This article is not available in English yet.
Instead, the Armenian version is shown.

Mobile ID-ի ներկայիս վիճակը ու դրա հետ իմ փորձը

Վերջերս Mobile ID ակտիվացրի ու կուզեի կիսվել, թե պրոցեսը ինչպիսին էր (ու դեռ է) իմ համար։ Շարժառիթը ոչ էնքան նոր ընդունված օրենքի շրջանակներում եկամուտների հայտարարագիրը ներկայացնելուն պատրաստ լինելն էր, այլ էն, որ վերջերս հաճախ էր պետք լինում ակտեր (pun intended) ստորագրել-ուղարկել, ու հոգնել էի ամեն անգամ փաստաթղթի բնօրինակը առաքումով ուղարկելուց։ Դրա համար ամիսներ առաջ հերթագրվեցի նույնականացման (ID) քարտ հանելու դիմում գրելու համար, հերթս հասավ ու անձնագրայինում դիմում գրեցի հունիսի 23-ին, իսկ վերցրի 3 շաբաթ անց՝ հունիսի 14-ին։

Պետք ա ասեմ, որ էլեկտրոնային նույնականացման ու ստորագրության մասին ինֆոն շատ անկազմակերպ ու ցաքուցրիվ ա ներկայացված ԷԿԵՆԳ-ի կայքում, իսկ mID-ի մասին ինֆորմացիայի մասով ընդհանրապես կլռեմ։ mID-ի մասին ինձ մի քիչ ավելի խորը պատկերացում տվել են «Նիկիտա Մոբայլ»-ի յութուբյան ալիքի վիդեոները, որի համար շնորհակալ եմ էդ ընկերությանը։ Գոյություն ունեցող mID հարթակների, մասնավորապես՝ «ԵսԵմ»-ի մասին, մի քիչ ավել ինֆորմացիա գտել եմ նաև Վիվայի կայքի Mobile ID-ի մասին ՀՏՀ էջից։ Լավ կայք ա նաև Ծառայությունների ազգային հարթակը, բայց «ԵսԵմ»-ի մասին կայքում տեղադրված ինֆորմացիան ավելի շատ էլեկտրոնային նույնականացման վրա կենտրոնացած ա, քան ստորագրության։ Էս ռեսուրսներն ունեն իրենց տեղը, բայց պաշտոնական ինֆորմացիան mID-ի գոյություն ունեցող հարթակների ու հնարավորությունների մասին շատ սակավ ու անորակ ա։ Սրա պատճառը ենթադրում եմ էն ա, որ mID-ի ծառայությունները (ի տարբերություն eID-ի, որը նույնականացման քարտով տեխնոլոգիան ա) ԷԿԵՆԳ-ից պատվիրակված են mID օպերատորներին։ Համենայնդեպս ես հաստատապես հավատացած եմ, որ պետք ա ԷԿԵՆԳ-ի կայքում էլ պատշաճ ինֆորմացիա կարողանամ գտնել mID-ի ու դրա հնարավորությունների մասին։

Mobile ID-ի ակտիվացումը

ID քարտս ստանալուն պես մոտեցա իմ օպերատորի՝ Վիվայի գրասենյակ՝ Mobile ID (mID) ակտիվացնելու։ Չնայած սա գործնականում էլեկտրոնային ստորագրություն ստանալու առաջին քայլն ա (ID քարտ ստանալը համարում եմ 0-րդ), բայց հենց սա էլ առաջին tricky կետն է։ Եթե Ձեր օպերատորը Վիվան է, ապա պետք է պատրաստ լինեք նրան, որ չեք կարողանալու օգտվել mobileid.am կայքի ծառայություններից, քանի որ վերջինը «Նիկիտա Մոբայլ» օպերատոր-ընկերության ռեսուրս է, որն էլ սպասարկում է միայն Ucom-ի ու Team Telecom-ի բաժանորդներին տրամադրված Mobile ID-ները։ Իրականում շատ բան չեք էլ կորցնում էս հարթակին հասանելիություն չունենալով,– թերևս միայն փաստաթղթերի ստորագրման իրենց գործիքն ա դեռ որ հասանելի էդ կայքում,– բայց օրինակ ինձ հենց էդ գործիքն էր պետք, ինչպես որ կպատմեմ։ Մի խոսքով, օպերատոր ընտրելիս լավ մտածեք, եթե Վիվայի բաժանորդ եք ու նեղվելու եք mobileid.am-ին հասանելիություն չունենալուց։ Իրականում ես մինչև Վիվայով mID ակտիվացնելս էլ գիտեի էս տարբերության մասին, ու թեպետ ոչ Վիվայի համար էլ ունեի, բայց ամենահիմնական համարս Վիվա էր ու որոշեցի հենց Վիվայի համարովս էլ ակտիվացնեմ mID-ն։

