29 февраля, суббота 10:03
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Chugun Посмотреть сообщение
    Так, МФЦ будут собирать данные для единой биометрической системы и проводить с ее помощью идентификацию граждан, если такое решение примет руководство региона, где работает данный конкретный центр.
    Похоже конторе не удалось коммерческие банки на HSM-ы и СЗИ раскрутить. Бизнеса на этом не сделаешь,так зачем тратиться!
    А вот МФЦшки заставят отстегивать бюджетные деньги "карманным" вендорам.
    Или всех на облако Ростелека посадят?
    "сила в правде: у кого правда, тот и сильней!"

    Комментарий


    • Коллеги, извиняюсь если ответ на этот вопрос уже давался, я читал эту тему на 60 какой то странице, но ясного понимания я не получил.
      Если поможете разобраться, буду очень благодарен.

      Итак, если в HSM стоит ЭП выпущенная по классу КВ, мы можем в HSM загрузить еще один сертификат ниже классом?
      Используем решение IDSYS, по их архитектуре, у нас в HSM, помимо ЭП, выпущенного НИИ Восход, должен быть установлен еще и сертификат, используемый нами для аутентификации в СМЭВ, а он ниже классом.
      Сам ID SYS говорит, что сделать это можно, оно и понятно, технически проблем в этом нет, но что с соблюдением экспл. докумментации?:
      1.4. При эксплуатации ПАКМ ЖТЯИ.00096-02 должны использоваться сертификаты открытых ключей, выпущенные Удостоверяющим центром, сертифицированным ФСБ России по классу защиты не ниже класса защиты используемого СКЗИ.
      в НИИ Восход на данные момент не выпускают сертификаты класса КВ, предназначенных для целей, отличных от ЕБС, предлагают писать в Минсвязь

      Комментарий


      • Сообщение от junglets Посмотреть сообщение
        ...в НИИ Восход на данные момент не выпускают сертификаты класса КВ, предназначенных для целей, отличных от ЕБС, предлагают писать в Минсвязь
        Предлагаю не париться по поводу эксплуатационной документации.
        Запросите у IDS официальное письмо, что они весь свой проект везде где надо согласовали, если проверяющие докапаются, покажете им.
        На самом деле, и на момент появления самых первых требований по ЕБС было известно, что в РФ в принципе отсутствует ПО для УЦ, сертифицированное по КВ.
        Почему это еще тогда ни у кого не вызывало вопросов, могу только предполагать....


        Комментарий


        • Сообщение от junglets Посмотреть сообщение
          если в HSM стоит ЭП выпущенная по классу КВ, мы можем в HSM загрузить еще один сертификат ниже классом?
          Нельзя! Т.к. в HSM вы используете класса КВ2 и не ниже.
          Для подписи СМЭВ класса КС - нужен другой хсм или хранит подпись в реестре.
          ФСБ не согласует ТЗ, проект в котором СКЗИ высокого класса одновременно используется и для низкого.
          Чтобы это реализовать нужно:
          - купить второй ХСМ;
          - сделать оценку на новое ПО использующее низкий класс;

          В чем проблема подпись КВ зарегить в ЕСИА? тут отписывались, что кто-то так регистрировал.
          И с помощью одного ключа КВ дважды подписывать запросы? Один вендор именно так и реализовал свою систему.

          Комментарий


          • Сообщение от saches Посмотреть сообщение
            Запросите у IDS официальное письмо, что они весь свой проект везде где надо согласовали, если проверяющие докапаются
            Как это связано с конкретными требованиями на СКЗИ (формуляра HSM)? Отвечу - никак, требования формуляра Выше любого проекта-тз на оценку.
            В их "проекте" - 100% затронута только тема ЕБС, ЕСИА-СМЭВ осталась за рамками....
            Как всегда - работу делают, лишь бы сделать что-то не погружаясь в нюансы...

