Bankir.Ru
20 января, пятница 19:03

Объявление

Свернуть

Конференция «Банки и МСБ. Перезагрузка отношений»

Показать больше
Показать меньше

Сравнение Web и Java технологий.Использование различных ЭЦП, сертификация ФАПСИ.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сравнение Web и Java технологий.Использование различных ЭЦП, сертификация ФАПСИ.

    web-технология: в систему BS-Client гибко встраиваются различные ЭЦП, в том числе такие широко известные, как Excellence, Лан-Крипто, Верба-OW, Message Pro и другие. Таким образом, встраивание ЭЦП, имеющей сертификат ФАПСИ, позволит банку получить лицензию ФАПСИ.

    java-технология: используется своя встроенная системы ЭЦП и шифрации. Принципиально невозможно встроить никакую другую, кроме написанной на java, а сертифицированных ФАПСИ решений на java нет. Даже если бы и было какое-либо решение на java, в этом случае остается все то же описанное выше требование к величине java-апплета, которое при встраивании необходимо будет жестко соблюдать.

    Комментарий: помимо встраивания различных стандартных ЭЦП, то есть, следования корпоративному стандарту ЭЦП (например, Лан-крипто или Message Pro в банке), в java-подходе принципиально невозможно также предусмотреть возможность получения лицензии ФАПСИ по причине невозможности использования сертифицированных ФАПСИ криптосредств √ во-первых, таких библиотек на java просто нет, во вторых √ опять растет объем java-апплета.

    С Уважением,
    Барсуков Дмитрий,
    начальник отдела продаж
    Компании "Банк'с Софт Системс".


  • #2
    Заявления Дмитрия Барсукова о невозможности встраивания "никакой другой криптографии, кроме написанной на Java", в очередной раз подтверждают плохое знакомство отдела продаж компании БСС с передовыми технологиями. Это очередной пример той некомпетентности, о которой я "так часто" упоминаю, и которая так раздражает некоторых участников форума.

    Теперь по пунктам.

    Серверная сторона. Проблемы встраивания другой криптографии, реализованной на любом языке программирования, и представленной в нативном виде, вообще не существует! Из-под Java можно прекрасно работать и вызывать внешние нативные библиотеки (.dll, .so и пр.). Недостаток такого подхода - отсутствие работы такого решения на различных серверных платформах. То есть совершенно не существует никаких технических ограничений на использование с серверной стороны той же Вербы или библиотек Анкорта "Базис-защита, имеющих Сертификат соответствия ФАПСИ. Было бы только желание со стороны банков и соответствующее финансовые ресурсы, ибо на стоимость указанных сертифицированных продуктов мы никак не можем повлиять.

    Клиентская сторона. Ситуация совершенно аналогичная. Есть как минимум два варианта.

    1-ый. Установка на стороне клиента Вербы и взаимодействие с ней непосредственно из Java-апплета. Недостаток - надо ставить Вербу и проподает тонкость решения. Красивое тонкое решение скатывается до уровня Интер-Про, BS-Defender и пр. Этот вариант уже опробован. Именно так нами сделано взаимодействие Java-апплета с нативным драйвером картридера для для работы со смарткартами - для MS IE 5 через JNI (Java Native Interface), для NC 4.5 через LiveConnect.

    2-ой. Более красивый и правильный. Необходимое условие - доступ к исходным текстам сертифицированных библиотек. Вариант обсуждался с Анкортом в отношении использования в iBank'е Сертифицированной ФАПСИ библиотеки "Базис-защита". Библиотека полностью реализована на ANSI С, и технически не составляет никакого труда использовать прекомпилятор для получения из Сишных исходников уже готового Java байткода.

    Миф развеян? Дан исчерпывающий ответ? Вопрос об использовании любой криптографии в Java-решениях полностью снят? Или поверите, только когда руками потрагаете?

    С уважением, Репан Димитрий
    Компания "БИФИТ"
    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com

    Комментарий


    • #3
      Да нет, не развеян.

      Зерно iBank состоит как раз в платформонезависимости и отсутствии необходимости ручной установки чего-либо у клиента. Если на это закрыть глаза, вся Ваша рекламная политика не работает. Вы этого допустить не можете, поэтому, до сих пор и не внедрились нигде с криптографией, отличной от Вашей собственной встроенной.
      Так что вариант с встраиванием dll не принимается, иначе придется полностью менять Ваши высказываения о разноплатформенности iBank в других темах. И потом, Вы что же, собираетесь к клиенту закачивать каждый раз из банка *.dll Вербы OW??? Нет, его придется ставить вручную.

      Таким образом, остается только прекомпиляция исходников дорогущего Анкорта в Java-байткод. Насколько при этом возрастет объем апплета, считали?
      Но даже не это главное. Главное, что это все бессмысленно. ФАПСИ вряд ли перенесет действие лицензии на перекомпиленные библиотеки. Боюсь, это потребует отдельной сертификации.
      Так что выходит, невозможно в iBank применять сертифицированные ФАПСИ криптосредства с сохранением платформонезависимости iBank. Даже если плюнуть на платформонезависимость, как Вы будете передавать клиенту библиотеки Вербы, закачивать, как апплет, из банка? Если как наш Defender, то над абсолютной постотой установки придется потрудиться.

      С Уважением,
      Барсуков Дмитрий,
      начальник отдела продаж
      Компании "Банк'с Софт Системс".

      Комментарий


      • #4
        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR> отправил Барсуков Дмитрий[/quote]
        Зерно iBank состоит как раз в платформонезависимости и отсутствии необходимости ручной установки чего-либо у клиента.[/quote]

        Да, именно так. Сила iBank'а в истинной тонкости. И поступаться тонкостью клиента необходимо исключительно в крайних случаях.

        Кстати, совершенно допустим вариант, когда серверная компонента использует Сертифицированную ФАПСИ крптографию, большая часть клиентов использует обычный Java-апплет, а для небольшой части клиентов - государевых организаци где еще остались государевы секреты - используется модифицированный Java-апплет, взаимодействующий установленной обычным путем Вербой-О (как при толстом клиенте). И при этом совместимость будет сохранена.

        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR> Если на это закрыть глаза, вся Ваша рекламная политика не работает. Вы этого допустить не можете, поэтому, до сих пор и не внедрились нигде с криптографией, отличной от Вашей собственной встроенной.[/quote]

        На самом деле мы не встречали банки даже среди самых крупных во главе с Самым крупным, которые бы изъявили желания использовать Интернет-Банкинг исключительно с Сертифицированной ФАПСИ криптографией, но самое главное, готовых пойти на серьезные финансовые затраты под эту задачу.

        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Так что вариант с встраиванием dll не принимается, иначе придется полностью менять Ваши высказываения о разноплатформенности iBank в других темах. И потом, Вы что же, собираетесь к клиенту закачивать каждый раз из банка *.dll Вербы OW??? Нет, его придется ставить вручную.[/quote]

        В случае использования Вербы-О именно ставить Вербу-О вручную. Вы знаете как иначе?

        Кстати, а как у Вас обстоят дела с интеграцией криптографических библиотек третий производителей в Ваш BS-Defender. Верба-О уже встроена? Или ограничились прикручиванием только библиотек от ЛанКрипто?

        Вы так постоянно акцентируете внимание на возможность интеграции Сертифицированных средств в Ваш BS-Defender, что создается впечателние, что несколько банков активно и успешно работают с таким решением! Укажите хотя бы один банк, в котором используется BS-Defender с криптографией отличной от Вашей?

        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Таким образом, остается только прекомпиляция исходников дорогущего Анкорта в Java-байткод.[/quote]

        Финансовые вопросы при использовании любых Сертифицированных криптографических средств всегда были больным местом. Или у Вас эксклюзивные условия от МО ПНИЭИ ?

        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Насколько при этом возрастет объем апплета, считали?[/quote]

        Конечно. Уверяю, очень не на много.

