АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

Но если в вашем профиле Госуслуг выключен способ входа по электронной подписи (по умолчанию он выключен), то при попытке зайти в ЛК госуслуг вы увидите сообщение:

Вход по электронной подписи отключён

Чтобы включить вход в Госуслуги по ЭП нужно:

Кликайте на изображения что посмотреть процесс включения входа по электронной подписи на скриншотах


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

Включение входа на госуслуги по ЭП обновлено: 24 июля, 2023 автором:

50 ответов

Чтобы не вводить номер договора и пароль при входе в раздел «Для клиентов», вы можете использовать для авторизации электронную цифровую подпись — для этого ее необходимо связать с вашим договором в RU-CENTER.

Обращаем ваше внимание:

Как подключить авторизацию через ЭЦП:

Как отключить авторизацию через ЭЦП:

Как изменить ЭЦП для авторизации в аккаунте:

Время на прочтение

Добрый день, Хабровчане.

Коллеги работающие в сфере гос. закупок уже успели испытать на себе обязательное требование правительства касательно использования носителей с электронно цифровой подписью ГОСТ Р 34.10-2012. Использование ЭЦП по новому ГОСТу является обязательным с 1 января 2019 года, и для работы на порталах zakupki.gov и gosuslugi.ru выпустить ЭЦП по ГОСТ 2001 уже невозможно, а после 1 января 2020 года поддержка ЭЦП по старому ГОСТ будет прекращена полностью.

Как часто это бывает гос. сайт к 1 января 2018 оказался готов но не полностью.

Для работы с ЭЦП по ГОСТ 2012 необходимо установить “плагин для работы
с порталом государственных услуг” версии 3.0.3.0 или 3.0.6.0, но в отличии от версии плагина 2.0.6.0 новые версии не поддерживают работу с UNC путями (это мы выяснили в процессе многочисленных нездоровых экспериментов с разными версиями плагинов), и если вы как и мы используете перемещаемые профили, то авторизация на сайте работать у вас не будет; причем работать она не будет ни в одном браузере: IE, Google Chrome, Mozilla Firefox и даже Crypto Fox.

Длительные переписки с поддержкой гос. услуг, крипто про и контур.экстерн к сожалению ничем не помогли, специалисты технической поддержки сайта государственных услуг так вообще оказались крайне не компетентны.

Собственно хватит слов займемся делом.

Для работы с сайтом гос. Услуг по ГОСТ 2012 с переносимыми профилями по сути необходимо сделать 3 действия.

Не забываем что для совершения следующих действий с IFCPlugin пользователю необходимо дать права локального администратора машины.

Удаляем плагин любым доступным способом: через установку удаление программ.
Через запуск msi той версии которая у вас установлена (версию можно посмотреть в
Надстройках IE или в папке профиля пользователя.

Также желательно очистить кеш Internet Exprorer. Открываем IE, нажимаем Ctrl+Shift+Del, подтверждаем.

У вас должно получиться от 6 до 9 замен.

Коллеги, всех поздравляю, плагин для работы на сайтах с авторизацией через ESIA теперь работает.

Тестирование, мучения, и реализация:

P. S. Да это костыль, причем ужасный, я против подобного, но на момент написания данной статьи другого решения ни я ни мои коллеги найти не смогли, тех. поддержка так же ничего не предложила.

P. P. S. О наличии версии административной версии плагина которая устанавливается для всех пользователей мне известно, но с пол пинка она не заработала, точнее нам удавалось запустить пользователя с административным 64 битным плагином, но добиться стабильной работы и предсказуемого поведения не удалось, а саботировать работу всех пользователей на сервере терминалов затея плохая, лучше уж ручным трудом по одному. Если же у вас уже была установлена административная версия плагина, то потребуется чистка и других веток реестра.

Схема авторизации с использованием электронных цифровых подписей вместо парольной защиты


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

В предыдущем своем топике «Пароли — это прошлый век, в дальнейшем требуются новые методы авторизации и хранения личных данных» я рассказывал существующие проблемы использования паролей в сети и методы построения авторизации с использованием ЭЦП. В данной топике я хочу привести подробную схему авторизации в интернете с использованием ЭЦП, обеспечивающий высокий уровень безопасности от мошенников и киберпреступников.

