Но если в вашем профиле Госуслуг выключен способ входа по электронной подписи (по умолчанию он выключен), то при попытке зайти в ЛК госуслуг вы увидите сообщение:
Вход по электронной подписи отключён
Чтобы включить вход в Госуслуги по ЭП нужно:
Кликайте на изображения что посмотреть процесс включения входа по электронной подписи на скриншотах



Включение входа на госуслуги по ЭП обновлено: 24 июля, 2023 автором:
50 ответов
Чтобы не вводить номер договора и пароль при входе в раздел «Для клиентов», вы можете использовать для авторизации электронную цифровую подпись — для этого ее необходимо связать с вашим договором в RU-CENTER.
Обращаем ваше внимание:
Как подключить авторизацию через ЭЦП:
Как отключить авторизацию через ЭЦП:
Как изменить ЭЦП для авторизации в аккаунте:
Время на прочтение
Добрый день, Хабровчане.
Коллеги работающие в сфере гос. закупок уже успели испытать на себе обязательное требование правительства касательно использования носителей с электронно цифровой подписью ГОСТ Р 34.10-2012. Использование ЭЦП по новому ГОСТу является обязательным с 1 января 2019 года, и для работы на порталах zakupki.gov и gosuslugi.ru выпустить ЭЦП по ГОСТ 2001 уже невозможно, а после 1 января 2020 года поддержка ЭЦП по старому ГОСТ будет прекращена полностью.
Как часто это бывает гос. сайт к 1 января 2018 оказался готов но не полностью.
Для работы с ЭЦП по ГОСТ 2012 необходимо установить “плагин для работы
с порталом государственных услуг” версии 3.0.3.0 или 3.0.6.0, но в отличии от версии плагина 2.0.6.0 новые версии не поддерживают работу с UNC путями (это мы выяснили в процессе многочисленных нездоровых экспериментов с разными версиями плагинов), и если вы как и мы используете перемещаемые профили, то авторизация на сайте работать у вас не будет; причем работать она не будет ни в одном браузере: IE, Google Chrome, Mozilla Firefox и даже Crypto Fox.
Длительные переписки с поддержкой гос. услуг, крипто про и контур.экстерн к сожалению ничем не помогли, специалисты технической поддержки сайта государственных услуг так вообще оказались крайне не компетентны.
Собственно хватит слов займемся делом.
Для работы с сайтом гос. Услуг по ГОСТ 2012 с переносимыми профилями по сути необходимо сделать 3 действия.
Не забываем что для совершения следующих действий с IFCPlugin пользователю необходимо дать права локального администратора машины.
Удаляем плагин любым доступным способом: через установку удаление программ.
Через запуск msi той версии которая у вас установлена (версию можно посмотреть в
Надстройках IE или в папке профиля пользователя.
Также желательно очистить кеш Internet Exprorer. Открываем IE, нажимаем Ctrl+Shift+Del, подтверждаем.
У вас должно получиться от 6 до 9 замен.
Коллеги, всех поздравляю, плагин для работы на сайтах с авторизацией через ESIA теперь работает.
Тестирование, мучения, и реализация:
P. S. Да это костыль, причем ужасный, я против подобного, но на момент написания данной статьи другого решения ни я ни мои коллеги найти не смогли, тех. поддержка так же ничего не предложила.
P. P. S. О наличии версии административной версии плагина которая устанавливается для всех пользователей мне известно, но с пол пинка она не заработала, точнее нам удавалось запустить пользователя с административным 64 битным плагином, но добиться стабильной работы и предсказуемого поведения не удалось, а саботировать работу всех пользователей на сервере терминалов затея плохая, лучше уж ручным трудом по одному. Если же у вас уже была установлена административная версия плагина, то потребуется чистка и других веток реестра.
Схема авторизации с использованием электронных цифровых подписей вместо парольной защиты