            Комментарий


            • Сообщение от Cpx Посмотреть сообщение
              Как всегда - работу делают, лишь бы сделать что-то не погружаясь в нюансы...
              так вроде даже аттестовали свое решение в ФСБ...
              но это лирика

              Комментарий


              • Сообщение от Cpx Посмотреть сообщение
                В чем проблема подпись КВ зарегить в ЕСИА? тут отписывались, что кто-то так регистрировал. И с помощью одного ключа КВ дважды подписывать запросы? Один вендор именно так и реализовал свою систему.
                спасибо за подсказку, попробуем
                скорее вскроется другая проблема, т.к. ключ неэкспортируемый, то мы его сможем использовать только в HSM

                Комментарий


                • Сообщение от junglets Посмотреть сообщение
                  так вроде даже аттестовали свое решение в ФСБ...
                  Выучите понятия для начала и прочтите внимательно мой пост выше. Привлеките экспертов - если сами не можете. Год прошел, тут все разжёвано, но вы время свое тратить даже не хотите!
                  Сообщение от junglets Посмотреть сообщение
                  делать то что? можем грузить туда СМЭВовский сертификат ниже классом или нет?
                  я дал подробный ответ!


                  Комментарий


                  • Сообщение от Cpx Посмотреть сообщение
                    Нельзя! Т.к. в HSM вы используете класса КВ2 и не ниже.
                    Для подписи СМЭВ класса КС - нужен другой хсм или хранит подпись в реестре.
                    ФСБ не согласует ТЗ, проект в котором СКЗИ высокого класса одновременно используется и для низкого.
                    Чтобы это реализовать нужно:
                    - купить второй ХСМ;
                    - сделать оценку на новое ПО использующее низкий класс;

                    В чем проблема подпись КВ зарегить в ЕСИА? тут отписывались, что кто-то так регистрировал.
                    И с помощью одного ключа КВ дважды подписывать запросы? Один вендор именно так и реализовал свою систему.
                    Отличный совет от интегратора!)) Еще лучший совет был бы, это под каждый сертификат покупать отдельный HSM.

                    Если серьезно. то конечно, некоторое несоответствие эксплуатационной документации есть.
                    Но, с другой стороны, если требуется СКЗИ класса КВ, как для ЕБС, вы используете железку КВ и сертификат КВ.
                    Если требуется СКЗИ более низкого класса, как для ЕСИА, нигде не запрещено использовать железку КВ, а сертификат от УЦ того класса, который требуется...
                    И только не надо писать, что у сертификатов не бывает классов

                    Комментарий


                    • Сообщение от Cpx Посмотреть сообщение
                      Выучите понятия для начала и прочтите внимательно мой пост выше. Привлеките экспертов - если сами не можете. Год прошел, тут все разжёвано, но вы время свое тратить даже не хотите!
                      можно поспокойнее? я не увидел вашего сообщения, поэтому так написал, потом увидел ваше второе сообщение.
                      С понятиями у меня все в порядке. А по поводу разжевано я написал, что мне все равно непонятно. Если вас утомляет разжевывать еще раз - проходите мимо.
                      Даже на этой странице даны два диаметрально противоположных ответа, о чем вы говорите вообще, разжевано что то.
                      .
                      Сообщение от saches Посмотреть сообщение
                      Если требуется СКЗИ более низкого класса, как для ЕСИА, нигде не запрещено использовать железку КВ, а сертификат от УЦ того класса, который требуется...
                      ну вот это как раз не очевидно, изза фразы из формуляра..

                      Комментарий


                      • Сообщение от saches Посмотреть сообщение
                        Если требуется СКЗИ более низкого класса, как для ЕСИА, нигде не запрещено использовать железку КВ, а сертификат от УЦ того класса, который требуется..
                        Мое подчтение Вам (: С Вами всегда приятно вести диалог, несмотря порой и в строй форме (:
                        Вы правильно написали, но забыли про нюанс, что одновременно на одном ХСМ (СКЗИ) нельзя обрабатывать ключи разных классами - это сразу "компрометация" СКЗИ. Об этом и написано в формуляре на ХСМ и любое СКЗИ.

