В соцсети через госуслуги
В России по инициативе Правительства начался эксперимент по использованию профиля россиян на портале гоуслуг для доступа к другим популярным в стране ресурсам. В эксперименте участвуют, в частности, социальные сети и виртуальные доски объявлений.
Постановление Правительства №453 об эксперименте по идентификации пользователей этих ресурсов через их аккаунт в ЕСИА (Единая система идентификации и аутентификации) подписал премьер-министр РоссииМихаил Мишустин. Он оставил свою подпись на документе еще 27 марта 2021 г., но известно об этом стало лишь в начале апреля 2021 г.
Какие криптографические стандарты должны применяться для создания ключа
Единственные разрешенные стандарты – ГОСТ Р 34.10−2022 и ГОСТ Р 34.11−2022. Сертификаты допускаются только от сертифицированных удостоверяющих центров.
Как происходит авторизация пользователей с помощью «Госуслуг»
Установить модуль авторизации через «Госуслуги» можно тремя способами: подключив в качестве библиотеки, как готовый класс или, поставив через штатный инструмент CMS.
Когда пользователь зайдёт на сайт, выберет авторизацию через «Госуслуги» и введёт свои данные, сайт обратится к ранее созданному коннектору, который соединяет его с ЕСИА. Коннектор сформирует запрос к порталу ЕСИА, в ответ на который портал пришлёт ему пакет с зашифрованными личными данными пользователя. Расшифровка данных происходит при помощи созданного ранее криптографического ключа, а затем они передаются на сайт.
Используя авторизацию через «Госуслуги», сайт может получить:
Все процессы передачи данных надёжно защищены. Это повышает доверие и у пользователей, и у компании к своим потенциальным клиентам. Что главное – идентификация с помощью ЕСИА имеет юридическую значимость. То есть, при совершении мошеннических действий, очень легко установить личность подозреваемого.
Удобна ли интеграция с «Госуслугами» для пользователя
Да, это удобно не только для владельцев компаний, но и для самих пользователей. Ведь, пройдя авторизацию с помощью ЕСИА, пользователь может:
Резюме
Таким образом, интеграция сайта с «Госуслугами» удобна и для пользователей, и для владельцев компаний. Сейчас «Госуслугами» пользуется 103,2 млн. человек – то есть, более, чем каждый второй житель РФ – и это количество растёт каждый год. Да, для подключения сайта к ЕСИА требуется учесть несколько технических моментов и настроить коннекторы, но в будущем использование авторизации через портал «Госуслуг» сделает взаимодействие с вашим сайтом гораздо комфортнее для пользователей и для вас.
Какой протокол используется для подключения к есиа
Используется авторизация по OAuth 2.0 и аутентификация при помощи OpenID Connect. Но при создании сервиса ЕСИА разработчики создали собственный API для безопасного приёма электронных подписей, поэтому для стандартных библиотек OAuth 2.0 и OpenID Connect требуется доработка.
Кто будет участвовать в эксперименте
На момент публикации материала итоговый список веб-сайтов, собирающихся подключить возможность пользовательской авторизации через ЕСИА, утвержден не был. Представители Минцифры сообщили CNews, что в нем точно будут числиться портал автообъявлений «Авто.ру» и сайт для поиска работы и работников HeadHunter.
Генеральный директор компании «Яндекс.Вертикали» (включает сервис Авто.ру) Павел Алешин сказал CNews: «Возможность авторизоваться на сервисах объявлений через ЕСИА позволит сделать рынок прозрачнее как для продавцов, так и для покупателей».
«В случае с “Авто.ру” это поможет уменьшить количество мошенников и сделать процесс выбора и покупки автомобиля более прозрачным и предсказуемым. В будущем мы планируем настроить подобную интеграцию и для других наших сервисов объявлений», – добавил он, подчеркнув, что «в рамках подобной интеграции данные пользователей надежно защищены и никуда не передаются».
О чем еще говорится в постановлении
Подписанный Михаилом Мишустиным и опубликованный на портале правовой информации документ предписывает владельцам всех сайтов, решивших участвовать в эксперименте, подготовить их к взаимодействию с ЕСИА. «По завершении перехода единой системы идентификации и аутентификации с 1 января 2022 г. на использование российских криптографических алгоритмов и средств шифрования идентификация и аутентификация пользователей соцсетей, пользователей агрегаторов информации и пользователей информресурсов поиска сотрудников и работы в целях эксперимента должны обеспечиваться путем выполнения требований к средствам информтехнологий, содержащим российские криптографические алгоритмы и средства шифрования», – говорится в постановлении.
Охота за персональными данными
В марте 2021 г. российские власти хотели запретить регистрацию в социальных сетях без указания паспортных данных – такую идею 25 марта 2021 г. озвучилРоскомнадзор. Спустя день, 26 марта 2021 г., он отказался от этой идеи и предложил проходить регистрацию в сетях через портал госуслуг, для получения доступа ко всем сервисам которого все равно требуются паспортные (то есть персональные) данные.
Для регистрации в самих госуслугах и получения доступа ко всем их опциям нужно будет указать не только серию и номер паспорта, но также ФИО и номер СНИЛС вместе с адресом электронной почты и номером мобильного телефона.
Для пользователей, не желающих делиться ни с государством, ни со сторонними сервисами своими паспортными данными, существует возможность регистрации в ЕСИА без их указания. Однако в этом случае большая часть сервисов, предоставляемых порталом госуслуг, будет недоступна.
Впрочем, упрощенная регистрация ЕСИА в будущем может быть и отключена. Еще летом 2020 г. CNews сообщал, что Минцифры хотело запретить гражданам России проходить регистрацию на «Госуслугах» по упрощенной схеме – путем указания ФИО, номера телефона и e-mail. Согласно подготовленному им проекту постановления Правительства, этот способ регистрации должен был быть упразднен.