Բջջային օպերատորների ու mID օպերատորների փոխադարձ համագործակցության աղյուսակ։ Viva-ն միակն ա, որ չի համագործակցում «Նիկիտա Մոբայլ»-ի հետ։
Նկարը ekeng.am-ից

Փաստաթղթերի ստորագրման տարբերակներն ու պրոցեսը

Mobile ID-ն ակտիվացնելուց հետո եկավ արդեն փաստաթուղթը ստորագրելու ժամանակը։ Նախապես արված ուսումնասիրություններիս արդյունքում փաստաթղթեր ստորագրելու տարբերակների հետևյալ ցանկն էի կազմել.

  1. ekeng.am-ի առաջարկած ծրագրեր Windows-ի համար (eID, mID)։ Այս տարբերակը միջին վիճակագրական գրասենյակային աշխատողի համար գուցե ամենանախընտրելին ու հարմարն ա, բայց օրինակ ես բոլորովին ցանկություն չէի ունենա համակարգչիս վրա ինչ-որ shady, փակ կոդով ծրագրեր նստացնեի, որոնք չգիտեմ էլ համակարգչիս վրա ինչ backdoor-ներ կբացեն (եթե մի կողմ դնենք, որ հենց Կառավարությանն էլ կուրորեն վստահելու ոչ մի պատճառ չունեմ 🌚)։ And the cherry on top is — իմ կոմպը Windows էլ չի, Mac ա, ու անհասկանալի ա, թե ինչի պետք ա մենակ Windows-ը support արվի։ Առհասարակ կարծում եմ, որ Windows-ի վրա ստորագրման 150 հատ տարբերակ մշակելու փոխարեն կարելի էր 149 հատ մշակել ու մի հատ cross-platform, web-based ստորագրման լուծում տալ։ (Բայց հանուն արդարության նշեմ, որ այլ երկրներերի կառավարություններն էլ են պարտադրում ստորագրելու համար իրանց ծրագրերը նստացնել, ինչպես օրինակ Բելգիան։)

  2. «Նիկիտա Մոբայլ»-ի փաստաթղթերի ստորագրման վեբ-գործիք (mobileid.am/secure/sign/index Այս մեկը աշխատում ա mID-ով, բայց ինչպես ասեցի, հնարավոր ա օգտագործել մենակ Ucom-ի ու Team Telecom-ի բաժանորդ լինելու դեպքում, այսինքն ինձ համար սա տարբերակ չէր։ Ափսոս, քանի որ ինտերֆեյսը բավականին լավն էր ու թեպետ ստորագրության կոնֆիգուրացիայի հնարավորությունները շա՜տ բազմազան չէին, համենայնդեպս գոնե կարելի էր ինչ-որ բաներ կարգավորել մինչև ստորագրելը, կամ առնվազն անտեսանելի ստորագրել։

  3. «ԵսԵմ» հարթակի փաստաթղթերի ստորագրման վեբ-ծրագիր (yesem.am/documentsigning Սա էլ ա աշխատում mID-ով ու սա էն լուծումն ա, որով ես ստիպված եղա ստորագրել։ Եթե նախորդ տարբերակների աշխատելու ձևի մասին համապատասխանաբար ekeng.am-ի ու mobileid.am-ի վիդեոներով որոշ պատկերացում ունեի, ապա սա լրիվ սև արկղ էր ինձ համար մինչև mID-ս ակտիվացնելը։