Приводимая здесь схема будет также рассматриваться в рамках модели авторизации с использованием единого центра авторизации для любых интернет ресурсов, подробно описанных в предыдущей статье. Поэтому для лучшего понимания процесса приведу небольшую цитату из прошлой статьи:

С точки зрения безопасности лучшую защиту на сегодняшний день могут предоставить использование USB-токенов, защищенных пин кодом из 3-х попыток и (опционально) встроенным сканером отпечатков. В процессе авторизации можно использовать передачу на единый центр авторизации цифровую копию биометрического отпечатка, подписанного персональной цифровой подписью (криптографического преобразования закрытым ключом). При этом каким либо образом вытащить из USB-токена цифровую копию биометрического отпечатка и используемые ключи не возможно, а расшифровать передаваемые данные может только тот, кто имеет вторую пару открытого ключа. Для защиты от перехвата при каждой авторизации передаваемые данные должны быть уникальными, например при каждой авторизации вместе с копией биометрического отпечатка зашифровывать также случайную строку и значение счетчика успешных авторизаций. Еще лучше, если заранее созданы и сохранены персональные наборы открытых и закрытых ключей на каждый день в течении всего срока использования ключа (например, в течении 10-20 лет) а токен при авторизации сверяет дату со своими серверами и подписывает данные необходимым ключом на текущую дату. При этом открытые ключи также должны быть надежно защищены и находится только на сервере авторизации (например, во внутреннем сервере единого центра авторизации проверяющего достоверность полученных данных, но не имеющего прямого выхода к сети интернет).

Каждый USB-токен должен иметь свой уникальный номер. А при генерации пары открытых/закрытых ключей номер USB-токена должна быть сохранена в связке с этими ключами. Это позволит серверу авторизации по номеру токена сопоставить необходимые публичные ключи в процессе авторизации.

Итак, рассмотрим как должен происходить процесс авторизации:
1) Пользователь шифрует цифровую копию биометрического отпечатка + значение счетчика авторизации + случайную строку своим USB-токеном. К полученным данным добавляется уникальный номер USB-токена и направляется на веб-сервер для авторизации.
2) Веб-сервер получает сообщение пользователя и добавляет в него свой уникальный номер токена. Полученные данные направляются в единый центр авторизации.
3) Сервер центра авторизации расшифровывает полученное сообщение используя открытый ключ пользователя. Если в итоге расшифровки сервер получает правильную цифровую копию биометрического отпечатка пользователя, то сообщение зашифровано подлинным ключом. При успешном результате случайная строка пользователя также сохраняется на сервере в связке с текущим порядковым номером авторизации.
4) Свой положительный вердикт + случайную строку пользователя сервер авторизации шифрует используя открытый ключ веб-сервера и направляет обратно ответным сообщением. При отрицательном вердикте сервер шифрует ответное сообщение используя новую случайную строку.
5) Веб-сервер расшифровывает полученное сообщение своим токеном и получает положительную или отрицательную команду на авторизацию.
6) При успешной авторизации веб-сервер возвращает пользователю в открытом виде его случайную строку, Полученная строка сверятся с отправленной строкой и при совпадении USB-токен увеличивает счетчик успешных авторизации на одну единицу.


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

Следует учесть, что значение счетчика успешных авторизаций в USB-токене ни при каких условиях не может быть больше, чем на сервере. А если значение меньше, то сервер должен сверить полученную случайной строку пользователя с сохраненной строкой используя указанный номер авторизации. Это позволит легко выявить нарушителя. Если эти строки совпадут, то идет попытка фальсификации с отправкой перехваченного трафика от предшествующий авторизации, а значит сервер должен запретить доступ, оперативно предупредить об этом специалистов безопасности и занести IP адрес нарушителя в список отслеживаемых. Если эти строки разные, то во время прошлой авторизации веб-сервер не вернул пользователю его случайную строку, значит сервер должен разрешить доступ, уменьшить карму виновного веб-сервера и добавить в случайную строку пользователя специальный код для корректировки счетчика успешных авторизаций.

Преимущества:
1) Открытую и закрытую пару ключей можно менять хоть каждый день, если токены умеют в зависимости от даты использовать разные ключи.
2) Перехватывать трафик бесполезно, если при каждой авторизации вместе с биометрическими данными шифруется показание счетчика успешных авторизаций и случайная строка. Проверка показания счетчика и случайной строки позволит определить фальсификацию.
3) Попытка переадресовать процесс авторизации на фальшивый сервер то же ничего не дает, если открытая пара ключей только в центре авторизации и надежно защищена. Фальшивый сервер не сможет вернуть свой вердикт, зашифрованное публичным ключом веб-сервера.
4) Никакие уязвимости применяемых скриптов авторизации на сайтах не могут скомпрометировать процесс авторизации.
5) Взлом веб сервера не позволит получит биометрических отпечатков и цифровых подписей пользователей. По сути в этой схеме каждый участник авторизации заинтересован только в собственной безопасности и не несет ответственности за безопасность другого участника.
6) Если значения счетчиков успешных авторизаций не совпадают, то сервер может точно определить пытаются ли скомпрометировать авторизацию или во время прошлой авторизации веб-сервер не вернул пользователю его случайную строку.
7) По сути защищенное SSL соединение в данном случае не требуется, потому что все конфиденциальные данные передаются зашифрованном виде. Но всё же использование защищенного протокола SSL еще больше увеличивает степень безопасности.

