б24 и "другая" версия интернет-банкинга?

У меня сложилось впечатление, что как раз это вы перфекционист - в плохом смысле. Ни то не годится, ни это, ни что-то третье.

Про множество банков для юриков, выдающих секретные ключи - не уверен. Знаю несколько - везде Клиент самостоятельно генерирует запрос, идёт в банк, заверяет свой открытый ключ и получает сертификат.

Павел, жить вообще страшно :-)
Поэтому, если говорить о риске, надо оперировать понятиями "риск больше, чем при другом подходе". Но Вы же сами далее пишете про паспорт.


Ну придет к Вам человек с распечаткой открытого ключа и паспортом. А кто реально ключ генерировал/менял? Он лично? Его айтишник? Его продвинутое в компах чадо?
Т.е. ДОПОЛНИТЕЛЬНОГО риска этот метод не несет.


Нет.
То, о чем Вы пишете (доверенная третья сторона), полезно при организации сети связи "каждый с каждым". Все не могут обменяться между собой ключами, это нереально. Поэтому открытый ключ и заверяется ключом УЦ, т.к. открытый ключ УЦ есть у всех.
Применительно к банку имеем схему "звезда", и в принципе можно было бы обойтись старыми добрыми "справочниками открытых ключей". Но именно PKI (т.е. наличие УЦ) позволяет не вести справочники (за исключением CRL - это святое), а безопасно обмениваться ключами в реальном времени. При правильном раскладе сроков жизни ключей легко организуется независимая плановая смена ключей на серверах и у клиентов. Со справочниками это в принципе невозможно.
Посему УЦ, даже если он не независимый, а является "внутренностью банка" - полезен.


Вы считаете, что InterPRO больше нигде не используется?
Потому и: http://www.signal-com.ru/ru/news/news_523/

Ну это как посмотреть, Ваше мнение не является единственно верным.
:-D
Могу согласиться, что мы с Вами перфекционисты - каждый по своему...
:-)


Так Жизнь устроена, нет идеала!!! :beach:


А я знаю несколько, где наоборот (но их не одобряю!!! :-) ) и что?
Я понимаю, что Вы считаете, что в Банках сидят жулики и бандиты, но их значительно(на порядки) больше вовне, соотв. риски кражи вовне на многие порядки выше кражи изнутри, поэтому некоторые Банки и генерят весь комплект ключей сами.

Вы заблуждаетесь.

Все правильно говорите, но как бы сказать настолько академично и оторвано от жизни, что у меня складывается впечатление, что Вы сами то не верите в то что говорите (а Вы же не политик вроде... ? :-) )
Ведь когда человек приходит лично, это совсем другое дело, когда он НЕ приходит, понятно, что можно организовать процедуры проверки и его и его паспорта и вообще кто-чего-кому на самом деле (Ну там пытки применить, детектор лжи, клятву на Библии и т.п. ... :-) )

Т.о. отвечаю Вашими же словами:
"Поэтому, если говорить о риске, надо оперировать понятиями "риск больше, чем при другом подходе".
Т.е. риск при личном явлении тела Клиента в Банк (при нормальной организации процесса понятно) меньше, чем его виртуальное появление в виде смены ключа удаленно!!!

По вповоду полезности УЦ - "кто бы сомневался..!!!"
Но опять же полезность его в таких условиях как бы помягче сказать: "Не очень" в реалии, и как Вы знаете есть немало Банков в т.ч. успешно работаюжщих без него (ЦБ - например :-), хотя у них он де-факто как бы есть, а вот они его не называют УЦ - ведь так? :-) )


Да вовсю конечно же использовался!!!
Но вопрос то не в этом, "СК" насколько я помню токены не использовала ведь? Т.е. ключи умыкнуть вредоносной программой моожно было?
Прецедентов краж много было и были ли вообще?

Павел, я сейчас уже грубости начну говорить!
Я в свое время запустил УЦ в Казне, и он там не один год проработал по описываемой мною схеме, доказав ее эффективность. Это свершившийся факт.
А чем можете похвастаться Вы в обсуждаемом контексте? Рассуждениями в форуме?
Ну и кто из нас после этого "оторванный от жизни политик-теоретик"?
Простите, но мне надоело доказывать, что я не верблюд. Схему я описал, на вопросы ответил (на некоторые даже по нескольку раз), кто хотел - услышал.
Теоретизируйте дальше без меня.

Да пожалуйста!!! Уподобитесь тогда "генералу", у него когда аргументов нет он начинает чушь нести типа:




Респект и уважуха за сделанное!
И что? Остальные кругом недоумки? Супер идеальное получилось решение, без единого изьяна? (что-то сомнения грызут... :-( )
Вы предлагаете начать меряться чем - нибудь(или Дуэль? :-D )? Как-то уже несолидно...

Длиной константы в ключе :-)
А если серьезно, то предложение было перейти от теоретизирования к конкретным фактам и аргументам. Свои я привел. А от вас кроме

так ничего и не услышал. Ни ссылки на документ, где это запрещено, ни информации о прецедентах, ни хотя бы логического обоснования почему так безопаснее, чем этак.
Приведете - зовите, продолжим обсуждение :-)

Мне показалось, что Павел спрашивал про подключению к И-банку2 в офисе Банка24.