                        Сообщение от junglets Посмотреть сообщение
                        можно поспокойнее?
                        Конечно, все написано на всех 96 страницах, вы же не прочитали их внимательно и 60 прочли по диагонали, раз пишите, что ФСБ что-то аттестовывает. Погуглите для начала мат часть: Аттестация, сертификация, оценка не влияние и тематические исследования... Только потом можно будет продолжит, а то в одну ухо влетить, а в другое вылетит.
                        А денег вы почему-то желаете на привлечение экспертов или работает с двоечниками...


                        Комментарий


                        • Сообщение от saches Посмотреть сообщение
                          Еще лучший совет был бы, это под каждый сертификат покупать отдельный HSM.
                          Если ключи одного класса то все нормально, для этого и был создан ХСМ.

                          Комментарий


                          • Сообщение от Cpx Посмотреть сообщение
                            Конечно, все написано на всех 96 страницах, вы же не прочитали их внимательно и 60 прочли по диагонали, раз пишите, что ФСБ что-то аттестовывает. Погуглите для начала мат часть: Аттестация, сертификация, оценка не влияние и тематические исследования... Только потом можно будет продолжит, а то в одну ухо влетить, а в другое вылетит. А денег вы почему-то желаете на привлечение экспертов или работает с двоечниками...
                            вы цепляетесь к словам, которые не имеют прямого отношения к тому вопросу, который я тут выясняю.
                            Это вашей право самоутверждаться здесь таким образом. Позвольте, выйду из обсуждения вопроса, как и что я изучил в данной теме.

                            Спасибо за ответы.

                            Сообщение от Cpx Посмотреть сообщение
                            А денег вы почему-то желаете на привлечение экспертов или работает с двоечниками...
                            "Мы" же не пожалели денег на внедрение решения, которое содержит в себе нарушение экспл. докумментации.
                            Тратиться на других таких же "компетентных" пока что нет желания.

                            Комментарий


                            • Сообщение от Cpx Посмотреть сообщение
                              забыли про нюанс, что одновременно на одном ХСМ (СКЗИ) нельзя обрабатывать ключи разных классами - это сразу "компрометация" СКЗИ. Об этом и написано в формуляре на ХСМ и любое СКЗИ.
                              Можно ссылку на документ, где это написано. Особенно про компрометацию.

                              Комментарий


                              • Сообщение от junglets Посмотреть сообщение
                                ...ну вот это как раз не очевидно, из-за фразы из формуляра..
                                Согласен, что есть некоторая вольность трактовки. Но, с другой стороны, неплохо выглядит, а может еще и сработает...)))
                                Как вариант, может получится ЦБ или Ростелику подкинуть вопросик...

                                Комментарий


                                • Сообщение от saches Посмотреть сообщение
                                  Согласен, что есть некоторая вольность трактовки. Но, с другой стороны, неплохо выглядит, а может еще и сработает...)))
                                  Как вариант, может получится ЦБ или Ростелику подкинуть вопросик...
                                  Восход посоветовал написать в Минсвязь, но можно попробовать и этот вариант)

                                  Комментарий


                                  • Сообщение от ost Посмотреть сообщение
                                    Можно ссылку на документ, где это написано. Особенно про компрометацию.
                                    Ссылку на формуляр дали Ваше, я перевел на дилетантский язык.
                                    Кто сомневается - пишите официальный запрос в ФСБ или обратитесь в любую лабораторию сертифицирующая Ваш ХСМ! Там Вам дадут развернутый ответ, что нельзя.
                                    п.с .советы про письма Восход и Минсвязи порадовали, пишите еще... особенно писать в Ростелеком и ЦБ... Дур дом не надо разводить! регулятор по СКЗИ один! = ФСБ.