    Սև արկղի պարունակությունը անկեղծ ասած հիասթափեցուցիչ էր. կայքը առհասարակ բաղկացած էր երևի թե 2 էջից (կամ FAQ-ի չաշխատող էջն էլ հաշված՝ 3), իսկ ինտերֆեյսով բոլորովին չէր փայլում։ Մտնելուց հետո միակ հասանելի դաշտը ֆայլը վերբեռնելու դաշտն ա, որտեղ ֆայլը ավելացնելուց հետո ուղղակի հեռախոսին PIN հավաքելու պատուհանն ա բացվում, որը հաստատելուց հետո ստորագրված ֆայլը լինում ա ներբեռնել։ Ինչպես ասեցի, էս եղանակում կոնֆիգուրացիայի ոչ մի տարբերակ չկա, ու ստորագրությունը ինչ-որ ռանդոմ (կամ չգիտեմ ինչ ալգորիթմով հաշվվող) տեղ ա ընկնում էջերից մեկի վրա։ Լավ էր՝ տեսնելի ստորագրությունը ստորագրածս փաստաթղթի մեջ ոչ մի տեքստ չէր փակել, թե չէ չգիտեմ՝ ուրիշ ոնց էի ստորագրելու։

Էս վերջին կետում թեթև անդրադարձա ստորագրության բուն պրոցեսին, բայց մի քիչ ավելի մանրամասն էլ ներկայացնեմ։ Օպերատորի գրասենյակում Ձեր քարտը USIM քարտով փոխարինելուց սկսում են Mobile ID-ի կարգավորումը, որի ընթացքում Ձեզ խնդրում են PIN կոդ մտածեք, որը հենց ինքներդ հավաքում եք հեռախոսի վրա ու 3 անգամ հաստատում (իմ իմանալով պետք ա որ երկու տեսակ PIN կոդ կարգավորվեր՝ նույնականացման ու ստորագրման, բայց Վիվայում ինձ մի հատ կարգավորել տվեցին ու երկու նպատակի համար էլ նույն PIN-ն եմ օգտագործում)։ Այդքանով կարգավորումն ավարտվում ա ու կարաք օգտագործեք Ձեր Mobile ID-ն տարբեր հարթակներ մտնելու ու ստորագրելու համար։ Մտնելու կամ ստորագրելու համար համապատասխան հարթակներում հավաքում եք Ձեր համարը, ու հենց նույն պահին Ձեր հեռախոսում native interface-ով PIN հավաքելու պատուհան ա բացվում, որը հավաքելուց հետո էլ եկած հրահանգներին ուղղակի Accept եք սեղմում ու վերջ, մուտքը կամ ստորագրությունը հաստատվում ա։ Կարծում եմ շատ լավ են մտածել էս ընթացակարգը, որ հավելյալ ծրագրեր նստացնելու և այլնի կարիք չի լինում. private key-ն հենց հեռախոսի քարտի մեջ ա (ինչքան գիտեմ), ու ռիսկերը բավական քիչ են լինում (թեպետ չգիտեմ էս native հաղորդակարգը, որ կարծեմ USIM Application Toolkit ա կոչվում, ինչ այլ տեսակ ռիսկեր ա իր հետ բերում հեռախոս)։

