Как стать автором
Обновить

Подпись в кармане: как мы разрабатывали приложение для подписания документов через Госуслуги

Время на прочтение9 мин
Количество просмотров16K
Всего голосов 11: ↑10 и ↓1+13
Комментарии26

Комментарии 26

Красавцы! Всё новое и неожиданное - двигатель прогресса. Аутентификация в ЕСИА действительно проходит по TLS ГОСТ из приложения?

Это первое сертифицированное решение с web-over-ГОСТ-TLS. И пока единственное :)

Здравствуйте. Учитывая последние течения я просто боюсь существования такого приложения. Это если мягко говорить. Жду электронный паспорт, чтобы его можно было приложить к телефону, ввести пароль и только тогда это работало. Как бы то не было но это будет лучше.

Приветствую! Я понимаю Ваши опасения, более того, я даже отчасти отразил их в статье, так как глупо было бы отрицать отсутствие потенциальных рисков и угроз.

Но если вести речь про изменения, то следует не только принимать во внимание потенциальные риски, но и учитывать те преимущества, которые в себе кроет подобный подход.

Я бы с радостью услышал, чего конкретно Вы боитесь и, возможно, более точно бы ответил или же наоборот, принял это вместе с нашей командой во внимание и недопустил в дальнейшем.

Коллеги, большое спасибо за статью и за сотрудничество! Было приятно поработать вместе. Успехов!

Это очень взаимно :)

Спасибо. Действительно удобно, но есть но. Я менял оператора на Теле2 с помощью госключа и было все очень просто, но у старого оператора оказались неверные паспортные данные. И все в одночасье сломалось. Сходил актуализировал данные. Заявки на перенос создавались автоматически каждые три дня, но в них была ошибка с датами. Теле2 звали к себе в офис, ссылаясь на свои инструкции....

Госключ удобно, но пока мало функционала. Ждём, что хотя бы опсосы начнут по полной ей пользоваться.

Спасибо за обратную связь, да, замена оператора - немного другой процесс, это MNP и он пока что находится в состоянии "боевой отладки"

Большое количество отказов по MNP (без привязки к Госключу) - это некорректные данные. На бумаге же заявления принимались многие годы, многие родители регистрировали сим-карты детей на себя, а дети выросли и сталкиваются с такой проблемой.

Верификация сведений об абонентах - это важное направление работы, но работа эта увы, не технологическая, а методическая и достаточно скурпулезная. Внедрение Госключа позволит оптимизировать этот процесс насколько это возможно.

Здравствуйте!

Подскажите, пожалуйста, когда планируется предоставить возможность произвольным компаниям становиться теми самыми инициаторами подписания? Известна ли процедура? Есть ли публичная документация по интеграции?

Спасибо!

Добрый вечер!

В соответствии с постановлением Правительства Российской Федерации от 15 июля 2021 г. № 1207 участие эксперимента осуществляется на добровольной основе по согласованию с Минцифры России на основании рассмотрения соответствующего заявления, которое необходимо направить в официальном порядке в адрес Министерства.

В соответствии с пунктом 26 постановления Правительства Российской Федерации от 1 декабря 2021 г. № 2152 инициатор подписания должен быть подключен к инфраструктуре электронного правительства.

В целях подписания документов в Госключе реализованы два вида сведения: для подписания УНЭП - https://smev3.gosuslugi.ru/portal/inquirytype_one.jsp?id=240911&zone=fed&page=1&dTest=false,

для подписания УКЭП - https://smev3.gosuslugi.ru/portal/inquirytype_one.jsp?id=669426&zone=fed&page=1&dTest=true

Можно ли использовать сервис для c2c? Например, расписка о займе, или договор продажи авто.

Да, как раз ДКП Авто мы скоро реализуем на портале именно с механизмом подписания Госключом.

Остальные документы: расписки и прочее сейчас как раз обсуждаем с Минцифрой. В перспективе они должны быть, но тут очень важен вопрос безопасности и ответственности сторон, нужно серьезно прорабатывать.

Добрый день!
Как у вас дела с реализацией и запуском функционала ДКП?

Добрый день. Спасибо за статью. Являюсь разработчиком одного из региональных порталов по выдачи субсидий и мы заинтересованы в подписании заявок с помощью ЭЦП. Мои вопросы.

  1. Я правильно понял, что это облачная подпись, закрытый ключ хранится на "серверах" Госключа и подпись производится там же, а не на стороне клиента?

