Ми}{алы4

Блог хеллоуворлдщика

Мой опыт получения и использования электронной подписи через ФНС на Рутокен

29.12.2021 rutoken, кэп, подпись, эдо, криптопро

C 1 июля 2021 года ФНС России бесплатно выдает КЭП для юридических лиц, индивидуальных предпринимателей и нотариусов. Теперь можно получить КЭП через ФНС, а не через коммерческие удостоверяющие центры, где нужно платить. ФНС выдает КЭП абсолютно безвозмездно, т.е. - бесплатно. Данная ЭП подходит как для входа в ЛК ИП/Юр.лица, так и для подписания документов предпринимательской деятельности. Другими словами, это абсолютно та же самая КЭП, которую выдают коммерческие УЦ, только выданная ФНС. Они ничем не отличаются, кроме как подпись полученную через ФНС нельзя экспортировать (создать копии, размножить).

Обращаю внимание читателя. Здесь я рассказываю про свой опыт. И также хочу заметить, что я не являюсь пользователем Windows, а использую либо Linux, либо macOS. Поэтому пользователям Windows подойдет не вся информация из этой статьи.

В процессе изучения вопроса связанного с процедурой получения, использования и настройки ЭЦП/КЭП/ЭП я ощутил негодование, потому что без ящика спирта и кучи свободного времени сходу разобраться не представляется возможным. Наши люди любят всю эту вакханалию с кучей бумажек, в которых куча воды, и нет исперпывающей краткой информации для того, чтобы просто начать работать. И для этого приходится перерыть кучу информации из разных источников (иногда даже неофициальных), прочитать комментарии людей, написать в техподдержку, позвонить в ФНС и т.д. Все ради того, чтобы просто подписать документ и начать работать.

Стоит упомянуть, что цифровая подпись фигирурует в интернете под множеством названий. И тому есть объяснение: некоторые термены выводятся из оборота и мало кто всецело понимает, как это все работает. К примеру, электронная подпись (ЭП), квалифицированная электронная подпись (КЭП), сертификат подписи, электронная цифровая подпись (ЭЦП) и т.п., чаще всего имеют один и тот же смысл - электронная подпись. И неважно какая. Причем термин ЭЦП выведен из оборота полностью и следует использовать ЭП. В ст. 2 ФЗ №63 "Об электронной подписи" перечислены основные понятия на которые стоит обратить внимание и иметь в виду, читая ту, или иную стать/инструкцию/документацию.

Токен

Для начала нам нужно приобрести носитель с подключением по USB Type A для того, чтобы в ИФНС на него была записана квалифицированная электронная подпись (КЭП). Данный носитель называется токен. В ИФНС принимают только USB Type A. USB Type C официально они не принимают, но, думаю, могут быть исключение. Стоит узнать это лично в ИФНС, где выдают КЭП.

После долгого и скрупулезного изучения я выбрал Рутокен Lite, т.к. для моих нужд он полностью подходит. Можно было бы приобрести Рутокен ЭЦП 2.0 3000, который имеет встроенный криптопровайдер, но смысла как такового не имело. Потому что все равно пришлось бы приобретать отдельный криптопровайдер КриптоПро CSP, который в РФ используется, практически, повсеместно, и является внегласным стандартом. С Рутокен ЭЦП 2.0 без КриптоПРО CSP вы сможете войти только в ЛК ИП на сайте налоговой. Больше пока я не знаю других мест, где бы встроенный криптопровайдер поддерживался.

На сайте ФНС указано, что токен должен быть сертифицирован ФСТЕК России или ФСБ России. Стоит вчитаться в эти слова еще раз: "Квалифицированный сертификат записывается на предоставляемый заявителем носитель ключевой информации, сертифицированный ФСТЭК России или ФСБ России". Здесь сказано именно о сертификации, а не о том, что токен должен иметь сертификат (бумажку). Все токены Рутокен сертифицированы и никакие бумажки предоставлять не нужно. Более того, ФНС сама проверит ваш токен, если им так сильно это будет нужно. И скорее всего, они это делают по иснтрукции. У меня лично ничего не требовали, кроме самого токена, хотя бумажка (ВНИМАНИЕ! С напечатанной голограммой! С НАПЕЧАТАННОЙ!) на руках имелась.

Данный токен я приобрел в DNS и позже его отформатировал через утилиту администирования Рутокен rtAdmin (ссылка для скачивания на странице под "Ссылки на загрузку"). В ней есть команды как на форматирование, так и на изменения PIN-кода пользователя или администратора. При выполнении операций без флага -f фоматирования не будет, поэтому можно быть спокойным, смена PIN-кода ничего не сотрет, если вы сами этого не укажите (но если сомневаетесь, то можно написать в техподдержку Рутокен). Также доступна функция сброса PIN-кода пользователя через PIN-код администратора. Ну, и возможно другие какие-то функции, которые мне лично не нужны.

Для работы с токеном на ОС macOS/Linux дополнительные драйвера не трубуются и все работает из коробки.

Итак, токен - 1500 руб. Итого - 1500 руб.

Подача заявление на выдачу КЭП

Подать заявление нужно через ЛК ИП на сайте налоговой. Там есть специальный раздел. Пару кнопок и заявление будут сформировано. Осталось дождаться его проверки. После этого можно пойти двумя путями:

  1. выбрать дату посещения ИФНС, где выдают КЭП; будьте внимательны, не все ИФНС в вашем населенном пункте выдают КЭП. Если в ЛК ИП конкретная ИФНС не указана, то стоит позвонить в налоговую и уточнить;
  2. прийти лично, взять талончик и в порядке очереди получить КЭП.

Для получения КЭП нужно вять с собой токен, паспорт, СНИЛС и (ВНИМАНИЕ) ИНН в налоговую (ИНН В НАЛОГОВУЮ! Да! В НАЛОГОВУЮ ИНН). Я ИНН не взял и они сами его нашли, но на свякий случай запишите номер на листочке, мало ли. Хотя я нигде не видел при оформлении заявления, чтобы ИНН нужно было взять для получения КЭП.

Полученная КЭП имеет одну особенность: она неэкспортируемая. Другими словами, вы не сможете создать копии сертификата, чтобы хранить "на черный день" или раздать своим доверенным лицам.

Итак, КЭП - 0 руб. Итого - 1500 руб.

Криптопровайдер

Криптопровайдер - это, такая программа, которая работает с вашими электронными подписями. Она не предназначена для подписи документов, хоть и имеет некоторый ограниченный функционал для этого. Это только программа для работы с ЭП. И самая популярная на территории РФ это КриптоПРО CSP. И конечно она платная. Стоит 2700 руб. для ИП и юриков, и 4950 руб. для физиков. Будьте внимательны при покупке. Нет никакого смысла покупать как физик при наличии ИП и р/с. Ну, а на момент тестирования можно скачать с пробной лицензией на 3 месяца. Всё функционирует, как и при полной лицензии. Для macOS я скачал пятую версию, т.к. появился графический интерфейс, да и в целом это последняя версия. По моему мнению, нет никакой экономической выгоды в приобритении четвертой версии. До Linux я пока не добрался и косательно работы программы на этой ОСи ничего не могу сказать. Скачивать нужно сертифицированную версию программы, а не предварительную несертифицированную версию. Некоторые программы (например, КриптоАРМ) будут работать только на сертифицированной версии. И как я понял, сертифицрованная версия - это, stable, а несертифицрованная - это, beta.

Лицензия приобретена на одно рабочее место. Ключ один и тот же, как для macOS, так и для Linux или Windows.

В самой программе КриптоПРО CSP есть раздел "Управление носителями" с интересными двумя кнопками "Сменить пароль носителя" и "Сменить PUK". Можно используя эти две кнопки изменить на Рутокене PIN-код пользователя, через "Сменить пароль носителя", и PIN-код администратора, через "Сменить PUK". Изменить PIN-код через КриптоПРО CSP или через rtAdmin - личное дело. Мне, все-таки, кажется надежным и более правильным использовать rtAdmin.

Для подписания документа через встроенные средства КриптоПРО CSP нужно установить сертификат в хранилище программы. Для этого в КриптоПРО CSP выбираем контейнер с полученной КЭП и нажимаем кнопку "Установить сертификат". Теперь можем подписать какой-нибудь файл через "Создать подпись" и проверить подпись в файле через "Проверить подпись". Но к сожалению, данного функционала недостаточно для документаоборота. Вам еще потребуется, например, КриптоАРМ и/или Контур.Диадок, или что-то другое. Тут уже каждый сам выбирает что-то свое.

Итак, КриптоПРО CSP 5 - 2700 руб. Итого - 4200 руб.

Вход в ЛК ИП

Войти в ЛК ИП на сайте налоговой просто так невозможно. Для этого потребуется браузер, который поддерживает сертификаты ГОСТ. Яндекс.Браузер хоть и поддерживает их, но вход через него не работает. А вот через Chromium ГОСТ от КриптоПРО все прекрасно работает.

