Опыт получения токена закрытого ключа для Единого Портала Госуслуг

в 1:12, , рубрики: etoken, госуслуги, Железо, криптография, электронное правительство, эцп, метки: , , ,

Всё нижеописанное относится к физлицам Российской Федерации.

Зачем это надо?

Как вы, возможно, знаете — авторизация на портале госуслуг возможна тремя способами — при помощи логина и пароля (где роль логина играет номер СНИЛС), при помощи USB-ключа ЭЦП (криптографического токена), и при помощи CSP.
Мне проще помнить небольшой ПИН к токену, чем каждый раз держать перед глазами карточку СНИЛС с цифрами номера, и вспоминать пароль (а требования к паролю у ЕПГУ серьезные).Поэтому я решил получить аппаратный токен с ключом ЭЦП.
До кучи — квалифицированую подпись токеном можно использовать и помимо портала госуслуг.

Что это?

По существу — это устройство eToken ГОСТ, объединяющее в одном корпусе функционал JavaCard/PKCS11-смарткарты и USB HID ридера, так что драйверы ему не нужны.
При выдаче токена сертификат открытого ключа привязывается к вашим регистрационным данным: СНИЛС, ФИО, E-Mail. Действует год. Стоит 660 рублей. Позволяет формировать квалифицированную (т.е. удостоверенную аккредитованным УЦ) электронную подпись, являющуюся юридически значимым аналогом собственноручной.

Как это?

На момент принятия решения я уже был зарегистрирован на портале госуслуг, и имел активированную учетную запись. Это делает процедуру получения тривиальной.

Итак, идете в офис обслуживания клентов Ростелекома, уполномоченный выдавать токены и активировать учетные записи к порталу госуслуг.
Список доступен для скачивания на самом портале.
Предполагается, что у вас уже есть активированная учетная запись на портале, либо, по крайней мере вы там зарегистрированы, и выбрали способ активации «В офисе Ростелекома». То есть дома регистрируетесь на портале, потом идете в офис Ростелекома.
Если учетная запись не активирована — там же, в офисе активируете её, предъявив СНИЛС и паспорт.
После активации оплачиваете 660 рублей в кассу, и подписываете четыре или пять листиков — согласие на обработку персональных данных, заявление на выдачу ключа, акт приемки-сдачи, и что-то еще.
Вам выдают памятку по использованию ЭП, копию акта, и бланк сертификата открытого ключа. Последнее — по сути дамп сертификата, загруженного в токен. Да, и конечно же выдают сам токен — маленькую фиолетовую «флэшечку».
Всё, поздравляю. Теперь вы можете подписывать юридически значимые документы направо и налево.

Осторожно, грабли!

Не обошлось без недоразумений. Токен выпускается с умолчательным пин-кодом «1234567890», который настоятельно рекомендуется сменить. И это понятно. Так вот, из памятки никак не следовало, как это можно делать. Пришлось потревожить милых девочек из контактного центра Ростелекома.
Вкратце — надо зайти в личный кабинет на портале госуслуг, и зайти в раздел «Мои данные», который доступен сразу на главной странице. Там и есть виджет «смена пин-кода».
Другие грабли заключаются, в том, что eToken PKI client версий 5.1 и 4.55 упорно отказываются показывать содержимое токена, считая его неинициализированным. Мальчик из аладдиновской поддержки сказал, что токеном предлагается рулить через КриптоПро CSP/JCP. Коий стоит примерно 2000 рублей. Вместе с АРМом для работы с PKCS#7 документами (trusted.ru) — аж 3500.
При выдаче меня предупредили, что ключ — только для подписи (Закрытые ключи ГОСТ действительно бывают двух типов — ключ подписи, и ключ обмена (согласования) — для выработки общего ключа шифрования на сертификате). Но в бланке сертификата недвусмысленно написано — "[Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных]".
Так что посмотрим.

Использование с порталом госуслуг

Когда вы первый раз пробуете авторизоваться на портале госуслуг при помощи токена, вам будет предложено поставить плагин к браузеру. На Хроме в 32- и 64-разрядной Windows 7 работает без проблем. Утверждается, что есть для Linux и Mac OS X. Не проверял.
После того, как плагин установится — вы можете войти на портал. Прав администратора для установки, кстати, не требует. Ставится под конкретного пользователя.

Автор: ne_kotin

Поделиться

* - обязательные к заполнению поля