B+S

А чо молчим то?
Ощущения смешанные ...
Сначало отжигал Дьяконов, но больше понравился Misys (Геннадий Заменский), даже захотелось потестить их систему и изнутри поглядеть ...
Если по делу, то все упорно обходили системы защиты юриков, типа нет пока ничего, предлагали называть клиентов "сам дурак" и всякие блудные OTP токены и СМС, которые доведут до нервного тика любую бухгалтершу в торговых организациях, кто только за семки расплачиваться по 10 - 20 позициям с контрагентами.
Хочу задать вопрос Дмитрию из инфосиське про Айкриптилко, оно сервис или библиотека? Её можно в разработке вызывать из компилятора?
Сапы не видал, т.к. сидел на Розничных технологиях, было там чего интересного или нет? Розничные кстати ваще не понравились, кроме Насти перед ватным мужиком последним, который сдулся из-за конкурента (Насти).
Дискуссия малая по продолжительности, я бы задал пару неудобных вопросов, в частности про безопасность, т.к. считаю что первый банк, который предоставит безопасную альтернативу и скажет в СМИ что Бифит и БСС хакают напропалую и всё тырят сразу отберёт себе львиную долю рынка ... как вариант при удешевлении нетбуков до приемлимого состояния инсталяция всяких разных систем исключительно для ИБ конкретного банка (Лайф сиди считаю маразмом).
Вроде специалисты все сидели, а почему круглые глаза делали про новые типы документов? Этаж +1 табличка с 1 ключевым полем и парой десятков для данных.
Б24 скоро объявит тендер на покупку вебкамер для операционистов :-D
Ну и чувак из К отжигал, зря он кстати унёс "поделки", надо было их разыграть в конце )))))

Он такой, зажечь умеет :-) Помню еще в 2006 он за более другую АБС зажигал... Только фамилия у него Заманский.


Не Дмитрий, не из InfosysCo, но отвечу :-)
Во-первых, называется оно не "айкрипто", а isCrypto :-)
Во-вторых, это не библиотека и не сервис, а инфраструктура, в которую входит клиентское ПО, сервер проверки подписей (типа DVCS, но свой протокол) и "обвязка" для процесса выпуска сертификатов (визуализация запросов, подтверждение и т.д.). Может поставляться с разными криптобиблиотеками. Сейчас встроен КриптоКОМ от ЗАО "Сигнал-КОМ", но вариации возможны.


К клиентскому ПО можно обращаться через API путем коннекта на (не помню какой) порт на 127.0.0.1.

Ну я не услышал просто ответ на вопрос "а что оно вообще делает" :-D , а рекламные проспекты на сайте оно и есть рекламные проспекты на сайте, т.е. почитать конечно можно, но это обычно всё "в перспективе" и то если денех дадите :-) Мне лично она интересна в плане использования в своём ПО, разработчик рядом, пинать есть кого ... ну понятно, пояснять думаю смысла нет ...

вы так говорите, как будто это не так

Я так говорю потому что я так говорю.
Это лично моя позиция.
Все говорят об увеличениях числа клиентов, рисуют графики про 99% процентов использования ИБ, втюхивают системы защиты ...
Я писал уже на ОАК, но готов повториться, клиент приходит в организацию, ему дают логин и пароль с ключами на дискете, деньги воруют, втюхивают токен за деньги, деньги воруют ... всё ... защиты нет ... это мы ИТ и понимаем что к чему, клиент по определению это не понимает и мало того он НЕ ОБЯЗАН это понимать, он в банк за решением приходит и оплачивает это решение НАДЕЯСЬ НА БАНК. Понятно о чём говорю? Он деньги платит за токен, который после массового втюхивания пол года не прожил и вообще его использование не просто под вопросом, а ПОД ВОПРОСОМ, т.к. наличие токена на компьютере уже подразумевает что-то закрытое что надо спереть ...