        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Но даже не это главное. Главное, что это все бессмысленно. ФАПСИ вряд ли перенесет действие лицензии на перекомпиленные библиотеки. Боюсь, это потребует отдельной сертификации.[/quote]

        Сертификат соответствия распространяется на исходные тексты в том числе. Именно исходные тексты подлежат проверке. Во что будут скомпилированы эти сишные исходные тескты - в dll-ки, встроены в какой-то exe-шник, или под ЮНИКС shared object (*.so), или в скомпилированы в Java-класс - не важно. Главное - исходные тексты неизменны.

        Роспространение же действия Сертификата на скомпилированные библиотеки в какой-то вид, вопрос политический. ФАПСИ решать.

        С уважением, Репан Димитрий
        Компания "БИФИТ"
        С уважением, Репан Димитрий
        Компания "БИФИТ" - www.bifit.com

        Комментарий


        • #5
          Наконец-то получен конкретный ответ. Хотя очень хотелось бы по-подробнее. Какие конкретно продукты указанных Вами производителей уже поддерживаются BS-Defender'ом штатно?

          Очевидно, Вы не захотите тратить время и ресурсы Вашей компании, чтобы наш сотрудник подъехал к Вам в офис и всё детально пощупал (работа даже не на неделю).

          Соответственно вопрос. Мы можем договориться, что компания "БСС" предоставит для ознакомительных целей на заданный период компании "БИФИТ" соответствующее программное обеспечение - BS-Defender со поддержкой ПО третьих разработчиков? Все работы мы проведем за наш счет.

          Цель - получить объективное подтверждение от коллег-конкурентов, что заявленная компанией БСС поддержка BS-Defender'ом ПО третьих производителей действительно обеспечена. А также проанализировать:

          - КАКОЙ КРИПТОГРАФИЧЕСКИЙ ПРОТОКОЛ используется в BS-Defender'е?

          - КАК ОСУЩЕСТВЛЯЕТСЯ ВЗАИМОДЕЙСТВИЕ между серверной частью BS-Defender'а и Web-приложением? (до сих пор существуют серьезные прорехи в некоторых подобных продуктах типа , работающих по технологии Proxy SSL).

          Или Вы до такой степени не открыты?

          С уважением, Репан Димитрий
          Компания "БИФИТ"
          С уважением, Репан Димитрий
          Компания "БИФИТ" - www.bifit.com

          Комментарий


          • #6
            Хотя и обсуждать уже в этой теме нечего (все ясно из предыдущих сообщений), но вопрос задан - отвечу (более подробно на сайте www.bssys.com).

            цитата
            -----------------------------
            Кстати, а как у Вас обстоят дела с интеграцией криптографических библиотек третий производителей в Ваш BS-Defender. Верба-О уже встроена? Или ограничились прикручиванием только библиотек от ЛанКрипто?

            Вы так постоянно акцентируете внимание на возможность интеграции Сертифицированных средств в Ваш BS-Defender, что создается впечателние, что несколько банков активно и успешно работают с таким решением! Укажите хотя бы один банк, в котором используется BS-Defender с криптографией отличной от Вашей?
            -----------------------------

            На настоящий момент BS-Defender реально работает с cистемами защиты следующих производителей:
            - Сигнал-Ком
            - МО ПНИЭИ (Верба-OW)
            - Лан-крипто
            - Элиас (Excellence)
            Это все можно "пощупать" у нас в офисе.

            Нет, пока с сертифицированным ФАПСИ решением ни один банк не работает.
            Однако, например, кроме "штатно" предлагаемого нами решения Excellence, Московский Индустриальный банк (www.minbank.ru) использует одновременно для различных клиентов и Лан-Крипто и Excellеnce, Номос-Банк (www.nomos.ru) использует только Ланкрипто.

            С Уважением,
            Барсуков Дмитрий,
            начальник отдела продаж
            Компании "Банк'с Софт Системс".

            Комментарий

            Пользователи, просматривающие эту тему

            Свернуть

            Присутствует 1. Участников: 0, гостей: 1.

            Обработка...
            X