ЭЦП дает Вам связку аутентификация + целостность, а RSA SecurID только аутентификацию. Если не подписываете, то я (со стороны банка) могу создать фиктивный платеж с вашего счета и сказать что так и было. Подпись нужна, чтобы банк мог доказать, а Вы могли потребовать доказательства, что это именно Вы платили, а не адимин базы данных банка. А так аудит лишь покажет, что в этот день Вы действительно подключались... хотя даже это можно сфабриковать (алгоритм то у RSA SecurID симметричный).

Оффтоп:

Может собраться где-то и обсудить различные технологии и методы защиты информации, что где применимо и как использовать. Я то как матетматик смотрю на проблему нескорлько по-другому - больше с точки зрения администрирования и организации процесса совсем не вникая как это организовано технически. Когда меня наконец уволят с ГРП - пока в ражиме "чемоданное настроение" - сразу поговорим на счет нового uParty и может за рюмочкой чая и поговорим?

Тогда зачем RSA SecurID? Пользуйтесь группой закрытых ключей, сертификаты которых зарегистрированы в третьей, сторонней организации... а не в банке. Открывайте им тонели и бла... бла... бла... короче аутентификация с помощью RSA SecurID - это на класс ниже безопасность чем обычные RSA алгоритмы аутентификации. А с учетом открытости алгоритма создания одноразовых паролей (а это должно считаться быть открытым, независимо от того скопировали их или нет при хакерской атаке - теория шифрования к этому все сводит), то увы, система безопасности на RSA SecurID - мусор хорошо иммитирующий хорошую безопасность.

Что правда, то правда. Юридически, электронный документ признается только, если он подписан ЭЦП (так в законе написано, ничего не поделаешь). И УЦ должна выступать независимая сторона, а не банк. По логике банк не должен подтверждать действие сертификатов, которые сам выдал, хотя в последнее время ЦБ от всех банков требует наличия собственных УЦ. Это нонсенс. Если так будет, кто запретит банкирам подписывать платежки за своих клиентов? Юридически никак не придерешься. Подпись на документе есть, значит документ имеет силу.
Не согласен. Как раз таки в плане безопасности ЭЦП и подводит. Обычным пользователям сложно ею пользоваться, вот они и доверяют свои ЭЦП так называемым "помощникам". А ведь интернет-банкинг должен быть доступен для всех!
Поэтому, у нас пришли к выводу, что юридически ЭЦП необходима для подтверждения подлинности, целостности документов, а фактически для обеспечения ИБ нужны дополнительные меры, такие как применение токенов, одноразовых паролей и пр.

Андрей, здесь речь идет касательно силы криптографии, а не человеческого фактора.
Я также считаю, что любые симметричные алгоритмы, гораздо слабее, чем ассиметричные. Вы ведь тоже пользоваться будете ЭЦП, только храниться она будет в е-токене, что упрощает только процедуру установки, а не изменят метод шифрования (да и юридически как основной метод электронного документооборота закреплен только метод с использованием ЭЦП- ассимитричное шифрование)

Наденька, спасибо за подсказку(поправку), наверное в связи с тем что «человеческий фактор» в последнее время действительно стал для нас основной проблемой, начали забывать про технические проблемы.

Эркин ака , не упустите главные моменты в том что Андрей говорит. В связи с быстром ростом объёмов транзакций в нашем банке актуальность вопросов ИБ также многократно возрастает.
Нам нужен Ваш совет. (1) ЭЦП - необходимость по закону, как Андрей обосновал, (2) ЦБ требует от банков создать удостоверяющий центр второго уровня, конечно первый уровень уже создан в ЦБ, (3) для нас же, как пионерам интернет-банкинга в Узбекистане, необходимо создать(построить, поднять) собственную, реальную систему ИБ включающую также аутентификацию клиента. Возможно ли одновременное выполнение всех трёх задач с минимальными затратами, или это будет просто нагромождением, повторяющихся и бесполезных систем безопасности. Или есть другое решение, которое решает все три задачи как единую?

Если есть идея, как всегда готов организовать пиво, которое Вы не любите. :naughty:

Принято
(я еще не люблю самаркандский плов ;) но если надо.... )

Кого пригласить от нас? Знаем что с Антоном любите общатся(он сейчас в Юселе), и Андрей придёт.

У меня, завтра последний день месяца и квартала(страшный день :)), времени не будет, а с пятницы по понедельник у меня встречи в Ташкенте. Потом снова в Самарканде. Так что как скажете ака.

Спасибо за корректировку, Надя. Правда, мне выражаться нужно точнее. По поводу надежности ассиметричных алгоритмов я не спорю. Здесь я имею в виду именно человеческий фактор и нежелание обычных пользователей брать на себя ответственность за использование своей ЭЦП. Главное преимущество использования токенов, на которое мы расчитываем - это неизвлекаемость закрытого ключа из памяти токена. Этим мы хотим хоть как-то уменьшить риски компрометации ключей пользователей.