[Без оффтопа] Совет (предупреждение) начальникам отд. компьютеризации

[Kabachkov Anton]

Цитата:

Сообщение от Nadir Zaitov

Зачем подделывать - достаточно копировать при ее создании.

Один из способов. Тем более, как я уже говорил, клиент даже не представляет как необходимо работать (генерировать, хранить, использовать) свой закрытый ключ и не понимают всей серьезности ситуации.

[Nadir Zaitov]

Цитата:

Сообщение от Kabachkov Anton

Один из способов. Тем более, как я уже говорил, клиент даже не представляет как необходимо работать (генерировать, хранить, использовать) свой закрытый ключ и не понимают всей серьезности ситуации.

Главное, что у нас не понимают, что их ключи скомпроментированы с момента создания и ответственности никто нести за такие ключи не может.

[Bakhtiyor aka]

Цитата:

Сообщение от Nadir Zaitov

Для этого требуется, чтобы ЭЦП удовлетворяла всем требованиям - в частности закрытый ключ делжен быть получен в зарегистрированном в УзАСИ Центре регистрации ключей. Пока этого в банках нет.

Ну зачем недооценивать банки,... Уже больше года работаем с ЭЦП ( MSS), и для юр.лиц и физ.лиц, обслуживание через интернет.

[Bakhtiyor aka]

Цитата:

Сообщение от Kabachkov Anton

Цитата:

Один из способов. Тем более, как я уже говорил, клиент даже не представляет как необходимо работать (генерировать, хранить, использовать) свой закрытый ключ и не понимают всей серьезности ситуации.

Антон, я попрошу Службу внутренного контроля и безопасноти, провести воспитательную работу среди сотрудников департмента ИТ, на предмет отвественности за сохраннность средств клиентов ....

Что-то ты тут разболтался.

[Asror Yunusov]

Цитата:

Сообщение от Nadir Zaitov

Для этого требуется, чтобы ЭЦП удовлетворяла всем требованиям - в частности закрытый ключ делжен быть получен в зарегистрированном в УзАСИ Центре регистрации ключей. Пока этого в банках нет. Согласно договора банк-клиент ответственность за подпись может быть переложена на клиента банка, но за нарушение самой процедуры регистрации закрытого коюча я бы наверное смог бы подать в суд на банк за мошенничество и вернуть деньги.

Согласен, не спорю…
Однако 1999 году после долгих скитаний у себя, по рекомендацию определенных структур я ездил в Москву для заключения Договора с компанией Лан - Крипто на программу криптографии. Тогда купили бессрочную лицензию на 200 клиентов и вся ответственность на процедуры регистрации, взлом или еще каких-то претензий третьих лиц возлагался на компанию, которая по договору должна была во всем разобраться. Ключ записывался на обыкновенную дискету, и до недавнего времени все это в одном банке работала.
Ну не было у нас в прошлом и в начале этого века ничего такого. Потом никто и не заставляет клиента работать по системе банк-клиент и делать активные операции. Например, знаю одну, ну очень крупную предприятию, которая пользуется системой только как чисто информационной. Конечно, теперь вроде бы все это приходить в порядок, но так много волокиты, что желание отпадает…

Оффтоп:

Рад тебя видеть Надир…

[Kabachkov Anton]

Цитата:

Сообщение от Nadir Zaitov

Главное, что у нас не понимают, что их ключи скомпроментированы с момента создания и ответственности никто нести за такие ключи не может.

Абсолютно верно, встречаются такие ситуации. И достаточно часто.

Цитата:

Сообщение от Bakhtiyor aka

Ну зачем недооценивать банки,... Уже больше года работаем с ЭЦП ( MSS), и для юр.лиц и физ.лиц, обслуживание через интернет.

Тоже поддерживаю. Более 1 года работаем с Центром регистрации ЭЦП Multisoft Solutions. Никаких претензий относительно процедуры выдачи сертификатов не имеем. Все сделано очень прфессионально с технической и юридической точки зрения. Генерация закрытого ключа происходит на стороне клиента, а утверждение и выдача сертификата осуществляется после предоставления заявления и дукумента удостоверящего личность. Никакой возможности скопировать ключ, т.к. он всегда остается на компьютере клиента.



и достаточно часто

[Nadir Zaitov]

Цитата:

Сообщение от Asror Yunusov

Договора с компанией Лан - Крипто на программу криптографии. Тогда купили бессрочную лицензию на 200 клиентов и вся ответственность на процедуры регистрации, взлом или еще каких-то претензий третьих лиц возлагался на компанию, которая по договору должна была во всем разобраться.

Думаю это не обходит уголовную ответственность за мошенничество с созданием дубликатов электронных ключей.

Цитата:

Сообщение от Bakhtiyor aka

Уже больше года работаем с ЭЦП ( MSS), и для юр.лиц и физ.лиц, обслуживание через интернет.

А вот тут бы чуточку по-подробней.

1) Это Вам уже центральный банк разрешил невзирая на вышеуказанное требование (или рекомендация, как у ЦБ часто бывает)?

2) MSS ключи сам создает или выдает софт по генерации ключа, а сам только сертификат регистрирует?

Оффтоп:

Цитата:

Сообщение от Asror Yunusov

Рад тебя видеть Надир…

Тоже очень даже рад.

[Kabachkov Anton]

Цитата:

Сообщение от Nadir Zaitov

А вот тут бы чуточку по-подробней. 1) Это Вам уже центральный банк разрешил невзирая на вышеуказанное требование (или рекомендация, как у ЦБ часто бывает)? 2) MSS ключи сам создает или выдает софт по генерации ключа, а сам только сертификат регистрирует?

1) MSS лицензированный УзАСИ Центр регистрации ключей, и сертификаты выданные этим центром не запрещены для использования.
2)Процедура выдачи сертификата описана выше. Генерация ключа осуществляется клиентом на своем компьютере.

[Bakhtiyor aka]

Цитата:

Сообщение от Nadir Zaitov

Это Вам уже центральный банк разрешил невзирая на вышеуказанное требование (или рекомендация, как у ЦБ часто бывает)?

По сути уже Антон ответил, а на остальное я не в ЦБ работаю, и за них не могу отвечать.

Если счтиете что в ЦБ одними "запретами" занимаются, то глубоко ошибаетесь. И инетрент-банкинг они также как и банки хотять развивать, я уже сказал что у банков попросили коментарии к соотвествующему положению. И мы свои рекомендации отправили.

Не надо провоцировать, рационалное обсуждение певращать в "горячую тему"....

[Nadir Zaitov]

Цитата:

Сообщение от Kabachkov Anton

MSS лицензированный УзАСИ Центр регистрации ключей, и сертификаты выданные этим центром не запрещены для использования.

Мы ведь говорим о безопасности, а не о допустимости. ИМХО, уже много раз повроряюсь, создание закрыытого ключа регистрирующим центром - маразм и полное нарушение логики информационной безопасности.

Цитата:

Сообщение от Kabachkov Anton

Генерация закрытого ключа происходит на стороне клиента, а утверждение и выдача сертификата осуществляется после предоставления заявления и дукумента удостоверящего личность. Никакой возможности скопировать ключ, т.к. он всегда остается на компьютере клиента.

Это уже интересней.
Вопрос "чей софт" не затруднит? Если софт по генерации ключей - MSS, то опять маразм. Выбор генератора случайных чисел в 99% случаев слабое звено в софте создания закрытых ключей. Даже если MSS пытались сделать все безопасно, выбор генератора и софта - не их право. Для понимания объясню так, что представьте, что сложность вашего кода будет не 512 бит (не 0x10^0x40), а какие-нибудь 10^6 - 10^7 комбинаций, с учетом знания алгоритма и даты регистрации, если алгоритм привязан к тактам времени, например.