  2. Вы пишите в статье, что УКЭП возможно получить дистанционно. Подскажите, на каком сервисе/портале есть такая возможность? Как потом сертификат УКЭП добавить в Госключ?

  3. Госключ только для физических лиц? Планируется ли добавлять ИП и ЮЛ?

Добрый день!

  1. Мы на самом начальном этапе инициации проекта задались вопросом "детерминирования тезауруса" :) Ключ ЭП - конфиденциальная информация, которую пользователь создает сам в Госключ, закрытая часть ключевой пары, используемая для формирования электронной подписи.

  2. Не сочтите за рекламу, но вот, например, обмениваем информацию загранпаспорта на новенький УКЭП :)

  3. Да, планируется, но это опять же очень щепетильная тема, пока у меня нет сроков доработок.

Так в итоге на первый вопрос не ответили. Ключ ЭП, который сгенерировал пользователь самостоятельно в приложении, хранится в приложении Госключ на конкретном устройстве или в "облаке"?

И вытекающий вопрос - расчет хеш-суммы и ее шифрование так же производится на мобильном устройстве или в "облаке"?

Ключ ЭП хранится на устройстве пользователя в зашифрованном контейнере, ключ от которого хранится на HSM "в облаке". Вычисление хэша при формировании подписи производится на устройстве пользователя.

Здравствуйте!

Пара вопросов:
1) Выходит, что если пользователь потерял/поменял телефон, то ЭП нужно перевыпускать? Есть какие-то ограничения на то, как часто это можно делать? Или можно перенести этот зашифрованный контейнер на другой телефон как-то?

2) То есть теоретически, если реверснуть вашу API-ху, и написать скрипт, который к этому API-обращается, то можно получить ключ из облака и расшифровать им ключ ЭП в зашифрованном контейнере на устройстве?

Дополнение по пункту 2. В итоге схема с выпуском сертификата от аккред. УЦ для физ. лица без посещения офиса/визита курьера выглядит следующим образом.

  1. Выпуск сертификата внутри idpoint по паспорту, причем бесплатно. Если я правильно понял, сам сертификат оттуда не вытащить, а значит использовать его можно только внутри idpoint. А внутри приложения можно подписывать документы партнеров idpoint (которые и платят за бал) с помощью УКЭП.

  2. Найти аккред. УЦ, который партнерится с idpoint и уже у них запросить сертификат (за денюжку). Они отправят документ на подписание в idpoint, там подписать его УКЭП-ом. После чего получить у аккред. УЦ уже "скачиваемый" сертификат, которым можно подписывать документы вне idpoint.

Все, конечно, сильно неочевидно для обычного пользователя.

PS

Наверное, в теории, хакнуть idpoint на андроиде реально. Но нужен root, сниффер, голова и руки. И можно получить бесплатный сертификат. Даже интересно было бы попробовать, но root-овать устройство жалко)

А каким образом можно отозвать выпущенную подпись. Допустим, я больше не хочу ей пользоваться или забыл пароль от приложения?

Приветствую!

Мы будем дорабатывать отзыв подписи. Поскольку закрытый ключ ЭП находится на самом устройстве, приложение можно просто удалить и сама подпись навсегда сгинет, подписать документ ей станет невозможно. При установке приложения заново Вам будет выпущен новый сертификат и выдан новый ключик.

Есть ли какие-то новости по реализации функциональности отзыва сертификата УНЭП?

Все хорошо, если подпись действительно сгинула. Но ведь есть еще кейс, когда подпись увели или пользователь сам подозревает утечку. Ну и также кейс, когда пользователь из тех или иных соображений безопасности хочет выпущенную подпись аннулировать.

На мой взгляд, это критичный функционал.

Можно ли (если да, то как?) использовать для подписания произвольного документа?

Меня интересует использование для КЭДО - сотрудник получает произвольный кадровый документ на мобилку, в приложение "Личный кабинет сотрудника", должен подписать и отправить обратно.

Привет!

Произвольный документ можно будет подписать вскоре, но опять же через портал Госуслуг. Напрямую в Госключ документ загрузить не получится.

Вчера опробовал Госключ, всё работает.

Единственное, процедура получения УКЭП несколько эээ... неочевидна.
Я обыскался волшебную кнопку "сделать УКЭП", то что она появляется после того, как с Госуслуг придёт заявка на подпись документов УКЭП, нигде не описано.
Мне кажется, тут нужна небольшая доработка либо в документации, либо в интерфейсе, либо и там, и там.

Почему при входе в приложение через госуслуги, это приложение лезет в Яндекс-метрики?

Что оно туда передает?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий