Чем плох "Госключ".

Фото freepik.com

Не успели отгреметь громкие новости с липовой доставкой букетов цветов, отменяя которую люди давали мошенникам возможность войти в их учётные записи на портале "Госуслуги" как появилась другая не менее актуальная проблема.

Мошенники, похищающие средства со счетов граждан, начали тестировать новую, очень сложную и убедительную для жертв схему с использованием портала "Госуслуги" и приложения для электронной подписи "Госключ". - писали Известия в августе 2024 года.

Такая многоходовочка вкупе с социальной инженерией пока что не получила широкого распространения, но является серьёзной угрозой, с которой могут столкнуться владельцы "Госключа". Времени с августа прошлого года прошло не так много, чтобы считать проблему слишком древней.

"Госключ" бесплатный, на это многие клюют и спешат оформлять себе халявную электронную подпись, которая годится на всё. Платить за коммерческую желающих не так много. Где есть халява там всегда есть подвох, конечно если это не благотворительность или не промоакция. "Госключ" не является ни тем, ни другим.

"Госключ" - это ключ ко всему. С ним так удобно.

"Госключ" представляет собой мобильное приложение, которое позволяет бесплатно получить сертификат усиленной квалифицированной электронной подписи (УКЭП) и подписывать такой подписью документы в электронном виде, без бумаги. Ключ электронной подписи создаётся, хранится и применяется в самом приложении как файл, создаваемый приложением. Хранится он на вашем смартфоне или планшете как под управлением Android так и под управлением iOS.

Обладателям "Госключа" не нужны USB-токены и СМС-пароли. Все функции приложения доступны дистанционно и в электронном формате - без бумаги. Казалось бы вот оно счастье, но подвох всё же в этом есть немалый. Зато какие удобства!

Удобство удобством, однако подпись хранится только на том гаджете, где собственно установлено мобильное приложение. Без этого гаджета воспользоваться электронной подписью становится невозможно. Это значит, что если ваше устройство разрядилось, попало под машину, вы его уронили в воду, либо оно сломалось или вы его потеряли, вы автоматически лишаетесь доступа к своей электронной подписи. А ещё с устройства легко похитить сертификат, не заставляя вас под дулом чего-то огнестрельного его отдать.

Чем плохи смартфон и планшет.

Смартфоны и планшеты при пользовании "Госключом" служат хранилищем сертификата закрытого ключа (УКЭП). Дело в том, что "Госключ" - это усиленная квалифицированная электронная подпись, в основе которой лежит принцип асимметричного шифрования, где есть ключ открытый (публичный) и ключ закрытый (приватный).

Смартфоны в большинстве своём работают под управлением операционной системы Android, которая сама по себе дырявая, имеет много уязвимостей. Android - это по сути переделанный наспех Linux. В последнее время многие уязвимости залатаны, но кибермошенники находят новые способы. Владельцам смартфонов и планшетов на Android стоит ставить антивирусы, как то делают в случае с ПК. Только вот мало кто этому уделяет внимание, считая это какой-то мелочью или не желая приобретать лицензию.

iOS создавалась с прицелом на безопасность изначально. Только вот она доступна только на устройствах от компании Apple. Сама компания зорко следит чтобы её ОС не ставили на другие устройства, хотя ранее народные умельцы смогли установить iOS на некоторые модели смартфонов Samsung. Это было в 2010-е годы. Со временем Apple нашла выход как прекратить это. Устройства от компании Apple стоят дорого, имеют закрытую природу, плохо кастомизируются и подгоняются под определённые требования.

В случае выхода из строя или утраты гаджета вы теряете по сути свой "Госключ". Тоже самое произойдёт если устройство будет инфицировано вредоносной программой (вирус, троян). Тогда ваш "ключ" попадёт в распоряжение злоумышленников.

В принципе перманентное хранение закрытого ключа на устройстве касается не только смартфонов и планшетов, но и обычных ПК как стационарных, так и ноутбуков. Пользовательское устройство - это не место для закрытых ключей.

Почему токен, а не флешка.

Многие удостоверяющие центры (УЦ) крайне неохотно выдают сертификаты закрытого ключа УКЭП не на защищённом носителе - токене. Если вы хотите получить свой такой сертификат, записав его себе на флешку или сохранив на компьютер, на смартфон, потому, что так вам удобнее, менеджер обязательно скажет, что так делать определённо не стоит. Я когда получала свой сертификат УКЭП менеджер мне сказала, что крайне нежелательно сохранять его не на токене из-за высокого риска утраты или компрометации. Она права.

Токены придумали не просто так. Это именно что защищённый и физически отделяемый от основного устройства ключевой носитель, внешне он, как правило, похож на флешку. Ранее закрытый ключ для УКЭП выдавали на смарт-карте стандарта ISO 7816 и в комплекте шёл громоздкий считыватель для неё. Это было на заре индустрии. Сейчас применяются USB-токены, хотя есть и беспроводные Bluetooth-токены. Последние стоят дороже и требуют зарядки встроенного аккумулятора.

Токены не выдаются бесплатно, за них тоже придётся платить. Хотя есть УЦ, готовые их выдавать бесплатно. В последнее время таких УЦ стало крайне мало и крайне редко их можно увидеть, разве что попасть под акцию. Пустые токены продаются свободно, вы можете купить их без проблем по приемлемой для себя цене и принести в УЦ. Главное, чтобы ваш токен подпадал под законодательные требования. Я предпочла не изобретать велосипед и купить USB-токен прямо у своего УЦ при заказе УКЭП. У меня Рутокен lite, который популярный и вполне сойдёт.

Вероятность того, что вы утратите или у вас похитят токен куда меньше. А извлечь сертификат закрытого ключа вашей УКЭП из токена в принципе невозможна, как и невозможно попадание вредоносной программы внутрь токена. Хотя находятся умельцы, которые умудряются извлечь сертификат из токена и записать его куда попало. Токен - защищённый носитель, который физически отделяется от устройства, хранение сертификата происходит отдельно и применяется сертификат только если вам нужно что-то подписать или куда-то по нему войти.

Сертификат УКЭП, полученный в приложении "Госключ", в отличие от сертификата выданного коммерческим УЦ, хранится на смартфоне или планшете. Перенести его на токен не получится, т.к. это не предусмотрено технически.

В заключение.

Выбор конечно за вами воспользоваться халявным "Госключом" или пойти в коммерческий удостоверяющий центр, где нужно заплатить деньги. Я бы порекомендовала не клевать на халяву, заплатить денег коммерческой аккредитованной Минцифры организации за генерацию сертификата УКЭП, приобрести токен, приобрести лицензии на необходимое программное обеспечение. Лучше один раз потратиться на оборудование и каждый год платить за продление сертификата. Это будет куда дешевле, чем попасть по полной в болото проблем. В случае хищения сертификата УКЭП и совершения с его применением каких-либо противоправных действий от вашего имени отвечать по закону будете вы, а не тот, кто похитил. Взятые кредиты выплачивать будете вы, отвечать за ложные обращения в госорганы будете вы, виноваты в отчуждении вашего имущества будете вы и только вы.

Безопасность стоит денег, эти деньги стоят на страже вашей безопасности. Любые удобства в цифровом мире - это злейший ваш враг и враг вашего благополучия.