- Что такое личный кабинет на ecpexpert.ru?
- Что такое ncalayer
- Что можно сделать
- Egov – государственные услуги: регистрация, настройка egov
- Egov — государственные услуги: регистрация, настройка egov
- Пошаговое руководство настройки и регистрации портала государственных услуг рк
- Шаг 1. подготовка системы.
- «как получить эцп — ключ нуц рк: шаг 1 подготовка системы.»
- Проверка запуска nca layer.
- ШАГ 2. Переходим на портал http://ecpexpert.ru.
- ШАГ 3. Произведем вход в систему
- ШАГ 4. Заказ услуги.
- Ecpexpert.ru: регистрация онлайн
- Ecpexpert.ru: регистрация по месту жительства
- В чём преимущество оплаты через сайт электронного правительства?
- Как зарегистрироваться на сайте ecpexpert.ru?
- Как получить электронную государственную услугу?
- Любой ли компьютер подойдёт для работы с сайтом электронного правительства?
- Минусы реализации текущего варианта ncalayer
- Некоторые утверждения
- Портал ecpexpert.ru
- Пошаговое руководство настройки и регистрации портала государственных услуг рк
- Проверка запуска nca layer.
- Реальный пример, как получить доступ к ecpexpert.ru, если ты не владеешь эцп человека
- Шаг 3.произведем вход в систему
- Шаг 4.заказ услуги.
- Электронное правительство республики казахстан |
Что такое личный кабинет на ecpexpert.ru?
Личный кабинет – это страница пользователя сайта Электронного правительства, на которой, можно просмотреть все основные персональные данные: от паспортных, до сведений о заключении брака. В их числе есть немало полезных данных, получить которые столь же легко и оперативно не всегда представляется возможность.
На странице личного кабинета ecpexpert.ru, к примеру, есть пункт – “реестр должников” и, если у пользователя имеются какие-то задолженности то, он о них сразу же узнает и сможет оплатить, аналогично тому, как это описывалась в выше, только на этот раз искать отдельно категории не нужно.
Кроме того, здесь есть отдельно пункты, посвящённые штрафам: автомобильным и административным, статусу индивидуального предпринимателя, очереди на жильё, информации о прикреплении к поликлинике, а также отчислениям работодателя по социальному медицинскому страхованию” – одним словом всё, что необходимо знать для того чтобы контролировать положение собственных дел.
В самом низу страницы есть ещё один полезный пункт – “взаимодействие с Правительством”. С его помощью можно прямо на сайте перейти в кабинет налогоплательщика, записаться на приём к министру, оформить обращение граждан или забронировать очередь в “Правительство для граждан”.
Что такое ncalayer
Так как основная реализация криптопровайдера на Java и в последних версиях браузеров нет возможности использовать апплеты, то НУЦ придумал оригинальное решение для использования ЭЦП в браузерах. Это решение называется — NCALayer. NCALayer — посредник между браузером, криптопровайдером и ключами ЭЦП.
NCALayer устанавливается локально на компьютере пользователя. Работает NCALayer следующим образом — открывается вебсокет сервер на определенном порту, куда отправляется разного рода запросы.
Опуская все детали подключения, рассмотрим пока два запроса, чтобы иметь общее представление как NCALayer работает:
- Выбрать ключ на файловой системе.
Что можно сделать
- Будет неудобно — но при каждом использовании ключей, запрашивать хотя бы пароль.
- Продвигать web crypto api
- …
Egov – государственные услуги: регистрация, настройка egov
Egov — государственные услуги: регистрация, настройка egov
Пошаговое руководство настройки и регистрации портала государственных услуг рк
Впервые зайти и зарегистрироваться на сайте государственных услуг РК ecpexpert.ru поможет эта статья.
Шаг 1. подготовка системы.
Для регистрации и входа в кабинет портала https://ecpexpert.ru/ рекомендуется использовать браузер Google Chrome.
Вход через браузер Internet Explorer
может быть
нередко затруднен и сопровождается ошибками.