Я вообще говоря поражаюсь терпеливости Cybervlad.
Вы какие-то контраргументы все странные приводите, я удивлен почему все еще не дошли до того, чтобы каждый платеж лично подтверждать в Банке (ну так, для пущей уверенности банка, что плательщик это тот самый плательщик).
Схема использованная Казной для замены ключа безопасна в той же степени, сколь безопасны платежи подтверждаемые ЭЦП. И, что не менее важно, она удобна для клиента.
Приводить аргументы "мы не знаем кто на самом деле подписал запрос" ну очень странно, банку то не "параллельно"? Ответственность за сохранность секретного ключа лежит на владельце этого ключа, по-моему этим все сказано.


И как генерация комплекта ключей Банком уберегает нас от риска "кражи во вне" 8(
К риску "кражи во вне" автоматически добавляется риск "кражи внутри банка". Поэтому при этой схеме риск "потери ключа" возрастает ;-).

Уважаемые господа-специалисты в области защищённости ДВО, обращаюсь к Вам по чисто практическому вопросу. Специально перечитал всю тему. Нашёл только ссылки на использование в разных интернетбанках с ЭЦП на прогу Inter-PRO от Сигнал-КОМа и ссылку на прогу от компании «Информационные системы», используемую в интернетбанке2:

(видимо имеется в виду анонсированная программа isCripto).
В связи с моим желанием перейти в Точке на интернебанк2 с ЭЦП хотелось бы наверняка знать и понимать, какое из этих решений (а может быть какое-то другое) лежит в основе обеспечения безопасности Интернетбанка2 и узнать мнение независимых специалистов-профессионалов в отношении уровня обеспечения защиты информации данных решений и насколько они подтверждены соответствующими сертификатами.
Буду благодарен прочитать здесь непредвзятые мнения для принятия мной решения о переходе на интернетбанк2 с ЭЦП. Спасибо.

В "клиент ЭЦП" видны следы CryptoCom. Вероятно это отсюда: http://www.cryptocom.ru/
Но лицензия на встраивание средств криптозащиты, как я понимаю, создателям "Клиент ЭЦП" все равно была нужна.

Неиспользование токенов бСК - не вина, а беда, и не одного только бСК - всех банков, использовавших тогдашнюю версию ПО фирмы "Сигнал-КОМ".
Inter-PRO (или другое ПО "Сигнал-КОМ"а) используют (из того, что я знаю):
- Балтийский Банк
- ВТБ24
- ВТБ-СЗ

Сравните функциональность и реализацию потенциально одинаковых возможностей ДБО.
День и ночь!

Одни и ключ выдают, другие НОРМАЛЬНО используют проверенные и отработанные технологии PKI.
Причём тут бСК?!

Лично я - с первого дня в бСК - сразу разместил файл ключа в криптоконтейнере USB eToken, да, это НЕ обеспечивает неизвлекаемость ключа, но тогда НИ ОДНА версия ПО "Сигнал-КОМ"а не поддерживала аппаратную защиту/генерацию. Опять бСК виновата?!

Аналогичный пример - iBank2.
Если клиент совсем отмороженный ССЗБ - пожалуйста, может хранить ключ в файле, хоть на том же компьютере, с которого по проносайтам ходит.
Одновременно, для понимающих, что к чему - аппаратный криптопровайдер.
И оба клиента получают одинаковый набор услуг в рамках ДБО.
Только банк и о ССЗБах позаботился - ключ в файле регистрируется в сертификате со сроком действия 120 дней, а мой сертификат, с ключом в токене - действителен год.
В доп-соглашении об электронном документообороте прописана процедура разбора спорных ситуаций и ответственность банка и Клиента за сохранность ключа.
Всё ясно и понятно с первой минуты подписания Договора на обслуживание в банке.
Есть аналогичный документ в банках с кодиками?!

Во, прогресс, вы уже самостоятельно начинаете понимать суть происходящего!
:-)


Имевшийся изъян - не по вине бСК был, а из-за Сигнал-КОМовского нежелания или неспособности (на тот момент) обеспечить аппаратную защиту.

Март в самом разгаре.
Чем завершилось февральское совещание?
Что с "другим" интернет-банкингом, когда нормальное ДБО заработает?

Конечно - раз это было в Казне, то это Святое?!
Ьанку то в теории - параллельно, а на практике, если Банк борется за Клиента, а не обращается с ним по формуле: "Вас много, а я один...", то надо думать о том, что не все Клиенты Асы в области Информ.Безопасности.
Зачем тогда Клиентоориентированные Банки (Ну тот же Б24 например - за что им соотв. респект) активно внедряет и пропагандирует USB-токены, ему же как Вы говорите должно быть "Параллельно"? :-(
Есть такая сущность - "Репутационный риск" и Банки его должны оценивать и минимизировать(по-хорошему).


