интер-про. как она реализована у конкурентов казны

попользовался я интер-прой4 не от казны. супергемор от сигналкома. Я не ожидал увидеть реализацию в таком виде. просто слов нет, один мат

казна рулит! похоже, что програмисты в казне полностью переработали интерфейс и заточили для клиента. все познается в сравнении.

Inter-PRO - всего лишь прокси-сервер, к функциональности собственно интернет-банкинга НИКАКОГО отношения не имеет.

+1

Inter-PRO это действительно прокси-сервер, который шифрует канал передачи данных "по ГОСТу". А обычный SSL (https) не является сертифицированным в России, поэтому может использоваться лишь в совокупности с другими методами защиты (например с переменными кодами)

Уточнение.
SSL - это протокол, в рамках которого для шифрования могут использоваться разные криптографические алгоритмы - DES, 3DES, AES, Serpent - так называемые "шифр-сьюты". Соответственно, сам посебе этот протокол сертифицировать нельзя.
InterPRO работает в полном соответствии с SSL, но при этом использует сертифицированную ФСБ реализацию ГОСТов 28147-89 (шифрование), Р 34.10-2001 (ЭЦП) и Р 34.11-94 (хэш-функция).

Для всех внешних прокси-серверов трафик от InterPRO выглядит как и любой другой https.



Там (в InterPRO) не так много возможностей для маневра. Можно кое-что "подстроить" при помощи конфигурационного файла, но глобально - это законченный продукт, и он таков, каков есть.
То, что невозможно переделать настройками (например, генерация и смена ключа), приходится писать при помощи библиотеки разработчика (SDK).

ну это понятно. Подготовительный этап - полная ж...

обнаружил такую фенечку, можно эцп запаролить: "шифрование на пароле". при подписывании платежки спрашивается пароль.

в Казне можно также реализовать?

хотя в реальной жизни это сильно утомляет три раза пароль набирать, в интерпру, вход в систему, подписывание документа

как думаете сколько раз нужно в банке Х побывать, чтобы можно было начать отправлять платежки через интернет?

где я писал про интернет-банк?

сам интернет-банк у банка Х простенький. никаких наворотов

бу га га ,

ИМХО Проверте срок действия ключей....... потому как при их окончании.................................
еще раз столькоже побываете в банке.

почему смеюсь....проверено на себе (моё) :-D

год еще можно спать спокойно

инструкцию до конца не дочитал, возможно дистанционно перевыпускаются.

В вашем первом сообщении говорится буквально следующее:
попользовался я интер-прой4 не от казны. супергемор от сигналкома. Я не ожидал увидеть реализацию в таком виде. просто слов нет, один мат
казна рулит! похоже, что програмисты в казне полностью переработали интерфейс и заточили для клиента. все познается в сравнении.

Как ещё в свете вышесказанного можно понять фразу "...казна рулит..." - только как сравнение интернет-банкингов бСК и второго банка.

Шифрование ключа НЕ ЗАВИСИТ от банка - это функция продукта фирмы Сигнал-КОМ.
Да, в интернет-банкинге ЛЮБОГО банка, использующего Inter-PRO, можно защитить ключ паролем.

[Сообщение изменено пользователем 19.03.2008 21:33]

[Сообщение изменено пользователем 19.03.2008 21:33]

[Сообщение изменено пользователем 19.03.2008 21:34]

[Сообщение изменено пользователем 19.03.2008 21:38]

Лично я использую Inter-PRO v4.1.0.3 и для доступа к ДБО от бСК, и для доступа к Балтийскому Банку.

Можете попробовать добавить второй "контекст" и зайти в ДБО банка Х.

функционал банка Х до безобразия прост. даже виртуон не выпустить.

только вход сложности вызывает

а чтобы сгенерировать эцп надо хлебнуть гемора.

Мы ж вроде выяснили, что это функционал InterPRO, а не конкретного банка ;-)
Можно, конечно.
В конфигурационном файле есть:
FormSignRequest=0
PasswordRequestOnSign=0

Если первый параметр сделать =1, то каждый раз при подписи веб-формы InterPRO будет выбрасывать окошко с перечнем имен полей и значений формы и спрашивать "правда подписать?". А если второй параметр поставить =1, то при этом еще и каждый раз будет спрашиваться пароль к ключу...

p.s. Только это все не "шифрование на пароле". Подпись все равно ставится ключом. Разница в том, что InterPRO может запросить пароль 1 раз, расшифровать ключ и исползовать его в течение всей сессии, а может каждый раз, когда ключ понадобится, спрашивать пароль и расшифровывать. Второй способ безопаснее, но, мягко говоря, неудобный :-)

Ну и в общем-то, кроме вышеперечисленного, стараниями некоторых известных в узком кругу людей --

Тоже уже реализованы в рамках openssl.

Таки в курсе, коллега ;-)
Но есть такое слово применительно к криптографии: "сертифицировано" :-)
И меня терзают смутные сомнения, что продукт opensource сертификат ФСБ получит...

а чего тут сомнениями терзаться? совершенно однозначно никогда не получит :-d

Это я так ехидничаю, ибо нисколько не сомневался ;-)

p.s. Блин, а ведь в законе об ЭЦП достаточно поменять всего пару фраз - выбросить из определения ЭЦП упоминание только наших алгоритмов, и все! Ну там сделать оговорку, что для госорганов - обязательно российские алгоритмы, причем сертифицированные, а для "частных контор" - как договорятся.

А в общем-то зря не сомневался ;-)
По данным на середину февраля:

Надо будет спросить аффтара как там дело обстоит на сейчас :-)

А какие проблемы?! Вон, процедура FIPS 140-2 сертификации OpenSSL уже завершена.

Наши тоже смогут, ЕСЛИ ЗАХОТЯТ.

Саня, ну ты-то должен знать, о чем речь ;-)
Сертификкацию где? В ФСБ? Кто оплачивает испытания? Он потом будет раздавать бесплатно этот OpenSSL?
Кроме того, сертификат в ФСБ дается на совершенно конкретную бинарную сборку с кучей доп. условий (перечень операционок с указанием билдов), где это может работать "сертифицировано".


Спроси, интересно. Хотя я и сам знаю, где посмотреть :-)

Дык, знаю, Влад, знаю! :-)


Да.


Сами аффтары, как я понял.


Насколько я понял, саму OpenSSL вообще раздавать не будут. Оно будет в составе модифицированных приложений, как то Apache, Dovecot, OpenVPN, etc....


Это я в курсе и оно учтено при подготовке к сертификации. .so уже в феврале были сданы и меняться не будут, естейственно.


Кроме этого FreeBSD, Windows и Solaris.


Спросил. Ответа пока нет.

Ну, дык, посмотри ;-)

Кгхм, тогда вообще ничего не понял ;-)
Библиотека ведь зачем нужна? Правильно, чтобы приложение не заморачивалось функциями само, а отдавало их исполнение библиотеке. Так зачем его (приложение) модифицировать при появлении в библиотеке новых алгоритмов?

В любом случае, при таком подходе не вижу пользы от "открытости" OpenSSL, раз оно все равно раздается исключительно "в составе роты". Ели на то пошло, то InterPRO тоже использует Open SSL, в который "впаяны" сертифицированные реализации ГОСТов...

Тут люди сделали PKCS#11 с ГОСТом (софтверный), так эта штука хавается любым софтом, знающим этот интерфейс без всяких модификаций - netscape, firefox, thunderbird и т.д. Ибо приложениям пофигу, как оно там внутри сделано, ему просто говорят, что данные надо отдавать на обработку данному криптотокену через стандартный API.

p.s. Раз пошли эротические фантазии, то интересно, сделают ли к сертифицированному недавно с подачи Бифита аппаратному криптопровайдеру нормальный "разъем" PKCS#11? Решило бы все проблемы всерьез и надолго, ибо сама криптуха сертифицирована и работает в безопасном окружении, а "переходник" от нее на PKCS#11 уже можно спокойно реализовывать под весь зоопарк операционок.

Это я "по диагонали прочитал" ;-)
В общем все как-то так... Они не будут раздавать саму библиотеку. Они будут поставлять заказчикам сборку под используемую ОС, сертифицированную в ФСБ. Сборка этой OpenSSL может как заменять, так и дополнять штатную библиотеку в ОС. Библиотека пока на сертификации.
Надеюсь в этот раз я правильно понял аффтара :-)

Только что получил БИФИТовский токен, тестирую, разбираюсь...

Проблема в том, что надо ещё узнать, каким образом формируется HTTPSIGNATURE в Inter-PRO (хотя, наверное, ничего не мешает взять gdb).


И, да. Чтобы непосвященным было понятно: http://vitus-wagner.livejournal.com/ .

Докладываю: как решил автор InterPRO, так и формируется. Т.е. оно ни с чем не совместимо, кроме самого InterPRO и специальной программы fverify :-)