Браузер идет без плагина КриптоПРО ЭЦП для работы с криптопровайдером, поэтому его нужно установить отдельно и перезагрузить браузер, чтобы этот плагин включить. Он также установит необходимые пакеты на саму систему для работы с КпритоПРО CSP. Если вдруг вы пропустили возможность включить плагин в браузере и переустановка плагина не помогает, то нужно скачать плагин с интернет-магазина расширений для Chrome. Ссылку можно найти на странице документации/инструкции к плагину. Вы также можете проверить работоспособность цепочки для работы с КЭП нажав на кнопку "Проверить работу плагина" в меню плагина. И если все успешно, то с входом в ЛК ИП проблем быть не должно: достаточно установки Chromium-Gost, КриптоПРО ЭЦП и выбора варианта входа "Ключ ЭП". Каких-то других действий не требуется, хотя на странице проверки требований для входа ЛК ИП вы можете не пройти тесты. С чем это связано - не знаю. Но сам вход по ключу ЭП работает.

Также плагин КриптоПРО ЭЦП потребуется для работы с подписями в других сервисах, если у них нет своего плагина для работы с криптопровайдером. Без него браузер не сможет "связаться" с КриптоПРО CSP.

Здесь, кстати, есть интересный момент. Сам плагин КриптоПРО ЭЦП может работать с контейнерами напрямую и извлекать сертификат для работы. А вот в ЛК ИП напрямую такое не работает, нужно явно установить сертификат в хранилище программы. Я попытался связаться с технической поддержкой для того, чтобы понять смысл, но мне ответили, что это так работает (и это прямая цитата), и еще порекомендовали учебные центры для обучения. Документация для КриптоПРО CSP, конечно, поверхностная и данные вопросы не затрагивает. А в документации разработчика разбираться у меня желания как-то нет. Я лишь предполагаю, что это какая-то исторчиеская особенность, тянущаяся с прежних версий, или такая реализация в ЛК ИП. Либо раньше версии КриптоПРО CSP поддерживали только работу через хранилище сертификатов, а потом уже научились работать напрямую с контейнерами, либо так реализована работа в ЛК ИП через API КриптоПРО ЭЦП.

Итак, Chromium ГОСТ - 0 руб, КриптоПРО ЭЦП - 0 руб. Итого - 4200 руб.

Контур.Диадок

Для подписания документов я сначала выбрал КритоАРМ ГОСТ, т.к. острой необходимо в системе ЭДО у меня нет. Эта программа тоже платная - 2900 руб. за бессрочную лицензию. Есть пробный период - 14 дней. Есть еще версия программы КриптоАРМ Стандарт Плюс, но она работает только на Windows. В добавок, помимо базовой лицензии нужно докупить еще две для полноценной работы с подписями: это еще 4200 руб. Поэтому мне как-то удалось договориться с Контур.Диадок на тариф за 1900 руб./год, т.к. документооборот у меня небольшой. Тем самым, Контур.Диадок мне обходится выгодней: я могу пользоваться 3 года Контур.Диадок за 5200 руб. в сумме, тогда как за КриптоАРМ ГОСТ я бы отдал 7100 руб. в сумме. Конечно, КриптоАРМ ГОСТ идет с бессрочной лиценией и выплачивается один раз, но пока не ясно, стоит ли оно того. Везде свои плюсы и минусы. Выбирайте сами. Я выбрал по цене и чуть большему удоству в работе.

Для подключения к Контур.Диадок я отправил заявку через их сайт, дождался звонка, поторговался, оплатил счет и зарегистрировался в ЛК Контур.Диадок по КЭП. Контур.Диадок взаимодействует с КриптоПРО CSP через свои плагины и расширения. Инструкция по работе будет доступна перед входом в ЛК. А ранее установленный плагин КриптоПРО ЭЦП, по всей видимости, здесь не нужен.

Итак, Контур.Диадок - 1900 руб. Итого - 6100 руб.

Заключение

В итоге со связкой Рутокен Lite + КЭП через ФНС + КриптоПРО CSP 5 + плагин КриптоПРО ЭЦП + rtAdmin на macOS Monterey 12.1 у меня все работает. Я захожу на все нужные мне ресурсы требующие для работы КЭП и подписываю документы. К сожалению, подобной статьи, как эта, у меня не было. Надеюсь, она кому-то поможет.

Итого - 6100 руб.

Полезные ссылки