Goszakupokポータル、ロシア連邦税務局、および国務省の個人アカウントにアクセスする際に、MS Windows、IE、およびCSPに代わるものはありますか

そして、すぐに答えを提供します-はい、できます。拒否するのではなく、市民や組織に他のオペレーティングシステム、ブラウザ、暗号化情報保護ツール（CIP）を使用する機会を与えます。 私たちは質問とその方法に答えます-標準と技術を遵守するために。 許可されたhttpsアクセスを使用してパーソナルダッシュボードにアクセスしてみませんか？ そして、ロシアの暗号化をサポートするマイクロソフトのCSPのみを使用する必要はありません。 その後、PKCS＃11トークンと、国際標準とTK-26がサポートする標準であるPKCS＃12標準（同じTK-26）の両方が、別の標準になります。 この場合、MS Windows、Interner Explorer、およびCSPについてではなく、ロシアの暗号化でhttpsをサポートするブラウザーまたはその他のプログラムについて説明します。 これは、Internet Explorer、および同じMozilla Firefoxの変更、最終的にGoogle Chromeまたはstunnelのようなプロキシにすることができます。



今日はどうですか？ 原則として、バックログがあります。 すでに本日、ロシア連邦税務署のポータルとGoszakupokポータルの両方で、ロシアの暗号化を使用した承認済みのhttpsで個人アカウントにアクセスできます。 このため、MS WindowsもInterner Explorerも必要ありません。これらのサイトのドキュメントに記載されているように、CSPも必要ありません。

PKCSトークン＃11

デモンストレーションでは、 PKCS＃11クラウドトークンを暗号情報保護ツールとして使用します。 GOST R 34.10-2001の電子署名について話している場合、原則として、PKCS＃11標準v.2.30に準拠するロシアの暗号化をサポートする任意のトークンを使用できます（この標準は、2018年12月31日まで有効であり、実際にはすでに1月1日から2018年には、GOST R 34.10-2012に従って、電子署名キー付きの証明書を受け取る必要があります（お金を節約したい場合）。 GOST R 34.10-2012に従って電子署名検証キーの証明書を使用する場合、トークンはPKCS＃11 v.2.40標準に準拠する必要があります。



したがって、私たちの仕事は、MS Windowsの代替を示すことです。 OS XとLinuxおよびAndroidの両方などです。 Linuxについて説明しましょう。 ブラウザーとして、ロシアの暗号化のサポートで変更されたMozilla FirefoxブラウザーであるRedfoxブラウザーを検討してください。



最初に行うことは、通信省の認可を受けた認証局からPKCS＃11トークンの個人証明書を取得することです。 一部のCAがPKCS＃11トークンで証明書を発行/発行できない場合も、恐ろしくありません。 CSPで発行しますが、キーペアを生成するときは、秘密キーがエクスポートされていることを示す必要があります。 その後、 P12FromGostCSPユーティリティを使用して、証明書とキーペアをPKCS＃12保護されたコンテナーにエクスポートします。 次に、証明書とキーをトークンにインポートします。トークンはRedfoxブラウザーに接続する必要があります。 p11confユーティリティを使用して、ロシアの暗号化をサポートするPKCS＃11トークンが正確にあり、個人証明書がインストールされていることを確認できます 。 ロシアの暗号化をサポートするトークンを確認するには、そのメカニズムを見てください ：







トークンに証明書と秘密鍵が含まれていることを確認するには、トークンに含まれるオブジェクトを確認します。







同時に、CAストレージ証明書をブラウザストレージにインポートすることを忘れないでください。

ロシア連邦税務署のポータル

ロシア連邦税務署のポータルにある市民の個人アカウントは、 直接リンクから入手できます。







適切な証明書を選択することにより、市民は彼の個人アカウントになります：







同時に、個人アカウントへのアクセスチャネルは保護されています。







これで、あなたに関するすべての情報を表示したり、税金を支払ったりできます。 アカウントの電子署名について説明します。



今日、電子署名は通常プラグインを使用して作成されます。 そして、NPAPIプラグインがほとんどすべてのブラウザーで利用可能であったため、最近までこれに言い訳があった場合、今日の状況は劇的に変化しました。 1年以上前、GoogleはNPAPIのサポートを拒否し、プラグイン用にGoogle Native Clientプラットフォームに切り替えました。 バージョン53.0のMozilla FirefoxブラウザもNPAPIプラグインのサポートを拒否し、WebAssembly標準をサポートしています 。 WebAssemblyは、Mozilla、Google、Microsoft、およびAppleによって開発されたオープンスタンダードです。 ご覧のとおり、このグループは最も一般的な4つのブラウザーの開発者を代表しているため、今後もWebAssemblyの普遍的な標準としての確立を期待できます。 しかし、それは見通しです。



そのため、プラグインを放棄することが賢明であり（特にGOST R 34.10-2001が効力を失い、GOST R 34.10-2012が施行されるという事実を考慮して）、市民に電子署名を使用して文書に署名する方法と場所を決定させることができます。 また、個人アカウントでは、PKCS＃7 / CMS形式のドキュメントを「持ち込み」ます。 電子署名付きの文書。 さらに、この形式はTK-26でサポートされています。 これは、たとえばロシア連邦税務局で秘密鍵を保存するよりも、セキュリティの観点からより正確です。

統一調達情報システム

しかし、先に進みます。 Goszakupokポータルは、実際には2つの異なるアカウントへのアクセスを提供します。44連邦法の個人アカウントと223連邦法の個人アカウントです。







223連邦法に基づく個人アカウントへのアクセスは、公共サービスポータル、つまり 証明書を提示します。 ここでは、公共調達ポータルに登録されていない個人の証明書が提示されたため、アクセスが拒否されたことにのみ注意してください。







それで、個人アカウント44 FZに移動します。







ここでは、個人アカウントにアクセスするための2つのブランチを選択できます。 結局のところ、それらは技術的に同一です：







[サイトの操作を続行]ボタンをクリックすると、個人証明書の提示を求められます。







証明書を確認した後、安全な接続が確立されますが、残念ながらあなたの個人アカウントにアクセスすることはできません-私たちは単にそれを持っていない、私たちは個人です（上のスクリーンショットを参照）。 しかし、公的調達ウェブサイトに登録されている人は、オフィスに入室し、そこで働くことができます。







公共サービスのウェブサイトおよび個人アカウントへのアクセスについては、繰り返しの意味はありません。情報はこちらで確認できます 。



それでは、何を期待しますか？



特にデジタル経済を見越して、さまざまなOSやブラウザを使用したロシアの暗号化に基づいた承認済みのhttpsを使用して、電子サービスにアクセスしたいと思います。 次に、署名済みドキュメントを提示する場合、市民は保存された秘密キーのみを使用して自分で署名し、署名済みドキュメントをポータルに転送する必要があります。



それは何を与えますか？ 最も重要なのは、市民が特定のOS、特定のブラウザー、または特定の暗号情報保護ツールに結び付けられていないことです。 市民と組織は現在、TK-26によって規制されているPKI標準と、ロシアのFSBの認証システムで認証された暗号情報保護の手段を使用しています。 ロシアの人口のコンピューターリテラシーは増加し、FASロシアの仕事は少なくなり、特定のツールの使用について誰も話さない（またはむしろ押し付ける）、標準のインターフェイスとプロトコルについてのみ話します...