Одноразовые ключи vs. сертифицированные СКЗИ
Л
Леонид Волков
Не оставляет меня в покое тема про то, как все могло было бы быть еще лучше Хотя и помню, что лучшее -враг хорошего.
С одной стороны - являюсь пользователем Интернет-банка от 24.ру, и очень доволен - удобный и легкий интерфейс, все просто и понятно, да и еще и отличная ставка процента по Интернет-счету.
С другой стороны - кое-что понимаю в вопросах защиты информации, и понимаю, что одноразовые ключи - не единственное и далеко не самое удобное решение. Если не брать в расчет цену, то использование сертифицированных СКЗИ имеет ряд очевидных плюсов:
- большая надежность (в первую очередь не техническая, а юридическая - понятно, на каком основании можно разрешать конфликтные ситуации, как доказывать правоту и т.д.; но и гарантированная криптографическая стойкость сама по себе вещь приятная)
- подлинная бесконтактность (карта одноразовых ключей не так уж редко кончается - на ней 120 ключей - стало быть приходится ездить в банк)
- простота использования (авторизовался по TLS-у автоматически, зашел, работаю, нажал кнопочку "подписать ЭЦП" - поручение принято на обработку банком - не надо вводить ключей с карточки)
Когда речь идет об Интернет-банке для массового пользователя (физлица), все эти небольшие (но приятные) удобства перевешиваются следующими неудобствами, которые резонно отмечаются тем же 24.ру:
- сертифицированные СКЗИ стоят денег (КриптоПро для конечного пользователя - порядка 1000 рублей, ИнтерПро может не стоить ни сколько, но тогда дорогой получается серверная часть, т.е. расходы банка)
- получается не очень тонкий клиент - сначала надо поставить СКЗИ, а потом уже работать (хотя есть экспресс-вариант ИнтерПро, когда дистрибутив и ключи на одном носителе и прозрачно для пользователя все разворачивается и настраивается)
Однако, хочу сделать такое наблюдение. На сегодня в городе Е сложилась, на мой взгляд, вполне значительная группа пользователей, для которых эти два неудобства не имеют никакого значения (и автор этих строк из их числа) - ну а потерянных потенциальных преимуществ жаль. Что это за люди? Это люди, у которых на всех их компьютерах (домашнем, рабочем) уже установлено сертифицированное СКЗИ. По самым приблизительным подсчетам процент таких пользователей ПК в нашем городе не меньше 10%: так, около 3000-4000 копий КриптоПро CSP распространились нашими стараниями (проект "Контур-Экстерн"), примерно такое же количество копий ИнтерПро - стараниями Северной Казны, + большое (и постоянно растущее) количество пользователей интернет-банков и клиент-банков других кредитных организаций, плюс другие сервисы защищенного электронного документооборота (Минфин СО, например) - думаю, 15000-20000 "заряженных" сертифицированными СКЗИ компьютеров наберется. Это все рабочие компьютеры - т.е. каждый этот компьютер есть рабочее место вполне реального возможного пользователя банковских услуг, но многие в основном с работы и ходят в Интернет, в т.ч. и в интернет-банк, а у кого-то и дома есть СКЗИ.
Какова мораль из всей этой длинной преамбулы? А не хочет ли тот же Банк24.ру сделать таким клиентам совсем приятственно, реализовав поддержку и сертифицированных СКЗИ в своем интернет-банке? И не придется тогда карточки с ключами менять, и не придется дрожать за результаты разбора конфликтной ситуации, буде такая когда-либо возникнет. Хочется все же как совсем в цивилизованном обществе подписываться своей настоящей ЭЦП в интернет-банке.
С одной стороны - являюсь пользователем Интернет-банка от 24.ру, и очень доволен - удобный и легкий интерфейс, все просто и понятно, да и еще и отличная ставка процента по Интернет-счету.
