Объявление

**S-H** · 17.01.2017, 13:38

Сообщение от AlexGVI Посмотреть сообщение

А что об этом думаете, господа?

В том году ЦБ собрал всех разработчиков АБС, рассказал об этих планах, предупредил, что обратного хода нет.
По срокам - к июню у них должен быть новый АРМ КБР, и можно будет тестироваться, а к концу 2017 года все банки должны перейти на новую технологию.
Обещали сам формат УФЭБС не трогать.

**rvroman** · 17.01.2017, 15:31

Сообщение от S-H Посмотреть сообщение

В том году ЦБ собрал всех разработчиков АБС, рассказал об этих планах, предупредил, что обратного хода нет.
По срокам - к июню у них должен быть новый АРМ КБР, и можно будет тестироваться, а к концу 2017 года все банки должны перейти на новую технологию.
Обещали сам формат УФЭБС не трогать.

Вот только не все используют АБС на платформе Windows, а Сигнатуру предлагают только для этой платформы. Мы задали вопрос в ЦБ про другие платформы, обещали подумать и что-нить ответить. Пока тишина.

**S-H** · 17.01.2017, 16:12

rvroman, а вы ждете от ЦБ, чтобы они от Сигнатуры отказались? У них нет причины это делать.
И Сигнатуру делает не ЦБ, а Валидата.

**Berckut** · 18.01.2017, 04:41

Сообщение от S-H Посмотреть сообщение

rvroman, а вы ждете от ЦБ, чтобы они от Сигнатуры отказались? У них нет причины это делать.
И Сигнатуру делает не ЦБ, а Валидата.

Теоретически, вполне может оказаться, что сообщения подписанные КриптоПро будут нормально проверяться Сигнатурой.
5-ю версию уже делали с прицелом, чтобы УЦ можно было аккредитовать, а значит должны использоваться стандартные сертификаты. Т.е., опять же теоретически, можно в УЦ Сигнатуры выдать сертификат на ключи, сгенерированные для работы в КриптоПро. А КриптоПро в свою очередь может работать уже на многих платформах.

Мы вчера ещё письмо с планом работ получили. Судя по всему с ним все банки должны быть ознакомлены, так что ждите. Просят направить информацию о готовности работать по такой схеме и что мы будем дорабатывать в своих АБС (это как вообще?). Там есть такие слова:

Сообщаем, что для встраивания в автоматизированную систему клиента, с возможностью организации ее взаимодействия с программными средствами клиента Банка России, могут также использоваться СКЗИ, отличные от СКАД «Сигнатура», производимые как ООО «КриптоПро», так и ООО «Валидата», позволяющие обеспечить возможность встречной работы со СКАД «Сигнатура» в условиях применения криптографических ключей, изготавливаемых с использованием удостоверяющих центров Банка России. Для приобретения указанных СКЗИ необходимо обращаться непосредственно к организациям-производителям.

**КрасКрипт** · 18.01.2017, 05:30

Сообщение от Berckut Посмотреть сообщение

Просят направить информацию о готовности работать по такой схеме и что мы будем дорабатывать в своих АБС (это как вообще?).

из того же письма:

Все клиенты платежной системы Банка России (кредитные организации и другие клиенты Банка России, взаимодействующее с АС Банка России), должны провести работы по «встраиванию» средств криптографической защиты информации (СКЗИ) в собственные АСК для формирования КА и снабжения ими электронных сообщений (пакетов электронных сообщений), а также для формирования ЗК и включения их в состав реквизитов электронных сообщений в соответствии с действующим альбомом УФЭБС.

т.е. получить лицензию ФСБ на встраивание (если ее нет) и доработать свое ПО. Либо привлекать организацию, имеющую соответствующую лицензию.

**Berckut** · 18.01.2017, 06:26

Сообщение от КрасКрипт Посмотреть сообщение

т.е. получить лицензию ФСБ на встраивание (если ее нет) и доработать свое ПО. Либо привлекать организацию, имеющую соответствующую лицензию.

Вот поэтому и написал ранее, что они всё опошлят

- сами банки встроить крипту в АБС не смогут, это должен делать разработчик АБС;
- чтобы перенести подпись на уровень АБС, разработчик АБС должен встроить туда криптографию, но делать это без лицензии нельзя. Причём лицензию на разработку/встраивание криптографии получить значительно более сложнее и дороже, чем на её распространение, как у нас (банков);
- по требованиям ЦБ в данном случае криптография должна быть сертифицирована, а универсальных криптобиблиотек, которые бы работали на всех ОСях нет, т.е. может получиться так, что придётся АБС переносить на ОС, где сможет работать крипта. Кому-то придётся нехило перестроить свою информационную инфраструктуру, что конечно скажется на стабильности работы;
- судя по слухам ФСБ отказывается сертифицировать решения по крипте на уровне библиотек. Делают только в составе комплекса, который будет использоваться. Соответственно, придётся сертифицировать всю АБС, но, во-первых это увеличит её цену процентов на 40, во-вторых, будут проблемы с обновлением продукта, т.к. обычно сертификация занимает не менее полугода. А обновляться надо намного чаще опять же из-за постоянных нововведений ЦБ.
В общем идея правильная и давно у ЦБ просимая, но лучше бы уж они уже нечего не трогали.

**КрасКрипт** · 18.01.2017, 07:15

Ну паниковать рано.
Будем поглядеть к чему вообще все эти телодвижения происходят. Возможно ЦБ просто хочет скинуть с себя ответственность. Дескать подписывайте как хотитие, это ваши проблемы.
Наши клиенты пользуются нашим ПО а не АРМ КБР для криптообработки платежей. За всей остальной суетой будем наблюдать с интересом

**КрасКрипт** · 18.01.2017, 07:34

...добавлю еще по поводу "не СКАД Сигнатура"
несколько раз со скуки пытались делать связку КриптоПро - Сигнатура. результат отрицательный. Вопросов в этом плане масса.
Но если все же получится их "подружить", то в принципе можно и не огранициваться windows (криптопро есть линуксовый).
Правда это будет "проблема в квадрате" - помимо разраба который может встроить СКЗИ, нужен будет разраб который до кучи еще и линукс-разработчик.

**S-H** · 18.01.2017, 09:42

Сообщение от Berckut Посмотреть сообщение

сами банки встроить крипту в АБС не смогут, это должен делать разработчик АБС;

Вообще-то цель этих телодвижений - не встраивание криптографии в АБС, а снятие ответственности за нее с АРМ КБР, чтобы ЦБ не отвечал за "левые" файлы, подложенные на вход АРМ КБР. ЦБ говорит, случаи были.
Поэтому, если нет возможности встраивать криптографию в АБС - не встраивайте. Сделайте скрипт подписания файлов. Естественно, в этом случае все риски подкладывания на вход скрипта "левых" файлов будут на вас, а не на разработчике АБС.

Сообщение от Berckut Посмотреть сообщение

но делать это без лицензии нельзя.

Забейте.

Сообщение от КрасКрипт Посмотреть сообщение

...добавлю еще по поводу "не СКАД Сигнатура"

У Валидаты есть "Валидата Клиент", совместимый по ключам и подписям с Сигнатурой. Но тоже Windows.

**Berckut** · 18.01.2017, 10:18

Сообщение от S-H Посмотреть сообщение

Вообще-то цель этих телодвижений - не встраивание криптографии в АБС, а снятие ответственности за нее с АРМ КБР, чтобы ЦБ не отвечал за "левые" файлы, подложенные на вход АРМ КБР. ЦБ говорит, случаи были.
Поэтому, если нет возможности встраивать криптографию в АБС - не встраивайте. Сделайте скрипт подписания файлов. Естественно, в этом случае все риски подкладывания на вход скрипта "левых" файлов будут на вас, а не на разработчике АБС.

Опыт мне подсказывает, что это будет в обязаловке, а не хотите делайте, не хотите - бойтесь.

Лично моё мнение : риски использования винды в качестве сервера для АБС больше, чем риски подмены платёжки на этапе передачи. ИМХО.

По хорошему, да, это надо делать. Никто не спорит. Но заставлять банки повально переходить на единственную платформу, которую поддерживает Сигнатура не правильно. Необходимо универсальное решение. В конце концов хотя бы для того, чтобы обеспечить ИТ-независимость государства.
Как? варианты придумать можно. Например, изменить форматы электронных сообщений и добавить туда поле, в которое можно вставить подпись. Пусть при наличии данных в этом поле АРМ КБР проверяет её. Проверочный сертификат, в свою очередь устанавливается в параметрах АРМ КБР. А дальше уже идёт работа по текущей схеме: АРМ КБР через Сигнатуру подписывает сообщение ключами оператора и передаёт на отправку. Всё. Разработчик АБС после этого может использовать абсолютно любую крипту, лишь она поддерживала те же алгоритмы формирования подписи, что и АРМ КБР. И это будет уже не обязательно Сигнатура. Банк же при этом, если у него есть желание, может хоть каждый день эти проверочные сертификаты менять.

А при предлагаемой схеме мы ещё получаем конфликт интересов: администратор имеет доступ к ключам, которыми подписываются платёжные сообщения, потому что их надо положить на сервер АБС. Это не правильно.

**S-H** · 18.01.2017, 10:36

Сообщение от Berckut Посмотреть сообщение

Опыт мне подсказывает, что это будет в обязаловке, а не хотите делайте, не хотите - бойтесь.

Про скрипт мы прямо спросили ЦБ на совещании. Ответ был - мы не возражаем.
В обязаловке будет перенос подписания из АРМ КБР. Сказали, что этот вопрос они обсуждать не собираются.

Сообщение от Berckut Посмотреть сообщение

Например, изменить форматы электронных сообщений и добавить туда поле, в которое можно вставить подпись. Пусть при наличии данных в этом поле АРМ КБР проверяет её. Проверочный сертификат, в свою очередь устанавливается в параметрах АРМ КБР.

Насколько я понимаю, чтобы убедиться в валидности подписи сертификат устанавливать не нужно - его открытая часть уже есть в подписи.

Сообщение от Berckut Посмотреть сообщение

Разработчик АБС после этого может использовать абсолютно любую крипту, лишь она поддерживала те же алгоритмы формирования подписи, что и АРМ КБР. И это будет уже не обязательно Сигнатура.

Ага. Только один маленький нюанс - АРМ КБР работает только с Сигнатурой.

Сообщение от Berckut Посмотреть сообщение

А при предлагаемой схеме мы ещё получаем конфликт интересов: администратор имеет доступ к ключам, которыми подписываются платёжные сообщения, потому что их надо положить на сервер АБС. Это не правильно.

Чтобы иметь доступ к ключам, нужно еще иметь пароль от них. А есть он только у оператора.
И ключи у АБС и АРМ КБР будут разные.

.

**КрасКрипт** · 19.01.2017, 05:39

Сообщение от S-H Посмотреть сообщение

Про скрипт мы прямо спросили ЦБ на совещании. Ответ был - мы не возражаем. В обязаловке будет перенос подписания из АРМ КБР. Сказали, что этот вопрос они обсуждать не собираются.

Нормализацию/канонизацию XML и формирование ТК тоже делать в скрипте?
проблема с платежами в том что не так просто их подписывать.

gf · 19.01.2017, 09:31

Может я что-то не догоняю, но какие функции останутся у АРМ КБР?
Если он не будет подписывать исходящие и проверять входящие, зачем там вообще Сигнатура?
И,вообще, зачем нужен он сам?

**AlexGVI** · 19.01.2017, 10:07

Сообщение от gf Посмотреть сообщение

Может я что-то не догоняю, но какие функции останутся у АРМ КБР?
Если он не будет подписывать исходящие и проверять входящие, зачем там вообще Сигнатура?
И,вообще, зачем нужен он сам?

Вот и мне думается, что ЦБ задался вопросом "а зачем нам спонсировать коммерческие банки?" А то софт подари, СКЗИ подари, да еще претензии всякие выслушивай

Вот увидите, в скором времени объявят, что есть 63-ФЗ, есть удостоверяющие центры, ну вот и давайте, чешите затылок...

**Unreg** · 19.01.2017, 10:07

Сообщение от S-H Посмотреть сообщение

....
И ключи у АБС и АРМ КБР будут разные.

.

Тогда какой во всем этом вообще смысл?
Насколько я понимаю, ЦБ хочет исключить возможность модификации передаваемой банками информации на самом АРМ КБР. Т.е., АРМ должен будет только шифровать и создавать транспортный конверт. В этой схеме единственное, что может АРМ сделать с КА – это проверить.

p.s.
Желание ЦБ понятно, но в целом эта их «задумка», на мой взгляд, неправильная.

**user_user** · 19.01.2017, 12:09

Сдается мне что ЦБ в конечном итоге скажет скриптикам работы сигнатурой окончательное нет, иначе смысла в данных телодвижениях нет, разве что только формально, чтобы окончательно снять вину с КБР.

**Crypt** · 19.01.2017, 12:46

Сообщение от user_user Посмотреть сообщение

Сдается мне что ЦБ в конечном итоге скажет скриптикам работы сигнатурой окончательное нет, иначе смысла в данных телодвижениях нет, разве что только формально, чтобы окончательно снять вину с КБР.

У той же Инверсии обработка рейсов сделана через cmd и jar-скрипты. БуДизигн.

**S-H** · 20.01.2017, 11:59

Сообщение от КрасКрипт Посмотреть сообщение

Нормализацию/канонизацию XML и формирование ТК тоже делать в скрипте?

Я надеюсь, что вы не имеете в виду, что этого в скрипте сделать нельзя?
В любом случае под "скриптом" я имел в виду некую новую промежуточную надстройку, отличную от АБС и АРМ КБР.

Сообщение от gf Посмотреть сообщение

Может я что-то не догоняю, но какие функции останутся у АРМ КБР?
Если он не будет подписывать исходящие и проверять входящие, зачем там вообще Сигнатура?

Шифрование/дешифрование, сжатие, формирование служебного конверта, транспортные функции.

Сообщение от Unreg Посмотреть сообщение

Тогда какой во всем этом вообще смысл?

Я уже писал

Сообщение от S-H Посмотреть сообщение

Вообще-то цель этих телодвижений - не встраивание криптографии в АБС, а снятие ответственности за нее с АРМ КБР, чтобы ЦБ не отвечал за "левые" файлы, подложенные на вход АРМ КБР. ЦБ говорит, случаи были.

**IKSoft** · 20.01.2017, 12:14

А разве, в данном случае, лицензия на "встраивание" нужна, если банк сам напишет ПО для подписи/шифрования?
Это же не "деятельность", а "собственные нужды".

**Unreg** · 20.01.2017, 12:26

S-H

Вот именно!
Но это возможно только в случае, если сам АРМ наши данные никак модифицировать не будет и они (с установленным ещё до АРМ-а КА) транзитом проследуют в ЦБ.

**S-H** · 20.01.2017, 12:33

Сообщение от Unreg Посмотреть сообщение

Но это возможно только в случае, если сам АРМ наши данные никак модифицировать не будет и они (с установленным ещё до АРМ-а КА) транзитом проследуют в ЦБ.

Именно так. Он и не сможет модифицировать, поскольку не будет иметь доступа к ключам КА/ЗК.
Кстати, ровно поэтому в АРМ КБР будет убран ручной ввод сообщений в принципе.

**Unreg** · 20.01.2017, 12:52

Сообщение от S-H Посмотреть сообщение

Именно так. Он и не сможет модифицировать, поскольку не будет иметь доступа к ключам КА/ЗК.
Кстати, ровно поэтому в АРМ КБР будет убран ручной ввод сообщений в принципе.

Тогда что означает ваша фраза: “ключи у АБС и АРМ КБР будут разные.?

**S-H** · 20.01.2017, 12:54

Сообщение от Unreg Посмотреть сообщение

Тогда что означает ваша фраза: “ключи у АБС и АРМ КБР будут разные.?

В АБС ключи КА/ЗК
В АРМ КБР ключ шифрования.

**Shelest** · 20.01.2017, 13:22

Я правильно понимаю, что в случае если Банк самостоятельно займется доработкой своих автоматизированных систем клиента (АСК) в части встраивания в них СКЗИ, ему придется помимо уже существующих, добавить в свои лицензии ФСБ, выданные в соответствии с 99-ФЗ и ПП № 313 следующие пункты из Перечня выполняемых работ:

2. Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем.
8. Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.
17. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.

**IKSoft** · 20.01.2017, 13:25

Сообщение от Shelest Посмотреть сообщение

Я правильно понимаю, что в случае если Банк самостоятельно займется доработкой своих автоматизированных систем клиента (АСК) в части встраивания в них СКЗИ, ему придется помимо уже существующих, добавить в свои лицензии ФСБ, выданные в соответствии с 99-ФЗ и ПП № 313 следующие пункты из Перечня выполняемых работ:

2. Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем.
8. Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.
17. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.

С моей т.з. - нет
Вы же не занимаетесь "деятельностью", а только для собственных нужд.

**Unreg** · 20.01.2017, 14:38

Сообщение от S-H Посмотреть сообщение

В АБС ключи КА/ЗК
В АРМ КБР ключ шифрования.

Думаете, они разделят ключ (как для ФСФМ)?

На мой взгляд, вполне логичной (если это понятие вообще здесь применимо) выглядела бы такая цепочка (при отправке в ЦБ):

Установка КА в АБС (или «около» АБС)
Проверка КА в АРМ
Шифрование и формирование ТК в АРМ
Отправка в ЦБ

Т.е., наш КА вполне себе может присутствовать и в АБС, и в АРМ-е (для проверки, а также шифрования/расшифрования).

Уже по первым дням обсуждения видно, что вполне вероятным будет появление некого универсального ПО для формирования КА/ЗК для УФЭБС. Это вполне может быть официальная утилита от лицензированного для такой деятельности разработчика. Тем более что такая утилита была бы фактически одинаковой для всех банков!
В таком случае АБС достаточно будет выполнять только канонизацию и нормализацию файлов УФЭБС.

p.s.
Фактически, что-то подобное можно сделать уже сейчас, разделив АРМ на два и настроив по-новому цепочки обработки файлов.

**S-H** · 20.01.2017, 14:42

Сообщение от Unreg Посмотреть сообщение

Думаете, они разделят ключ (как для ФСФМ)?

Я тоже усомнился и после совещания задал вопрос ЦБ. Ответили, что разделят.

Сообщение от Unreg Посмотреть сообщение

наш КА вполне себе может присутствовать и в АБС, и в АРМ-е (для проверки, а также шифрования/расшифрования).

Для проверки подписи приватный ключ не нужен, очевидно.

**ForrUser** · 20.01.2017, 15:06

Сообщение от S-H Посмотреть сообщение

Я тоже усомнился и после совещания задал вопрос ЦБ. Ответили, что разделят.

В заявке на изготовление ключей регистрации указывается тип ключа - совмещенный (подпись и шифрование) или раздельный (только подпись или только шифрование).

**Unreg** · 20.01.2017, 15:08

Сообщение от S-H Посмотреть сообщение

Я тоже усомнился и после совещания задал вопрос ЦБ. Ответили, что разделят.

А они хотя бы проверку КА в АРМ-е оставят?

p.s.
Становится всё интереснее и интереснее.
Похоже, такое «лекарство» будет хуже «болезни».

**ForrUser** · 20.01.2017, 15:12

Сообщение от Unreg Посмотреть сообщение

А они хотя бы проверку КА в АРМ-е оставят?

...

Это было бы логично. Проверять подпись в АРМ хотя бы на полученных из МЦОИ ЭС, чтобы в АБС не передавать "случайные" ЭС.

Объявление

АРМ КБР

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Пользователи, просматривающие эту тему