Портал https://pgp.lukoil.com — официальная платформа ПАО «ЛУКОЙЛ» для безопасного обмена конфиденциальной информацией с партнёрами, поставщиками и клиентами. Система построена на протоколе PGP (Pretty Good Privacy), который обеспечивает сквозное шифрование писем, документов и технических данных. Без правильной настройки PGP-ключей доступ к порталу и переписка с компанией становятся невозможны — это частая причина блокировки аккаунтов и задержек в бизнес-процессах.

В этой статье разберём уникальные требования ЛУКОЙЛ к PGP-шифрованию, которые не совпадают со стандартными настройками большинства почтовых клиентов. Например, компания обязывает использовать ключи длиной не менее 4096 бит и запрещает некоторые алгоритмы (вроде SHA-1), что часто упускают из виду. Также вы узнаете, как избежать типичных ошибок при генерации ключей, почему письма могут не доходить до адресатов @lukoil.com, и где скачать актуальные открытые ключи компании.

Материал будет полезен:

  • 🔧 Поставщикам и подрядчикам ЛУКОЙЛ, которым требуется обмен технической документацией.
  • 📊 Сотрудникам компаний-партнёров, отвечающим за информационную безопасность.
  • 💼 Предпринимателям, участвующим в тендерах или проектах с дочерними предприятиями группы.
📊 С какой целью вы используете PGP-шифрование для ЛУКОЙЛ?
Обмен коммерческими предложениями
Отправка технической документации
Участие в тендерах
Решение вопросов с поддержкой
Другое

1. Что такое PGP-портал ЛУКОЙЛ и зачем он нужен

Портал pgp.lukoil.com — это защищённый веб-интерфейс для обмена зашифрованными сообщениями и файлами. Его основные задачи:

  • 🔒 Гарантировать конфиденциальность переписки с компанией (включая финансовые данные, контракты, НИОКР).
  • 📋 Автоматизировать проверку подлинности отправителя через электронные подписи.
  • ⚖️ Соответствовать требованиям ФЗ-152 (о персональных данных) и внутренним регламентам ЛУКОЙЛ по кибербезопасности.

Без PGP-шифрования письма на адреса @lukoil.com или @lukoil-*.ru могут быть отклонены серверами компании. Это касается даже обычных запросов в службу поддержки — например, по вопросам работы с ЛУКОЙЛ-Картой или доступом к Единой системе закупок (ЕСЗ).

⚠️ Внимание: Портал не заменяет корпоративную почту ЛУКОЙЛ. Он предназначен исключительно для внешних контрагентов. Сотрудники компании используют внутренние системы (например, Lotus Notes).

С 2023 года ЛУКОЙЛ ужесточил требования к PGP-ключам: теперь они должны обновляться каждые 2 года, а алгоритм хэширования — не ниже SHA-256. Старые ключи (сгенерированные до 2021 года) могут быть заблокированы без предупреждения.

2. Требования ЛУКОЙЛ к PGP-ключам: технические детали

Компания предъявляет жёсткие критерии к параметрам ключей. Если хотя бы один из них не соблюдён, система откажет в регистрации или приёме писем. Основные требования:

Параметр Требование ЛУКОЙЛ Примечание
Длина ключа 4096 бит (минимум) Ключи 2048 бит не поддерживаются с 2022 года.
Алгоритм шифрования RSA или ECC (эллиптическая криптография) DSA и ElGamal запрещены.
Алгоритм хэширования SHA-256 или выше SHA-1 и MD5 не принимаются.
Срок действия Не более 2 лет После истечения ключ автоматически деактивируется.
Email в ключе Должен совпадать с адресом отправителя Иначе письмо будет отклонено как поддельное.

Особое внимание уделите подуровням доверия: ЛУКОЙЛ требует, чтобы ваш ключ был подписан хотя бы одним доверенным источником (например, ключом компании или сертифицированным UDP-центром). Без этого ваши письма будут помечены как «непроверенные».

💡

Перед генерацией ключа проверьте его параметры через команду gpg --edit-key ваш_email и убедитесь, что алгоритм соответствует rsa4096 или ecdsa.

3. Пошаговая инструкция: как сгенерировать и зарегистрировать PGP-ключ для ЛУКОЙЛ

Процесс состоит из 5 этапов. Если пропустить хотя бы один, система выдаст ошибку "Invalid Key Parameters".

  1. Установка ПО. Скачайте GnuPG (для Windows — Gpg4win, для macOS — GPG Suite). ЛУКОЙЛ рекомендует версии не ниже 2.2.20.

