Программно-аппаратные средства защиты информации: токены, смарт-карты, двухфакторная авторизация...

[Erkin Kuchkarov]

Цитата:

Сообщение от Nadir Zaitov

там правда сказано лишь о доступе, но нафиг Вам доступ к счету ТОЛЬКО на просмотр?

Статью еще не читал, но технологию знаю как свои пять пальцев. Но, если я имею аутентифицированный и персонифицированный доступ до моего банковского счета то зачем мне каким бы то ни было образом пытаться подписывать сертификатом для доступа свои банковские проводки? Я могу это делать любым другим сертификатом, выданным мне банком для этих целей.

[Nadir Zaitov]

Цитата:

Сообщение от Erkin Kuchkarov

Но, если я имею аутентифицированный и персонифицированный доступ до моего банковского счета то зачем мне каким бы то ни было образом пытаться подписывать сертификатом для доступа свои банковские проводки?

ЭЦП дает Вам связку аутентификация + целостность, а RSA SecurID только аутентификацию. Если не подписываете, то я (со стороны банка) могу создать фиктивный платеж с вашего счета и сказать что так и было. Подпись нужна, чтобы банк мог доказать, а Вы могли потребовать доказательства, что это именно Вы платили, а не адимин базы данных банка. А так аудит лишь покажет, что в этот день Вы действительно подключались... хотя даже это можно сфабриковать (алгоритм то у RSA SecurID симметричный).

Оффтоп:

Может собраться где-то и обсудить различные технологии и методы защиты информации, что где применимо и как использовать. Я то как матетматик смотрю на проблему нескорлько по-другому - больше с точки зрения администрирования и организации процесса совсем не вникая как это организовано технически. Когда меня наконец уволят с ГРП - пока в ражиме "чемоданное настроение" - сразу поговорим на счет нового uParty и может за рюмочкой чая и поговорим?

Цитата:

Сообщение от Erkin Kuchkarov

Я могу это делать любым другим сертификатом, выданным мне банком для этих целей.

Тогда зачем RSA SecurID? Пользуйтесь группой закрытых ключей, сертификаты которых зарегистрированы в третьей, сторонней организации... а не в банке. Открывайте им тонели и бла... бла... бла... короче аутентификация с помощью RSA SecurID - это на класс ниже безопасность чем обычные RSA алгоритмы аутентификации. А с учетом открытости алгоритма создания одноразовых паролей (а это должно считаться быть открытым, независимо от того скопировали их или нет при хакерской атаке - теория шифрования к этому все сводит), то увы, система безопасности на RSA SecurID - мусор хорошо иммитирующий хорошую безопасность.

[Andrey Kim]

Цитата:

Сообщение от Nadir Zaitov

Цитата: Сообщение от Erkin Kuchkarov Посмотреть сообщение Но, если я имею аутентифицированный и персонифицированный доступ до моего банковского счета то зачем мне каким бы то ни было образом пытаться подписывать сертификатом для доступа свои банковские проводки? ЭЦП дает Вам связку аутентификация + целостность, а RSA SecurID только аутентификацию. Если не подписываете, то я (со стороны банка) могу создать фиктивный платеж с вашего счета и сказать что так и было. Подпись нужна, чтобы банк мог доказать, а Вы могли потребовать доказательства, что это именно Вы платили, а не адимин базы данных банка. А так аудит лишь покажет, что в этот день Вы действительно подключались... хотя даже это можно сфабриковать (алгоритм то у RSA SecurID симметричный).

Что правда, то правда. Юридически, электронный документ признается только, если он подписан ЭЦП (так в законе написано, ничего не поделаешь). И УЦ должна выступать независимая сторона, а не банк. По логике банк не должен подтверждать действие сертификатов, которые сам выдал, хотя в последнее время ЦБ от всех банков требует наличия собственных УЦ. Это нонсенс. Если так будет, кто запретит банкирам подписывать платежки за своих клиентов? Юридически никак не придерешься. Подпись на документе есть, значит документ имеет силу.

Цитата:

Сообщение от Nadir Zaitov

увы, система безопасности на RSA SecurID - мусор хорошо иммитирующий хорошую безопасность.

Не согласен. Как раз таки в плане безопасности ЭЦП и подводит. Обычным пользователям сложно ею пользоваться, вот они и доверяют свои ЭЦП так называемым "помощникам". А ведь интернет-банкинг должен быть доступен для всех!
Поэтому, у нас пришли к выводу, что юридически ЭЦП необходима для подтверждения подлинности, целостности документов, а фактически для обеспечения ИБ нужны дополнительные меры, такие как применение токенов, одноразовых паролей и пр.

[Nadejda]

Цитата:

Сообщение от Andrey Kim

Не согласен. Как раз таки в плане безопасности ЭЦП и подводит.

Андрей, здесь речь идет касательно силы криптографии, а не человеческого фактора.
Я также считаю, что любые симметричные алгоритмы, гораздо слабее, чем ассиметричные. Вы ведь тоже пользоваться будете ЭЦП, только храниться она будет в е-токене, что упрощает только процедуру установки, а не изменят метод шифрования (да и юридически как основной метод электронного документооборота закреплен только метод с использованием ЭЦП- ассимитричное шифрование)

[Bakhtiyor aka]

Цитата:

Сообщение от Nadejda

здесь речь идет касательно силы криптографии, а не человеческого фактора.

Наденька, спасибо за подсказку(поправку), наверное в связи с тем что «человеческий фактор» в последнее время действительно стал для нас основной проблемой, начали забывать про технические проблемы.

Цитата:

Сообщение от Andrey Kim

Юридически, электронный документ признается только, если он подписан ЭЦП (так в законе написано, ничего не поделаешь). И УЦ должна выступать независимая сторона, а не банк. По логике банк не должен подтверждать действие сертификатов, которые сам выдал, хотя в последнее время ЦБ от всех банков требует наличия собственных УЦ. Это нонсенс

Эркин ака , не упустите главные моменты в том что Андрей говорит. В связи с быстром ростом объёмов транзакций в нашем банке актуальность вопросов ИБ также многократно возрастает.
Нам нужен Ваш совет. (1) ЭЦП - необходимость по закону, как Андрей обосновал, (2) ЦБ требует от банков создать удостоверяющий центр второго уровня, конечно первый уровень уже создан в ЦБ, (3) для нас же, как пионерам интернет-банкинга в Узбекистане, необходимо создать(построить, поднять) собственную, реальную систему ИБ включающую также аутентификацию клиента. Возможно ли одновременное выполнение всех трёх задач с минимальными затратами, или это будет просто нагромождением, повторяющихся и бесполезных систем безопасности. Или есть другое решение, которое решает все три задачи как единую?

Если есть идея, как всегда готов организовать пиво, которое Вы не любите.

[Erkin Kuchkarov]

Цитата:

Сообщение от Bakhtiyor aka

Если есть идея, как всегда готов организовать пиво, которое Вы не любите.

Принято
(я еще не люблю самаркандский плов но если надо.... )

[Andrey Kim]

Цитата:

Сообщение от Nadejda

Цитата:

Андрей, здесь речь идет касательно силы криптографии, а не человеческого фактора.
Я также считаю, что любые симметричные алгоритмы, гораздо слабее, чем ассиметричные. Вы ведь тоже пользоваться будете ЭЦП, только храниться она будет в е-токене, что упрощает только процедуру установки, а не изменят метод шифрования (да и юридически как основной метод электронного документооборота закреплен только метод с использованием ЭЦП- ассимитричное шифрование)

Спасибо за корректировку, Надя. Правда, мне выражаться нужно точнее. По поводу надежности ассиметричных алгоритмов я не спорю. Здесь я имею в виду именно человеческий фактор и нежелание обычных пользователей брать на себя ответственность за использование своей ЭЦП. Главное преимущество использования токенов, на которое мы расчитываем - это неизвлекаемость закрытого ключа из памяти токена. Этим мы хотим хоть как-то уменьшить риски компрометации ключей пользователей.