24 сентября, понедельник 02:56
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

BS-Client. Генерация ключей клиентом.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • BS-Client. Генерация ключей клиентом.

    Коллеги, нужен совет.
    Ситация - есть BS-Client v3. Используется Crypto-C. При генерации инсталляционного набора делаем технологические ключи, потом требуем от клиента перегенерировать их - и уже с новыми клиент работает.
    Клиент разный. С некоторыми сложно...

    Нет ли случаем пути автоматизации - типа клиент развернул софтину - та при первом старте попросила нажать на пару кнопок - и сделала сама новые ключи.
    Я словно лист на ветру, посмотри как я лечу...

  • #2
    Mc`Sim
    и сама прописала эти ключи в БК? ну наверное можно написать такую софтину, но пока единственный способ видел кажется в банке москвы (у них правда крипто-про) - клиент сам через сайт банка генерит себе ключ, банк получает запрос на сертификат, выпускает сертификат и регистрирует его в БК и после этого делает клиенту дистрибутив. в этом случае существуют только один ключ честно сделанный клиентом.

    Комментарий


    • #3
      поставить Бифит )

      Комментарий


      • #4
        KaMPiLeR тоже вариант

        Комментарий


        • #5
          потом требуем от клиента перегенерировать их - и уже с новыми клиент работает.

          Перегенерация при установке в BSS-толстый всего ~4 нажатия кнопки мыши.

          Но вот при проблемах с дискетой, просроченных ключах - это песня.

          Комментарий


          • #6
            DartW Вопрос собственно не в том, за сколько нажатий кнопок клиент получит свою ключ, а в том что полюбому клиенту нужно передавать какой-то "технологический" ключ. Что у ряда клиентов вызывает вопросы и озабоченность.

            Комментарий


            • #7
              olgeir
              По этой причине мы сами генерируем ключи, а вместе с инсталляцией отдаем карточки ЭЦП для заполнения. Зато setup.exe сам запишет нужные ключи на дискетку и проблемы с ЭЦП как правило не бывает (за исключением "умерших" дискетт).
              Конечно, "по правилам" так делать нельзя, но пока никто не жаловался.
              Жаль бухгалтеров - термины "сертификат", "открытый ключ", "генерация", "отправить в банк" их просто ставит в полный ступор :-(

              Комментарий


              • #8
                Сообщение от pit Посмотреть сообщение
                ...
                Конечно, "по правилам" так делать нельзя, но пока никто не жаловался.
                ...
                Напрасно правила взяты в кавычки. Как факт - Вы имеете копии ключей и вполне можете отправлять подложные документы в банк за подписью клиента.
                На фоне этого может оказаться затруднительно доказывать, что именно клиент отправил в банк документ.

                Сообщение от pit Посмотреть сообщение
                Жаль бухгалтеров - термины "сертификат", "открытый ключ", "генерация", "отправить в банк" их просто ставит в полный ступор :-(
                А вы их освободите от балансов, карточек учета, подсчета денег, открытия сейфов и т.д. Пусть откроют кассу и повесят объявление типа "Берите кому сколько надо".
                Жалость нужно проявлять в обучении их! Иначе нет понимания, что все сейфы пустяки, и что злоумышленник взяв не надолго дискетку (которая часто просто валяется на столе) украдет их деньги.
                При этом пострадает и репутация банка.
                Последний раз редактировалось IgorL; 29.12.2007, 07:46. Причина: Уточнение

                Комментарий


                • #9
                  на стороне клиента -браузер, ничего устанавливать не надо, СКЗИ прописывается при первом заходе как плагин к браузеру, ключ генерит сам клиент ...

                  Комментарий


                  • #10
                    pit как правильно отметил IgorL, что Вы будете делать если клиент спишет все деньги одной платежкой, а потом скажет что эту платежку подготовил сам банк поскольку у банка были копии ключей?

                    Комментарий


                    • #11
                      olgeir
                      IgorL
                      Прецедентов за 10 лет не было.
                      Кроме того, это прописано в договоре.

                      Комментарий


                      • #12
                        DartW Перегенерация при установке в BSS-толстый всего ~4 нажатия кнопки мыши.
                        Поболее. Потому как ключи открытые в банк передаются, там регистрируются. геморройно. У бифита проще всё это сделано.

                        Прецедентов за 10 лет не было.
                        Кроме того, это прописано в договоре.

                        грамотный юрист пошлёт нафиг такой пункт договора. Ну было, ну подписали. И что? По закону - нельзя, значит этот пункт - ничтожный.

                        Комментарий


                        • #13
                          Поболее. Потому как ключи открытые в банк передаются, там регистрируются. геморройно.
                          Ага. В Крипто-СИ, на банке:
                          1. Выгрузить в центр сертификации, в папку. - 1 кнопка
                          2. Загрузить из Центра сертификации - 1 кнопка.
                          Отправляется автоматом.

                          2 кнопки.

                          PS. Генерироваить за клиента ключи - это очень не правильно.

                          Комментарий


                          • #14
                            pit, к сожалению, прецеденты известны. То, что их не было в Вашем банке... при Вашем подходе всего лишь вопрос времени и "везучести".

                            olgeir, вряд ли сам клиент. Представьте ситуацию:
                            у солидного клиента крупного банка списали под праздники со счета серьезную сумму на подставную фирму-однодневку (откуда их успешно раскидывают/снимают...).
                            Из за нарушений в процедуре генерации ключей банку не удается доказать, что на момент передачи клиенту ключевая информация существовала только в одном экземпляре, у клиента.
                            В результате банк теряет и деньги и клиента.

                            И это еще не все. Как оргвыводы следует замена софта ДБО, СКЗИ, людей... Затраты можно себе представить...

                            Избежать такого сценария очень просто - делай по ПРАВИЛАМ.
                            Последний раз редактировалось IgorL; 30.12.2007, 13:46.

                            Комментарий


                            • #15
                              IgorL да в общем не суть важно кто и зачем важно то что при надежде на авось и на то что раньше такого не было можно поиметь крупные неприятности.

                              Комментарий


                              • #16
                                Сообщение от pit Посмотреть сообщение
                                olgeir
                                По этой причине мы сами генерируем ключи, а вместе с инсталляцией отдаем карточки ЭЦП для заполнения. Зато setup.exe сам запишет нужные ключи на дискетку и проблемы с ЭЦП как правило не бывает (за исключением "умерших" дискетт).
                                Конечно, "по правилам" так делать нельзя, но пока никто не жаловался.
                                Жаль бухгалтеров - термины "сертификат", "открытый ключ", "генерация", "отправить в банк" их просто ставит в полный ступор :-(
                                Вы на себя не берите больше, чем сможете нести. Бухгалтеров им жалко...
                                На самом деле причина не в жалости - просто не смогли правильно реализовать веб-интерфейс для регистрации клиентов и генерации ключей. Для этого нужен и правильный SSL-сертификат от известного издателя типа Verisign или Thawte, чтоб у клиента браузер не ругался, что его пытаются обмануть. И вопросы безопасности на веб-сервере решить надо, чтоб не поломали. И оргвопросы с передачей бумаг туда-сюда. И DNS-имя...
                                А товарищ pit собственное неумение все это делать замаскировал желанием кому-то "помочь", попутно скомпрометировав ключи этого "кого-то" и поставив его в положение, когда он все свои денежки доверяет ему, генерирующему ключи, лично.
                                Это все равно, что хранить в оперзале печати всех клиентов и факсимильные штампы подписей их руководителей. Или чистые листы с печатями клиентов и подписями в нужных местах.

                                Если хоть один клиент поймет, что Вы можете сделать платежку от его имени и отправит деньги куда угодно - Вам конец. Как минимум лишитесь работы с "волчьим билетом".

                                Комментарий


                                • #17
                                  2 Полковник А Вы теоретик или практик?

                                  P.S. Что-то мне подсказывает, что с нашей стороны баррикад Вы еще не смотрели.
                                  "Единственный способ научиться играть лучше - играть с более сильным соперником!"

                                  Комментарий


                                  • #18
                                    Юнец А вы полагаете что Полковник не прав?

                                    Комментарий


                                    • #19
                                      А вы полагаете что Полковник не прав?
                                      Я такое не говорил. Даже наоборот я бы сказал, что полностью с ним согласен и у нас именно через web-интерфейс клиенты сами генерят себе ключи.
                                      Но я не согласен с этой фразой:
                                      А товарищ pit собственное неумение все это делать замаскировал желанием кому-то "помочь".
                                      Ну, во-первых, лично я считаю, что товарищ pit не обязан этого уметь и тем не менее будет считаться отличным сотрудником.
                                      А, во-вторых, даже если товарищ pit умеет это делать, то почему он сразу должен все бросить и начать реализацию. Опять-таки лично я не располагаю возможностью все бросить и направить драгоценные ресурсы своего отдела (человек/час) на разработку регистрации клиента через web-интерфейс, если бы такого бы у нас не имелось бы.

                                      Но тем неменее я не считаю что pit выбрал правильный путь. Просто настораживает, что человек только сегодня зарегестрировался и уже с первого поста начал наезжать на одного из корифеев форума.
                                      "Единственный способ научиться играть лучше - играть с более сильным соперником!"

                                      Комментарий


                                      • #20
                                        P.S. Что-то мне подсказывает, что с нашей стороны баррикад Вы еще не смотрели.
                                        Не волнуйтесь, я смотрю с той же стороны баррикад, что и Вы.

                                        И мне по наследству досталась такое же безобразие. Навнедрял один гений, а второй, который сопровождал, делал все строго по шагам по инструкции, которую написал первый. Потом пришлось придумывать, как заставить клиентов перегенерировать самостоятельно ключи и не поднимать шума по поводу наличия старых ключей у нас.

                                        Просто если в банке внедряется система ДБО в production режиме, надо доводить дело до ума. И обладать необходимой квалификацией. Или подчиненными с необходимой квалификацией. И планировать ресурсы, в том числе деньги и человеко-часы, на правильное внедрение до самого внедрения (это уже в Ваш огород камень). И к моменту начала боевой эксплуатации иметь регламент управления ключевой информацией.

                                        А когда получается такое "нечто", как у pit, лучше бы даже не пытались начинать, ИМХО. Только клиентов подставляете.

                                        З.Ы. Хотя, если банк обслуживает "своих" клиентов-однодневок, подобный подход может быть интересен...

                                        Комментарий


                                        • #21
                                          Насчет "интернет-клиента" я согласен на 150%
                                          Но у нас его нет. Только стандартный "толстый" клиент BSS.
                                          Вот тут я согласен лишь 90%, потому что:
                                          1) из 50 установленных АРМ толькое двое ставили самостоятельно. Остальные просили приехать представителю банка (т.е. мне).
                                          2) У этих 48 оставшихся термины "сертификат", "генерация" и пр. вызывали неподдельный ужас.
                                          3) (из п.2)тогда какая разница - клиент одинаково может наехать - дескать, приезжал ваш сотрудник, такой подлец, скопировал наши ключи и т.п...
                                          4) Один фиг - при инсталляции ключи пишутся на дискетку - чем не генерация?
                                          Собственно, "по правилам" мы так и ставили первые АРМ'ы, но потом поняли, что в реальности это практически невозможно: приехать к клиенту, установить АРМ, скопировать/передать в банк запрос на сертификат, поехать в банк, зарегистрировать, получить ключ, снова поехать к клиенту, там заргистрировать.
                                          Убиться можно!
                                          Я понимаю - работающие в крупных банках держат на одном ПО по десять админов, но у нас мелкий региональный банк - всего 2 автоматизатора на весь банк.
                                          Скажете - "не надо вообще внедрять Банк-Клиент"? Это выходит за рамки темы, и я боюсь что перейду на личности :-)
                                          Так что вы остаетесь при своем мнении, я - при своем.
                                          P.S. Не надо страдать паранойей и видеть в клиенте врагов.
                                          P.P.S. Но я взял на заметку - далее буду ставить только "надежным" клиенам.

                                          Комментарий


                                          • #22
                                            А, во-вторых, даже если товарищ pit умеет это делать, то почему он сразу должен все бросить и начать реализацию.
                                            Чтобы спать спокойно, а то получается "пока гром не грянет, мужик не перекрестится".

                                            Клиент разный. С некоторыми сложно...
                                            Обучать, консультировать, обязывать договорами, максимально упрощать процедуры генерации..чай не в каменном веке живем. Никогда не будет такого, чтобы при работе с Клиентом было легко и просто. И любой ВИП, когда ему объяснишь все возможные сложности, легко находит у себя человека, который ему будет делать все эти операции.

                                            приехать к клиенту, установить АРМ, скопировать/передать в банк запрос на сертификат, поехать в банк, зарегистрировать, получить ключ, снова поехать к клиенту, там заргистрировать.
                                            А что помешало использовать технологические ключи, аля ключи регистрации в любой более-менее серьезной ключевой системе?

                                            Комментарий


                                            • #23
                                              Сообщение от vtar Посмотреть сообщение
                                              на стороне клиента -браузер, ничего устанавливать не надо, СКЗИ прописывается при первом заходе как плагин к браузеру, ключ генерит сам клиент ...
                                              Если не секрет .. каким образом реализовано самостоятельное создание ключей клиентами для тонкого BSS клиента???

                                              Комментарий


                                              • #24
                                                pit
                                                1) решается нормально написанной инструкцией по установке. у нас толстый БСС ставят бухгалтеры. и не поверите, они сами генерят ключи, печатают сертификаты и никаких трудностей у них не возникает.
                                                2) см. п 1
                                                3) вот поэтому ключи должен делать сам клиент.

                                                дело не в параное. дело в том что нежелание один раз сделать всё правильно может привести к очень большим проблемам.

                                                ЗЫЖ веб-интерфейс это не так сложно как кажется, в конце концов можно посмотреть как это сделанно в других банках. но веб-интерфейс не снимает проблемы ключей у клиентов без интернета.

                                                Комментарий


                                                • #25
                                                  Auburn Согласен со всем. но реализация работы с технологическими ключами в БСС реализованна криво.

                                                  Комментарий


                                                  • #26
                                                    evgeniy_v никак. доступна только перегенерация уже существующего ключа.

                                                    Комментарий


                                                    • #27
                                                      из 20-П:
                                                      6. Клиент должен приобрести программно - аппаратный центр генерации ключей ЭЦП (по рекомендации Банка) и изготовить ключи ЭЦП самостоятельно. Открытые ключи ЭЦП он должен направить на регистрацию в Регистрационный центр. Для регистрации изготавливается регистрационная карточка в 2-х экземплярах, один из которых остается в Регистрационном центре, другой - выдается Клиенту.
                                                      7. Одновременно с регистрацией своих открытых ключей ЭЦП Клиент получает в Регистрационном центре Регистрационную карточку открытого ключа ЭЦП Регистрационного центра.
                                                      8. Ключи шифрования, предназначенные для обеспечения конфиденциальности ЭД при их передаче по каналам связи, предоставляются Клиенту Банком. Получение ключей шифрования Клиентом оформляется актом.
                                                      Ключи шифрования - передаются готовые Клиенту Банком, а ЭЦП - генерится самим клиентом.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Adyan Посмотреть сообщение
                                                        из 20-П:

                                                        6. Клиент должен приобрести программно - аппаратный центр генерации ключей ЭЦП (по рекомендации Банка) и изготовить ключи ЭЦП самостоятельно. Открытые ключи ЭЦП он должен направить на регистрацию в Регистрационный центр. Для регистрации изготавливается регистрационная карточка в 2-х экземплярах, один из которых остается в Регистрационном центре, другой - выдается Клиенту.
                                                        7. Одновременно с регистрацией своих открытых ключей ЭЦП Клиент получает в Регистрационном центре Регистрационную карточку открытого ключа ЭЦП Регистрационного центра.
                                                        8. Ключи шифрования, предназначенные для обеспечения конфиденциальности ЭД при их передаче по каналам связи, предоставляются Клиенту Банком. Получение ключей шифрования Клиентом оформляется актом.

                                                        Ключи шифрования - передаются готовые Клиенту Банком, а ЭЦП - генерится самим клиентом.
                                                        Приведенный текст - из Приложения 8 к 20-П.

                                                        Тут есть нюансы - в системах Банк-Клиент применяется двухключевая криптография. Секретный ключ абонента используется для _расшифровки владельцем_ и _подписывания владельцем_. Открытый - для _шифрования на имя владельца_ _проверки подписи владельца_.
                                                        Так что ключи ЭЦП из пункта 6 - это ключи клиента. Секретный он оставляет себе, открытый - передает банку. Чтобы банк мог проверить его (клиента) подпись и шифровать передаваемую клиенту информацию.
                                                        Ключи из пункта 8 - банк распространяет с дистрибутивом ДБО свой открытый ключ для того, чтобы клиенты могли шифровать информацию для банка. И подпись банка проверять.
                                                        Секретные ключи никто никому не передает.

                                                        То, что в 20-П применяются термины "ключ ЭЦП" и "ключ шифрования", говорит об одном из двух: или составитель положения не знает про двухключевую критпографию (что вряд ли - см. п.6), или имеется в виду, что для ЭЦП клиентом используется одна пара ключей (генерируется клиентом), для расшифровки сообщений от банка - другая (генерируется банком для клиента). При этом секретный ключ второй пары имеется у банка для того, чтобы можно было расшифровать сообщение, посланное клиенту для разбора полетов. Принимать к исполнению документы с ЭЦП, выработанной с помощью данной пары ключей, хоть она и "принадлежит" клиенту, - грубое нарушение 20-П.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от pit Посмотреть сообщение
                                                          1) из 50 установленных АРМ толькое двое ставили самостоятельно.
                                                          Молиться надо на таких клиентов.
                                                          2) У этих 48 оставшихся термины "сертификат", "генерация" и пр. вызывали неподдельный ужас.
                                                          Это в том числе и Ваша недоработка.
                                                          3) (из п.2)тогда какая разница - клиент одинаково может наехать - дескать, приезжал ваш сотрудник, такой подлец, скопировал наши ключи и т.п...
                                                          Сотрудник по приезду максимум ставит дистрибутив и показывает, как сгенерировать ключ да распечатать его сертификат. В случае, если генерация происходит в присутствии сотрудника банка - НЕ ТРОГАТЬ КЛЮЧЕВОЙ НОСИТЕЛЬ РУКАМИ. Ни до, ни после генерации. Найдут отпечатки - пеняйте на себя.
                                                          4) Один фиг - при инсталляции ключи пишутся на дискетку - чем не генерация?
                                                          Учите матчасть. Генерация ключей состоит в случайном выборе больших простых чисел и вычислении необходимых преобразований, результаты которых будут в дальнейшем представлять собой открытый и закрытый ключи. Сомневаюсь, что при записи на дискету хоть как-то используется датчик случайных чисел
                                                          Собственно, "по правилам" мы так и ставили первые АРМ'ы, но потом поняли, что в реальности это практически невозможно: приехать к клиенту, установить АРМ, скопировать/передать в банк запрос на сертификат, поехать в банк, зарегистрировать, получить ключ, снова поехать к клиенту, там заргистрировать.
                                                          Убиться можно!
                                                          Процедура должна быть проще. По приезду к клиенту должен быть дистрибутив и открытый ключ банка (в дистрибутиве или отдельно). Клиент должен распечатать свой сертификат на бумаге и отдать заполненным с подписью и печатью. Если Вам приходится для скармливания клиентский части открытьго ключа банка делать такие махинации с запросом/регистрацией - свяжитесь с разработчиком. Может есть способ лучше. Я вообще плохого мнения о BSS и их геморройном продукте.
                                                          Я понимаю - работающие в крупных банках держат на одном ПО по десять админов, но у нас мелкий региональный банк - всего 2 автоматизатора на весь банк.
                                                          Скажете - "не надо вообще внедрять Банк-Клиент"? Это выходит за рамки темы, и я боюсь что перейду на личности :-)
                                                          А я вообще один - у нас филиал.
                                                          Просто не надо внедрять абы как, типа запустим, а потом проще будет. Чем аккуратнее запрягаешь, тем быстрее потом едешь.
                                                          Так что вы остаетесь при своем мнении, я - при своем.
                                                          Я не ставлю своей целью переубедить Вас. Этот форум читают многие, думаю выводы все сделают.
                                                          P.S. Не надо страдать паранойей и видеть в клиенте врагов.
                                                          Надо следовать общепринятым правилам и нормам и любое свое действие подкреплять соответствующей бумажкой (или иным документом с аналогом собственноручной подписи ), чтобы потом не пришлось одевать штаны ширинкой назад.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от olgeir Посмотреть сообщение
                                                            evgeniy_v никак. доступна только перегенерация уже существующего ключа.
                                                            Вот и я не нашел такой возможности. Есть только возможность использование технологических ключей. Еще можно генерировать ключи с помощью Admin-PKI, но это дополнителный софт на который надо покупать отдельные лицензии, а vtar написал что используют просто браузер и всеи, вот и мне так захотелось.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X