Ստորագրության վավերականության ստուգումը

Ահա, լավ, փաստաթուղթը ստորագրեցի։ Հիմա ո՞նց ստուգեմ՝ ստորագրությունս վավեր ա, թե չէ։ Ամենապարզ տարբերակով կարելի ա օգտագործել ekeng.am-ի այս գործիքը, որը ես մի թեստային փաստաթղթով փորձարկեցի, բայց օրինակ անձնական տվյալներ պարունակող պայմանագիրս հեչ չէի ուզի էս ծրագիր վերբեռնել։ Այլ տարբերակ կլիներ օրինակ ԷԿԵՆԳ-ի փոփոխած Adobe Reader-ը քաշելը, բայց, ինչպես ասեցի, դրա ոչ հնարավորությունը կա Mac-ի վրա և ոչ էլ առավել ևս ցանկությունը։ Քանի որ, ինչպես ենթադրում էի, էս էլեկտրոնային ստորագրությունները սովորական asymmetric key-based signature-ներ են, որոշեցի ուղղակի գտնել համապատասխան root ու intermediate CA սերտիֆիկատները ու դրանք ավելացնել PDF կարդացող ծրագրերիս՝ Adobe Acrobat-ի ու LibreOffice-ի մեջ (սերտիֆիկատները իհարկե բացակայում էին երկուսի ստանդարտ կոնֆիգուրացիաներում էլ ու փաստաթուղթը բացելուց Invalid Signature էր երևում)։

Ինչպես պարզվեց, էս սերտիֆիկատները գտնելն էլ էր ԷԿԵՆԳ-ը դարձրել առանձնակի բարդության գործ։ Սերտիֆիկատները ես նորմալ ֆորմատով չկարողացա գտնել ԷԿԵՆԳ-ի կայքում (անհրաժեշտ ծրագրերի էջում թեպետ կար Public Certificates անունով հղում, բայց սա էլ էր .exe ֆայլ)։ Ստիպված եղա ստորագրածս ֆայլից ինքս extract անել սերտիֆիկատները, որոնք .pem ֆորմատով կդնեմ ստորև հեշտ ներբեռնման համար.

Ի դեպ շատ վստահ էլ չեմ, որ intermediate CA սերտիֆիկատը էս մի հատն ա, բայց ամեն դեպքում կարծում եմ դեռ որ էս մի հատը կլինի։

Չնայած ես հույս ունեի, որ էս սերտիֆիկատները Mac-ի keychain-ում ստանդարտ ձևով ավելացնելուց հետո կավելանան նաև LibreOffice-ում ու Adobe Acrobat-ում, բայց պարզվեց երկուսի համար էլ առանձին կարգավորումներ են պետք։

Կարգավորումը LibreOffice-ի համար

LibreOffice-ը լռելյայն ձևով կարծես թե հենվում ա համակարգչում տեղադրված Firefox-ի certificate directory-ի վրա (չգիտեմ եթե վերջինը տեղադրված չի, ինչ ա օգտագործում), դրա համար մեր այս սերտիֆիկատները հարկավոր ա բեռնել հենց Firefox-ում։ Դրա համար.

  1. Firefox-ում մտնում ենք about:preferences#privacy
  2. Certificates բաժնում սեղմում «View Certificates…» կոճակի վրա
  3. Authorities tab-ում սեղմում «Import…» ու առանձին-առանձին ընտրում ու բեռնում երկու սերտիֆիկատները
    • Ուշադիր եղեք, որ անպայման նշեք «Trust this CA to identify…» checkbox-ները, հակառակ դեպքում LibreOffice-ը ուղղակի անվերջ կախում ա

Վերջ, էս քայլերից հետո փակում-բացում ենք LibreOffice-ը ու PDF ֆալը բացելուց արդեն պետք ա որ ցույց տա «This document is digitally signed and the signature is valid»։

Կարգավորումը Adobe Acrobat-ի համար

Ակրոբատի համար ճիշտն ասած աշխատող ձև չգտա custom սերտիֆիկատ ավելացնելու։ Ինչ ֆորմատով որ ասես convert չարեցի էս սերտիֆիկատները ու փորձեցի ավելացնեմ Trusted Certificate-ների ցանկին (Acrobat > Preferences… > Signatures > Identitied & Trusted Certificates > More…), բայց file picker-ը ոչ մի կերպ չէր թողում ընտրեմ սերտիֆիկատները։ Վերջը ուղղակի բացեցի էլեկտրոնային ստորագրած ֆայլը, Signatures պանելից բացեցի անվավեր ստորագրությունը, սեղմեցի «Certificate details…» ու սերտիֆիկատների շղթայով ի վեր գնալով ու «CA of RoA» ու «National Root CA» սերտիֆիկատները ընտրելով հենց էդ պատուհանից երկուսին էլ trust արեցի։ Դրանից հետո ստորագրությունը արդեն ցույց տվեց որպես վավերական (նաև հաջորդ անգամները ծրագիրը բացելուց)։