Я где-то писал, что генерация ключей самостоятельно - это Хорошо?
Я просто писал, что Банки это делают(и далее про степень рисков), а то что я это одобряю, это Вам к сожалению показалось... :-(

Причем здесь, Казна?! Если эта схема реализована в каком-либо другом банке, я про нее скажу тоже самое.

Вы еще скажите, что Казна обращалась с клиентами по формуле "Вас много, а я один..." не ставьте себя в смешное положение :lol:
Я что-то пропустил? Пользуюсь "карточным" банком и банком с ЭЦП от б24, но токена у меня нет. И никто про него даже не упоминал при подключении к новому банку (ни за деньги ни за так).
Да, кстати, а к чему в рамках обсуждаемой темы (продление действия ключа удаленно) Вы вообще этот аргумент привели?

А что, я это где-то написал?!
Я всего лишь поставил под сомнение логичность Вашей фразы:

Я этого не говорил и не собираюсь, не надо передергивать.


Мы про какой из ДБО говорим - конкретно для физикофф или для Юрикофф? Посмотрите ДБО для Юрикофф, там есть смысл красть деньги, а копейки физикофф красть мошенникам пока неинтересно...



И где здесь противоречия? Где сомнения?
Я этой фразой хотел лишь сказать, что риск того, что Банковский работгник, который сгенерил ключи клиенту сворует Ваши деньги значительно ниже риска того, что если Ваш ключ ЭЦП не защищен и Вы(ну не конкретно Вы, а среднестатистический пользователь) с большей вероятностью подцепит какую-либо заразу, которая утащит его ключи ЭЦП и передаст в руки неизвестного Вам злоумышленнника, вот и все...

Я уже писал. Риски суммируются.
Если я сгенерил ключ: риск только в том что ключ украдет "зараза".
Если банк сгенерил ключ: ключ может украсть "зараза" + попался нечистоплотный банковский работник + может быть зараза на том компе, который использовал банковский работник + ...
В первом случае риск меньше, чем во втором. Зачем пользователю лишний риск, пусть даже он маловероятнее (но вероятен!!!) чем основной?

+1024
В точку!

Конечно! в случае исп. ЭЦП - именно так и есть, но как говорится "Черт он в мелочах", и тут необходимо правильно расставить акценты и степень рисков.
А теперь посмотрим на ситуацию использования кодиков в ДБО для физ.лиц.
Ведь здесь же тоже кодики "в руках у банка"(сгенерированы самим Банком) на одной стороне весов, и ЭЦП сгенерированная самим клиентом, но носимая им на открытом носителе - с другой стороны весов.
Вопрос: Какая чаша весов перевесит по безопасности и насколько?

А Вы немного смешали в кучу и пошли на поводу у "генерала" с его залихвасткими:

Смешали в кучу как раз вы:
1) ключ ЭЦП в криптопровайдере vs ключ, как файл
2) ЭЦП документа, подтверждающая целостность оного, vs совершенно ничего не удостоверяющий кодик, который неизвестно откуда взялся и ничего не защищает в документе от злонамеренного изменения
3) секретная информация в единственном экземпляре (правильно построенная PKI) vs хранение секретной информации в двух/нескольких местах (и у Клиента, и у Банка)

Лично я - да, я пользуюсь ДБО, где ключ ЭЦП является файлом, но стараюсь применить все доступные методы его защиты, и не забываю регулярно пинать IT-отделы банков, чтобы внедряли аппаратную защиту.

Сдается мне, что Вы и Банковской картой не пользуетесь, там же PIN код тоже "ничего не защищает"... :-)
И Интернет-Банком нельзя пользоваться(вдруг ИТ-отделы похерят мой платеж и все журналы и базы поправят!?), только Клиент-Банк и каждую платежку ежедневно подтверждать личным появлением в Банк с Оригиналом на Бумажном носителе!!! :-)

Навеяло тут старый анекдот на тему:
Два джентельмена (1 и 2)
1 - Сэр, а Вам джин нравится?
2- Нет Сэр, один раз попробовал не понравилось...
1 - А скачки?
2 - Нет Сэр, один раз побывал не понравилось...
.......................
.......................
1 - Сдается мне Сэр, что и детей у Вас максимум 1.

Специально для любителей бумажек и подписей. Прижала однажды жизнь - нужно было обновить ключи ЭЦП, а директор далеко. Ну файлы-то мы сформировали, но банк требует распечатать и подписать открытую часть ключа. Что делать? Перекрестились и подделали подпись. И никто ухом не повел в этом банке.

Универсальная. По принципу "Царю - царево, кесарю - кесарево". Для того, кого вводят в ступор слова токен,антивирус и файрвол - кодики, для остальных в качестве основного инструмента - ЭЦП, в качестве вспомогательного (среда не работающая с криптопровайдером или другие особые случаи) - кодики.

[Сообщение изменено пользователем 05.03.2010 15:49]

Да, действительно, голой картой - картой, которой нельзя управлять из ДБО - я не пользуюсь!
И рассказывать МНЕ про возможные неприятности с картами - всё равно, что учить дедушку кашлять.