вы когда машину покупаете, тоже не обязаны понимать, что можно колесо порвать, заехав в яму?
если не обязаны, до вашего сведения этот факт быстро доведут
через карман оно доходит гораздо быстрее

Вы не поняли ...
Когда начали переть пароли с логинами придумали ключи.
Когда стали тырить пароли, логины и ключи придумали токены.
Когда стали тырить деньги без ключей, логинов и паролей банки придумали тыкать в договор ))))
Я вообще про механизмы защиты юриков на форуме хотел услышать, а в итоге услышал как все плавно с корпоратов съезжают на физиков и рассказывают как им на сотик СМС приходят или в ОТП тыкать нужно. Не порядок, если обсуждать то серъёзные проблеммы, а все сжалиcь в стулья и тупо смотрели на оптимистичные графики и схемки как завтра будет всё хорошо.

С точки зрения интеграции, isCrypto - это веб сервис. Что на клиентской стороне, что на серверной. Хочешь что-то подписать - засылаешь HTTP(S) запрос нужного вида в нужный порт, где слушает криптоклиент. Хочешь проверить подпись - засылаешь другой запрос в другой порт, где слушает криптосервер.



Все так и есть, как Влад говорит.

Плюс есть RSA реализация на OpenSSL для тех, кто не хочет платить за ГОСТовые лицензии (как вариант - на ключах сотрудников). И еще токены типа бифтовских (ms-key, magistra). В работе eToken GOST и eToken Java. А вообще там структура модульная - хочешь поддержку чего-нибудь этакого - DLL-ку пишешь, кладешь в нужное место и привет.



Можете пинать по адресу dvoinikov@infosysco.ru



+1

О чем я и говорил. Софт для безопасности не должен задавать никаких вопросов и не должен иметь никаких настроек. Если мы, как специалисты, не можем сделать выбор за пользователя, то что с него взять ? Особенно умиляют такие вещи, например, как выбор парамсетов при генерации ключа ЭЦП. Вот сидит клиент и решает - мне CryptoPro A взять или B ?

Россельхозбанк делает пришлепку к клавиатуре, которая будет шифровать вводимые данные. Для юриков отличная защита, при ручном вводе платежей

Дело идет к специальному планшетному компьютеру, имеющему внешний вид платежного поручения...


Для этого совсем не нужно было ходить на B+S, ибо механизмы эти уже 100/500 раз озвучены и пережеваны.
Исходим из того, что:
1. Кроме ЭЦП (в терминах нового закона "усиленная ЭП") нет других аналогов собственноручной подписи, обладающих свойством неотрекаемости.
2. Ни один компьютер не является доверенной средой, где можно было бы ПОЛНОСТЬЮ исключить отсутствие вредоносного ПО, которое на экране покажет одно, а ЭЦП подпишет и отправит в банк совершенно другое (и токен от этого не защитит).

Соответственно:
1. Вычислять ЭЦП надо не просто на "внешнем процессоре" (токене), а на умном девайсе, который ПОЛНОСТЬЮ показывает то, под чем сейчас будет ставиться ЭЦП.
2. Пока в природе п. 1 не наблюдается, остается подписывать документ (платежку) ЭЦП на обычном компьютере (желательно все-таки с токеном) и запрашивать дополнительное подтверждение по альтернативному каналу (например, SMS на мобилу: "вы действительно хотите отправить 3 миллиона в адрес ЗАО Солнышко?", после чего запрос OTP с аппаратного генератора). Хотя сейчас появились умные трояны, которые одновременно заражают и компьютер, и мобильник, после чего действуют согласованно.

..а вот с этого места поподробнее можно? :-( ..типа, физики лохи ещё те?
...а так-то вся эта канитель к чему? ..чтобы деньги тырить?..так на это есть адекватный ответ - нет денег нет и пробем! :-D :lol: :-D

Слишком сложно и дорого как для банка так и для клиента. А если учесть, что разработчик должен будет все реализовать на уровне "железа", то будут проблем с типизацией решения. Да и цена такого решения будет точно больше 50$ на клиента

Ээээ .... как бы производителям софта эти вопросы задавать всё равно нужно, я задал один вопрос Бифиту ... касаему ОТП токенов, у них позиция какая ... мы присылаем коробку с токенами, присылаем диск шифрованный, присылаем конверт с паролем для расшифрации диска, потом эта кухня попадает в базу, на вопрос что в базе и селектом могу я всё себе слить умолчали :-) Ну мозгов не надо да, надеюсь понять и оценить риски для банка? Они назвали это "секретами" прямо в презентации ... т.е. дальше только жопа ... Нам всем предстоит бороться за доверие, и борьба будет тяжёлой, юриков мы все просрали коллективно ...

Физиков хакать будут только ближе к осени (моя оценка).
Есть только одна причина почему их не хакают - они все нищеброды ...
Стреч карты вкурсе как делаются?
1. появляются в памяти компа
2. сохраняются на жёстком диске
3. копируются на флешку, если вообще по почте не отправляются
4. данные модифицируются, т.е. с ними работают сторонними программами (всякие идентификаторы, не стоит заморачиваться, это тех процесс)
5. отдаются ваще левой рекламной конторе, т.к. принтер для печати стоит 50 тыр + плёнка с краской, плёнкой с с херью, которая закрывает кодик, болванку
6. Эту хрень снова обрабатывают компом (шобы по порядку было всё и т. д)
7. Эта вся блуда на компе в памяти у дизайнера ...
8. Идёт на принтер, где остаются оттиски на плёнках ...
Красиво да? Скомпроментировать можно на любом этапе при желании, причм каждый пунктик нужно уничтожать при сведетелях и с актом )))
С ОТП получается ещё интереснее ... всё это дело "путешествуя" по всей стране, приходит к получателю, где хранится в базе в каком-то виде ... что пишется в базу я пока не видел, если пишется алгоритм вычисления одноразового ключа, то я не тем делом занимаюсь, пойду устраиваться в транспортную контору ближе к офису вендоров, хоть поживу нормально ))))))

[Сообщение изменено пользователем 16.04.2011 02:28]

Сорре, имелись ввиду новые технологии емв карты или как их там :-)

Вот мы там в офисном здании сидели, там наверняка в кабинетах были всякие бухгалтера, вот если им сказали бы что мы там сидели, они спустились и плюнули нам в морду за такие инновации :-D

.. тута пишут всяку хрень..типа в жен.туалет подкидывают дорогую флэшку с червями и т.п. :cool: Тётки народ в массе любопытный и жадный.Они енту флэшку сразу на работе в комп воткнут ( им бы током воткнуть ;-) ... и пошла-поехала т.с. :-D :lol: :-(

Предположу, что пока законодательно банкам не запретят "тыкать в договор" ничего в части защиты не изменится в лучшую для клиентов сторону.

Уверен, что любую транзакцию банки могут отследить, чтобы установить куда когда и кому ушли те или иные деньги, с каких ИП выполнялась, кому он принадлежит и т.п.
Но время от времени появляются сообщения.... и ответ банков на претензию: "Вы сами с вашей подписью выполнили этот платеж...ничего сделать не можем, до свидания..."

Да, абсолютно согласен, один из выходов.
Я обычно принимаю позицию клиента, мы ведь в глаза этот интернет-банк для юриков один раз видели когда с интерфейсом знакомились, нам не приходилось стопицот платёжек с него отправлять.

Позиция у них может быть любая, но это не означает, что она:
а) единственная
б) правильная.
Если использовать HSM и персонализацию чипа в банке, то этот shared secret вообще нигде в открытом виде не гуляет.

Nokia 3310 спасёт? :-D

а на линукс использовать не вариант? что то я не слышал, что под линукс вирусяги лютуют

Не уверен. Хотя сам лично предпочитаю всяким смартфонам и прочим понтам устройства, "в которые говорить надо" (а не 128 офисных функций и развлекаловок выполнять), все равно там уже прошивки/операционки...


Но это не означает, что их нет.