Краткое сравнение УКЭП на токене и в приложении Госключ
В отличие от Госключа, где всё бесплатно на протяжении всего времени эксплуатации, УКЭП на аппаратном токене требует некоторых финансовых затрат. Госключ тоже, конечно, требует наличия возможно не сильно дешёвого телефона (по мне, так можно использовать только, пока производитель ещё выпускает обновления безопасности ОС и выходят патчи Гугла, использование Защищённой папки желательно, ну и требуется соблюдение пользователем общих правил безопасности для смартфона). Интегрирован с Госуслугами, сфера применения постоянно расширяется. Госключ в общем, наверно, не слишком сложен в использовании. Не требует наличия аппаратного токена, но и не позволяет входить на Госуслуги по УКЭП. А вот для УКЭП на токене требуется уже криптопровайдер (у меня КриптоПро CSP - он не бесплатный), сам токен тоже покупается, для входа на Госуслуги, вроде, не любой подходит и для работы потребуются драйвера. Устанавливается всё это на компьютер, к безопасности которого предъявляются уже повышенные требования. Ну и некоторые настройки нужно сделать ещё, чтобы всё заработало. Отмечу, что сразу после покупки установил на аппаратный ключ свои PIN-коды. Вот ЭЦП я получил только совершенно бесплатно, но не знаю пока, придётся ли платить за продление. А подпись действительна год.
Особенности получения бесплатной УКЭП по ЕБС
О получении УКЭП физлица бесплатно узнал в приложении Госуслуги Биометрия. Решил воспользоваться предложением удостоверяющего центра Тензор, но сначала заказал и получил Рутокен ЭЦП 3.0 (список продавцов можно узнать на официальном сайте производителя). Он как раз подходил для всех применений, которые мне нужны. Отправил заявку на получение подписи, а дальше общался с выделенным для меня менеджером по телефону и электронной почте. Сам процесс в общем, хорошо продуман и удобен, но сразу обращу внимание на то, что сначала у вас должна быть зарегистрирована биометрия в одном из банков. Не знаю, как сейчас, а раньше была целая проблема зарегистрировать биометрию, мне только в одном банке удалось. Именно по ней я получил уже УКЭП в приложении Госключ и даже подписал запрет на получение кредитов и займов на Госуслугах. Теперь решил потестировать работу с аппаратными токенами с шифрованием по ГОСТу. Я уже работаю довольно давно с FIDO2 токенами (российскими и зарубежными) достаточно успешно, они позволяют организовать защиту в соответствии с международным стандартом, особенности функционирования которого нужно знать. Вхожу через Яндекс ID, VK ID с их помощью, получаю доступ по ssh к GitHub, о чём тут писал (1, 2) уже.
Сначала нужно отсканировать/сфотографировать паспорт и СНИЛС, проверить распознанные данные, подтвердить личность по биометрии. Вот здесь у меня возникли некоторые проблемы. Что произошло: я уже давно вхожу периодически на Госуслуги по биометрии (подтверждая вход по TOTP после этого, что, мне кажется, достаточно безопасно), но после установки КриптоПро CSP и перехода некоторых сайтов на ГОСТ шифрование, всё резко перестало работать из-за особенностей защиты Касперского:
Дело в том, что для проверки соединения, Касперский использует свой сертификат, а он не поддерживает ГОСТ шифрования. Рекомендации с Госуслуг не помогли и я для прохождения идентификации по ЕБС временно отключил проверки Касперского для сайтов, включив отмеченный переключатель и перезапустив браузер:
После того, как личность была подтверждена, вернул всё обратно. Потом скачал заявление, подписал от руки, отсканировал и загрузил на сайт. После проверки менеджером было предложено сгенерировать подпись на аппаратном токене.
А вот здесь вторая особенность: для генерации неизвлекаемой ключевой пары на токене нужен специальный плагин и приложение, которое проверяет систему на соответствие требованиям и устанавливает драйвера в том числе и даже создаёт нового пользователя. Мне потребовалась перезагрузка компьютера после этого. Насколько это всё вы считаете безопасным для себя, решайте сами. Возможно, визит в удостоверяющий центр и запись УКЭП на аппаратный токен именно там за относительно небольшую плату может показаться более подходящим решением для некоторых.
Вот только после всех этих действий можно было начать генерировать УКЭП. Обращаю внимание, что вам обязательно нужно понимать особенности различных вариантов создания подписи на аппаратном носителе (имеется в виду Рутокен ЭЦП 3.0). процесс генерации ключевой пары начинается с нажатия соответствующей кнопки в заявке. После завершения генерации предлагается ждать письма, при переходе по ссылке из которого официально оформленную в Тензоре заготовку УКЭП на аппаратном носителе можно активировать, проверив правильность данных на напечатанном бланке сертификата. Происходит это через сайт Госуслуг. После подтверждения правильности информации УКЭП окончательно записывается на аппаратный носитель и ей можно пользоваться.
Взаимодействие сайтов, использующих шифрование ГОСТ с защитными решениями Касперского
Обращаю внимание, что Касперский для целей организации защиты безопасного соединения на сайтах с шифрованием выступает в качестве посредника и устанавливает при этом свой сертификат:
А вот если сайт использует ГОСТ шифрование, такого рода защита вызывает проблемы: шифрование в этом случае просто не работает. Но есть решение, хотя спорное, мне кажется - добавить сайт в доверенные для Касперского:
При этом нужно понимать, что, насколько понимаю, Касперский вообще перестаёт проверять такого рода сайты. Если они достаточно защищены, то нет проблем, но в современном мире принято придерживаться концепции нулевого доверия и проверять всё. Тогда, если злоумышленники проникнут в государственные информационные системы, их хотя бы можно будет заметить. Я вот такое решение нашёл. Если у кого-то есть лучше, поделитесь, если не трудно... В результате такого рода действий действительно начинает работать ГОСТ шифрование для этих сайтов:
Но есть особенность, похоже. Обратите внимание, что я добавил в доверенные и сайт esia.gosuslugi.ru и www.gosuslugi.ru, на который перехожу из табло/закладок. Если www сайт не внести в доверенные, Касперский установит свой сертификат и не даст переключиться на ГОСТ шифрование для субдомена. Похоже на это. Во всяком случае добавление обоих сайтов решает проблему для меня.
Настройка подписания документов в приложении Инструменты КриптоПро
После получения УКЭП подписание документов на компьютере в приложении Инструменты КриптоПро уже не вызывает проблем. Но есть нюансы. Мне нужно всегда иметь отметку времени для подписи, а также список отзыва сертификатов на момент подписания, что называется "для архивных целей", достигается следующими настройками:
Отметку времени беру отсюда. Могут быть и другие варианты.
Настройка входа на Госуслуги в Яндекс Браузере для организаций
Здесь относительно просто. Не знаю, нужно ли устанавливать плагин (я установил), но вот расширение в Яндекс Браузере для организаций следует устанавливать вручную отсюда:
После этого и включения входа по электронной подписи в настройках аккаунта все прекрасно работает.
Вот кратко, что хотел рассказать по теме.
Если статья показалась полезной, обратите внимание ещё и на это: Немного о себе, принципах, состоянии здоровья и финансов.