17 октября, среда 18:37
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Верба 6. Кто ЭТО сделал, лорды...

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Верба 6. Кто ЭТО сделал, лорды...

    Про РМП, собственно.

    Ну, то есть, абстрактно, я ожидал, что каждое следующее поделие будет не лучше предыдущего, но вот чтобы вот так сразу и настолько хуже, это было непрятной новостью.

    Генерация ключей. Технической возможности сгенерировать совмещённые с одним ключом шифрования два ключа подписи больше нет. Только три носителя. А если у меня отправка отчётности и отправка сообщений в ФСФМ - это две разных службы, то должен ли я вручать им один ключ или мне теперь рассказывать, как им будет хорошо и удобно вместо 2 дискет как раньше, дискотеку с тремя устраивать... Думаю.

    Интерфейс пользователя. Зашифрование теперь возможно только если при старте вставил дискету с закрытым ключом шифрования, то же про подпись. Полный и безоговорочный маразм. _За_шифрование связано со справочником ОК, а вовсе не с наличием СК... Открывающиеся списки файлов вместо стандартных двух окон с перемещением файлов между ними -- стало окончательно непонятно, что уже обработано, а что нет. Действительно, пусть пользователь помнит и никогда не ошибается.
    Настройки закопаны в три разные меню. Зато цветных пиктограмм поналяпано, прямо как в icq.

    Хранение профилей, настроек, а при минимальном (и, замечу, предлагаемом по умолчанию) раздолбайстве ещё и копий СК в %USERPROFILE%. Занафига, спрашивается. Локальный компьютер - это расходный материал. Сдох, сгорел, отдан другому пользователю.

    А в довершение беды, SignatureSC перестала выгружать ключи, в результате пользование ею теперь нереально.

    Что делать, есть идеи? Кроме как плакать и жевать кактус. Ну или вооружаться SDK и писать всё самостоятельно. К чему я и склоняюсь потихоньку.
    /kiv

  • #2
    Криптопроводник не поможет?

    Комментарий


    • #3
      _За_шифрование связано со справочником ОК, а вовсе не с наличием СК.
      Как гласит теория - при любой операции системы с открытыми ключами всегда используется пара ключей. Свой секретный и открытый корреспондента. Иначе это уже система на закрытом ключе, который есть у всех
      Serg Voronov

      Комментарий


      • #4
        Добавлю еще что резервное копирование ключей на другой носитель (именно на дискету) не копирует каталог HD1 с исходного носителя на резервный.Если бы визуально не проверил не узнал бы...Это жесть..

        Комментарий


        • #5
          Проблема имеет радикальное, но верное штатное решение. РМП выносим нафиг и забываем про него до следующей версии как минимум, ставим АРМ АБ-OW (у кого есть, например, у абонентов таможенной карты), просто при генерации ключей не забываем выбрать "гост2001" и отключить кодировку ДОС для атрибутов.

          После чего с генерацией и копированием ключей проблемы решаются сами собой, а SignatureSC тоже начинает работать как и раньше - поскольку, видимо, рассчитана на совмещённые ключи.

          Вуаля.
          /kiv

          Комментарий


          • #6
            вопрос в следующем
            Раньше я генерил 2 ключа(подписи и шифрования) и записывал на 2 дискеты
            на одну ключ подписи и шифрования, а на другую подписи( для кфмщиков)
            а как мне достичь этого теперь?
            захожу я в генерацию ключей и могу там выбрать 3 варианта генерации: отдельно подпись, отдельно шифрование и совмещенно.
            ну выберу я совмещённо, а как мне потом этот ключ отдельно кфмщикам записать? или теперь надо каждый ключ на отдельную дискету записывать?

            Комментарий


            • #7
              Сегодня тоже полдня потратил на детальный разбор ситуации. Результат поверг меня в шок. Раньше просто делал и не задумывался.
              Оказывается ключи шифрования которыми вы шифруете сообщение в ФСФМ вообще никак не связаны с вашими ключами шифрования и подписи, которые вы сами генерите. Ключи ФСФМ вам выдали в ЦУКСе уже готовыми сгенерированными неизвестно кем, что по научному называется компрометация секретных ключей!!! А мы ими спокойно пользуемся и не задумываемся что шифруем вовсе не секретными ключами, и я не удивлюсь, если на горбушке где-нибудь они продаются. Так что генерите свои ключи как обычно, они имеют отношение только к подписи сообщения, шифруется оно ключами ФСФМ которые не меняются.
              Программа SignatureSC действительно не может одновременно работать с несколькими ключами, но я позвонил в ЦУКС и мне сказали что проблема известна и сейчас они готовят новый дистрибутив версии 3.2.8.23 который выложат на FTP сервер АСЭВ.

              Комментарий


              • #8
                Илюха нельзя так по пятницам народ пугать!
                а на неё обязательно переходить, что-ли?

                Комментарий


                • #9
                  dd а на неё обязательно переходить, что-ли?
                  Конечно обязательно ! Это же ЦБ - все как в армии должно быть единообразно, и трава должна быть аккуратно покрашена в зеленый цвет.

                  punyru Ключи ФСФМ вам выдали в ЦУКСе уже готовыми сгенерированными неизвестно кем, что по научному называется компрометация секретных ключей!!!

                  Здрасть ! Не путайте с компрометацией ключей ЭЦП. Если серкертный ключ ЭЦП известен третьему лицу, то тот сможет подделать электронную подпись - это компрометация. А если третьему лицу известен секретный ключ шифрования, то он может только лишь зашифровать документ на того же получателя. Но это ничего ему не даст, подделать документ не получится, потому что ЭЦП под документом поставлена совсем другим ключом - вашим собственным. Так что не вижу ничего страшного, что ключи шифрования для обмена генерят администраторы в самом ФСФМ - они используются только для того, чтобы не гонять сообщения открытым текстом.

                  Комментарий


                  • #10
                    Народ а подскажите чем шифровать то архив который я создал для передачи в РЦ?Составил все необходимые письма,файлы,карточки регистрации,засунул в arj а как зашифровать не пойму.Написано что надо шифровать для абонента XXXX в ПО РМП.На каких ключах не пойму...

                    Комментарий


                    • #11
                      Сообщение от elfrid Посмотреть сообщение
                      вопрос в следующем
                      Раньше я генерил 2 ключа(подписи и шифрования) и записывал на 2 дискеты
                      на одну ключ подписи и шифрования, а на другую подписи( для кфмщиков)
                      а как мне достичь этого теперь?
                      захожу я в генерацию ключей и могу там выбрать 3 варианта генерации: отдельно подпись, отдельно шифрование и совмещенно.
                      ну выберу я совмещённо, а как мне потом этот ключ отдельно кфмщикам записать? или теперь надо каждый ключ на отдельную дискету записывать?
                      Я же уже говорил: проблема имеет радикальное, но верное штатное решение. РМП выносим нафиг и забываем про него до следующей версии как минимум, ставим АРМ АБ-OW (у кого есть, например, у абонентов таможенной карты), просто при генерации ключей не забываем выбрать "гост2001" и отключить кодировку ДОС для атрибутов.

                      Все остальные думают, как бы им обойтись одним совмещённым ключом.
                      /kiv

                      Комментарий


                      • #12
                        Сообщение от heg Посмотреть сообщение
                        Не путайте с компрометацией ключей ЭЦП. Если серкертный ключ ЭЦП известен третьему лицу, то тот сможет подделать электронную подпись - это компрометация.
                        Хороший теоретический вопрос - всегда ли проверяется соответствие ЭЦП идентификатору отправителя, находящемуся в теле сообщения. В общем, были сигналы, что при внедрении системы (т.е. в 2002 году) - не проверялось. Надеюсь, что исправлено.

                        По поводу ключей шифрования. То, что всем банкам вручен один ключ, и присылаемые файлы (например, списки террористов) зашифрованы на этот самый один-единственный ключ, в общем, действительно факт, и факт известный. Но я понимаю, что разослать тысячу разных файлов тысяче разных адресатов - это технически сложно. Да и сам список не такая уж строгосекретная информация. Так что имеем, на лично мой взгляд, вполне разумный компромисс. И рассылка облегчена, и получателями, в некотором приближении, являются только определённые лица. Что сообщения _за_шифрованы на ключ получателя (каковой не является, если глянуть внутрь, ключом отправителя), как раз и гарантирует невскрытие письма промежуточной инстанцией (ЦБ. Хотя зачем им это). Так что тут как раз всё чисто.

                        Ну да я не об этом, а таки об интерфейсе РМП. Гадость редкостная. Советую переходить на АРМ-АБ.
                        /kiv

                        Комментарий


                        • #13
                          Здрасть ! Не путайте с компрометацией ключей ЭЦП. Если серкертный ключ ЭЦП известен третьему лицу, то тот сможет подделать электронную подпись - это компрометация. А если третьему лицу известен секретный ключ шифрования, то он может только лишь зашифровать документ на того же получателя. Но это ничего ему не даст, подделать документ не получится, потому что ЭЦП под документом поставлена совсем другим ключом - вашим собственным. Так что не вижу ничего страшного, что ключи шифрования для обмена генерят администраторы в самом ФСФМ - они используются только для того, чтобы не гонять сообщения открытым текстом.
                          А чё тут путать? Я точно знаю одно, что если секретный ключ известен кому-то ещё, он уже совсем не секретный.
                          Как это ничего нельзя сделать? Зная секретный ключ можно расшифровать сообщение, а потом его выгодно продать...
                          Вы думаете Верба это обычная система с несимметричным шифрованием, дык вот в документации написано, что это совсем не так. Шифруется всё симетричным алгоритмом на сеансовом ключе, который в свою очередь формируется из секретного ключа отправителя и открытого ключа получателя (как формируется не уточнено). Отсюда вывод - зная секретный ключ и открытый ключи, можно расшифровать сообщение.

                          Комментарий


                          • #14
                            А подскажите пожайлуста мне по моему вопросу...Я что то запутался.

                            Комментарий


                            • #15
                              Народ а подскажите чем шифровать то архив который я создал для передачи в РЦ?Составил все необходимые письма,файлы,карточки регистрации,засунул в arj а как зашифровать не пойму.Написано что надо шифровать для абонента XXXX в ПО РМП.На каких ключах не пойму...
                              Дык вы уже заранее неправильно действуете... Сначала надо шифровать, а только потом в архив совать.
                              Причём шифровать надо с использование ключей 2551, для этого в РМП, надо выгрузить из памяти ваши ключи, загрузить ключи 2551 и зашифровать на них, потом засунуть в архив, опять выгрузить из памяти ключи 2551 и загрузить свои, потом архив подписать и только потом отправить.
                              Вообщем в страшном сне не приснится!!!

                              Комментарий


                              • #16
                                Сообщение от Kudinov_DN Посмотреть сообщение
                                Написано что надо шифровать для абонента XXXX в ПО РМП. На каких ключах не пойму...
                                На ключах этого самого ХХХХ, которые (справочник openkey) Вам вручили, вероятно. Давайте лучше рассказывайте, где написано. А то вот у меня, например, написапно "на втором этапе (16 октября 2007 года) администратор безопасности прибывает в ЦУКС МГТУ для регистрации открытых ключей и заверения регистрационных карточек открытых ключей шифрования и КА". Там же мне, кстати, вручат открытые ключи моих корреспондентов. Каковые я и буду использовать.
                                /kiv

                                Комментарий


                                • #17
                                  Сообщение от punyru Посмотреть сообщение
                                  Шифруется всё симетричным алгоритмом на сеансовом ключе
                                  Это как раз абсолютно нормальная практика.

                                  Сообщение от punyru Посмотреть сообщение
                                  который в свою очередь формируется из секретного ключа отправителя и открытого ключа получателя (как формируется не уточнено).
                                  Мне, на самом деле, припоминается какой-то буржуйский алгоритм, который действовал так же. При подходящем способе формирования (ещё одно случайное число должно фигурировать) это не страшно. Говорят. Лично не проверял, ибо нечем. Да и незачем...
                                  /kiv

                                  Комментарий


                                  • #18
                                    Итак по порядку..
                                    Выдали дистрибутив Верба-OW и Лицензионный ГМД при помощи которого генерятся новые ключи.Сгенерил новые ключи для себя.Из инструкции от РЦ черным по белому написано:
                                    В пакет информации, передаваемый в РЦ должны входить: XXXX.pub, XXXX01.lfx, XXXX.txt, XXXX01.txt, sopr.jpg, где ХХХХ – номер ключа шифрования. Все перечисленные файлы помещаются в архив pUUUDDMM.arj, без каталогов и шифруются в ПО РМП на действующих ключах для 0101 и 0102 в файл pUUUDDMM.@@0, где UUU – условный номер КО, а DDMM – текущая дата.

                                    Вот я и не пойму yf каких действующих ключах?Для чего?

                                    Комментарий


                                    • #19
                                      Сообщение от Kudinov_DN Посмотреть сообщение
                                      Итак по порядку..
                                      Выдали дистрибутив Верба-OW и Лицензионный ГМД при помощи которого генерятся новые ключи.Сгенерил новые ключи для себя.Из инструкции от РЦ черным по белому написано:
                                      В пакет информации, передаваемый в РЦ должны входить: XXXX.pub, XXXX01.lfx, XXXX.txt, XXXX01.txt, sopr.jpg, где ХХХХ – номер ключа шифрования. Все перечисленные файлы помещаются в архив pUUUDDMM.arj, без каталогов и шифруются в ПО РМП на действующих ключах для 0101 и 0102 в файл pUUUDDMM.@@0, где UUU – условный номер КО, а DDMM – текущая дата.

                                      Вот я и не пойму yf каких действующих ключах?Для чего?
                                      Откуда взялась инструкция? и что такое РЦ? Мне никакой инструкции не давали

                                      Комментарий


                                      • #20
                                        Сообщение от Kudinov_DN Посмотреть сообщение
                                        шифруются в ПО РМП на действующих ключах для 0101 и 0102
                                        Значит, так. У Вас долен быть справочник открытых ключей. Это каталог OPENKEY, если сие чем-либо поможет. К сожалению, в Москве всё не так: регистрационные карточки я с живыми подписями и печатями лично везу на регистрацию. Поэтому, где простому самаритянину искать оный справочник и как убеждаться, что опубликовынные в том справочнике ключи - действующие, совершенно не представляю.
                                        /kiv

                                        Комментарий


                                        • #21
                                          Скажите, а кто-нибудь сталкивался с проблемами работы вербы 6.1 с перемещаемыми профилями? РМП падает в fcolseow.exe (в модуле ntkernel.dll). Под локальным пользователем на том же компьютере - не падает... Оба пользователя - админы на компе.

                                          Комментарий


                                          • #22
                                            Вот я и не пойму yf каких действующих ключах?Для чего?
                                            Как я понимаю.
                                            Вы сгенерили новые ключи, но старые ключи-то у вас остались. Вставляете старые ключи и грузите их в РМП, берёте все файлы которые вам надо отвезти в ЦУКС и шифруете их для абонентов 0101 и 0102.
                                            А РЦ я так понимаю это регистрационный центр, в простонародии ЦУКС..

                                            Комментарий


                                            • #23
                                              Попробуйте скопировать содержимое %userprofile%\application data\mdprei\РМП Верба-OW от уже работающего локального пользователя в сетевой профиль. Это поделие некорректно работает с перенаправлением папок.
                                              Посмотрите в Program Files\РМП Верба-OW, скорее всего вы там найдете иерархию каталогов вида: имя сервера>\название shared folder>\username>\application data...

                                              Комментарий


                                              • #24
                                                Ура разобрался:-)))У меня почему то в папке Openkey не было 1 файлика...Скинул его из резервной копии и все заработало.Появились абоненты 0101,и 0102.Файл сформировал и отправил:-)
                                                Я вот только не понимаю - а кому нужна эта новая верба?ПО РМП в частности.Типа история как и с СПО СВК?Кому надо это непонятно...

                                                Комментарий


                                                • #25
                                                  2ALL

                                                  Возник у нас организационный вопрос по поводу ответственного за подпись и шифровку сообщений в КФМ. Пока у нас один человек занимается подписью/шифрацией и отчетов и стуков. Но с этой новой программой придется пользоваться дискетами, а это крайне неудобно, особенно для стука. Хочу повесить это дело на самих стукачей.
                                                  Работает ли у кого такая же схема?
                                                  VP

                                                  Комментарий


                                                  • #26
                                                    Kudinov_DN, новая Верба нужна для того, что сформировать подпись по новому алгоритму на эллептических кривых.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от pvn59 Посмотреть сообщение
                                                      Хочу повесить это дело на самих стукачей.
                                                      Работает ли у кого такая же схема?
                                                      Работает. Приказом по банку оформляется список ответственных с указанием, кто за что отвечает, и регламент выдачи ключевых носителей - подписи - шифрования - отправки - получения квитанций - сдачи носителей. Обязательно должен быть журнал выдачи-сдачи. Крайне желательны меры физической защиты ПК с установленной вербой и уж во всяком случае, защита на уровне неустановки стороннего ПО. Вроде, всё.

                                                      Мне вот наш борец с отмыванием даже сказал, что такая метода ему больше нравится, чем как у него было на предыдущем месте работы -- типа, кинул файл в каталог, а ушёл-не ушёл, куда ушёл, выясняй по телефону у злобных автоматизаторов...
                                                      /kiv

                                                      Комментарий


                                                      • #28
                                                        Илюха
                                                        А зачем журнал. Я вообще хочу, что бы он себе отдельную подпись сгенерил и за нее плюс за дискетку КФМ он отвечал.
                                                        А мы будем отправлять...
                                                        VP

                                                        Комментарий


                                                        • #29
                                                          Коллеги. А где б разжиться утилитой для печати карточки регистрации ключей?

                                                          Комментарий


                                                          • #30
                                                            Прикрепить не мог.
                                                            Последний раз редактировалось DartW; 19.10.2007, 13:53.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X