Схема авторизации с использованием электронных цифровых подписей вместо парольной защиты / Хабр

В учётной записи данные, которые я не вводил

Эти ситуации возможны, если вы выпускаете сертификаты на разных людей или используете номер телефона, к которому есть доступ у других. Могут быть 2 причины:

  1. Данные поменял тот, у кого тоже есть доступ к учётке. Вспомните, у кого еще есть доступ к вашему сертификату или телефону для входа. Может быть, этот человек заходил в личный кабинет и поменял данные.
  2. Существовала другая учётная запись с вашим номером телефона. Скорее всего, она была создана автоматически после выпуска одного из прошлых сертификатов, в которой был указан ваш номер. Если вы единственный владелец этого номера и самостоятельно выпускаете сертификаты, можете установить свои ФИО в учетную запись в настройках профиля. Если несколько человек используют этот номер для выпуска сертификата, можете оставить учетную запись без ФИО и рассказать коллегам, чтобы тоже не указывали свои данные.

Какие сертификаты я увижу в списке?

  • Все сертификаты, номер телефона в которых совпадает с номером в учётной записи, под которой вы зашли. 
  • Заявки на сертификат, с которыми вы работали под этой учётной записью. Например, при продлении сертификата по кнопке “Обновить” при входе в сервисы Контура вы сразу переходите для работы с ней в личный кабинет = вы увидите её в списке.

Получить электронную подпись для входа в личный кабинет

Оформить электронную подпись можно через «личный кабинет налогоплательщика – физического лица» | фнс россии | 10 республика карелия

Дата публикации: 15.12.2021 12:46 (архив)

В настоящее время самым распространенным и удобным способом взаимодействия налогоплательщиков с налоговыми органами становится электронный документооборот.

Преимущества электронного общения по достоинству могут оценить пользователи сервиса «Личный кабинет налогоплательщика для физических лиц» (далее – «Личный кабинет»), размещенного на официальном сайте ФНС России (www.ecpexpert.ru). Функциональные возможности «Личного кабинета» очень обширны: сервис позволяет самостоятельно контролировать расчеты по имущественным налогам; а также отслеживать ход проверки, направленных в налоговый орган деклараций; просматривать сведения о доходах, представленных налоговыми агентами в виде справок 2-НДФЛ; производить уплату налогов и др.

С 1 июля 2021 г. в Налоговый кодекс Российской Федерации были внесены соответствующие поправки и электронный сервис «Личный кабинет налогоплательщика» получил официальный статус информационного ресурса, который может быть использован для реализации налогоплательщиками и налоговыми органами своих прав и обязанностей.

Пользователи сервиса «Личный кабинет налогоплательщика для физических лиц» получили возможность отправлять в налоговые органы налоговые документы (декларации), сведения, подписанные усиленной неквалифицированной электронной подписью. Только подписанные неквалифицированной электронной подписью электронные документы признаются равнозначными документам на бумажном носителе, подписанным собственноручной подписью налогоплательщика.

Получить электронную подпись для взаимодействия с налоговыми органами в электронной форме можно абсолютно бесплатно через «Личный кабинет» в разделе «Профиль». ФНС России предлагает два варианта хранения подписи: ключ к ней хранится либо на компьютере пользователя, либо в защищенном налоговой службой хранилище. Сертификат ключа проверки электронной подписи действует в течение одного года. По истечении срока действия сертификата ключа налогоплательщику необходимо самостоятельно получить новый сертификат через «Личный кабинет».

Читайте также:  6_55MCIKG10OC710I9L5UAS81000 - Портал услуг Федеральной службы государственной регистрации, кадастра и картографии

Сертификат подписи может быть использован для подписания и направления в налоговые органы через «Личный кабинет»: заявления о возврате и зачете излишне уплаченного налога; заявления о предоставлении льготы по земельному, транспортному налогам, по налогу на имущество физических лиц; уведомления о выбранных объектах налогообложения, в отношении которых применяется льгота; сообщения о наличии объектов имущества и транспортных средств; налоговой декларации по форме 3-НДФЛ, подтверждающих документов к ней и многое другое.

Подробную информацию о «Личном кабинете» можно получить по телефону Единого Контакт-центра ФНС России 8-800-222-22-22, а также на официальном сайте ФНС России (www.ecpexpert.ru).