                                    Комментарий


                                    • Сообщение от Cpx Посмотреть сообщение
                                      советы про письма Восход и Минсвязи порадовали, пишите еще... особенно писать в Ростелеком и ЦБ... Дур дом не надо разводить! регулятор по СКЗИ один! = ФСБ
                                      напишу еще, с удовольствием
                                      посоветовали писать в Минсвязь не по поводу возможности закгрузки ЭП более низкого класса на ХСМ, а по вопросу выпуска ЭП класса КВ для работы со СМЭВ

                                      Комментарий


                                      • Сообщение от junglets Посмотреть сообщение
                                        а по вопросу выпуска ЭП класса КВ для работы со СМЭВ
                                        Зачем выпускать еще ключ?! Регистрируете текущий КВ в СМЭВ в соотв с текущим порядком, противоречий не должно быть и банки уже так делали...
                                        2 ключа зачем иметь?
                                        п.с. не забудьте также про дополнительную оценку не влияния для транспорта сделать, иначе нарушите требований формуляра (:

                                        Комментарий


                                        • Сообщение от junglets Посмотреть сообщение
                                          Итак, если в HSM стоит ЭП выпущенная по классу КВ, мы можем в HSM загрузить еще один сертификат ниже классом?
                                          А вы пробовали и у производителя HSM уточняли? Не факт, что это технически вообще работает, может быть реализован запрет, как минимум, для администрирования это так:
                                          Вот к примеру из доки:
                                          Внимание! ПАКМ «КриптоПро HSM» формирует ключи, соответствующие классу защиты до КВ. СКЗИ «КриптоПро CSP», используемое на рабочем месте администратора, реализовано по классу защиты КС1/КС2/КС3, поэтому при первом использовании ключа аутентификации, сформированном на смарт-карте в ПАКМ, будет выдано соответствующее предупреждение о понижении класса защиты ключа. Необходимо иметь в виду, что данной картой впоследствии нельзя будет воспользоваться для аутентификации администратора в ПАКМ при входе через LCD панель. Поэтому необходимо для каждого привилегированного пользователя (члена группы администраторов ПАКМ) создать две учетные записи, и, соответственно, 2 карты доступа: одну использовать для локального входа через LCD панель ПАКМ, а вторую (с пониженным классом защиты) для доступа с удаленного рабочего места.

                                          В большинстве случаев в формуляре на СКЗИ указано, что допускается эксплуатация только с сертификатами с классом не ниже чем класс СКЗИ.
                                          Т.е. даже, если технически это будет работать, вы не сможете проводить эксплуатацию без нарушения документации на СКЗИ, что может быть не приемлемо.

                                          Как тут уже предлагали варант зарегистрировать в СМЭВ ваш сертификат от ЕСБ, но в любом случае ваше ПО для работы с СМЭВ должно входить в скоуп процедуры оценки влияния при проведении работ по "корректности встраивания СКЗИ".

                                          Встречный вопрос, зачем вам HSM, если вам такой класс для работы со СМЭВ не требуется? У вас есть своя модель угроз, где нужно иное? Не усложняйте себе жизнь! )))

                                          Сообщение от saches Посмотреть сообщение
                                          Если требуется СКЗИ более низкого класса, как для ЕСИА, нигде не запрещено использовать железку КВ, а сертификат от УЦ того класса, который требуется...
                                          Запрещено в формуляре, к примеру ПАКМ «КриптоПро HSM:
                                          1.4. При эксплуатации ПАКМ ЖТЯИ.00096-01 должны использоваться сертификаты открытых ключей, выпущенные Удостоверяющим центром, сертифицированным ФСБ России по классу защиты не ниже класса защиты используемого СКЗИ.
                                          Т.е., если вы будете делать по иному, то будет формальное нарушение правил эксплуатации СКЗИ. Вообще бессмысленно использовать КВ, там где он не нужен, поэтому и нет такого применения.

                                          Сообщение от Cpx Посмотреть сообщение
                                          это сразу "компрометация" СКЗИ.
                                          Такого термина нет, да, я вижу кавычки, но не понимаю зачем это тут? ))) Формально это будет нарушение требований формуляра на СКЗИ, т.е. правил эксплуатации СКЗИ. Но даже это к компрометации ключей более высокого класса не приведёт, такого события нет в документации в разделе, где описаны события компрометации ключевой информации (как минимум, у ПАКМ «КриптоПро HSM»), но это не точно, см. следующую мысль.
                                          Загрузка такой информации в HSM (если это вообще технически возможно), КМК, никак не влияет на класс HSM, как СКЗИ (хотя нужно читать, что там при создании СКЗИ было, может там есть атаки через такую ключевую информацию на СКЗИ более высокого класса, не знаю, я не видел ни разу ТЗ на СКЗИ такого уровня), но повторюсь в любом случае это будет явным нарушением правил эксплуатации СКЗИ.
                                          Если такие "атаки" при загрузке ключевой информации более низкого класса имеют место быть, ок, пусть это будет "компрометацией" СКЗИ. )))

                                          Комментарий


                                          • Сообщение от Cpx Посмотреть сообщение
                                            Регистрируете текущий КВ в СМЭВ
                                            Совершенно верно, берете сертификат от КВ и заменяете в СМЭВ для своей ИС
                                            Все работает.

                                            Комментарий


                                            • Сообщение от Zuz Посмотреть сообщение
                                              А вы пробовали и у производителя HSM уточняли?
                                              нет, не уточняли. Ориентировались на указания поставщика решения для ЕБС, который говорил, что это возможно.

                                              Сообщение от Zuz Посмотреть сообщение
                                              В большинстве случаев в формуляре на СКЗИ указано, что допускается эксплуатация только с сертификатами с классом не ниже чем класс СКЗИ. Т.е. даже, если технически это будет работать, вы не сможете проводить эксплуатацию без нарушения документации на СКЗИ, что может быть не приемлемо.
                                              о чем и речь, это я и выяснял тут на форуме. Конкретный ответ получен - нельзя.

                                              Сообщение от Zuz Посмотреть сообщение
                                              Встречный вопрос, зачем вам HSM, если вам такой класс для работы со СМЭВ не требуется? У вас есть своя модель угроз, где нужно иное? Не усложняйте себе жизнь! )))
                                              я писал об этом. Согласно архитектуре того решения, которое мы внедряем, в ХСМ должны быть установлены ключи помимо выпущенного НИИ Восход еще и ключе, предназначенный для аутентификации в СМЭВ.

                                              Сообщение от Cpx Посмотреть сообщение
                                              Зачем выпускать еще ключ?! Регистрируете текущий КВ в СМЭВ в соотв с текущим порядком, противоречий не должно быть и банки уже так делали... 2 ключа зачем иметь?
                                              отвечу в общем, скажем так, это обусловлено архитектурой нашей сети. Не хотелось бы в участок ЕБС прокидывать маршруты от тех сегментов, которые взаимодействуют со СМЭВ,

                                              Комментарий


                                              • Сообщение от Zuz Посмотреть сообщение
                                                ок, пусть это будет "компрометацией" СКЗИ. )))
                                                Вы как всегда слишком детально все описали, в целом все именно так. Я сознательно это назвал одним пугающим словом, чтобы было понятно - делать не надо.
                                                Сообщение от junglets Посмотреть сообщение
                                                Согласно архитектуре того решения, которое мы внедряем, в ХСМ должны быть установлены ключи помимо выпущенного НИИ Восход еще и ключе, предназначенный для аутентификации в СМЭВ.
                                                это, что за такое интересное решение? На сколько мне известно, ни у одного вендора нет "должны", есть "допускается". И тем более допускается использовать один и тот же ключ КВ2 при условии проведения оценки.
                                                Сообщение от junglets Посмотреть сообщение
                                                это обусловлено архитектурой нашей сети. Не хотелось бы в участок ЕБС прокидывать маршруты от тех сегментов, которые взаимодействуют со СМЭВ,
                                                тоже не понятно, нет запрета выделать отдельные подсети. Если конечно у Вас решение не от Идсистемс - они там переборщили со своим проектом (отказ от АД, отдельная сеть)….


                                                Комментарий


                                                • Сообщение от Cpx Посмотреть сообщение
                                                  это, что за такое интересное решение?
                                                  IDSYS
                                                  я же говорю, по их архитектуре в ХСМ должны быть два ключа, и Восходовский, и СМЭВовский. Если это дин ключ - ок, но на данный момент у нас это два разных.
                                                  Сообщение от Cpx Посмотреть сообщение
                                                  тоже не понятно, нет запрета выделать отдельные подсети.
                                                  да дело не в запрете, а в тех рисках, которые мы определяем при такой реализации

                                                  Комментарий


                                                  • Сообщение от junglets Посмотреть сообщение
                                                    IDSYS я же говорю, по их архитектуре в ХСМ должны быть два ключа, и Восходовский, и СМЭВовский
                                                    А нам они сказали, что не надо такого.

                                                    Комментарий


                                                    • Сообщение от junglets Посмотреть сообщение
                                                      по их архитектуре в ХСМ должны быть два ключа
                                                      Вы их согласованный "типовой проект" и документации к нему читали (формуляр и правила пользования?!) Там все написано как можно и нужно.
                                                      Если нет, запросите и делайте в строгом соответствии.

                                                      Комментарий


                                                      • Сообщение от ost Посмотреть сообщение
                                                        А нам они сказали, что не надо такого.
                                                        Сообщение от Cpx Посмотреть сообщение
                                                        Вы их согласованный "типовой проект" и документации к нему читали (формуляр и правила пользования?!) Там все написано как можно и нужно. Если нет, запросите и делайте в строгом соответствии.
                                                        господа, я же не с потолка беру все это, не леплю отсебятину
                                                        все указания даны их инженерами в процессе тестирования. Ну если в вашем случае все прекрасно работает - я искренне рад за вас, у нас вот пока нет, возникают сложности различного характера.
                                                        Еще раз всем спасибо за советы и разъяснения.

                                                        Комментарий


                                                        • Сообщение от junglets Посмотреть сообщение
                                                          в ХСМ должны быть два ключа, и Восходовский, и СМЭВовский.
                                                          Не совсем понял, какой "СМЭВ-овский" ключ имеется в виду?
                                                          На зарегистрированную в СМЭВ ИС цепляете Восходовский ключ на техпортале, и работаете...

                                                          Комментарий


                                                          • Сообщение от w3d Посмотреть сообщение
                                                            На зарегистрированную в СМЭВ ИС цепляете Восходовский ключ на техпортале, и работаете...
                                                            Вы представляете какой объем работы (непростой) за этими "цепляете" и "работаете" ?!
                                                            Зацепить можно за пару минут.
                                                            Но что дальше ???
                                                            Ведь с момента зацепления весь (совсем весь !!!) трахик между вашим банком и СМЭВ должен будет подписываться сквозь (и через)
                                                            эту околодвухмиллионную бандуру...
                                                            Попутно, в режиме обезьяноподобных действий, ваши коллеги будут жпегить и вавить друг дружку, изображая работающую ЁБС
                                                            и тоже как-бе пользуя ту бандуру (так давно уже делают многие, но не все признаются).
                                                            >5млн руб за такое подобие кекса, этого нигде нет и быть не может.
                                                            Шайбу, шайбу... МФЦ !!!

                                                            ЁБС уже изделали и запуздили. Исключительно насильно и очень незадешево...
                                                            Но на горизонте зазвиздела новая звизда - СБП ! Тоже совсем недобровольная.
                                                            Из ПС БР надо бы рвануть, да сроки новые до "заслуженного".
                                                            Надежды на добровольный уход самих насильников умерли много лет назад...

                                                            Комментарий


                                                            • Сообщение от idelta Посмотреть сообщение
                                                              Ведь с момента зацепления весь (совсем весь !!!) трахик между вашим банком и СМЭВ должен будет подписываться сквозь (и через)
                                                              эту околодвухмиллионную бандуру...
                                                              Почему вы так считаете?
                                                              Делаем одну ИС для ЕБС, другую для ЕСИА.
                                                              На каждой свой собственный сертификат.

                                                              Комментарий

                                                              Обработка...
                                                              X