20 апреля, пятница 12:03
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

АРМ КБР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Setevoy Посмотреть сообщение
    КА/ЗК/Шифрование все равно будет производиться с использованием внешних сертифицированных криптосредств (та-же Сигнатура), а в Сигнатуре вроде как есть свой штатный АРМ разбора конфликтных ситуаций
    опять же возвращаемся к тому что ЗК/КА это атрибуты xml конверта УФЭБС, вычисляемые на предварительно нормализированных/канонизированных документах.
    АРМ РКС Сигнатуры понятия не имеет что такое УФЭБС. проверять он может только стандартно подписаные файлы (например после spki1utl)

    Комментарий


    • КрасКрипт
      И какие проблемы?
      1. Формируете в соответствии с УФЕБС XML файл. Для начала, что-нибудь по проще. Например ED101, или по собственному выбору.
      2. Нормализуете.
      3. Канонизируете.
      4. Формируете для полученного XML файла цифровую подпись с помощью утилиты командной строки в режиме detached.
      5. Полученную подпись переводите в Base64, оборачиваете в т.ч. тегами <sig:SigValue.....>........ </sig:SigValue> и вставляете в правильное место XML файла, полученного на этапе 1.
      6. Проверяете, что в итоге получилось. Отдельный вопрос, как и чем (или кем) проверять.
      7. Если получилось, можно продолжить упражнения для остальных форматов ЭС.

      В целом, должно быть что-то похожее на примеры из http://www.cbr.ru/analytics/Formats/EDExamples.zip

      Подход не идеален, но хорош тем, что банку или разработчику АБС не нужно [пере]оформлять лицензию ФСБ на работу с криптографией (очень похоже на то) и согласовывать корректность встраивания криптографии с 8 управлением ФСБ.
      Последний раз редактировалось saches; 03.02.2017, 13:00.

      Комментарий


      • Сообщение от saches Посмотреть сообщение
        КрасКрипт
        2. Нормализуете.
        3. Канонизируете.
        А вот для этого есть какая-либо библиотечка, про которую точно известно, что она с ЦБшной совпадает?

        Комментарий


        • Сообщение от saches Посмотреть сообщение
          И какие проблемы?
          1. Формируете...
          2. Нормализуете.
          3. Канонизируете.
          сразу вспоминается история про суп из топора

          Сообщение от pol1234 Посмотреть сообщение
          А вот для этого есть какая-либо библиотечка, про которую точно известно, что она с ЦБшной совпадает?
          канонизация c14n реализована например в libxml2

          Комментарий


          • Коллеги, есть неоднозначность по поводу возможности выбора вариантов защиты 2 или 3.
            По крайней мере в письме нашего ТУ для исходящих ЭС указан только вариант 2, а для входящих ЭС только вариант 3.
            Кроме того, в отдельном абзаце указаны рекомендации про простановке ЗК/КА, которые фактически соответствуют только варианту 3.
            Т.е. фактически выбора никакого.

            В письмах ваших ТУ такая-же фигня?

            И для информации, если кто не в курсе - в состав нового альбома УФЭБС 2017.2.1 входит новая редакция документа о защите ЭС УФЭБС_2017_2_1_Защита_ЭС.pdf
            Вложения

            Комментарий


            • Сообщение от pol1234 Посмотреть сообщение
              А вот для этого есть какая-либо библиотечка, про которую точно известно, что она с ЦБшной совпадает?
              В соответствии с вышеупомянутыми доками с сайта ЦБ, в УФЭБС используется канонизация v.1, "без комментариев". Всяческих реализаций в виде библиотек, пакетов и даже утилит командной строки можно найти в и-нете огромное множество.
              Насколько они совместимы с реализацией в АРМ КБР - хз, надо проверять. Но судя по отдельным отзывам, канонизация достаточна близкая.

              К сожалению, про нормализации такого сказать не могу. КМК, даже термин - "нормализация" в контексте XML, "у них" это о другом.

              Пару лет назад, Крипто-Про вроде бы полностью реализовала всю необходимую трансформацию XML для СМЭВ в своих библиотеках КриптоПро.NET SDK, но будут ли они делать трансформацию под ЦБ, не знаю.
              Последний раз редактировалось saches; 06.02.2017, 11:20.