С другой стороны - кое-что понимаю в вопросах защиты информации, и понимаю, что одноразовые ключи - не единственное и далеко не самое удобное решение. Если не брать в расчет цену, то использование сертифицированных СКЗИ имеет ряд очевидных плюсов:
- большая надежность (в первую очередь не техническая, а юридическая - понятно, на каком основании можно разрешать конфликтные ситуации, как доказывать правоту и т.д.; но и гарантированная криптографическая стойкость сама по себе вещь приятная)
- подлинная бесконтактность (карта одноразовых ключей не так уж редко кончается - на ней 120 ключей - стало быть приходится ездить в банк)
- простота использования (авторизовался по TLS-у автоматически, зашел, работаю, нажал кнопочку "подписать ЭЦП" - поручение принято на обработку банком - не надо вводить ключей с карточки)
Когда речь идет об Интернет-банке для массового пользователя (физлица), все эти небольшие (но приятные) удобства перевешиваются следующими неудобствами, которые резонно отмечаются тем же 24.ру:
- сертифицированные СКЗИ стоят денег (КриптоПро для конечного пользователя - порядка 1000 рублей, ИнтерПро может не стоить ни сколько, но тогда дорогой получается серверная часть, т.е. расходы банка)
- получается не очень тонкий клиент - сначала надо поставить СКЗИ, а потом уже работать (хотя есть экспресс-вариант ИнтерПро, когда дистрибутив и ключи на одном носителе и прозрачно для пользователя все разворачивается и настраивается)
Однако, хочу сделать такое наблюдение. На сегодня в городе Е сложилась, на мой взгляд, вполне значительная группа пользователей, для которых эти два неудобства не имеют никакого значения (и автор этих строк из их числа) - ну а потерянных потенциальных преимуществ жаль. Что это за люди? Это люди, у которых на всех их компьютерах (домашнем, рабочем) уже установлено сертифицированное СКЗИ. По самым приблизительным подсчетам процент таких пользователей ПК в нашем городе не меньше 10%: так, около 3000-4000 копий КриптоПро CSP распространились нашими стараниями (проект "Контур-Экстерн"), примерно такое же количество копий ИнтерПро - стараниями Северной Казны, + большое (и постоянно растущее) количество пользователей интернет-банков и клиент-банков других кредитных организаций, плюс другие сервисы защищенного электронного документооборота (Минфин СО, например) - думаю, 15000-20000 "заряженных" сертифицированными СКЗИ компьютеров наберется. Это все рабочие компьютеры - т.е. каждый этот компьютер есть рабочее место вполне реального возможного пользователя банковских услуг, но многие в основном с работы и ходят в Интернет, в т.ч. и в интернет-банк, а у кого-то и дома есть СКЗИ.
Какова мораль из всей этой длинной преамбулы? А не хочет ли тот же Банк24.ру сделать таким клиентам совсем приятственно, реализовав поддержку и сертифицированных СКЗИ в своем интернет-банке? И не придется тогда карточки с ключами менять, и не придется дрожать за результаты разбора конфликтной ситуации, буде такая когда-либо возникнет. Хочется все же как совсем в цивилизованном обществе подписываться своей настоящей ЭЦП в интернет-банке.
e
epv
А не хочет ли тот же Банк24.ру сделать таким клиентам совсем приятственно, реализовав поддержку и сертифицированных СКЗИ в своем интернет-банке?
дык наверное надо у Б24 и спрашивать через их официальные каналы, ну или как минимум тему называть соответственно типа "офф: вопрос к банку24.ру ...."
ИМХО если бы хотели и могли, то давно бы сделали, ибо наверняка понимают всю разницу между сертифицированными СКЗИ и АСП
A
Andrеy-NMT450
Заглянул я как то в И-банк 24.ру. Да, что правда то правда интерфейс прост как палка. Ничего что может хоть как то напряч извилины. Проще пожалуй будет только отсутствие интерфейса:-) Однако как как только возникают вопросы , к сожалению там не реализовано практически никакой аналитики, простейшие
запросы и всё. Согласен что 90% людей это устроит. Только это мне кажется не тот случай когда краткость сестра таланта.
C
Cybervlad
(КриптоПро для конечного пользователя - порядка 1000 рублей, ИнтерПро может не стоить ни сколько, но тогда дорогой получается серверная часть, т.е. расходы банка)
Леонид, 1220 долларов для банка, конечно, сумма великая ;-)
http://www.signal-com.ru/ru/price/index.php
Даже если сюда добавить стоимость NotaryPRO ($1480 + по менее $10 за юзера), все равно это разумные деньги, вкладываемые не на один год.
- большая надежность (в первую очередь не техническая, а юридическая - понятно, на каком основании можно разрешать конфликтные ситуации, как доказывать правоту и т.д.; но и гарантированная криптографическая стойкость сама по себе вещь
приятная)
http://www.securitylab.ru/51901.html - это насчет юридической надежности
C
Cybervlad
это насчет юридической надежности
Во-первых, CNews очень многое передергивает. Во-вторых, есть поговорка про плохого танцора и помощь хирурга ;-)
Собственно, закон об ЭЦП нуждается только в устранении небольшого количества ляпов. Нужно не его перепахивать, а закрывать белые пятна в нашем правовом поле. В частности, вносить изменения в ГК, ГПК, принимать закон об электронном документе и т.п.
Что касается СКЗИ в банках, то это по определению "корпоративный УЦ", в котором все "определеяется соглашением участников системы", т.е. закон лишнего не навязывает и не мешает.
Можно с самым хорошим законом об ЭЦП сделать кривой договор об обмене документами, а можно и сейчас грамотный.
Переформулируя поставленную Леонидом проблему: одноразовые коды, в отличие от ЭЦП, не обладают свойством неотрекаемости; перевешивает ли этот их недостаток простота их использования/внедрения?
Авторизуйтесь, чтобы принять участие в дискуссии.