б24 и "другая" версия интернет-банкинга?

Чуть лучше бумажных "кодиков", но PIN-кодом не защищён.
Да и ГОСТовской криптографии не поддерживает...

Так это оно и есть, только что не бумажные..!


Чем пароль не канает? (Щас в спор ударится, чтоо PIN - нельзя с паролем сравнивать... :-) )


А оно вообще зачем данному устройству?

безымянная - не слушайте Вы этих Знатоков, они Вам МОЗГ искалечат...
:-)

Тем, что PIN-код спрашивает само устройство, а пароль - набирается на страничке. PIN-код невозможно перехватить (в отличие от пароля), а превышение числа неудачных попыток подбора PIN-кода приводит к аппаратной блокировке устройства (или срабатывает другой механизм защиты от перебора всех значений).

Павел, Вы обиделись? А не кажется, что обижаться мне надо?
Вы задаете вопрос "как это можно выпускать сертификаты без ежегодной явки в банк с бумажкой", я отвечаю. Тогда Вы спрашиваете, "а зачем вообще ключи менять". Тому, кто знаком с основами PKI (даже не криптографии, а именно инфраструктуры PKI), все это известно. Но раз Вы спрашиваете, я потратил время на подробный ответ. На что получил "зачем мне азы рассказывать". Не находите такой диалог странным?
Насчет Вашего пассажа "я тут не теоретизирую, а практикой занимаюсь" - вообще в шоке, ибо схему, которую я описал, мы практически эксплуатировали много лет, она была одобрена и юристами, и технарями, плюс практика подтвердила ее надежность.
Вам этого недостаточно? Ну, не пользуйтесь. Только не надо мне рассказывать, что это невозможно, т.к. я с коллегами это уже делал.


У нас с Павлом (Adams) - о возможности (технической и юридической) продлять сертификат без личного визита в банк. Я говорю, что можно, а Павел не соглашается.


Просто совмещенные в одном корпусе 2 устройства: eToken и генератор кодиков. Внутри чисто электрически они никак не связаны, просто 2 самостоятельных предмета в одном корпусе.
На мой взгляд, устройство перспективное, т.к. о том, что ЭЦП надо дополнять (не подменять, а именно ДОПОЛНЯТЬ!) 1-разовым паролем я уже давно говорю.
Кстати, на конференции общался с разработчиками, у них есть еще более интересная модель - с аппаратной реализацией ЭЦП. Но пока несертифицированная - процесс идет.
Зато у конкурентов взял на тестирование уже сертифицированный токен с российской ЭЦП, который без дополнительных драйверов работает в Windows, Linux и MacOS.

А вот это уже ЗДОРОВО!!!
Аппаратная ЭЦП на любом компьютере без предустановки драйверов - последний камень на могилу бумажных одноразовых кодиков.

[Сообщение изменено пользователем 20.02.2010 23:50]

Условно, Антон. условно. Понятно, что все нужное обычно есть в пакетах дистрибутива, но практика показала, что немного "лапами пошевелить" все равно нужно, чтобы это заработало в не-Windows системе.
Сходу на UBUNTU у меня это не взлетело, штатные пакеты - старых версий. Другие дистрибутивы пока не пробовал, компиляцию из исходников - тоже.
Впрочем, большинству "мирных граждан" достаточно будет устойчивой работы в windows.

а можно с этого места поподробней)))

ну и вообще как люди не с виндой дружат с ЭЦП ?

У меня под UBUNTU запускалась казнинская, вроде сильно не шаманил... просто из по Wine запускал....

Вот такой девайс:
http://www.rutoken.ru/products/rutokends/
Отличие от токенов iBank в том, что этот имеет стандартный интерфейс PKCS#11, а не что-то закрытое и проприетарное.


Да вобщем-то нормально. Казновский и-банк у меня без проблем жил под Debian.
В данном же случае речь идет об аппаратном устройстве, которое по утвержденю разработчиков должно работать со ШТАТНЫМИ драйверами операционки.
Но на практке, Windows-7 устройство опознала только частично, пришлось "дрова" от разработчика подсовывать. В линуксе (UBUNTU) пакеты оказались не самых последних версий (типа, надо 0.9.13, а в комплекте 0.9.11).
После праздников попробую на AltLinux, который у нас является стандартом рабочего места.


Не, тут как раз фишка в том, чтобы устройство опозналось как обычная PC/SC карта через CCID-драйвер, и весь софт, умеющий работать с PKCS#11 ее видел (FireFox, Thunderbird, продукты на базе OpenSSL и т.д.). Тогда и вход в систему можно через него сделать, и шифрование SSL-сессий, и подпись документов.
В винде - аналогчино. Либо через PKCS#11, либо через CAPI (ну, доп. прокладка).

Подключился к "Интернетбанк2".
1) нет готового пакета "запустил и работай", т.е. надо вспомнить настройку прокси на 127.0.0.1, хотя перед глазами уже был пример преднастроенного варианта в Казне через "лисицу".
2) Возможно, что-то не так делаю, но получается что надо дважды вводить пароль от ключа, один раз когда ключ "грузится", второй раз при входе в интернетбанк.
3) При входе Firefox начинает "верещать" что не может проверить подлинность сертификата у 127.0.0.1...
4) По функционалу: если кратко - "голенько" - по сути только произвольный платеж. Пока ни настройки лимитов, ни шаблонов "от производителя"... Понравилась работа со счетами (экспорт операций по счету, платежек в разных форматах).
На мой взгляд пользоваться только новым банком пока проблематично (если надо что-то кроме произвольного платежа), теряешь большое количество функционала банка с "кодиками".

это вы что-то путаете, ИБ2 для работы не требуется дополнительная настройка прокси в браузере

Программа по истечении определенного интервала времени (задается в настройках) "забывает" введенный пароль - это сделано для повышения безопасности

К сожалению, этого нельзя избежать, но данное предупреждение появляется только один раз при первом обращении к программе подписи

Так еще не вечер - новые фичи в работе, следите за новостями :-)

Попробовал на Debian. При установке токена в разъем система его опознает сразу:
Feb 24 10:31:21 mvv kernel: [ 6092.507850] usb 3-2: new full speed USB device using uhci_hcd and address 3
Feb 24 10:31:21 mvv kernel: [ 6092.768742] usb 3-2: configuration #1 chosen from 1 choice
Feb 24 10:31:21 mvv kernel: [ 6092.776992] usb 3-2: New USB device found, idVendor=0a89, idProduct=0030
Feb 24 10:31:21 mvv kernel: [ 6092.777063] usb 3-2: New USB device strings: Mfr=1, Product=2, SerialNumber=0
Feb 24 10:31:21 mvv kernel: [ 6092.777127] usb 3-2: Product: Rutoken ECP
Feb 24 10:31:21 mvv kernel: [ 6092.777182] usb 3-2: Manufacturer: Aktiv

а процесс подключения много времени занимает?

Возможно. Просто у меня браузер по умолчанию - Опера, она и запускалась чтобы попасть в банк. Через нее точно не работает. Возможно, если бы по умолчанию была "лиса" прокси ему автоматом бы передался (не проверял)? А так как запускал "лису" "ручками", то пока не прописал самостоятельно прокси в банк не попал. Сделать "лису" браузером по умолчанию не пробовал.

По ощущениям забывается практически мгновенно (ну сколько времени требуется чтобы набить адрес И-банка2 в адресной строке?). Возможно это все следствие первого пункта (если бы по умолчанию стояла "лиса", то все, возможно, сразу автоматом бы запускалось и второй раз пароль бы не запрашивался).


Я так понимаю, если не сохранить это в "исключениях" то это сообщение будет постоянно. Сохранять что-либо в "исключениях" когда речь идет о безопасности не очень хорошо.


Точно время не засекал. Но по ощущениям не меньше 15 минут (вместе с походом к "клиентскому компьютеру").
Как я понял, пока такое подключение делает только один человек в офисе на Куйбышева.

Вы какой прокси и где прописали? Если у вас Opera работает без прокси, то и ИБ будет работать без прокси. Если же в Opera прописан прокси, то его потребуется прописать и в настройках Windows, так как программа подписания получает данные о состоянии ключа через интернет используя системные настройки.



Это все понятно, проблема в том, что никто не выдаст сертификат на localhost. Программа подписи передает на сервер только подпись под данными, поэтому с точки зрения безопасности в данном случае этой самой безопасности ничего не вредит

Через Оперу Интернетбанк2 долго думал-думал и не грузился. Сегодня проверил еще раз (подождал чуть дольше) - работает.
Что касается прокси: вообще у меня прокси нет. Сейчас (проверял уже на Лисе): работает как с указанием прокси 127.0.0.1 так и без указания прокси. Что-то видимо я первый раз не так делал.


Я догадываюсь :-D

Точнее так:

Программа для работы с ЭЦП (клиент ЭЦП) сначала выясняет, есть ли доступ в Интернет. Для этого она посылает тестовый запрос на сервер, используя (по умолчанию) настройки прокси из браузера IE. Если запрос не проходит, пользователю предлагается указать его настройки прокси. Если прокси указан верно, эти настройки запоминаются и используются при следующем запуске клиента ЭЦП.



Тут какое-то недоразумение. Интернетбанк от информационных систем не требует модификации прокси сервера в браузере. Можно использовать любой браузер как есть.

Однако есть еще отдельное приложение "клиент ЭЦП", запускаемое на компьютере клиента. Оно также требует доступ в Интернет, и если у вас доступ в Интернет через прокси - происходит его выяснение как описано выше.

В свете последних обсуждений на форуме Банковские технологии проблем защищённости средств ДВО хотелось бы узнать конкретнее: что это за программа и кто её разработчик. Если кто знает, просветите пожалуйста.

