Объявление

**olgeir** · 28.12.2007, 11:08

Mc`Sim
и сама прописала эти ключи в БК?

ну наверное можно написать такую софтину, но пока единственный способ видел кажется в банке москвы (у них правда крипто-про) - клиент сам через сайт банка генерит себе ключ, банк получает запрос на сертификат, выпускает сертификат и регистрирует его в БК и после этого делает клиенту дистрибутив. в этом случае существуют только один ключ честно сделанный клиентом.

**KaMPiLeR** · 28.12.2007, 11:29

поставить Бифит )

**olgeir** · 28.12.2007, 12:13

KaMPiLeR тоже вариант

**DartW** · 28.12.2007, 13:34

потом требуем от клиента перегенерировать их - и уже с новыми клиент работает.

Перегенерация при установке в BSS-толстый всего ~4 нажатия кнопки мыши.

Но вот при проблемах с дискетой, просроченных ключах - это песня.

**olgeir** · 28.12.2007, 15:44

DartW Вопрос собственно не в том, за сколько нажатий кнопок клиент получит свою ключ, а в том что полюбому клиенту нужно передавать какой-то "технологический" ключ. Что у ряда клиентов вызывает вопросы и озабоченность.

**pit** · 28.12.2007, 20:01

olgeir
По этой причине мы сами генерируем ключи, а вместе с инсталляцией отдаем карточки ЭЦП для заполнения. Зато setup.exe сам запишет нужные ключи на дискетку и проблемы с ЭЦП как правило не бывает (за исключением "умерших" дискетт).
Конечно, "по правилам" так делать нельзя, но пока никто не жаловался.
Жаль бухгалтеров - термины "сертификат", "открытый ключ", "генерация", "отправить в банк" их просто ставит в полный ступор :-(

**IgorL** · 29.12.2007, 07:26

Сообщение от pit Посмотреть сообщение

...
Конечно, "по правилам" так делать нельзя, но пока никто не жаловался.
...

Напрасно правила взяты в кавычки. Как факт - Вы имеете копии ключей и вполне можете отправлять подложные документы в банк за подписью клиента.
На фоне этого может оказаться затруднительно доказывать, что именно клиент отправил в банк документ.

Сообщение от pit Посмотреть сообщение

Жаль бухгалтеров - термины "сертификат", "открытый ключ", "генерация", "отправить в банк" их просто ставит в полный ступор :-(

А вы их освободите от балансов, карточек учета, подсчета денег, открытия сейфов и т.д. Пусть откроют кассу и повесят объявление типа "Берите кому сколько надо".
Жалость нужно проявлять в обучении их! Иначе нет понимания, что все сейфы пустяки, и что злоумышленник взяв не надолго дискетку (которая часто просто валяется на столе) украдет их деньги.
При этом пострадает и репутация банка.

**vtar** · 29.12.2007, 10:09

на стороне клиента -браузер, ничего устанавливать не надо, СКЗИ прописывается при первом заходе как плагин к браузеру, ключ генерит сам клиент ...

**olgeir** · 29.12.2007, 10:11

pit как правильно отметил IgorL, что Вы будете делать если клиент спишет все деньги одной платежкой, а потом скажет что эту платежку подготовил сам банк поскольку у банка были копии ключей?

**pit** · 29.12.2007, 12:21

olgeir
IgorL
Прецедентов за 10 лет не было.
Кроме того, это прописано в договоре.

**Uncle Dima** · 29.12.2007, 14:27

DartW Перегенерация при установке в BSS-толстый всего ~4 нажатия кнопки мыши.
Поболее. Потому как ключи открытые в банк передаются, там регистрируются. геморройно. У бифита проще всё это сделано.

Прецедентов за 10 лет не было.
Кроме того, это прописано в договоре.
грамотный юрист пошлёт нафиг такой пункт договора. Ну было, ну подписали. И что? По закону - нельзя, значит этот пункт - ничтожный.