  2. Генерация ключа. Запустите команду: 

    gpg --full-generate-key

    Выберите RSA and RSA (default), длину 4096, срок действия 2y. В поле Email укажите адрес, с которого будете отправлять письма.

  3. Экспорт открытого ключа. Экспортируйте ключ в формате ASCII: 

    gpg --armor --export ваш_email > public_key.asc

  4. Регистрация на портале. Перейдите на pgp.lukoil.com, авторизуйтесь (если аккаунта нет — запросите доступ у вашего куратора в ЛУКОЙЛ) и загрузите public_key.asc в раздел Мой профиль → PGP-ключи.

  5. Подтверждение ключа. Дождитесь письма от pgp-admin@lukoil.com с подтверждением (может прийти в течение 1–3 дней). Только после этого ключ станет активным.

☑️ Проверка перед отправкой ключа

Выполнено: 0 / 5
⚠️ Внимание: Если вы используете корпоративную почту (например, на Yandex Connect или Microsoft 365), убедитесь, что ваш IT-отдел не блокирует исходящие PGP-письма. ЛУКОЙЛ фиксировал случаи, когда письма «исчезали» из-за внутренних фильтров компаний-отправителей.

4. Как отправить зашифрованное письмо на адрес ЛУКОЙЛ

После регистрации ключа вы можете отправлять письма на любые адреса доменов @lukoil.com, @lukoil-engineering.ru и других дочерних структур. Алгоритм действий:

  1. Скачайте открытый ключ получателя с портала pgp.lukoil.com/keys. Ключи обновляются ежемесячно — используйте актуальную версию!

  2. Импортируйте ключ в ваше PGP-ПО: 

    gpg --import lukoil_recipient.asc

  3. Создайте письмо в вашем почтовом клиенте (например, Outlook или Thunderbird) и зашифруйте его с помощью плагина Enigmail или вручную через команду: 

    gpg --encrypt --sign --armor -r recipient@lukoil.com file.txt

  4. Отправьте зашифрованное письмо. В теме укажите префикс [PGP], например: [PGP] Коммерческое предложение по контракту №12345.

Если письмо не дошло, проверьте:

  • 🔹 Правильность адреса получателя (опечатки в домене — частая причина ошибок).
  • 🔹 Актуальность ключа получателя (скачан ли он с официального портала?).
  • 🔹 Наличие вашего ключа в базе ЛУКОЙЛ (статус можно проверить в личном кабинете).
Что делать, если письмо вернулось с ошибкой "No valid PGP key found"

Эта ошибка означает, что ваш ключ не найден в базе ЛУКОЙЛ или истёк его срок действия. Решение:

1. Проверьте статус ключа в личном кабинете на pgp.lukoil.com.

2. Если ключ неактивен — сгенерируйте новый и повторно зарегистрируйте его.

3. Если ключ активен, но письма не доходят — свяжитесь с pgp-support@lukoil.com и уточните причину блокировки (возможно, ваш IP-адрес в чёрном списке).

5. Типичные ошибки и их решения

Даже при правильной настройке пользователи сталкиваются с проблемами. Вот наиболее частые:

Ошибка Причина Решение
gpg: signing failed: No pinentry Не установлен pinentry (программа для ввода пароля). Установите пакет pinentry-qt или pinentry-gtk2.
gpg: key ... not found: Unusable public key Ключ получателя истёк или отозван. Скачайте актуальный ключ с pgp.lukoil.com/keys.
Письмо не дошло, но ошибок нет Ваш IP-адрес заблокирован firewall ЛУКОЙЛ. Напишите в pgp-support@lukoil.com с просьбой разблокировать IP.
gpg: invalid packet (ctb=xx) Повреждён зашифрованный файл. Перешифруйте письмо и отправьте повторно.

Если вы используете Outlook, ошибка "GpgOL: Encryption failed" часто возникает из-за конфликта с плагинами (например, iCloud). Решение:

  1. Отключите все расширения, кроме GpgOL.
  2. Перезапустите Outlook.
  3. Повторите попытку шифрования.
💡

Перед отправкой важных документов всегда проверяйте целостность зашифрованного файла командой gpg --verify. Это убережёт от потери данных из-за повреждённых пакетов.