Добрый вечер всем! Редко бываю на форумах, случайно зашел. Был приятно удивлен целым рядом знакомых лиц. Тем более и нас вспоминают:



Видел дискуссии по целому ряду интересных вопросов. Тема правового регулирования ДБО совсем не исчерпана - это абсолютно точно. Вопрос же о форме сертификата - просто суперважен. Здесь же не только аспекты безопасности, доказательственной базы, но и в конце концов удобства использования. Но, к сожалению, правовые риски сейчас сильно усилились, поэтому вопросов становится только больше.
Дискуссий, полагаю, будет еще очень много, по этому и многим другим вопросам. Наверное все же жаль, что участники и прошлых дискуссий и настоящих в форумах разошлись в разные стороны, а то еще поспорили бы :-)
Думаю, у всех всё получится, и будет несколько лучших интернетбанков :-)

Да быстро.Первый раз долго заходила.Лиса что то пела про прокси 127.0.0.1.
Залечил лису что все нормально, перезагрузился , все заработало.
Нет старых платежей, я так понял что это еще тестовое все...попозже подгрузят.
Чувство юмора у Лапшина по прежнему отменное, kazna.bank24.ru прикололо.

В общем спасибо.А временные глюки переживем как-нибудь.

Приветствую, Володя!
И зря - тут бывает много интересного :-)

Влад!
Да не в обидах дело, мне как-то все равно, кому ставят "плюсики",
Действительно в данном случае я выступаю, как практик, а не как теоретик(вот на пенсию пойду - буду теории двигать... :-) )
Пожтому:
1. Я утверждаю, что менять ключи дистанционно без явки Клиента лично - Большой риск в данных условиях, причем как оказывается и при личном появлении также есть Риск (см. тему про Б24 и мужика с поддельным паспортом) а здесь мы вообще человека не видим (но делаем вид, что у нас все хорошо(как до начала олимпиады в Ванкувере... :-( ) ключи меняются и все поэтому здорово (а кто их реально поменял - мы не знаем).
И если срок смены ключа не опасен с точки зрения технической (время затраченное на BruteForce взлом), то и смысла в этой смене я не вижу.
Кстати в данном случае можно предлагать более стойкие Ключи несколько удлинив их длину и все - время решения NP полной задачи резко возрастает - Разве не так?
Или Вы имели в виду некую третью сущность, которую я не отразил?
2. По поводу PKI: Предполагаю, что Вас сносит на СА(УЦ) технологии, но там Цитата:"
Простая PKI начинается с Certificate Authority (CA), программного пакета, используемого в защищенном режиме ДОВЕРЕННОЙ ТРЕТЬЕЙ СТОРОНОЙ для выпуска цифровых сертификатов X.509v3."
Конец цитаты.
Есть один маленький ньюанс выделенный.
Какая третья сторона была в УЦ ВНУТРИ"СК"? "СК" сделала УЦ (он же СА) внутри себя, почему я должен доверять данному УЦ, если он де-факто (да и де-юре, если по-хорошему) не является 3-ей стороной.
Тут конечно вопрос спорный, но пусть об этом Юристы Бьются, а я как-бы находящийся на стороне Клиента, такому УЦ "НЕ ВЕРЮ!" (с) К.С. Станиславский :-)
Или УЦ таки был действительно отдельным Юр.лицом Полностью соотв.з-ну 1-ФЗ без всяких "типа того"? :-)
3. Даже если я не прав по п.2, то эти Риски просто переходят от Банка к УЦ, но суть то ведь не меняется по п.1.
4. Как я писал ранее: "Два юриста - три мнения", поэтому че уж щас то "СК" защищать в обязательном порядке и технологии, которые там были. были безусловно хорошшие, но ведь не 100% безгрешные?

А вообще я думаю СК" сильно повезло, что она не дожила до сегодняшнего момента - у вредоносопрограммописателей просто не дошли руки до написания программы под И-Банк "СК"!

Эх....
Без личной явки - не знаете, с кем дело имеете, при личной явке - практика проказывает, что опять гарантии нет, что Клиент подлинный...
Где же выход из данного исхода?!

бСК далеко НЕ единственный банк, продлева[вш|ющ]ий (ПЕРЕвыпуска[вш|ющ]ий) сертификаты дистанционно. И не только физикам.

Кстати, в плане курьёза - ВТБ для юрлиц предусматривает ВЫДАЧУ сертификатов и секретных ключей - вот где полный абсурд!

Так идеала нет и быть не может! А Вы видимо перфекционист.
Мы говорим о Снижении Рисков, а не об их Исключении(разницу чувствуете?).




и что, Всем повторять как попугаи(даже если это не совсем верно) и задумываться не моги ( как в Армии- "Командир сказал, что мышь в броне дыру проела - значит проела"? :-) )



Оно конечно Абсурд, полностью соглашусь, но самое смешное, что таких банков - ну очень много!
В связи с этим как Вам ВЫДАЧА ключа ЭЦП УЦ который де-факто внутри Банка? Не то же самое?

Это явно не про то, как было сделано в бСК.
В "КУРС"е ключ Клиента генерировался Клиентом.
Корневой сертификат УЦ хоть банком делайся, хоть со стороны - подделать ЭЦП Клиента это не позволит.