Попадаю под другую учётную запись

  • Если вы продляете сертификат и нажимаете “Обновить” при входе в сервис, то вы попадаете в учётную запись, к которой этот сертификат привязан для входа.
  • Если вы перешли в КабУЦ из продукта, то вы находитесь под той учетной записью, под которой работали в продукте. Все действия с учеткой (смена ФИО, привязка номера) также повлияют на данные в других сервисах Контура.

Предупреждение «номер не привязан к учётной записи»

Если телефон пока не привязан к учётной записи, вы увидите предупреждение:

При указании номера предлагают объединить учётные записи

  • Если вы выпускаете сертификаты только себе и это ваш номер телефона — смело объединяйте. Скорее всего, у вас был дубль учетной записи с другими контактными данными. 
  • Если вы выпускаете сертификаты на других людей (например, вы являетесь обслуживающей бухгалтерией или администратором организации), то есть 2 ситуации:
    1) Вы используете свой личный номер телефона и самостоятельно занимаетесь выпуском и продлением всех сертификатов. В этом случае можно объединить учетные записи — вы сможете видеть все сертификаты и формы в одном месте и входить в личный кабинет по указанному номеру.
    2) Вы используете общий или служебный номер, у которого может смениться владелец или доступ к нему уже есть у нескольких людей. Тогда объединять учетные записи не нужно. Чтобы увидеть все сертификаты по номеру телефона — выйдите из своей личной учетной записи и войдите по общему номеру телефона. Своим коллегам также можете сказать, что этот номер не нужно привязывать к личным учеткам, иначе в личном кабинете будут отображаться сертификаты друг друга.

Получить электронную подпись для входа в личный кабинет

Схема авторизации с использованием электронных цифровых подписей вместо парольной защиты

Схема авторизации с использованием электронных цифровых подписей вместо парольной защиты / Хабр

В предыдущем своем топике «Пароли — это прошлый век, в дальнейшем требуются новые методы авторизации и хранения личных данных» я рассказывал существующие проблемы использования паролей в сети и методы построения авторизации с использованием ЭЦП. В данной топике я хочу привести подробную схему авторизации в интернете с использованием ЭЦП, обеспечивающий высокий уровень безопасности от мошенников и киберпреступников.

Приводимая здесь схема будет также рассматриваться в рамках модели авторизации с использованием единого центра авторизации для любых интернет ресурсов, подробно описанных в предыдущей статье. Поэтому для лучшего понимания процесса приведу небольшую цитату из прошлой статьи:

Читайте также:  Как поставить Электронную подпись в pdf документе в Adobe Acrobat? | Портал "Моя ЭЦП"

С точки зрения безопасности лучшую защиту на сегодняшний день могут предоставить использование USB-токенов, защищенных пин кодом из 3-х попыток и (опционально) встроенным сканером отпечатков. В процессе авторизации можно использовать передачу на единый центр авторизации цифровую копию биометрического отпечатка, подписанного персональной цифровой подписью (криптографического преобразования закрытым ключом). При этом каким либо образом вытащить из USB-токена цифровую копию биометрического отпечатка и используемые ключи не возможно, а расшифровать передаваемые данные может только тот, кто имеет вторую пару открытого ключа. Для защиты от перехвата при каждой авторизации передаваемые данные должны быть уникальными, например при каждой авторизации вместе с копией биометрического отпечатка зашифровывать также случайную строку и значение счетчика успешных авторизаций. Еще лучше, если заранее созданы и сохранены персональные наборы открытых и закрытых ключей на каждый день в течении всего срока использования ключа (например, в течении 10-20 лет) а токен при авторизации сверяет дату со своими серверами и подписывает данные необходимым ключом на текущую дату. При этом открытые ключи также должны быть надежно защищены и находится только на сервере авторизации (например, во внутреннем сервере единого центра авторизации проверяющего достоверность полученных данных, но не имеющего прямого выхода к сети интернет).

Каждый USB-токен должен иметь свой уникальный номер. А при генерации пары открытых/закрытых ключей номер USB-токена должна быть сохранена в связке с этими ключами. Это позволит серверу авторизации по номеру токена сопоставить необходимые публичные ключи в процессе авторизации.