              Комментарий


              • Сообщение от saches Посмотреть сообщение
                Пару лет назад, Крипто-Про вроде бы полностью реализовала всю необходимую трансформацию XML для СМЭВ в своих библиотеках КриптоПро.NET SDK, но будут ли они делать трансформацию под ЦБ, не знаю
                а каким боком КриптоПро относится к ЦБ если разраб криптухи - Валидата?
                скорее всего XmlDsigExcC14NTransform во всяких ваших дотнетах в плане канонизации подойдет.
                мы у себя в софте использовали libxml2 (и для ЗК/КА и для формирования ТК). Вполне успешно платежи ходят и без АРМ КБР

                Комментарий


                • Сообщение от КрасКрипт Посмотреть сообщение
                  а каким боком КриптоПро относится к ЦБ если разраб криптухи - Валидата?
                  По крайней мере Справочник сертификатов от АПК "Валидата-Клиент" без проблем работает с КриптоПро и криптопрошными ключами.

                  Комментарий


                  • Сообщение от saches Посмотреть сообщение
                    К сожалению, про нормализации такого сказать не могу. КМК, даже термин - "нормализация" в контексте XML, "у них" это о другом.
                    но будут ли они делать трансформацию под ЦБ, не знаю.[/SIZE]

                    Я наивный вопрос на hеlpdesk@mci задал

                    В свете предстоящих изменений в ЗК/КА
                    можете выложить примеры

                    - исходного ED101
                    - его же канонизированного
                    - его же нормализованного

                    чтобы не получится, как со СМЭВом:

                    как это ни парадоксально звучит, но нам не нужна каноникализация в полном соответствии с рекомендациями w3c.
                    нам нужна именно та каноникализация, которую использует у себя СМЭВ...



                    ответили
                    По сообщению специалистов МЦОИ:
                    У вас в АРМ КБР есть такая возможность
                    IK Soft

                    Комментарий


                    • Сообщение от КрасКрипт Посмотреть сообщение
                      а каким боком КриптоПро относится к ЦБ если разраб криптухи - Валидата?
                      Вопрос был про библиотеки, которые в состоянии выполнить канонизацию/нормализацию XML.
                      Собственно Криптопро.NET, как и Криптопро.JCP (как и многие другие) этому условию удовлетворяют.
                      И, в принципе, КриптоПро.NET ставится поверх CryptoPro.CSP, которая собственно и содержит криптографические библиотеки, хотя не требует их использования.
                      Кроме того, ЦБ заикнулся о возможности использования криптографии от Крипто-Про, хотя потом от этого местами отказался.

                      Сообщение от КрасКрипт Посмотреть сообщение
                      скорее всего XmlDsigExcC14NTransform во всяких ваших дотнетах в плане канонизации подойдет.
                      Было бы чудесно для всех, хотя в своих доках ЦБ ссылается на немного другую, а именно, на инклюзивную канонизацию первой версии.

                      Сообщение от КрасКрипт Посмотреть сообщение
                      мы у себя в софте использовали libxml2 (и для ЗК/КА и для формирования ТК). Вполне успешно платежи ходят и без АРМ КБР
                      Ну так и поделились бы опытом в т.ч. по нормализации, а Вам бы все спасибо сказали.
                      Последний раз редактировалось saches; 06.02.2017, 16:59.

                      Комментарий


                      • Сообщение от IKSoft Посмотреть сообщение
                        как это ни парадоксально звучит, но нам не нужна каноникализация в полном соответствии с рекомендациями w3c. нам нужна именно та каноникализация, которую использует у себя СМЭВ...
                        Как уже написал выше, СМЭВ ссылается в своих документах на эксклюзивную канонизацию - XML-Exc-C14N, ЦБ на XML-C14N, но если подходит алгоритм эксклюзивной канонизации, то почему бы и нет?!

                        Комментарий


                        • Сообщение от saches Посмотреть сообщение

                          Как уже написал выше, СМЭВ ссылается в своих документах на эксклюзивную канонизацию - XML-Exc-C14N, ЦБ на XML-C14N, но если подходит алгоритм эксклюзивной канонизации, то почему бы и нет?!
                          Ой, я просто это к тому, что имея исходный XML (например ED101) и его н\к версию (что выдаст АРМ КБР), можно вполне обойдись без сторонних DLL и EXE.
                          Самим все написать:
                          - загрузить внешний пакет (из АБС) или создать самому
                          - разобрать его по документам
                          - с каждого документа снять н\к версию
                          - подписать эту версию
                          - вставить подпись в документ
                          - создать пакет с документами и подписями
                          - дальше уже по накатанному - шифрование, конверт...