**DartW** · 29.12.2007, 18:44

Поболее. Потому как ключи открытые в банк передаются, там регистрируются. геморройно.
Ага. В Крипто-СИ, на банке:
1. Выгрузить в центр сертификации, в папку. - 1 кнопка
2. Загрузить из Центра сертификации - 1 кнопка.
Отправляется автоматом.

2 кнопки.

PS. Генерироваить за клиента ключи - это очень не правильно.

**IgorL** · 30.12.2007, 13:32

pit, к сожалению, прецеденты известны. То, что их не было в Вашем банке... при Вашем подходе всего лишь вопрос времени и "везучести".

olgeir, вряд ли сам клиент. Представьте ситуацию:
у солидного клиента крупного банка списали под праздники со счета серьезную сумму на подставную фирму-однодневку (откуда их успешно раскидывают/снимают...).
Из за нарушений в процедуре генерации ключей банку не удается доказать, что на момент передачи клиенту ключевая информация существовала только в одном экземпляре, у клиента.
В результате банк теряет и деньги и клиента.

И это еще не все. Как оргвыводы следует замена софта ДБО, СКЗИ, людей... Затраты можно себе представить...

Избежать такого сценария очень просто - делай по ПРАВИЛАМ.

**olgeir** · 14.01.2008, 11:08

IgorL да в общем не суть важно кто и зачем

важно то что при надежде на авось и на то что раньше такого не было можно поиметь крупные неприятности.

**Полковник** · 15.01.2008, 12:15

Сообщение от pit Посмотреть сообщение

olgeir
По этой причине мы сами генерируем ключи, а вместе с инсталляцией отдаем карточки ЭЦП для заполнения. Зато setup.exe сам запишет нужные ключи на дискетку и проблемы с ЭЦП как правило не бывает (за исключением "умерших" дискетт).
Конечно, "по правилам" так делать нельзя, но пока никто не жаловался.
Жаль бухгалтеров - термины "сертификат", "открытый ключ", "генерация", "отправить в банк" их просто ставит в полный ступор :-(

Вы на себя не берите больше, чем сможете нести. Бухгалтеров им жалко...
На самом деле причина не в жалости - просто не смогли правильно реализовать веб-интерфейс для регистрации клиентов и генерации ключей. Для этого нужен и правильный SSL-сертификат от известного издателя типа Verisign или Thawte, чтоб у клиента браузер не ругался, что его пытаются обмануть. И вопросы безопасности на веб-сервере решить надо, чтоб не поломали. И оргвопросы с передачей бумаг туда-сюда. И DNS-имя...
А товарищ pit собственное неумение все это делать замаскировал желанием кому-то "помочь", попутно скомпрометировав ключи этого "кого-то" и поставив его в положение, когда он все свои денежки доверяет ему, генерирующему ключи, лично.
Это все равно, что хранить в оперзале печати всех клиентов и факсимильные штампы подписей их руководителей. Или чистые листы с печатями клиентов и подписями в нужных местах.

Если хоть один клиент поймет, что Вы можете сделать платежку от его имени и отправит деньги куда угодно - Вам конец. Как минимум лишитесь работы с "волчьим билетом".

**Юнец** · 15.01.2008, 14:00

2 Полковник А Вы теоретик или практик?

P.S. Что-то мне подсказывает, что с нашей стороны баррикад Вы еще не смотрели.

**olgeir** · 15.01.2008, 14:40

Юнец А вы полагаете что Полковник не прав?

**Юнец** · 15.01.2008, 15:27

А вы полагаете что Полковник не прав?
Я такое не говорил. Даже наоборот я бы сказал, что полностью с ним согласен и у нас именно через web-интерфейс клиенты сами генерят себе ключи.
Но я не согласен с этой фразой:
А товарищ pit собственное неумение все это делать замаскировал желанием кому-то "помочь".
Ну, во-первых, лично я считаю, что товарищ pit не обязан этого уметь и тем не менее будет считаться отличным сотрудником.
А, во-вторых, даже если товарищ pit умеет это делать, то почему он сразу должен все бросить и начать реализацию. Опять-таки лично я не располагаю возможностью все бросить и направить драгоценные ресурсы своего отдела (человек/час) на разработку регистрации клиента через web-интерфейс, если бы такого бы у нас не имелось бы.

Но тем неменее я не считаю что pit выбрал правильный путь. Просто настораживает, что человек только сегодня зарегестрировался и уже с первого поста начал наезжать на одного из корифеев форума.

**Полковник** · 15.01.2008, 22:22

P.S. Что-то мне подсказывает, что с нашей стороны баррикад Вы еще не смотрели.

Не волнуйтесь, я смотрю с той же стороны баррикад, что и Вы.

И мне по наследству досталась такое же безобразие. Навнедрял один гений, а второй, который сопровождал, делал все строго по шагам по инструкции, которую написал первый. Потом пришлось придумывать, как заставить клиентов перегенерировать самостоятельно ключи и не поднимать шума по поводу наличия старых ключей у нас.

Просто если в банке внедряется система ДБО в production режиме, надо доводить дело до ума. И обладать необходимой квалификацией. Или подчиненными с необходимой квалификацией. И планировать ресурсы, в том числе деньги и человеко-часы, на правильное внедрение до самого внедрения (это уже в Ваш огород камень). И к моменту начала боевой эксплуатации иметь регламент управления ключевой информацией.

А когда получается такое "нечто", как у pit, лучше бы даже не пытались начинать, ИМХО. Только клиентов подставляете.

З.Ы. Хотя, если банк обслуживает "своих" клиентов-однодневок, подобный подход может быть интересен...

**pit** · 15.01.2008, 22:46

Насчет "интернет-клиента" я согласен на 150%
Но у нас его нет. Только стандартный "толстый" клиент BSS.
Вот тут я согласен лишь 90%, потому что:
1) из 50 установленных АРМ толькое двое ставили самостоятельно. Остальные просили приехать представителю банка (т.е. мне).
2) У этих 48 оставшихся термины "сертификат", "генерация" и пр. вызывали неподдельный ужас.
3) (из п.2)тогда какая разница - клиент одинаково может наехать - дескать, приезжал ваш сотрудник, такой подлец, скопировал наши ключи и т.п...
4) Один фиг - при инсталляции ключи пишутся на дискетку - чем не генерация?
Собственно, "по правилам" мы так и ставили первые АРМ'ы, но потом поняли, что в реальности это практически невозможно: приехать к клиенту, установить АРМ, скопировать/передать в банк запрос на сертификат, поехать в банк, зарегистрировать, получить ключ, снова поехать к клиенту, там заргистрировать.
Убиться можно!
Я понимаю - работающие в крупных банках держат на одном ПО по десять админов, но у нас мелкий региональный банк - всего 2 автоматизатора на весь банк.
Скажете - "не надо вообще внедрять Банк-Клиент"? Это выходит за рамки темы, и я боюсь что перейду на личности :-)
Так что вы остаетесь при своем мнении, я - при своем.
P.S. Не надо страдать паранойей и видеть в клиенте врагов.
P.P.S. Но я взял на заметку - далее буду ставить только "надежным" клиенам.

**Auburn** · 16.01.2008, 04:19

А, во-вторых, даже если товарищ pit умеет это делать, то почему он сразу должен все бросить и начать реализацию.
Чтобы спать спокойно, а то получается "пока гром не грянет, мужик не перекрестится".

Клиент разный. С некоторыми сложно...
Обучать, консультировать, обязывать договорами, максимально упрощать процедуры генерации..чай не в каменном веке живем. Никогда не будет такого, чтобы при работе с Клиентом было легко и просто. И любой ВИП, когда ему объяснишь все возможные сложности, легко находит у себя человека, который ему будет делать все эти операции.

приехать к клиенту, установить АРМ, скопировать/передать в банк запрос на сертификат, поехать в банк, зарегистрировать, получить ключ, снова поехать к клиенту, там заргистрировать.
А что помешало использовать технологические ключи, аля ключи регистрации в любой более-менее серьезной ключевой системе?

**evgeniy_v** · 16.01.2008, 09:25

Сообщение от vtar Посмотреть сообщение

на стороне клиента -браузер, ничего устанавливать не надо, СКЗИ прописывается при первом заходе как плагин к браузеру, ключ генерит сам клиент ...

Если не секрет .. каким образом реализовано самостоятельное создание ключей клиентами для тонкого BSS клиента???

**olgeir** · 16.01.2008, 09:48

pit
1) решается нормально написанной инструкцией по установке. у нас толстый БСС ставят бухгалтеры. и не поверите, они сами генерят ключи, печатают сертификаты и никаких трудностей у них не возникает.
2) см. п 1
3) вот поэтому ключи должен делать сам клиент.

дело не в параное. дело в том что нежелание один раз сделать всё правильно может привести к очень большим проблемам.

ЗЫЖ веб-интерфейс это не так сложно как кажется, в конце концов можно посмотреть как это сделанно в других банках. но веб-интерфейс не снимает проблемы ключей у клиентов без интернета.

**olgeir** · 16.01.2008, 09:51

Auburn Согласен со всем. но реализация работы с технологическими ключами в БСС реализованна криво.

**olgeir** · 16.01.2008, 09:54

evgeniy_v никак. доступна только перегенерация уже существующего ключа.

**Adyan** · 16.01.2008, 09:58

из 20-П:

6. Клиент должен приобрести программно - аппаратный центр генерации ключей ЭЦП (по рекомендации Банка) и изготовить ключи ЭЦП самостоятельно. Открытые ключи ЭЦП он должен направить на регистрацию в Регистрационный центр. Для регистрации изготавливается регистрационная карточка в 2-х экземплярах, один из которых остается в Регистрационном центре, другой - выдается Клиенту.
7. Одновременно с регистрацией своих открытых ключей ЭЦП Клиент получает в Регистрационном центре Регистрационную карточку открытого ключа ЭЦП Регистрационного центра.
8. Ключи шифрования, предназначенные для обеспечения конфиденциальности ЭД при их передаче по каналам связи, предоставляются Клиенту Банком. Получение ключей шифрования Клиентом оформляется актом.

Ключи шифрования - передаются готовые Клиенту Банком, а ЭЦП - генерится самим клиентом.

**Полковник** · 16.01.2008, 11:54

Сообщение от Adyan Посмотреть сообщение

из 20-П:

6. Клиент должен приобрести программно - аппаратный центр генерации ключей ЭЦП (по рекомендации Банка) и изготовить ключи ЭЦП самостоятельно. Открытые ключи ЭЦП он должен направить на регистрацию в Регистрационный центр. Для регистрации изготавливается регистрационная карточка в 2-х экземплярах, один из которых остается в Регистрационном центре, другой - выдается Клиенту.
7. Одновременно с регистрацией своих открытых ключей ЭЦП Клиент получает в Регистрационном центре Регистрационную карточку открытого ключа ЭЦП Регистрационного центра.
8. Ключи шифрования, предназначенные для обеспечения конфиденциальности ЭД при их передаче по каналам связи, предоставляются Клиенту Банком. Получение ключей шифрования Клиентом оформляется актом.

Ключи шифрования - передаются готовые Клиенту Банком, а ЭЦП - генерится самим клиентом.

Приведенный текст - из Приложения 8 к 20-П.

Тут есть нюансы - в системах Банк-Клиент применяется двухключевая криптография. Секретный ключ абонента используется для _расшифровки владельцем_ и _подписывания владельцем_. Открытый - для _шифрования на имя владельца_ _проверки подписи владельца_.
Так что ключи ЭЦП из пункта 6 - это ключи клиента. Секретный он оставляет себе, открытый - передает банку. Чтобы банк мог проверить его (клиента) подпись и шифровать передаваемую клиенту информацию.
Ключи из пункта 8 - банк распространяет с дистрибутивом ДБО свой открытый ключ для того, чтобы клиенты могли шифровать информацию для банка. И подпись банка проверять.
Секретные ключи никто никому не передает.

То, что в 20-П применяются термины "ключ ЭЦП" и "ключ шифрования", говорит об одном из двух: или составитель положения не знает про двухключевую критпографию (что вряд ли - см. п.6), или имеется в виду, что для ЭЦП клиентом используется одна пара ключей (генерируется клиентом), для расшифровки сообщений от банка - другая (генерируется банком для клиента). При этом секретный ключ второй пары имеется у банка для того, чтобы можно было расшифровать сообщение, посланное клиенту для разбора полетов. Принимать к исполнению документы с ЭЦП, выработанной с помощью данной пары ключей, хоть она и "принадлежит" клиенту, - грубое нарушение 20-П.

**Полковник** · 16.01.2008, 12:18

Сообщение от pit Посмотреть сообщение

1) из 50 установленных АРМ толькое двое ставили самостоятельно.

Молиться надо на таких клиентов.

2) У этих 48 оставшихся термины "сертификат", "генерация" и пр. вызывали неподдельный ужас.

Это в том числе и Ваша недоработка.

3) (из п.2)тогда какая разница - клиент одинаково может наехать - дескать, приезжал ваш сотрудник, такой подлец, скопировал наши ключи и т.п...

Сотрудник по приезду максимум ставит дистрибутив и показывает, как сгенерировать ключ да распечатать его сертификат. В случае, если генерация происходит в присутствии сотрудника банка - НЕ ТРОГАТЬ КЛЮЧЕВОЙ НОСИТЕЛЬ РУКАМИ. Ни до, ни после генерации. Найдут отпечатки - пеняйте на себя.

4) Один фиг - при инсталляции ключи пишутся на дискетку - чем не генерация?

Учите матчасть. Генерация ключей состоит в случайном выборе больших простых чисел и вычислении необходимых преобразований, результаты которых будут в дальнейшем представлять собой открытый и закрытый ключи. Сомневаюсь, что при записи на дискету хоть как-то используется датчик случайных чисел

Собственно, "по правилам" мы так и ставили первые АРМ'ы, но потом поняли, что в реальности это практически невозможно: приехать к клиенту, установить АРМ, скопировать/передать в банк запрос на сертификат, поехать в банк, зарегистрировать, получить ключ, снова поехать к клиенту, там заргистрировать.
Убиться можно!

Процедура должна быть проще. По приезду к клиенту должен быть дистрибутив и открытый ключ банка (в дистрибутиве или отдельно). Клиент должен распечатать свой сертификат на бумаге и отдать заполненным с подписью и печатью. Если Вам приходится для скармливания клиентский части открытьго ключа банка делать такие махинации с запросом/регистрацией - свяжитесь с разработчиком. Может есть способ лучше. Я вообще плохого мнения о BSS и их геморройном продукте.

Я понимаю - работающие в крупных банках держат на одном ПО по десять админов, но у нас мелкий региональный банк - всего 2 автоматизатора на весь банк.
Скажете - "не надо вообще внедрять Банк-Клиент"? Это выходит за рамки темы, и я боюсь что перейду на личности :-)

А я вообще один - у нас филиал.
Просто не надо внедрять абы как, типа запустим, а потом проще будет. Чем аккуратнее запрягаешь, тем быстрее потом едешь.

Так что вы остаетесь при своем мнении, я - при своем.

Я не ставлю своей целью переубедить Вас. Этот форум читают многие, думаю выводы все сделают.

P.S. Не надо страдать паранойей и видеть в клиенте врагов.

Надо следовать общепринятым правилам и нормам и любое свое действие подкреплять соответствующей бумажкой (или иным документом с аналогом собственноручной подписи

), чтобы потом не пришлось одевать штаны ширинкой назад.

**evgeniy_v** · 16.01.2008, 12:30

Сообщение от olgeir Посмотреть сообщение

evgeniy_v никак. доступна только перегенерация уже существующего ключа.

Вот и я не нашел такой возможности. Есть только возможность использование технологических ключей. Еще можно генерировать ключи с помощью Admin-PKI, но это дополнителный софт на который надо покупать отдельные лицензии, а vtar написал что используют просто браузер и всеи, вот и мне так захотелось.

Объявление

BS-Client. Генерация ключей клиентом.

BS-Client. Генерация ключей клиентом.

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Пользователи, просматривающие эту тему