Устанавливаем оба ключа ЭЦП в систему Windows, просто запустив каждый, нажимая «Далее» и вводя стандартный пароль «123456» или другой, который Вы указывали сами, например, при перевыпуске сертификатов на НУЦ РК.
Также необходимо установить или обновить утилиту для работы порталом ecpexpert.ru по ссылке:
Утилита NCA Layer.
Более подробно, как установить данный компонент и проверить его работоспособность, читайте в статье
«как получить эцп — ключ нуц рк: шаг 1 подготовка системы.»
Проверка запуска nca layer.
Проверьте, запущена ли у Вас утилита NCA Layer. Значок этой утилиты отображается в области уведомлений системы (возле значка переключения языков).
Значок выглядит так:
Если область уведомлений свернута то так:
Если значок отсутствует, запускаем утилиту NCA Layer с рабочего стола.
ШАГ 2.
Переходим на портал http://ecpexpert.ru.
Нажимаем справа вверху «зарегистрироваться» (только если Вы не регистрировались!).
Читаем Соглашение, спускаемся ниже, отмечаем галочку «Пользователь подтверждает…» и выбираем тип лица для регистрации и нажимаем «Регистрация с ЭЦП».
Для юридического лица, Вам необходима ЭЦП юридического лица.
Далее придумываем пароль (минимум 8 символов). Повторяем на следующей строчке.
Указываем РЕАЛЬНЫЙ email адрес.
И нажимаем «Выбрать сертификат» .
Если выходит какое-либо информационное сообщение с подтверждением — соглашаемся.
Далее выбираем ключ. Так как у нас два файла ключа, выбираем тот, который начинается на «RSA256_….p12»
И нажимаем зарегистрироваться.
Если введенные значения корректны, то появится уведомление об успешной регистрации на портале : «Для подтверждения регистрации пройдите по ссылке, 5 высланной на Вашу электронную почту – »
,
с просьбой перейти по ссылке
, высланной на указанный пользователем электронный адрес, как показано на рисунке.
Нажимаем в письме ссылку.
После прохождения по ссылке будет выведено следующее сообщение: «Поздравляем, Вы успешно зарегистрировались на веб-Портале «электронного правительства» Республики Казахстан с временными правами. Для того, чтобы получить полные права, Вам необходимо авторизоваться при помощи ЭЦП либо получить электронную, подписанную Вашей ЭЦП. Если у вас нет ЭЦП, здесь Вы можете подать заявку на её получение. Напоминаем Вам о возможности записи ЭЦП на удостоверениях личности нового образца. Более подробную информацию об этом Вы можете найти на этой странице»
РЕГИСТРАЦИЯ ЗАВЕРШЕНА
ШАГ 3.
Произведем вход в систему
Нажимаем «вход»
в правом верхнем углу страницы. Если Вы уже зашли автоматически после активации, выполните выход. Для этого нужно нажать на свою фамилию или название компании (в зависимости от вида Вашей ЭЦП) и выбрать «выйти».
Затем снова нажать вход.
Далее выбираем вход по ЭЦП или по ИИН (БИН).
Вход по ЭЦП предпочтительнее, так как не нужно вводить с клавиатуры какие-либо данные. Необходимо лишь в открывшемся окне указать Ваш ключ с префиксом «AUTH_RSA256».
ШАГ 4.
Заказ услуги.
Заодно дадим все необходимые разрешения апплету JAVA.
Покажем на примере заказа адресной справки.
Заходим в раздел «Недвижимость-жилищные отношения»
Выбираем «Получение адресной справки»
Далее нажимаем «заказать услугу онлайн»
Следующий этап выбираем нужные опции, жмем «подписать и получить справку»
Далее «Подписать, используя ЭЦП»
Для файлового ключа выбираем «носитель информации»
Далее выбираем свой ключ с префиксом «RSA256_»
, по ходу даем все необходимые разрешения для апплета JAVA (если выходят запросы).