6. Безопасность: как защитить свой PGP-ключ от взлома

ЛУКОЙЛ требует не только правильной настройки PGP, но и соблюдения мер безопасности. Вот что нужно сделать:

  • 🔐 Храните секретный ключ на отдельном зашифрованном носителе (например, YubiKey или KeePass-контейнере).
  • 🛡️ Используйте парольную фразу длиной не менее 15 символов с заглавными буквами, цифрами и спецсимволами.
  • 🔄 Обновляйте ключи каждые 1,5 года (не дожидаясь истечения срока).
  • 🚫 Никогда не отправляйте секретный ключ по email или мессенджерам — даже в зашифрованном виде.

ЛУКОЙЛ фиксирует попытки подбора паролей к PGP-ключам. Если система зафиксирует более 5 неудачных попыток ввода парольной фразы, ключ будет автоматически отозван, а аккаунт заблокирован на 24 часа.

⚠️ Внимание: Если вы потеряли доступ к секретному ключу, восстановить его невозможно. Придётся генерировать новую пару ключей и повторять процедуру регистрации на портале. Это может задержать бизнес-процессы на 3–5 дней!

Для дополнительной защиты рекомендуем:

  • 📱 Настроить двухфакторную аутентификацию (2FA) в личном кабинете pgp.lukoil.com.
  • 📧 Использовать отдельный email для PGP-переписки (не связывать его с социальными сетями).
  • 🔍 Регулярно проверять ключи на утечки через сервисы вроде keys.openpgp.org.

7. Альтернативные способы обмена данными с ЛУКОЙЛ

Если PGP по какой-то причине недоступен, компания предлагает несколько резервных каналов:

Способ Когда использовать Ограничения
Единая система закупок (ЕСЗ) Для участия в тендерах и загрузки документации. Требует отдельной регистрации на esz.lukoil.com.
SFTP-сервер Для передачи крупных файлов (более 50 МБ). Нужно запросить доступ у куратора в ЛУКОЙЛ.
Электронная подпись (ЭП) Для подписания договоров и актов. Требует сертификата, выданного удостоверяющим центром (например, СКБ Контур).

Однако учтите: все альтернативные каналы требуют предварительной настройки PGP для первичной аутентификации. Например, чтобы получить доступ к SFTP, нужно сначала отправить запрос через зашифрованное письмо.

💡

PGP-шифрование — обязательный первый шаг для работы с ЛУКОЙЛ по любому каналу. Без него вы не сможете использовать ЕСЗ, SFTP или другие сервисы компании.

FAQ: Частые вопросы по работе с pgp.lukoil.com

Можно ли использовать один PGP-ключ для нескольких email-адресов?

Нет. ЛУКОЙЛ требует, чтобы каждый адрес отправителя имел отдельный ключ. Если вы отправляете письма с ivan@company.ru и support@company.ru, для каждого нужно сгенерировать свою пару ключей и зарегистрировать их на портале.

Что делать, если забыл парольную фразу от секретного ключа?

Восстановить парольную фразу невозможно. Вам придётся:

  1. Сгенерировать новую пару ключей.
  2. Зарегистрировать её на pgp.lukoil.com.
  3. Уведомить всех контрагентов в ЛУКОЙЛ о смене ключа (через службу поддержки).

Процесс может занять до 5 рабочих дней, поэтому храните парольную фразу в надёжном месте (например, в KeePass или на бумажном носителе).

Как проверить, что моё письмо дошло и было расшифровано?

ЛУКОЙЛ не отправляет уведомления о прочтении, но вы можете:

  • Попросить получателя подтвердить получение (например, в ответном письме).
  • Проверять статус в личном кабинете на pgp.lukoil.com (раздел История писем).
  • Использовать функцию --request-return-receipt в GnuPG (но она работает не со всеми почтовыми серверами).
Можно ли отправлять PGP-письма с корпоративной почты на Gmail или Mail.ru?

Технически да, но:

  • ЛУКОЙЛ не рекомендует использовать публичные почтовые сервисы для деловой переписки.
  • Некоторые домены (например, @gmail.com) могут блокировать PGP-вложения как «подозрительные».
  • Если вам необходимо использовать Gmail, настройте GnuPG через Mailvelope (расширение для браузера).
Где взять открытые ключи для новых подразделений ЛУКОЙЛ?

Актуальные ключи всех подразделений публикуются в разделе «Ключи» на портале. Если нужного ключа нет:

  1. Напишите в pgp-support@lukoil.com с указанием названия подразделения.
  2. Уточните у вашего куратора в ЛУКОЙЛ, не изменилась ли структура компании (иногда подразделения реорганизуются, и ключи обновляются).