20 апреля, пятница 11:50
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

АРМ КБР-Н Пусконаладка

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #31
    Да ради бога
    Можете взять из нашего дистрибутива утилитки и проверять по ним.
    либо консольный вариант:
    Код:
    conXSDValid.exe -xsd=.\XMLSchemas\cbr_ed_kbr_kcoi_v2017.3.2.xsd -in=.\FILES\ed101.xml
    либо гуёвый:
    Нажмите на изображение для увеличения.·  Название:	xsd1.jpg· Просмотров:	2· Размер:	187.3 Кб· ID:	4804870

    Комментарий


    • #32
      Вот спасибо, хорошо!
      Где бы еще сертифицированной утилиткой разжиться, которая умела бы ЗК проставлять?

      Комментарий


      • #33
        Уже не бесплатно, но опять же у нас
        Лицензия ФСБ на СКЗИ есть на сайте.
        Тестовый стенд сейчас выглядит так:
        Нажмите на изображение для увеличения. 

Название:	checker+kbrn.jpg 
Просмотров:	1 
Размер:	365.3 Кб 
ID:	4805060

        1. Валидация по схемам УФЭБС
        2. По "Варианту 3" УФЭБС, на одном из загруженных ключей формируется ЗК под каждым документом пакета (4 документа в пакете)
        3. Формирование КА на другом ключе (в память заранее загружены два профиля СКАД) и выгрузка конверта КА для дальнейшей обработки
        далее на стороне АРМ КБР-Н:
        4. Производится валидация Конверта КА (валидация документов в пакете не производится)
        5. Проверяется математическая корректность ЗК и КА (неизменность данных)
        6. Проверяется соответствие расширенных областей применения сертификатов ЗК/КА прописаным в конфигурации КБРН
        7. Проверяется чтобы ЗК и КА были сформированы на разных ключах
        8. Производится шифрование, формирование СК и выгрузка готового к отправке документа

        Пока это только предварительный вариант. Официальных сообщений от ЦБ нет, но скорее всего формирование ЗК и КА придется разнести на разные АРМ.
        Принципиально наше ПО сейчас вообще всё сразу на одном АРМ делает (валидация,ЗК,КА,шифрование, прием-отправка по СВК), но когда появится конкретика, будем по факту смотреть.

        Комментарий


        • #34
          КрасКрипт
          Спасибо за предложение, но есть некий (ранее уже озвученный) момент, который несколько смущает.
          А именно - http://www.fsb.ru/fsb/science/single...searchart.html и http://www.fsb.ru/fsb/science/single...searchart.html
          Возможно, что это личные тараканы и, не уверен, что АРМ КБР-Н этим же не грешит, но всеж хотелось бы что-то сертифицированное или прошедшее контроль встраивания.

          Комментарий


          • #35
            Сообщение от saches Посмотреть сообщение
            но всеж хотелось бы что-то сертифицированное или прошедшее контроль встраивания
            Опережаете время !?
            По проекту это должно начаться с 01.07.2018...

            Комментарий


            • #36
              Первая статья относится к операторам персональных данных, а Приказ ФСБ на который там ссылаются регламентирует разработку самих СКЗИ. Вторая статья и вовсе касается особенностей "рукопашной" подписи файлов (пп8,9 приказа 796)
              А вообще, если что-то смущает в правовом плане, то лучше всего уже сейчас тиранить ЦБ с этими вопросами. Какими Федеральными законами, Приказами и Положениями Банка России, ФСБ и ФСТЭК руководствоваться.
              Самый пикантный момент в плане использования СКЗИ в ЦБ состоит в том что официльно у них вообще нет такого определения как "ЭЦП". Оперируют определениями "Код аутентификации" и "Защитный код", что формально выводит их из под действия 63-ФЗ

              Комментарий


              • #37
                Для простоты, можно считать, что "ноги" необходимости контроля встраивания криптобиблитек растут из формуляра на СКЗИ.
                Например, в формуляре на Сигнатуру читаем:

                "при встраивании АПК «Сигнатура-клиент» в прикладные системы должна быть проведена проверка выполнения пунктов 8 и 9 раздела II «Требований к средствам электронной подписи» по ТЗ, согласованному с 8 Центром ФСБ России. "

                и

                "2.16.1 При встраивании «Сигнатура-клиент» в прикладные системы необходимо проводить проверку (оценку) влияния.........
                если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;"

                Т.е. все платежи, банковская тайна, и т.д. это все касается в такой же мере, как и ПДн.
                Что касается "рукопашного" способа подписи или как эта подпись называется ЭП, ЭЦП, ЗК или КА, вообще, разницы нет. Встраиваете сертифицированное СКЗИ? Докажите тогда, что вы корректно работаете с ключами, вызовами, подписываемой или шифруемой информацией и т.д.
                Вот собственно и вся бодяга.

                Комментарий


                • #38
                  Господа, кто и чем канонизацию и нормализацию XML, по документации ЦБ, делает ?
                  Может быть кто-то подскажет как эти преобразования во всем остальном мире называются ? Не удается найти инструмента для замены имен тэгов на какие-то абстрактные идентификаторы с индексами. Чтение RFC по подписи XML документов не принесло ясности.

                  Комментарий


                  • #39
                    Eugene74
                    Насколько я понимаю, кто чем, в т.ч. подручными средствами, т.к. нормализация от ЦБ это их исключительная know-how.
                    Вот эту ветку не смотрели еще? (Там есть примеры и образцы)
                    http://bankir.ru/dom/forum/департаме...-net-csp/page4

                    Эта тема про отчетность, но там те же ...только в профиль, хотя трансформация там своя (и опять похоже уникальная) -
                    http://bankir.ru/dom/forum/департаме...ости/page5

                    Канонизация - она и в Африке canonicalization, нормализация, как уже написал ранее, это некая отсебятина от ЦБ, т.к. какого-то единого стандарта у нас, к сожалению, не существует, и каждый лепит трансформацию XML исходя из личных представлений на текущий момент.
                    Для канонизации в и-нете можно найти много всякого разного инструментария (библиотек/утилит и т.д.).

                    В плане расширения кругозора я бы читал не RFC (там все несколько заморочено) а, например, http://www.w3.org/TR/xml-exc-c14n/ и вокруг на этом же сайте. Канонизация, онаж тоже разная бывает.

                    Про теги не подскажу .
                    И есть подозрение, что Вы задали еще не все вопросы...
                    ЗЫ: Похоже пора FAQ на эту тему собирать.....Всё что вы хотели спросить...
                    Последний раз редактировалось saches; 21.07.2017, 16:35.

                    Комментарий


                    • #40
                      Сообщение от Eugene74 Посмотреть сообщение
                      чем канонизацию и нормализацию XML
                      1. LibXml2
                      2. XMLStarlet Command Line XML Toolkit
                      3. Crypt32(64) от story
                      1 и 2 работают, 3 пока не проверял...

                      Сообщение от Eugene74 Посмотреть сообщение
                      инструмента для замены имен тэгов на какие-то абстрактные идентификаторы с индексами
                      fview от badik

                      Этого достаточно чтобы получить "КА проверен" и "ЗК проверен" от АРМ КБР-Н.

                      Комментарий


                      • #41
                        Сообщение от idelta Посмотреть сообщение
                        1. LibXml2
                        2. XMLStarlet Command Line XML Toolkit
                        3. .......
                        1 и 2 работают, 3 пока не проверял...
                        .......
                        Этого достаточно чтобы получить "КА проверен" и "ЗК проверен" от АРМ КБР-Н.
                        Просьба, все таки уточнить, LibXML2 и XMLStarlet реально делают нормализацию XML по УФЭБС ЦБ РФ?
                        Или все же, только канонизацию? Я там, вроде, даже таких слов не помню.
                        Последний раз редактировалось saches; 21.07.2017, 16:36.

                        Комментарий


                        • #42
                          Уточню, вот это кто как делает:
                          =====================================================
                          Унифицированные форматы
                          электронных банковских сообщений
                          для безналичных расчетов

                          ОБМЕН С КРЕДИТНЫМИ ОРГАНИЗАЦИЯМИ
                          И ДРУГИМИ КЛИЕНТАМИ БАНКА РОССИИ

                          Версия 1.1.2

                          D.3 Упорядочение во всех элементах XML-документа префиксов пространств имен по заданному правилу

                          - Используемые префиксы пространств имен задаются в форме n1, n2 и т.п.

                          Комментарий


                          • #43
                            всем привет, люди!спасайте!
                            подскажите у кого-то была ошибка инициализации протокола. Нет доступа к Файлу описания ПВО: C\oev\Log\log\hash
                            Последний раз редактировалось Boris; 08.08.2017, 13:43.

                            Комментарий


                            • #44
                              У меня такая же ошибка при запуске oev.exe : Ошибка инициализации протокола. Нет доступа к файлу описания ПВО C\oev\Log\log\hash

                              Комментарий


                              • #45
                                У меня вопрос простой: где взять пример исходного кода формирования Конверта КА?

                                Комментарий


                                • #46
                                  Добрый день, кто-нибудь знает тестирование АРМ-Н будет ? Обещали с 28.08.2017 , из ЦБ молчание

                                  Комментарий


                                  • #47
                                    что-то все молчат.. наше ТУ тоже ничего не знает
                                    по ключам тоже ничего неизвестно, сколько их будет.

                                    Комментарий


                                    • #48
                                      Уральское ГУ, опять запросило у КО информацию о предполагаемых сроках готовности. Требуют сообщить до 15 сентября.
                                      Больше никаких новостей нет.

                                      Комментарий


                                      • #49
                                        Сообщение от dae Посмотреть сообщение
                                        Добрый день, кто-нибудь знает тестирование АРМ-Н будет ? Обещали с 28.08.2017 , из ЦБ молчание
                                        Можно уже сейчас приступать к тестированию, согласно выложенному регламенту с 04.09.-29.09
                                        Остается только внедрить в АБС и все настроить

                                        Комментарий


                                        • #50
                                          Что вообще можно сказать о сроках. если даже по тестированию никто ничего сказать не может.. как настраивать, какие ключи, сколько и т.д.