Ամփոփիչ մտքեր

Համփոփում ասեմ, որ էլեկտրոնային նույնականացման ու ստորագրության գործող տեխնոլոգիաների հիմքերը հեչ վատը չեն, բայց հաշվի առնելով, որ արդեն 5+ տարի ա համակարգը ներդրված ա, իմ սպասումները շատ ավելին էին։ Թեպետ լավ ա, որ առավելապես գրասենյակային աշխատողների կամ տեխնոթեյնիկների համար (ամենայն հարգանոք) օգտագործումը իրանց ծանոթ ծրագրային միջավայրում ա ու հարմար ա, բայց կուզեի ոչ-թեյնիկ օգտագործողների համար օգտագործումը դրա պատճառով էսքան բարդացրած չլիներ։ Կուզեի նաև գոյություն ունենային ստորագրման platform-independent ու հատկապես web-based ավելի շատ լուծումներ, որովհետև իրոք անհասկանալի ա, թե ինչու ես պետք ա անհրաժեշտաբար ինչ-որ փակ կոդով ծրագիր համակարգչիս մեջ նստացնեմ ընդամենը ստորագրություն դնելու ու վավերացնելու համար։ Այս հարցով մեյլ եմ գրել Հայաստանի տեղեկատվական համակարգերի գործակալությանը, որը կարծես «ԵսԵմ» հարթակը կառավարողն ա, ու խնդրել տեղեկացնել, թե արդյոք կան պլաններ «ԵսԵմ»-ի ստորագրման վեբ-ծրագիրը բարելավելու, ու թե արդյոք կա հանրությանը հասանելի API, որի օգնությամբ գոնե ինքս կկարողանամ էլեկտրոնային ստորագրության ավելի կատարելագործված ծրագիր գրել։ Հուսանք՝ կպատասխանեն։

Թարմացում 28/07/2025։ Ինձ գրելուս հաջորդ օրը պատասխանեցին Հայաստանի տեղեկատվական համակարգերի գործակալությունից։ Ասեցին, որ «ներկայումս նախագծման և տեխնիկական աշխատանքների փուլում է ստորագրման պորտալի նոր լուծումը՝ համապատասխան եվրոպական ստանդարտներին»։ Ի պատասխան API-ի մասին հարցիս՝ ասեցին, որ այս ծրագրի շրջանակում նաև հենց API տրամադրել են նախատեսում։ Շատ կսպասեմ երկուսին էլ ու շնորհակալ եմ արագ արձագանքի համար։

Ինչ վերաբերվում ա ինձ ու իմ փաստաթղթերին, ի վերջո անցած շաբաթ ուղղակի VirtualBox-ում Windows setup արեցի, որ DesktopSigner-ից օգտվեմ ։դ Հիմա ստորագրելիք ֆայլերս ուղղակի գցում եմ shared folder ու Windows-ում ստորագրում։

Թարմացում 05/09/2025։ Մի քանի օր առաջ գովազդ բերեց մոտս, որ Team-ը արդեն թողարկում ա mID սպասարկող eSIM քարտեր։ Զանգեցի Վիվա, ասացին իրանք էլ արդեն ունեն (ընդհանրապես մարտի վերջից արդեն իսկ պիտի ունենային)։ Էսօր մոտեցա գրասենյակ ու ֆիզիկական SIM-ս հետ փոխեցի eSIM-ի. ֆիզիկական քարտեր չեմ սիրում։ Ընթացակարգն ու մնացած ամեն ինչը նույնն էին։

Comments