Уже есть некоторый опыт работы с Госключом: подписался на налоговые уведомления, поставил самозапрет на выдачу кредитов в бюро кредитных историй, также использовал в несколько нестандартном варианте: подписал pdf файл со своими платёжными реквизитами и теперь хочу поделиться некоторыми своими наблюдениями.
Итак, это полностью бесплатный вариант электронной подписи (УНЭП и УКЭП). Если правильно понимаю, в случае с аппаратным токеном, нужно купить сам токен, оформить подписку на программу, в которой будете подписывать документы и проверять подписи, купить лицензию на использование криптопровайдера, в общем, предприниматель со стабильным доходом, наверно, может вполне себе такое позволить, а физлицо/самозанятый не всегда. А необходимость в электронной подписи есть: например, чтобы снять самозапрет на кредиты (а я установил), нужно подписать документы электронной подписью, причем не какой-то УНЭП, а самой настоящей УКЭП. Госключ даёт такую возможность. Получить УКЭП можно дистанционно, если зарегистрировал биометрию ЕБС. Так случилось, что мне пришлось "побегать", прежде чем зарегистрировал биометрию в одном из отделений ВТБ: в других банках то программа не работала, то шум мешал, впрочем это было довольно давно, возможно, теперь такой проблемы нет.
После получения УКЭП, а она выпускается на один год, перевыпуск по биометрии становится не актуальным: можно выпустить новую УКЭП, подписав старой. Касательно отзыва подписи: делать это нужно только тогда, когда она скомпрометирована, после отзыва, насколько понимаю, все документы, подписанные этой подписью, вроде бы становятся недействительными. Поэтому после выпуска новой подписи нужно не торопиться и ждать, пока срок действия старой закончится.
В чём разница между электронной подписью на аппаратном токене и Госключом: важно, что на Госуслуги с использованием Госключа не войти. А вот вход по биометрии на Госуслуги вполне себе работает. Я использую, поскольку есть ещё вполне надёжный второй фактор: TOTP - одноразовые коды в приложении, срок действия которых ограничен 30-ю секундами. Меня вполне устраивает. Конечно, например, инвалиду может быть трудно быстро вводить такие коды и он может быть менее защищён от мошенников. Здесь ведь механизм какой: не смотря на то, что TOTP не проверяет на каком сайте вводится, в отличие от passkeys (включая аппаратные токены FIDO2 {для использования в качестве УНЭП/УКЭП они точно не подходят, а только для целей аутентификации на некоторых сайтах/в приложениях могут использоваться}), всё же мы всегда точно знаем для какого сервиса данный конкретный код применяется, в отличие от СМС, когда мошенники инициируют получения СМС кода подтверждения в одном месте, при этом убеждая жертву, что код подтверждения действительно нужен, но для чего-то совершенно другого. Вообще, мировая практика в стандартах безопасности рекомендует избегать использования СМС как второго/первого фактора защиты, поскольку они не являются вполне безопасными, впрочем как и Push-уведомления, но в последнем случае специалисты утверждают, что здесь более юридические тонкости влияют, чем технические проблемы защищённости.
Что касается различных вариантов мобильной электронной подписи, мне показались интересным мнения экспертов по безопасности, которые можно узнать в почти трёхчасовом видео. Если не хочется смотреть его полностью, можно задать вопросы Нейроэксперту на предложенных мной источниках информации, чтобы составить представление в том числе и по Госключу. Нейроэксперт, в отличие от других вариантах ИИ, вроде бы не замечен в галлюцинациях. Ну, или у меня спросите, нас когда-то учили: "хочешь прочитать лекцию на час, знаний у тебя по теме должно быть на десятичасовую лекцию как минимум" :)
Проверить документ, подписанный УНЭП/УКЭП Госключа, можно на специальном сервисе на Госуслугах. Обращаю внимание, что тому, кому вы отправите подписанный документ, будет доступна информация о вашем ИНН и СНИЛС. Для работодателя, который обрабатывает ваши персональные данные в соответствии с соглашением между ним и вами, это вполне допустимо. Но если вы отправляете подобные сведения тому, кто не связан никакими обязательствами и не проходил проверку на наличие соответствующего уровня подготовки, вы делаете это на вой страх и риск. Во всяком случае, МВД не рекомендует предоставлять такого рода информацию кому попало.
Если статья показалась полезной, обратите внимание ещё и на это: Немного о себе, принципах, состоянии здоровья и финансов.