Теперь запрос на услугу отправлен и находится в обработке. Примерно через 30 секунд нажимаем «Обновить статус»
Результат скачивается в PDF формате.
На этом все. Задавайте вопросы в комментариях, мы обязательно на них ответим.
Для персональной консультации БЕСПЛАТНО
воспользуйтесь формой обратной связи
.
Ecpexpert.ru: регистрация онлайн
Портал егов (ecpexpert.ru) — это удобный портал информационных и административных услуг, которым ежесекундно пользуются миллионы жителей РК. Еще не освоили этот удобный сервис? Тогда предлагаю исправить эту оплошность. Тем более ничего сложного в этом нет.
Какие услуги предоставляет егов? Прописка по месту жительства, получение справок разного характера, вызов врача на дом, поиск вакансий, назначение пособий — всё это неполный список того, что вы можете отыскать на портале электронного правительства РК.
Обратите внимание: для успешной авторизации на сайте egov вход по ЭЦП (электронно-цифровой подписи) — единственный вариант. Регистрация егов без ЭЦП в настоящее время недоступна. Раньше пользователю была доступна временная регистрация егов. Сейчас же вам предоставляется статус постоянного пользователя. Это дает возможность использовать все услуги без ограничений.
Портал электронного правительства Республики Казахстан представлен на казахском языке. Но есть ли возможность использовать сайт ecpexpert.ru на русском? На этот вопрос я отвечаю утвердительно. Сделать это легко:
- Посетите сайт egov.kz.
- Обратите внимание на левый верхний угол страницы.
- Там вы заметите три кнопки: «ҚАЗ», «РУС» и «ENG».
- Нажмите на среднюю.
- Откроется страница полностью на русском языке.
Ecpexpert.ru: регистрация по месту жительства
Многим интересно, как зарегистрироваться в егов по месту жительства. Чтобы получить услугу, не обязательно сразу отправляться в Государственную корпорацию. Используйте сайт егов.кз. Регистрация здесь также простая.
Если предварительно уже пользовались личным кабинетом, то справитесь за несколько минут. Еще не использовали онлайн-портал? Тогда пройдите регистрацию, используя инструкцию из первого раздела.
Регистрация egov по месту жительства выглядит так:
В чём преимущество оплаты через сайт электронного правительства?
Когда речь идёт об оплате налогов или штрафов, факт перечисления средств фиксируется и сохраняется в базе данных, поэтому, даже если чек будет потерян, его можно восстановить в любой момент. Все виды оплат через портал ecpexpert.ru осуществляются с комиссией в 100 тенге. Сотовая связь и переводы, касающиеся Жилстройсбербанка, комиссией не облагаются.
Как зарегистрироваться на сайте ecpexpert.ru?
Вход на портал ecpexpert.ru возможен четырьмя способами. Рассмотрим второй – с помощью ЭЦП, так как именно он позволяет получить доступ ко всем госуслугам на сайте. Для начала на заглавной странице нажимаем кнопку “личный кабинет”, затем из четырёх вкладок выбираем “ЭЦП”, далее нажимаем “выбрать сертификат” и из сохранённого места (флеш-карты или персонального компьютера) выбираем первый ключ – AUTH и в завершение вводим пароль, который придумали на предыдущем этапе. Периодически случаются сбои, поэтому иногда выбирать ключ авторизации и вводить пароль приходится несколько раз.
Как получить электронную государственную услугу?
Рассмотрим один из распространённых примеров госуслуг, которые казахстанцы хотели бы получать в электронном формате, но не все могут это делать. Речь идёт о выписке по налоговым задолженностям и их оплата. Проще всего найти нужную услугу через поисковик, введя слово “налоги”.
Портал предоставляет десятки ссылок, из которых следует найти и выбрать нужную, к примеру, по физическим лицам. Если задолженность есть, нажимая кнопку “подробнее”, получаете возможность с ними ознакомиться, уточнить, идёт ли речь о транспортном налоге, налоге на недвижимость или земельном, есть ли пеня.
Задолженность можно сразу же и оплатить, нажав на кнопку, которая откроет специальный шлюз, куда предлагается ввести данные банковской карты. Важное примечание – необходимо оформить в банке разрешение на онлайн-платежи. Обратить внимание следует и на то, в каком налоговом органе зарегистрировано имущество, за которое его владелец намерен платить.
Любой ли компьютер подойдёт для работы с сайтом электронного правительства?
Выйти на сайт ecpexpert.ru можно как с помощью различных гаджетов, типа планшетов или смартфонов, так и персональных компьютеров – стационарных или же ноутбуков. Пока мобильные приложения только развиваются, поэтому мобильные гаджеты не дают доступа ко всем государственным услугам, имеющимся в интернете. Все без исключения разделы сайта электронного правительства открыты лишь для пользователей персональных компьютеров (PC).
Минусы реализации текущего варианта ncalayer
- Здесь один большой минус — путь к файлу и паролю доступен любому разработчику сайта, где используется ЭЦП. Даже пользуясь всякими токенами, при использовании NCALayer, пароль от устройства-токена также передаются на сайт. По крайней мере, текущая реализация позволяет это сделать.
- Хранение путей к ключам и пароль каждый сайт может хранить у себя в базе. Может и не хранить. Вообще, хранить или же не хранить пути и пароли — опять же, все это лежит на совести разработчиков сайтов.
- Любой сайт может за вас подписывать данные без вашего ведома в фоновом режиме, если он знает про путь где хранятся ключи и пароль. Опять таки, Если вы хоть раз использовали ЭЦП на сайте, то сайт уже знает путь к файлу и паролю. Если сайт-злоумышленник, то он гарантированно сохранит пароль где-то у себя.
- Хочу заметить, что прямой доступ к носителю с ключами не предоставляется. Доступ ограничен только функциями NCALayer.
Некоторые утверждения
- Пост не рассчитан на широкую аудиторию, больше на технарей, которые понимают принципы веб-разработки.
- Уязвимы ВСЕ ресурсы, которые используют NCALayer.
- Познания в криптографии не нужны.
- Для эксплуатации этой уязвимости не нужно получать SDK от НУЦ. Соответственно, НУЦ не в состоянии выявить сайты-злоумышленники.
- Разработчики NCALayer не могут дать гарантии, что злоумышленники не смогут использовать такой механизм. Это будет глупо отвечать за всех. Технически возможность есть.
- Уязвимы ключи не только на файловой системе, но также на токенах.
- Вы гарантированно засветили пароль от носителя ключей ЭЦП, даже от токенов. Достаточно войти всего один раз на egov.kz. Как используется пароль на сайте, это на совести разработчиков.
- Насколько я слышал, уже есть системы, которые хранят путь к ключам ЭЦП и пароль в настройках.
- На сайтах нет уязвимостей, просто схема использования ЭЦП через NCALayer небезопасна.
Update:
Портал ecpexpert.ru
2. Получите ЭЦП, которая необходима для регистрации и авторизации на портале, а также для получения онлайн-услуг
Заявку на получение ЭЦП можно подать в режиме онлайн через специальный раздел сайта НУЦ РК. Заявку рекомендуется подавать с личного компьютера в целях безопасности.
- Подача онлайн-заявки от физического лица. Инструкция по этой ссылке;
- Подача онлайн-заявки от юридического лица;
После подачи онлайн-заявки вам необходимо посетить ЦОН для её подтверждения. При себе нужно иметь удостоверение и распечатанную заявку. После проверки оператор сделает подтверждение и у вас появится возможность загрузить ЭЦП на компьютер и установить на неё свой пароль. Отметим, что срок действия ЭЦП равен 1 году, но у пользователей есть возможность продлить его на один год при условии, что срок текущей ЭЦП ещё не истёк. Инструкции по продлению – для физических лиц, для юридических лиц. ЭЦП можно хранить на различных носителях информации, но при этом следует с большой ответственностью следить за тем, чтобы она не попала в чужие руки. 3. Зарегистрируйтесь на портале с помощью ЭЦП
Процедура регистрации интуитивно понятна, но при возникновении вопросов рекомендуем воспользоваться инструкцией (PDF).
- Пройдите на страницу регистрации, ознакомьтесь с пользовательским соглашением и нажмите на кнопку «Регистрация с ЭЦП»;
- Придумайте пароль и укажите свой личный e-mail. Пароль должен содержать комбинацию цифровых и буквенных символов латинского алфавита в верхнем и нижнем регистре (минимум 8 символов, но не более 30 символов);
- Выберите свою ЭЦП (RSA) и подтвердите регистрацию.
После регистрации и при наличии ЭЦП вам откроются все возможности портала электронного правительства ecpexpert.ru. В вашем распоряжении будет множество электронных государственных услуг и сервисов, а также доступ в Личный Кабинет, который поможет мониторить персональные данные, хранящиеся в государственных информационных системах. Кроме того, ЭЦП даёт возможность авторизовываться на порталах Открытого правительства и зарегистрироваться на портале электронного лицензирования Elicense.kz.
Пошаговое руководство настройки и регистрации портала государственных услуг рк
Впервые зайти и зарегистрироваться на сайте государственных услуг РК ecpexpert.ru поможет эта статья.
Проверка запуска nca layer.
Проверьте, запущена ли у Вас утилита NCA Layer. Значок этой утилиты отображается в области уведомлений системы (возле значка переключения языков).
Значок выглядит так:
Если область уведомлений свернута то так:
Если значок отсутствует, запускаем утилиту NCA Layer
Реальный пример, как получить доступ к ecpexpert.ru, если ты не владеешь эцп человека
Не буду углубляться глубоко в технические детали и реализацию. Опишу как можно это сделать.Теперь, чтобы эту уязвимость эксплуатировать, нужно понимать как работаем механизм входа на ecpexpert.ru через ЭЦП. Для входа на ecpexpert.ru, xml от ecpexpert.ru подписывается пользователем и передается на сервер, где проверяется. Если подпись валидна, то осуществляется вход. Со стороны NCALayer, процесс входа состоит из следующих шагов:
Портал запрашивает следующие данные из NCALayer — loadSlotList (здесь можно ответить ошибкой), getKeys, getSubjectDN, getNotBefore, getNotAfter и signXml. Если NCALayer правильно подставит эти данные от другого пользователя, то соответственно мы удачно войдем в систему.
- У себя на компьютере, извлекаешь xml строку, которую нужно подписать чтобы войти на egov.kz. Это делается так, просто в консоли разработчика на idp.egov.kz, нужно запросить следующие данные —
document.getElementById('xmlToSign').value
. - Отправляешь xml строку на подпись нужному человеку, который сидит на сайте-злоумышленнике. Он у себя на компьютере, в фоновом режиме подписывает нужную xml строку. Дополнительно получаешь subjectDN.
- Сейчас в наличии есть subjectDN и подписанный xml.
- Теперь самое интересное, у себя на компьютере эмулируешь работу NCALayer, который отдает необходимые данные.
Шаг 3.произведем вход в систему
Нажимаем «вход»в правом верхнем углу страницы. Если Вы уже зашли автоматически после активации, выполните выход. Для этого нужно нажать на свою фамилию или название компании (в зависимости от вида Вашей ЭЦП) и выбрать «выйти». Затем снова нажать вход.
Далее выбираем вход по ЭЦП или по ИИН (БИН).
Вход по ЭЦП предпочтительнее, так как не нужно вводить с клавиатуры какие-либо данные. Необходимо лишь в открывшемся окне указать Ваш ключ с префиксом «AUTH_RSA256».
Шаг 4.заказ услуги.
Заодно дадим все необходимые разрешения апплету JAVA.
Покажем на примере заказа адресной справки.