В предыдущем своем топике «Пароли — это прошлый век, в дальнейшем требуются новые методы авторизации и хранения личных данных» я рассказывал существующие проблемы использования паролей в сети и методы построения авторизации с использованием ЭЦП. В данной топике я хочу привести подробную схему авторизации в интернете с использованием ЭЦП, обеспечивающий высокий уровень безопасности от мошенников и киберпреступников.
Приводимая здесь схема будет также рассматриваться в рамках модели авторизации с использованием единого центра авторизации для любых интернет ресурсов, подробно описанных в предыдущей статье. Поэтому для лучшего понимания процесса приведу небольшую цитату из прошлой статьи:
С точки зрения безопасности лучшую защиту на сегодняшний день могут предоставить использование USB-токенов, защищенных пин кодом из 3-х попыток и (опционально) встроенным сканером отпечатков. В процессе авторизации можно использовать передачу на единый центр авторизации цифровую копию биометрического отпечатка, подписанного персональной цифровой подписью (криптографического преобразования закрытым ключом). При этом каким либо образом вытащить из USB-токена цифровую копию биометрического отпечатка и используемые ключи не возможно, а расшифровать передаваемые данные может только тот, кто имеет вторую пару открытого ключа. Для защиты от перехвата при каждой авторизации передаваемые данные должны быть уникальными, например при каждой авторизации вместе с копией биометрического отпечатка зашифровывать также случайную строку и значение счетчика успешных авторизаций. Еще лучше, если заранее созданы и сохранены персональные наборы открытых и закрытых ключей на каждый день в течении всего срока использования ключа (например, в течении 10-20 лет) а токен при авторизации сверяет дату со своими серверами и подписывает данные необходимым ключом на текущую дату. При этом открытые ключи также должны быть надежно защищены и находится только на сервере авторизации (например, во внутреннем сервере единого центра авторизации проверяющего достоверность полученных данных, но не имеющего прямого выхода к сети интернет).
Каждый USB-токен должен иметь свой уникальный номер. А при генерации пары открытых/закрытых ключей номер USB-токена должна быть сохранена в связке с этими ключами. Это позволит серверу авторизации по номеру токена сопоставить необходимые публичные ключи в процессе авторизации.
Итак, рассмотрим как должен происходить процесс авторизации:
1) Пользователь шифрует цифровую копию биометрического отпечатка + значение счетчика авторизации + случайную строку своим USB-токеном. К полученным данным добавляется уникальный номер USB-токена и направляется на веб-сервер для авторизации.
2) Веб-сервер получает сообщение пользователя и добавляет в него свой уникальный номер токена. Полученные данные направляются в единый центр авторизации.
3) Сервер центра авторизации расшифровывает полученное сообщение используя открытый ключ пользователя. Если в итоге расшифровки сервер получает правильную цифровую копию биометрического отпечатка пользователя, то сообщение зашифровано подлинным ключом. При успешном результате случайная строка пользователя также сохраняется на сервере в связке с текущим порядковым номером авторизации.
4) Свой положительный вердикт + случайную строку пользователя сервер авторизации шифрует используя открытый ключ веб-сервера и направляет обратно ответным сообщением. При отрицательном вердикте сервер шифрует ответное сообщение используя новую случайную строку.
5) Веб-сервер расшифровывает полученное сообщение своим токеном и получает положительную или отрицательную команду на авторизацию.
6) При успешной авторизации веб-сервер возвращает пользователю в открытом виде его случайную строку, Полученная строка сверятся с отправленной строкой и при совпадении USB-токен увеличивает счетчик успешных авторизации на одну единицу.

Следует учесть, что значение счетчика успешных авторизаций в USB-токене ни при каких условиях не может быть больше, чем на сервере. А если значение меньше, то сервер должен сверить полученную случайной строку пользователя с сохраненной строкой используя указанный номер авторизации. Это позволит легко выявить нарушителя. Если эти строки совпадут, то идет попытка фальсификации с отправкой перехваченного трафика от предшествующий авторизации, а значит сервер должен запретить доступ, оперативно предупредить об этом специалистов безопасности и занести IP адрес нарушителя в список отслеживаемых. Если эти строки разные, то во время прошлой авторизации веб-сервер не вернул пользователю его случайную строку, значит сервер должен разрешить доступ, уменьшить карму виновного веб-сервера и добавить в случайную строку пользователя специальный код для корректировки счетчика успешных авторизаций.
Преимущества:
1) Открытую и закрытую пару ключей можно менять хоть каждый день, если токены умеют в зависимости от даты использовать разные ключи.
2) Перехватывать трафик бесполезно, если при каждой авторизации вместе с биометрическими данными шифруется показание счетчика успешных авторизаций и случайная строка. Проверка показания счетчика и случайной строки позволит определить фальсификацию.
3) Попытка переадресовать процесс авторизации на фальшивый сервер то же ничего не дает, если открытая пара ключей только в центре авторизации и надежно защищена. Фальшивый сервер не сможет вернуть свой вердикт, зашифрованное публичным ключом веб-сервера.
4) Никакие уязвимости применяемых скриптов авторизации на сайтах не могут скомпрометировать процесс авторизации.
5) Взлом веб сервера не позволит получит биометрических отпечатков и цифровых подписей пользователей. По сути в этой схеме каждый участник авторизации заинтересован только в собственной безопасности и не несет ответственности за безопасность другого участника.
6) Если значения счетчиков успешных авторизаций не совпадают, то сервер может точно определить пытаются ли скомпрометировать авторизацию или во время прошлой авторизации веб-сервер не вернул пользователю его случайную строку.
7) По сути защищенное SSL соединение в данном случае не требуется, потому что все конфиденциальные данные передаются зашифрованном виде. Но всё же использование защищенного протокола SSL еще больше увеличивает степень безопасности.
Недостатки:
1) Используется 2-х кратное шифрование и расшифровывание данных, необходимых для подтверждения подлинность каждого из участников.
2) Разрядность ключей должна быть по возможности не большим, чтобы не сильно загружать сервера в процессе авторизации.
3) Токены, используемые на веб-серверах должны обеспечивать высокую скорость расшифровки данных. Особенно если у сайтов высокий уровень посещаемости, то вместо использования USB-токенов нужно предусмотреть высокопроизводительные платы расширения или надежные программные токены (для сайтов расположенных на виртуальных серверах).
4) Центры авторизации должны быть построены из высокопроизводительных кластеров, «непотопляемых» к DDoS атакам.
Текст переработан и исправлен 11 марта 2015 г.
Авторизация на портале Госуслуг с помощью Рутокен ЭЦП

Задача разбилась на подзадачи:
- Сгенерировать ключ на Рутокен ЭЦП в формате, совместимом с форматом плагина Госуслуг, то есть через библиотеку PKCS#11
- Получить сертификат и записать его на Рутокен ЭЦП в формате, совместимом с форматом плагина Госуслуг, то есть через библиотеку PKCS#11.
С УЦ мы договорились довольно быстро. Один из основных наших партнеров, УЦ СКБ Контур, аккредитован в системе Госуслуг и согласился выдать нам сертификат по описанной схеме.
Для решения технических вопросов мы решили использовать Рутокен Плагин, который также работает через библиотеку PKCS#11 и совместим с плагином Госуслуг.
Центр регистрации
Для генерации ключа, создания запроса и записи сертификата мы сделали набор web-страниц, который условно назвали Центр регистрации. Этот Центр регистрации не требует серверной части, все операции осуществляются на клиенте. Для работы Центра регистрации требуется установка Рутокен Плагин.
Центр регистрации позволяет:
Генерация ключа и формирование запроса на сертификат
Ниже приведена инструкция по генерации ключа и формированию запроса на сертификат c помощью Центра регистрации:
1. Запустить Центр регистрации:

2. Подключить Рутокен ЭЦП к компьютеру, выбрать токен, ввести PIN-код:


3. Нажать кнопку “Создать ключ”:

Затем нажать «Создать запрос на этом ключе»

4. На странице создания запроса выбрать шаблон “СКБ Контур, для физлиц”, заполнить поля запроса, нажать кнопку “Создать запрос” (все поля должны быть заполнены, в данном случае реализован тестовый пример):

5. Скопировать запрос для отправки его в УЦ:

6. Сгенерированный ключ появился в списке:

После отправки запроса сотруднику пришло уведомление о необходимости явиться в офис УЦ для подтверждения личности.
После прохождения проверки наш сотрудник получил сертификат.
Импорт сертификата
1. Выбрать в списке токен, нажать кнопку “Импортировать сертификат”, полученный сертификат вставить в форму ввода, нажать кнопку “Импортировать”:

2. При импорте выбрать тип сертификата “Пользовательский”:

3. После этого появится окно с отображением сертификата и сообщением об успешном импорте на Рутокен ЭЦП (на картинке приведен пример импорта тестового сертификата, полученного в тестовом УЦ):

4. Сертификат отобразится в списке:

Вход на портал Госуслуг

Выбираем “По электронной подписи”:



Попадаем в личный кабинет:

Вместо заключения
Концепция аппаратных СКЗИ, выполненных в различных форм-факторах, может быть востребована в массовых проектах, ориентированных на физлиц. В первую очередь за счет упрощения использования криптографии. Плагины, осуществляющие интеграцию браузера и аппаратных криптографических решений должны развиваться в сторону увеличения легкости установки и расширения возможностей. Тогда эти решения будут чаще и больше использовать.
Для того, чтоб была возможность выдачи квалифицированных сертификатов на Рутокен ЭЦП, которые можно было бы использовать с плагином Госуслуг или с Рутокен Плагин, сделана локальная версия Центра регистрации, ее можно использовать непосредственно в точках выдачи сертификатов.
Авторизация через ЭЦП
Безопасный вход в аккаунт RU-CENTER c помощью электронной цифровой подписи — не требуется вводить номер договора и пароль.
Что такое ЭЦП
Электронная цифровая подпись (ЭЦП) приравнивает любой электронный документ к бумажному оригиналу и позволяет удаленно взаимодействовать с государственными учреждениями, юридическими и физическими лицами, заключать сделки, подавать заявления, подписывать документы и подтверждать личность владельца. Закрытый ключ гарантирует защиту ЭЦП от фальсификации и взломов.
ЭЦП для авторизации
В RU-CENTER можно использовать электронную цифровую подпись для авторизации на сайте — это удобно и безопасно. Вход в раздел «Для клиентов» с использованием ЭЦП приравнивается к указанию номера договора и пароля. Подключить авторизацию через ЭЦП можно в разделе «Для клиентов — Договор — Настройки безопасности».
Часто задаваемые вопросы