                                          Комментарий


                                          • #51
                                            Согласно информационному письму N 58 приложение 2
                                            есть два независимых контура ЗК и КА

                                            Значит два разных ключа . Скорее всего для ЗК это Proccesing c oid*15 как для КА

                                            Есть письмо внутренне ЦБ для третьего варианта использовать существующие ключи до окончания срока сертификата

                                            Нет инструкции как включать третий вариант на тестовом стенде.

                                            К второму октября много изменений (информационному письму N 75) и некоторые пункты плана тестирования будут доступны во второй половине сентября

                                            Я думаю что срок перехода на третий вариант защиты до 30 декабря могут сместить дальше.

                                            Комментарий


                                            • #52
                                              Сейчас есть варианты первого варианта защиты:
                                              один PROCESSING (оид 15) делает все
                                              или
                                              PROCESSING (оид 15) только подписывает а CONTROL (оид 16) только шифрует

                                              Будет для третьего варианта защиты
                                              PROCESSING (оид 15) только подписывает (старые ключи не меняем) на нем ставим ЗК

                                              Выдадут новый CONTROL (оид 16) на нем будут ставить КА и шифровать
                                              Последний раз редактировалось badik; 31.08.2017, 16:36.

                                              Комментарий


                                              • #53
                                                Сообщение от badik Посмотреть сообщение
                                                Выдадут новый CONTROL (оид 16) на нем будут ставить КА и шифровать
                                                Явно это не написано, но сдается мне что шифрование и КА также разнесут (иначе можно было бы в КБР оставить проверку ЗК/установку КА)
                                                Пальцем в небо, но можно пофантазировать (в соответствии с домументами ЦБ) 1.2X509v3 Расширенная область применения ключа

                                                1.3.6.1.4.1.3670.5.10.11 для ключей, используемых в телекоммуникационной системе
                                                1.3.6.1.4.1.3670.5.10.109 Для ключей контура обработки АС (АРМ) КО/ПУР
                                                1.3.6.1.4.1.3670.5.10.110 Для ключей контура контроля АС (АРМ) КО/ПУР
                                                OID ....109 - для ключа ЗК
                                                OID ....110 - для ключа КА
                                                OID ....11 - для шифрования
                                                ...но это не точно (ц)

                                                Комментарий


                                                • #54
                                                  Для БЭСП возможно будет 2 вариант защиты:
                                                  c 3 Ключами
                                                  PROCESSING OID .109
                                                  Новые ключи:
                                                  CONTROL OID .110
                                                  ARMKBRN OID .120 шифрование


                                                  Использование нового ключа ARMKBRN ( оид 120 только шифрование) в 3 варианте защиты возможно только для отдельных регионов ( с PROCESSING (оид 15), CONTROL (оид 16))

                                                  Комментарий


                                                  • #55
                                                    В АРМ КБР-Н нет возможности выбора варианта защиты, поэтому 2 вариант не пройдет. Разве что если выйдет новый АРМ ПУР (о судьбе которого кстати сейчас вообще никакой информации)

                                                    Комментарий


                                                    • #56
                                                      Сообщение от КрасКрипт Посмотреть сообщение
                                                      В АРМ КБР-Н нет возможности выбора варианта защиты
                                                      в текущей версии КБР-Н (1.0.1.28811) в разделе "СКАД Сигнатура" в поле "Вариант защиты ЭС с помощью ЗК" можно выбрать вариант защиты:
                                                      1, 2, 3 - на подписание
                                                      2, 3 - на проверку

                                                      И кстати, новые АРМКБР 3.9.2 и АРМ ПУР 3.9.2 уже выпущены
                                                      http://cbr.ru/mcirabis/?Prtid=itest

                                                      Комментарий


                                                      • #57
                                                        Действительно есть. Погорячился.

                                                        Комментарий


                                                        • #58
                                                          Уже вышел КБР-Н 1.0.2
                                                          А по ключам до сих пор тишина. ТУ тоже никаких разъяснений дать не может.

                                                          Комментарий


                                                          • #59
                                                            http://www.cbr.ru/mcirabis/PO/skad_ver5.332.0.zip
                                                            Теперь в документации к Сигнатуре с ЕСТЬ документация для разработчиков 00106-01 33 01.pdf

                                                            в http://bankir.ru/dom/forum/департамент-технологий/автоматизация/4775436-утилита-командной-строки-скад-сигнатура-скзи-верба-ow-крипто-про-csp-и-vip-net-csp?p=4784946#post4784946

                                                            pki_kz(3).js простановка ЗК по третьему варианту защиты: ЗК на каждое ПП
                                                            "PKI.VCERT" вместо spki1utl. Ключ иницилизируется один раз

                                                            Комментарий


                                                            • #60
                                                              Такой вопрос - никто еще не запрашивал у ЦБ Сигнатуру (и документацию в т.ч.) под Linux?

                                                              ЗЫ: Кстати, под Windows10 сертификаты ФСБ на Сигнатуру тоже получены.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X