Заходим в раздел «Недвижимость-жилищные отношения»
Выбираем «Получение адресной справки»
Далее нажимаем «заказать услугу онлайн»
Следующий этап выбираем нужные опции, жмем «подписать и получить справку»
Далее «Подписать, используя ЭЦП»
Для файлового ключа выбираем «носитель информации»
Далее выбираем свой ключ с префиксом «RSA256_», по ходу даем все необходимые разрешения для апплета JAVA (если выходят запросы).
Теперь запрос на услугу отправлен и находится в обработке. Примерно через 30 секунд нажимаем «Обновить статус»
Результат скачивается в PDF формате.
На этом все. Задавайте вопросы в комментариях, мы обязательно на них ответим.
Для персональной консультации БЕСПЛАТНОвоспользуйтесь формой обратной связи.
Электронное правительство республики казахстан |
§
Как получить услугу онлайн
- Третьему лицу* необходимо авторизоваться на портале и перейти по кнопке «Заказать услугу онлайн».
- Ввести ИИН физического лица (пользователя**), на чье имя необходимо заказать электронную справку*** и нажать на кнопку «Проверить пользователя на наличие регистрации».
- Выбрать справку, которую необходимо получить и подписать ее ЭЦП (электронной цифровой подписью) либо при помощи смс-пароля (обязательно иметь регистрацию в базе мобильных граждан).
Если Пользователь зарегистрирован на портале и БМГ, Пользователю будет отправлено сообщение в личный кабинет для согласования (отказа) запроса, а также 2 sms-сообщения на государственном и русском языках с запросом подтверждения получения электронной справки на него третьим лицом.
Примечание: Пользователю необходимо согласовать/отклонить запрос на получение справки в течение 2 часов с момента получения запроса. По истечении 2 часов ответ от Пользователя считается не действительным
- В личном кабинете (в разделе «История получения услуг») ознакомиться с результатом оказания услуги.
В случае, если пользователь подтвердил получение электронной справки третьим лицом, в личном кабинете (в разделе «История получения услуг») третьему лицу будет доступна запрошенная им справка на пользователя, если пользователь отклонил запрос, в личном кабинете (в разделе «Входящие») третье лицо будет уведомлено соответствующим информационным сообщением.
*в роли третьего лица может выступить как физическое, так и юридическое лицо.
** в роли пользователя может выступить только физическое лицо.
*** Предоставление адресных сведений с места жительстваыдача справки о зарегистрированных правах на недвижимое имущество
Выдача справки об отсутствии (наличии) недвижимого имущества
Выдача справки о поступлении и движении средств вкладчика единого накопительного пенсионного фонда
Выдача справки о наличии либо отсутствии судимости
Сведения о совершении лицом административного правонарушения
Выдача справки подтверждающей принадлежность заявителя (семьи) к получателям адресной социальной помощи
Справка о состоянии/не состоянии на учете в наркологичеcкой организации
Справка о состоянии/не состоянии на учете в психоневрологической организации
Справка о состоянии/не состоянии на учете в противотуберкулезной организации
Выдача справки о регистрации в качестве безработного
Информация о состоянии пенсионных накоплений (с учетом инвестиционного дохода) вкладчика (получателя) единого накопительного пенсионного фонда
Предоставление выписки из лицевого счета о состоянии расчетов с бюджетом по исполнению налоговых обязательств физического лица
Предоставление сведений из государственного земельного кадастра
Выдача информации об участии в качестве потребителя медицинских услуг и о перечисленных суммах отчислений и (или) взносов в системе обязательного социального медицинского страхования
Приложение к техническому паспорту, содержащему сведения о собственнике
Выдача справки об отношении гражданина к воинской службе
Выдача справки о статусе стипендиата международной стипендии “Болашак”
Выдача справки о зарегистрированных и прекращенных правах на недвижимое имущество ФЛ
Сведения об отсутствии (наличии) задолженности, учет по которым ведется в органах государственных доходов
Выдача справки по определению адреса объектов недвижимости на территории Республики Казахстан.