                          в данный момент у меня нет н\к версии документа
                          но на примере, того что выдает АРМ КБР, можно понять что делать
                          IK Soft

                          Комментарий


                          • Сообщение от IKSoft Посмотреть сообщение
                            ...... можно вполне обойдись без сторонних DLL и EXE. Самим все написать......
                            Полностью согласен, дело, что называется, хозяйское!

                            Сообщение от IKSoft Посмотреть сообщение
                            ......
                            - подписать эту версию
                            - вставить подпись в документ ......
                            Вот здесь тоже может понадобиться "помощь друга" т.к. в документации ЦБ и в его же примерах длина подписи между тегами <sig:SigValue....>.........</sig:SigValue> различается, что как бэ странно и требует прояснения.

                            Комментарий


                            • Сообщение от saches Посмотреть сообщение
                              Полностью согласен, дело, что называется, хозяйское!


                              Вот здесь тоже может понадобиться "помощь друга" т.к. в документации ЦБ и в его же примерах длина подписи между тегами <sig:SigValue....>.........</sig:SigValue> различается, что как бэ странно и требует прояснения.
                              Насчет примеров из документации я "хлебнул" с Нотариатом (залоги)
                              Сделал, глядя на пример, а по схемам - ну никак не проходит.
                              Просто исполнитель промежуточную версию вставил в доку.
                              А ее не глядя утвердили и выложили на сайт.
                              IK Soft

                              Комментарий


                              • Сообщение от IKSoft Посмотреть сообщение
                                .....
                                Просто исполнитель промежуточную версию вставил в доку.
                                А ее не глядя утвердили и выложили на сайт......
                                Похоже, что здесь именно оно, у ребят сменилась концепция, а документацию с примерами и описанием процедуры формирования подписи, они менять не стали.
                                Последний раз редактировалось saches; 06.02.2017, 17:00.

                                Комментарий


                                • Беру готовые к отправке (после АРМ КБР) файлы с целью "посмотреть" содержимое...
                                  (чтобы по аналогии потом энто делать самому для ЗК/КА...)

                                  Используя SDK Сигнатуры собрал проектик.
                                  1. DecodeBase64
                                  2. DecryptFile
                                  Последний раз редактировалось idelta; 10.02.2017, 12:46. Причина: Надо было ещё распаковать.

                                  Комментарий


                                  • idelta
                                    (это комментарий к вопросу, который был в 1-ом варианте сообщения)
                                    А какая у Вас длина поля dsig:SigValue?

                                    КМК, помимо самой цифровой подписи (ЦП) АРМ КБР еще что-то добавляет в поле dsig:SigValue. Вопрос что именно?

                                    Если посмотреть в доки на УФЭБС, файл УФЭБС_2017_2_1_Защита_ЭС.pdf, на стр.8, видим следующий пример -

                                    <dsig:SigValue xmlns:dsig="urn:cbr-ru:dsig:v1.1"> RpxoZ6vnUXn9/nTSC9rkqeWtlNYTc+RxWZ5JbdFW6Vlg+ULhx7uDJFPRIdqxXJnIugF2xzlpgjCtmh4hz9tLAg==</dsig:SigValue>

                                    Исходя из того, что длина подписи в соответствии с используемым ГОСТом/алгоритмом = 512 бит или 64 байта и из того, что Base64 увеличивает длину ЦП в 4/3, ( каждые 3 байта заменяются на 4, символы '=' используется как заполнители), вроде бы понятно, что по длине поля (88 байт) все похоже на правду, и это поле действительно может являться ЦП.


                                    Но когда уже смотрим на образец xml файла PockedEPD_Sig.xml, там видим следующую картину (привожу поля только с sig:SigValue) -

                                    <sig:SigValue xmlns:sig="urn:cbr-ru:dsig:v1.1">
                                    TzAwMDAwMKHxsGEiovC6vu8xUg/wCD+Mf64jQvNxZZOG8z0uS+Z+q0JMEF3OvwkZ6wwXd2CcbWRuZwiKTM6wOWNu14Yt3yo1MTU5WkhXWFdEMDFmDf5BnZaPTUVNASAAAAA=</sig:SigValue>
                                    .......
                                    <sig:SigValue xmlns:sig="urn:cbr-ru:dsig:v1.1">
                                    TzAwMDAwMFSolFulGVEDlL+kOtrXDtyJGClruiqseWSl3L83X3tPTYPNMJdxY8W1OD/HiYyfRF8MLB24JpXp8T5VJqCd8Sc1MTU5WkhXWFdEMDFmDf5BnZaPTUVNASAAAAA=</sig:SigValue>



                                    Что вызывает вопросы:
                                    1. Длина ЦП в этом файле длиннее (132 байта), чем в примере в доках в УФЭБС_2017_2_1_Защита_ЭС.pdf, там было 88 байт;
                                    2. Появляются повторяющиеся группы символов в начале и конце каждой подписи, что в общем-то, для любого алгоритма ЦП, как-то совсем не кошерно:
                                    - в самом начале это -"TzAwMDAwM";
                                    - в конце - "1MTU5WkhXWFdEMDFmDf5BnZaPTUVNASAAAAA=".

                                    В общем, похоже, что это не совсем ЦП или, возможно,что это ЦП + еще что-то.
                                    На практике, при необходимости, в XML файл, помимо самой ЦП могут добавлять другие поля, связанные со сформированной ЦП.
                                    Это может быть, например, открытый ключ, сертификат и т.д., но при этом, в стандарном DSigXML эти поля обрамляют отдельными, соответствующими тегами. Во что здесь завернули ЦП, хз. Надо спрашивать в ЦБ или у разработчиков АРМ КБР, Астра-КБР и прочих....может кто и подскажет...

                                    ЗЫ: Надеюсь сильно не наврал....... Все примеры взяты с сайта ЦБ.
                                    Последний раз редактировалось saches; 10.02.2017, 16:53.

                                    Комментарий


                                    • Сообщение от saches Посмотреть сообщение
                                      В общем, похоже, что это не совсем ЦП или, возможно,что это ЦП + еще что-то.
                                      Сертификат?

                                      Комментарий


                                      • Сообщение от AlexGVI Посмотреть сообщение
                                        Сертификат?
                                        Сообщение от saches Посмотреть сообщение
                                        ........................................
                                        На практике, при необходимости, в XML файл, помимо самой ЦП могут добавлять другие поля, связанные со сформированной ЦП.
                                        Это может быть, например, открытый ключ, сертификат и т.д., но при этом, в стандартном DSigXML эти поля обрамляют отдельными, соответствующими тегами.
                                        Во что здесь завернули ЦП, хз.
                                        Надо спрашивать в ЦБ или у разработчиков АРМ КБР, Астра-КБР и прочих....может кто и подскажет...

                                        Комментарий


                                        • Кстати нам в ЦОВ СКОИ ответили, что никакой другой криптографии кроме Сигнатуры использовать будет нельзя. Это к вопросу о рассылке в регионах о возможности использовать КриптоПро и что-то кещё.

                                          Комментарий


                                          • Сообщение от rvroman Посмотреть сообщение
                                            Кстати нам в ЦОВ СКОИ ответили, что никакой другой криптографии кроме Сигнатуры использовать будет нельзя. Это к вопросу о рассылке в регионах о возможности использовать КриптоПро и что-то кещё.
                                            Печально.
                                            Значит о внедрении крипты в АБС можно будет забыть. Слабо представляю себе сервер с АБС на винде.
                                            Соответственно, крипту придётся реализовать на уровне клиента АБС. На мой взгляд, мы получаем либо снижение уровня защищённости, либо вынуждены городить городушки из отдельных машин: отдельная машина под АРМ КБР, отдельная машина под клиента АБС (с запретом на ней всего остального) и т.д. С удовольствием бы запихал обе эти машины в виртуалки на одном хосте (5-я Сигнатура допускает использование виртуальных сред), но 552-П мне это запретил (хотя уровень обеспечения бесперебойности взлетает на порядок, т.к. сокращается время на восстановление).
                                            Либо корячим АРМ КБР и клиента АБС на одну физическую машину. Но тут надо крепко думать...

                                            Комментарий


                                            • Сообщение от Berckut Посмотреть сообщение
                                              Значит о внедрении крипты в АБС можно будет забыть. Слабо представляю себе сервер с АБС на винде.
                                              Никто не мешает сделать криптосервер - отдельная машина с виндой и Сигнатурой, физически защищенная.

                                              Комментарий


                                              • Сообщение от Berckut Посмотреть сообщение
                                                С удовольствием бы запихал обе эти машины в виртуалки на одном хосте (5-я Сигнатура допускает использование виртуальных сред), но 552-П мне это запретил
                                                Простите, а какой именно пункт запрещает использование виртуальных сред? А то я сейчас готовлю дополнительный контур АРМ КБР на виртуалках.

