5 декабря, суббота 15:25
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Самоподписанный сертификат в СИГНАТУРЕ?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Самоподписанный сертификат в СИГНАТУРЕ?

    Всем привет!
    Руководство поставило задачу дополнительно защитить xml файлы, передаваемые платежным машинам ЭЦП (БЭСП, СВК). Так как на машинах нельзя ставить никакая СКЗИ, кроме как Сигнатура (уже стоит) возник вопрос:

    Могу ли я самостоятельно сгенерировать самоподписанный сертификат в СКАД Сигнатура с целью использования его для установки подписи на xml документ во время выгрузки из АБС и снятия подписи перед загрузкой в АРМ?

    У кого есть такой опыт? Подскажите как реализовать?

  • #2
    самоподписаный сертификат на Сигнатуре? это что-то новенькое..
    Попробуйте покопать в сторону certutil/signtool. Вся нужная криптуха в винде уже на борту имеется.

    Комментарий


    • #3
      Да и я к тому же склонял руководителей.
      И внутренний центр сертификации есть и виндузовый и криптопро, но по непонятной для меня причине, требуют Сигнатуру.
      Я с утилитой командной строки знаком, как подписать, проверить подпись это раз плюнуть.
      Но вот откуда взять этот сертификат кроме как от мцои.
      Как я понимаю, мы на основе старого сертификата генерится запрос на получение нового.
      Запрос отправляется в МЦОИ
      МЦОИ возвращает сертификат.
      Есть ли возможность обойтись без МЦОИ?

      Комментарий


      • #4
        Для тех, кому руководители дают похожие задания:
        Ответ от Валидаты:
        "

        Добрый день.

        С помощью СКАД "Сигнатура 5" сформировать самоподписанный сертификат можно в Центре Сертификации - а данное ПО Банк России не распространяет.

        Вы можете, используя установленное ПОЛНОСТЬЮ (с модулем поддержки TLS) Средство КЗИ СКАД "Сигнатура 5", сформировать запрос на получение сертификата в формате PKCS#10 и получить на основании этого запроса квалифицированный сертификат в аккредитованном УЦ. Далее можно использовать полученный сертификат и ключ ЭП для защиты XML-платежек в промежутках между АРМ КБР/ПУР и местом фактического формирования или приема XML-платежек. Для вычисления и проверки ЭП и цепочек сертификации можно использовать утилиту testcsp.exe, или разработать такое ПО самостоятельно."

        Комментарий


        • #5
          делал проще - CRC32 при формирование файла - операционисты в транспортный отдел приносят бумажку с рейсом где указан CRC32 файла, перед загрузкой в АРМ КБР батник показывает CRC32 на экран и далее choice.exe YN "Верный CRC32?"

          ЗЫЖ сейчас пришло письмо из ЦБ - план мероприятий по реализации мер, направленных на предотвращение хищений денежных средств на финансовом рынке РФ. В рамках проведения указанных работ, функции формирования кодов аутентификации (КА) и защитных кодов (ЗК) будут исключены из ПС КБР и должны быть перенесены в автоматизированную систему клиента (АСК) платежной системы Банка России.

          Комментарий


          • #6
            Сообщение от bug Посмотреть сообщение
            с целью использования его для установки подписи на xml документ во время выгрузки из АБС и снятия подписи перед загрузкой в АРМ?
            А от чего именно это защищает? Дело в том, что если у вас нет вредоноса на АРМ КБР и на сервере формирующем выгрузку из АБС, то можно просто защитить канал передачи (в зависимости от канала возможны варианты).

            Комментарий


            • #7
              были хищения - путем замены реквизитов получателей на свои.
              и я даже знаю один банк где это было.

              Комментарий


              • #8
                Сообщение от KaMPiLeR Посмотреть сообщение
                были хищения - путем замены реквизитов получателей на свои. и я даже знаю один банк где это было.
                Замены реквизитов в какой момент? Просто нет проблемы заменить их в файле выгрузки, после чего эти изменения будут якобы защищены и никто искажения не заметит!
                Более того, атака может быть на уровне АБС. Как вы отличите один документ введённый операционистом от такого-же, но введённого злоумышленником под учётными данными операциониста?
                И финальный аккорд: подложный документ может ввести непосредственно ваш операционист, а потом заявить, что он ничего не вводил у и вас тут вирусы и система дырявая.

                По мне, система защиты действительно дающая результат строится на изоляции платёжного контура от любых сетей, нормальной физической охраной соответствующих помещений, разделения фронт офиса (работы с клиентами, по приёму бумажных документов, выдачи выписок и пр.) от бэка (непосредственной проводки документов), тотальной фиксации всех действий сотрудников в т.ч. администраторов, видеонаблюдение, использование стенографических методов для сокрытия фактов сверки документов с АБС/ДБО (если вы с файлом будете открыто передавать его подпись злоумышленник без проблем изменит сам файл перед его подписью), использование скрытых антифрод решений, сверяющих перед отправкой различные источники (АБС, ДБО, АРМ КБР), контрольные сверки для бумажных документов, классический антифрод для ДБО, honeypot'ы и главное - на постоянной работе с персоналом.

                Комментарий

                Обработка...
                X