала контейнер, установила сертификат электронной подписи, просто нажав в ЛК на кнопку "Установить" и выбрала свой ruToken.
Инструкции мне пришли на почту только на следующий день.
Во вложении были инструкции:
Подпись установлена, проверяется, доверия нет к сертификату минцифры, но это не проблема - установила в доверенные корневые (раздел VI. Установка корневого сертификата Минкомсвязи в инструкции по установке сертификата).
Оформление УКЭП заняло 2 дня, с учетом прохождения оплаты на следующий день.
4. Использование УКЭП
УКЭП нужна для определённых целей и возможность её применения я сразу начала проверять, где столкнулась с различными проблемами и особенностями.
Система Windows 11, криптопровайдера ViPNet CSP 4.4., Яндекс браузер.
4.1. Авторизация через УКЭП в Госуслугах/ЕСИА (в том числе для входа в ЛК Росреестра)
Проблемы с установкой плагина Госуслуг в Яндекс браузере....
4.2. Авторизация через УКЭП в ЛК Федеральной таможенной службы (ФТС)
Невозможно без установленного криптопровайдера КриптоПро!!!
Изначально не решалась, но после ремонта ноутбука решила сделать как советовали в техподдержке и как написано в этой статье "Ошибка на портале ФТС (У Вас не установлен плагин "КриптоПро ЭЦП Browser plug-in")", т.е. изначально установила КриптоПро SCP (лицензия не нужно, нужно только установленное ПО, чтобы избежать ошибки), после установила ViPNet CSP. Всё заработало.
4.3. Использование УКЭП с защищенного носителя на удаленном компьютере с подключением через Удаленный Рабочий стол Windows (RDP)
На удаленном компьютере установлен криптопровайдер КриптоПро - невозможно использовать ЭП сгенерированное ViPNet в КриптоПро на защищенном носителе (защищенный носитель так же не определяет записанный контейнер как сертификат и не отображает его, хотя говорится, что работает с ЭП ViPNet корректно и на удаленке криптопровайдер ViPNet должен видеть контейнер ключа)...
4.4. Подписание документов/файлов - бесплатные аналоги КриптоАРМ
Для госорганов в заявления часто нужно прикладывать подписанные документы (файл с подписью, либо файл с файлом подписи в формате .sig).
В техподдержке предложили использовать ViPNet CryptoFile или КриптоЛайн.
ViPNet CryptoFile так и не удалось заставить подписывать (специалист техподдержки долго пытался понять в чем причина, но видимо не все проблемы нужно решать), установила КриптоЛайн, которые тоже не сразу заработал.