                                                Комментарий


                                                • Сообщение от Berckut Посмотреть сообщение
                                                  ...
                                                  Либо корячим АРМ КБР и клиента АБС на одну физическую машину. Но тут надо крепко думать...
                                                  Ну собственно это как раз первое, что приходит в голову. Совмещение АРМа и клиента АБС на одной машине.

                                                  Комментарий


                                                  • Сообщение от S-H Посмотреть сообщение
                                                    Никто не мешает сделать криптосервер - отдельная машина с виндой и Сигнатурой, физически защищенная.
                                                    Мешает, например, отсутствие компетенций для подобной разработки (не говоря про формальную чистоту по требованиям ФСБ, хотя бы, чтоб не подвести пред.правления под уголовку) и/или отсутствие денег на покупку готового продукта.
                                                    Ну и хочется же посмотреть, что разработчик АБС намутит и за какие деньги...ну и может получится дождаться обещанных методических рекомендаций по 552-П, может там прольют свет на допустимые нюансы в реализации.

                                                    Сообщение от morkov Посмотреть сообщение
                                                    Простите, а какой именно пункт запрещает использование виртуальных сред? А то я сейчас готовлю дополнительный контур АРМ КБР на виртуалках.
                                                    Прямого запрещения в П-552 не увидел (надо бы правила эксплуатации АРМ КБР посмотреть), но КМК, в т.ч. с учетом последнего абзаца п.1.2.,

                                                    1.2. Участники обеспечивают защиту следующей информации в ПС БР:
                                                    ..........
                                                    - информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой при осуществлении переводов денежных средств.


                                                    Т.е., если планируется использование виртуалки, то для формальной чистоты необходимо использовать либо сертифицированную версию гипервизора, либо здравствуй "vGate".
                                                    Ну, и в качестве пилота, виртуалка - самое оно...
                                                    Последний раз редактировалось saches; 14.02.2017, 14:59.

                                                    Комментарий


                                                    • Сообщение от morkov Посмотреть сообщение

                                                      Простите, а какой именно пункт запрещает использование виртуальных сред? А то я сейчас готовлю дополнительный контур АРМ КБР на виртуалках.
                                                      Да, был не прав, прошу извинить.
                                                      У меня был проект, по которому на одну физическую машину я хотел загнать виртуалки с АРМ КБР и Сбербанком. Из-за требований пунктов 5.1 и 5.2 этого сделать нельзя, вот и отложилось в памяти, что виртуалки под запретом.

                                                      Комментарий


                                                      • Сообщение от saches Посмотреть сообщение
                                                        Мешает, например, отсутствие компетенций для подобной разработки
                                                        Там не так все страшно, как кажется.

                                                        Сообщение от saches Посмотреть сообщение
                                                        не говоря про формальную чистоту по требованиям ФСБ
                                                        Отдельная машина по определению более "чистая". А продукт на ней может стоять сторонний, сделанный разработчиком, имеющим соответствующую лицензию. Если это так для вас важно, конечно.

                                                        Комментарий


                                                        • Сообщение от S-H Посмотреть сообщение
                                                          Никто не мешает сделать криптосервер..........
                                                          Сообщение от S-H Посмотреть сообщение
                                                          ....... А продукт на ней может стоять сторонний, сделанный разработчиком, имеющим соответствующую лицензию. ...............................
                                                          А позвольте тогда полюбопытствовать, под словом "сделать", мы подразумеваем разработать своими силами, или использовать стороннюю разработку?
                                                          Если второе, то абсолютно согласен, никто не мешает...лишь бы денег дали...

                                                          Комментарий


                                                          • Сообщение от saches Посмотреть сообщение
                                                            А позвольте тогда полюбопытствовать, под словом "сделать", мы подразумеваем разработать своими силами, или использовать стороннюю разработку?
                                                            Поскольку я теперь в стороне от УФЭБС, то я волен подразумевать оба варианта одновременно

                                                            Комментарий


                                                            • Ссылка не моя, взял на соседней ветке, кое-какая информация есть, может кого и заинтересует -
                                                              Сообщение от Estekhin Посмотреть сообщение
                                                              Методические рекомендации ЦБ по переносу криптографии в АБС
                                                              https://www.dropbox.com/s/bwi1jm5lz5...07885.pdf?dl=0

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X