Недостатки:
1) Используется 2-х кратное шифрование и расшифровывание данных, необходимых для подтверждения подлинность каждого из участников.
2) Разрядность ключей должна быть по возможности не большим, чтобы не сильно загружать сервера в процессе авторизации.
3) Токены, используемые на веб-серверах должны обеспечивать высокую скорость расшифровки данных. Особенно если у сайтов высокий уровень посещаемости, то вместо использования USB-токенов нужно предусмотреть высокопроизводительные платы расширения или надежные программные токены (для сайтов расположенных на виртуальных серверах).
4) Центры авторизации должны быть построены из высокопроизводительных кластеров, «непотопляемых» к DDoS атакам.

Текст переработан и исправлен 11 марта 2015 г.

Авторизация на портале Госуслуг с помощью Рутокен ЭЦП


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

Задача разбилась на подзадачи:

  • Сгенерировать ключ на Рутокен ЭЦП в формате, совместимом с форматом плагина Госуслуг, то есть через библиотеку PKCS#11
  • Получить сертификат и записать его на Рутокен ЭЦП в формате, совместимом с форматом плагина Госуслуг, то есть через библиотеку PKCS#11.

С УЦ мы договорились довольно быстро. Один из основных наших партнеров, УЦ СКБ Контур, аккредитован в системе Госуслуг и согласился выдать нам сертификат по описанной схеме.
Для решения технических вопросов мы решили использовать Рутокен Плагин, который также работает через библиотеку PKCS#11 и совместим с плагином Госуслуг.

Центр регистрации

Для генерации ключа, создания запроса и записи сертификата мы сделали набор web-страниц, который условно назвали Центр регистрации. Этот Центр регистрации не требует серверной части, все операции осуществляются на клиенте. Для работы Центра регистрации требуется установка Рутокен Плагин.

Центр регистрации позволяет:

Генерация ключа и формирование запроса на сертификат

Ниже приведена инструкция по генерации ключа и формированию запроса на сертификат c помощью Центра регистрации:

1. Запустить Центр регистрации:


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

2. Подключить Рутокен ЭЦП к компьютеру, выбрать токен, ввести PIN-код:


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

3. Нажать кнопку “Создать ключ”:


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

Затем нажать «Создать запрос на этом ключе»


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

4. На странице создания запроса выбрать шаблон “СКБ Контур, для физлиц”, заполнить поля запроса, нажать кнопку “Создать запрос” (все поля должны быть заполнены, в данном случае реализован тестовый пример):


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

5. Скопировать запрос для отправки его в УЦ:


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

6. Сгенерированный ключ появился в списке:


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

После отправки запроса сотруднику пришло уведомление о необходимости явиться в офис УЦ для подтверждения личности.
После прохождения проверки наш сотрудник получил сертификат.

Импорт сертификата

1. Выбрать в списке токен, нажать кнопку “Импортировать сертификат”, полученный сертификат вставить в форму ввода, нажать кнопку “Импортировать”:


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

2. При импорте выбрать тип сертификата “Пользовательский”:


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

3. После этого появится окно с отображением сертификата и сообщением об успешном импорте на Рутокен ЭЦП (на картинке приведен пример импорта тестового сертификата, полученного в тестовом УЦ):


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

4. Сертификат отобразится в списке:


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

Вход на портал Госуслуг


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

Выбираем “По электронной подписи”:


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

Попадаем в личный кабинет:


АВТОРИЗАЦИЯ ЧЕРЕЗ ЭЦП

Вместо заключения

Концепция аппаратных СКЗИ, выполненных в различных форм-факторах, может быть востребована в массовых проектах, ориентированных на физлиц. В первую очередь за счет упрощения использования криптографии. Плагины, осуществляющие интеграцию браузера и аппаратных криптографических решений должны развиваться в сторону увеличения легкости установки и расширения возможностей. Тогда эти решения будут чаще и больше использовать.

Для того, чтоб была возможность выдачи квалифицированных сертификатов на Рутокен ЭЦП, которые можно было бы использовать с плагином Госуслуг или с Рутокен Плагин, сделана локальная версия Центра регистрации, ее можно использовать непосредственно в точках выдачи сертификатов.

Авторизация через ЭЦП

Безопасный вход в аккаунт RU-CENTER c помощью электронной цифровой подписи — не требуется вводить номер договора и пароль.

Что такое ЭЦП

Электронная цифровая подпись (ЭЦП) приравнивает любой электронный документ к бумажному оригиналу и позволяет удаленно взаимодействовать с государственными учреждениями, юридическими и физическими лицами, заключать сделки, подавать заявления, подписывать документы и подтверждать личность владельца. Закрытый ключ гарантирует защиту ЭЦП от фальсификации и взломов.

ЭЦП для авторизации

В RU-CENTER можно использовать электронную цифровую подпись для авторизации на сайте — это удобно и безопасно. Вход в раздел «Для клиентов» с использованием ЭЦП приравнивается к указанию номера договора и пароля. Подключить авторизацию через ЭЦП можно в разделе «Для клиентов — Договор — Настройки безопасности».

Часто задаваемые вопросы

ЭЦП:  ВСЕ О ПОДПИСИ ДРАЙВЕРОВ WINDOWS
Оцените статью
ЭЦП64