Итак, рассмотрим как должен происходить процесс авторизации:
1) Пользователь шифрует цифровую копию биометрического отпечатка значение счетчика авторизации случайную строку своим USB-токеном. К полученным данным добавляется уникальный номер USB-токена и направляется на веб-сервер для авторизации.
2) Веб-сервер получает сообщение пользователя и добавляет в него свой уникальный номер токена. Полученные данные направляются в единый центр авторизации.
3) Сервер центра авторизации расшифровывает полученное сообщение используя открытый ключ пользователя. Если в итоге расшифровки сервер получает правильную цифровую копию биометрического отпечатка пользователя, то сообщение зашифровано подлинным ключом. При успешном результате случайная строка пользователя также сохраняется на сервере в связке с текущим порядковым номером авторизации.
4) Свой положительный вердикт случайную строку пользователя сервер авторизации шифрует используя открытый ключ веб-сервера и направляет обратно ответным сообщением. При отрицательном вердикте сервер шифрует ответное сообщение используя новую случайную строку.
5) Веб-сервер расшифровывает полученное сообщение своим токеном и получает положительную или отрицательную команду на авторизацию.
6) При успешной авторизации веб-сервер возвращает пользователю в открытом виде его случайную строку, Полученная строка сверятся с отправленной строкой и при совпадении USB-токен увеличивает счетчик успешных авторизации на одну единицу.

Читайте также:  ФИАС — вход в адресную систему на официальном сайте с помощью электронных средств, через ЕСИА

Следует учесть, что значение счетчика успешных авторизаций в USB-токене ни при каких условиях не может быть больше, чем на сервере. А если значение меньше, то сервер должен сверить полученную случайной строку пользователя с сохраненной строкой используя указанный номер авторизации. Это позволит легко выявить нарушителя. Если эти строки совпадут, то идет попытка фальсификации с отправкой перехваченного трафика от предшествующий авторизации, а значит сервер должен запретить доступ, оперативно предупредить об этом специалистов безопасности и занести IP адрес нарушителя в список отслеживаемых. Если эти строки разные, то во время прошлой авторизации веб-сервер не вернул пользователю его случайную строку, значит сервер должен разрешить доступ, уменьшить карму виновного веб-сервера и добавить в случайную строку пользователя специальный код для корректировки счетчика успешных авторизаций.

Преимущества:
1) Открытую и закрытую пару ключей можно менять хоть каждый день, если токены умеют в зависимости от даты использовать разные ключи.
2) Перехватывать трафик бесполезно, если при каждой авторизации вместе с биометрическими данными шифруется показание счетчика успешных авторизаций и случайная строка. Проверка показания счетчика и случайной строки позволит определить фальсификацию.
3) Попытка переадресовать процесс авторизации на фальшивый сервер то же ничего не дает, если открытая пара ключей только в центре авторизации и надежно защищена. Фальшивый сервер не сможет вернуть свой вердикт, зашифрованное публичным ключом веб-сервера.
4) Никакие уязвимости применяемых скриптов авторизации на сайтах не могут скомпрометировать процесс авторизации.
5) Взлом веб сервера не позволит получит биометрических отпечатков и цифровых подписей пользователей. По сути в этой схеме каждый участник авторизации заинтересован только в собственной безопасности и не несет ответственности за безопасность другого участника.
6) Если значения счетчиков успешных авторизаций не совпадают, то сервер может точно определить пытаются ли скомпрометировать авторизацию или во время прошлой авторизации веб-сервер не вернул пользователю его случайную строку.
7) По сути защищенное SSL соединение в данном случае не требуется, потому что все конфиденциальные данные передаются зашифрованном виде. Но всё же использование защищенного протокола SSL еще больше увеличивает степень безопасности.

Недостатки:
1) Используется 2-х кратное шифрование и расшифровывание данных, необходимых для подтверждения подлинность каждого из участников.
2) Разрядность ключей должна быть по возможности не большим, чтобы не сильно загружать сервера в процессе авторизации.
3) Токены, используемые на веб-серверах должны обеспечивать высокую скорость расшифровки данных. Особенно если у сайтов высокий уровень посещаемости, то вместо использования USB-токенов нужно предусмотреть высокопроизводительные платы расширения или надежные программные токены (для сайтов расположенных на виртуальных серверах).
4) Центры авторизации должны быть построены из высокопроизводительных кластеров, «непотопляемых» к DDoS атакам.

Текст переработан и исправлен 11 марта 2021 г.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector