21 ноября, среда 18:55
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Удостоверяющий центр?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Удостоверяющий центр?

    Уважаемые Коллеги!
    Возник вот такой вопрос.
    Откуда берется определение/понимание того что УЦ - это программно-аппаратный комплекс, сотрудники, что в ФАИТ нужно идти регистрироваться и т.д.

    Т.е. изучив нормативную документацию я прихоржу к выводу, что я могу тупо:
    - закупить сертифицированные СКЗИ, средство проверки ЭЦП;
    - создать подразделение, обозвать его УЦ;
    - сгенерить закрытый/открытый ключ уполномоченного лица;
    - распечатать на бумажке открытый ключ со всеми прирогами уполномоченного лица;
    - заверить его сопственноручной подписью и печатью УЦ.
    т.е. обозвать открытый ключ с реквизитами на бумаге - сертификатом! ( сертификат ключа подписи - документ на бумажном носителе или электронный документ....бла бла бла - ну имею ведь право!)
    потом
    - открытые ключи на бумаге клиентов тоже обзывать сертификатами;
    - соответственно вести СОС ручками;
    - предоставлять его клиентам.
    и соответственно тупо сравнивать глазками открытые ключи клиентов на бумажках и в системе?

    хелпаните, плиз!
    я пгав или не пгав? (В.И. Ленин)

  • #2
    Сообщение от xell Посмотреть сообщение
    Уважаемые Коллеги!
    Возник вот такой вопрос.
    Откуда берется определение/понимание того что УЦ - это программно-аппаратный комплекс,
    Определения УЦ нет. ПАК - это всего лишь автоматизация функций УЦ.

    Сообщение от xell Посмотреть сообщение
    что в ФАИТ нужно идти регистрироваться и т.д.
    ФЗ "Об ЭЦП" Статья 10. Отношения между удостоверяющим центром и уполномоченным федеральным органом исполнительной власти
    1. Удостоверяющий центр до начала использования электронной цифровой подписи уполномоченного лица удостоверяющего центра для заверения от имени удостоверяющего центра сертификатов ключей подписей обязан представить в уполномоченный федеральный орган исполнительной власти сертификат ключа подписи уполномоченного лица удостоверяющего центра в форме электронного документа, а также этот сертификат в форме документа на бумажном носителе с собственноручной подписью указанного уполномоченного лица, заверенный подписью руководителя и печатью удостоверяющего центра.

    Сообщение от xell Посмотреть сообщение
    Т.е. изучив нормативную документацию я прихоржу к выводу, что я могу тупо:
    - закупить сертифицированные СКЗИ, средство проверки ЭЦП;
    - создать подразделение, обозвать его УЦ;
    - сгенерить закрытый/открытый ключ уполномоченного лица;
    - распечатать на бумажке открытый ключ со всеми прирогами уполномоченного лица;
    - заверить его сопственноручной подписью и печатью УЦ.
    т.е. обозвать открытый ключ с реквизитами на бумаге - сертификатом! ( сертификат ключа подписи - документ на бумажном носителе или электронный документ....бла бла бла - ну имею ведь право!)
    потом
    - открытые ключи на бумаге клиентов тоже обзывать сертификатами;
    - соответственно вести СОС ручками;
    - предоставлять его клиентам.
    и соответственно тупо сравнивать глазками открытые ключи клиентов на бумажках и в системе?
    Конечно можно. Кстати, даже сертифиц-е СКЗИ не обязательно. Но как будем:
    -обрабатывать запросы на сертификаты ключей подписей;
    -приостанавливать и возобновляеть действие сертификатов ключей подписей, а также аннулировать их;
    -вести реестр сертификатов ключей подписей, обеспечивать его актуальность и возможность свободного доступа к нему участников информационных систем;
    -осуществлять по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей;

    Комментарий


    • #3
      Spanky,

      форме электронного документа - да не вопрос, отсканю бумажный сертификат и передам в электронном виде или ввиде электроного документа!

      -обрабатывать запросы на сертификаты ключей подписей - а будем мы их в ручную обрабатывать.

      -приостанавливать и возобновляеть действие сертификатов ключей подписей, а также аннулировать их - а средствами системы "Банк-Клиент".

      -вести реестр сертификатов ключей подписей, обеспечивать его актуальность и возможность свободного доступа к нему участников информационных систем - а буду ручками вести файлик, обновлать его и выкладывать на ресурс, могу по почте рассылать (ровно также как и в УЦ тока ручками)

      -осуществлять по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей - все это запросто делается средствами системы "Банк-Клиент".

      Если уж сказать честно - то ни одно ПО "Банк-Клиент" у нас в стране не работает в режиме Он-лине с УЦ, ни одна! некоторые потуги есть (за которые огромнейшие баблищщи гребут), но реально - НИ ОДНА НЕ РАБОТАЕТ!

      все же знают, что 1-ФЗ делали, чтобы криптуху продавать и бабло получать, но вот только до конца так и не сделали все, как задцмывали!
      помниться собирались даже деятельность УЦ лицензировать! - фиг, забили!
      требования к удостоверяющим центрам собирались выкатить? где они - фиг!

      вот и получается, что, в принципе, можно просто тупо купить сертифицированные СКЗИ и работать с ЭЦП без УЦ, назвав сертификатами бумажки заверенные! Единственная проблема хранить эти сертификаты вот и все.

      Комментарий


      • #4
        xell,
        всё правильно, многие так и делают.
        Сертификат - он и на бумаге сертификат, тут разницы нет. Паспорт вон - тоже сертификат.

        Комментарий


        • #5
          sunny,

          если не секрет, можешь назвать кого-нить у кого так БК живет?

          Комментарий


          • #6
            2 xell
            Дык я не против, делайте Я просто ответил на Ваши вопросы.
            Сообщение от xell Посмотреть сообщение
            -обрабатывать запросы на сертификаты ключей подписей - а будем мы их в ручную обрабатывать.
            А поподробнее? Расскажите как это будет?
            Сообщение от xell Посмотреть сообщение
            -приостанавливать и возобновляеть действие сертификатов ключей подписей, а также аннулировать их - а средствами системы "Банк-Клиент".
            А поподробнее? Расскажите как это будет? Я так понимаю, что "приостановленный" сертификат должен попадать в СОС, а "возобновленный" оттуда пропадать. Ваш Клиент-банк это умеет?

            Сообщение от xell Посмотреть сообщение
            -осуществлять по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей - все это запросто делается средствами системы "Банк-Клиент".
            Это как?
            Сообщение от xell Посмотреть сообщение
            Если уж сказать честно - то ни одно ПО "Банк-Клиент" у нас в стране не работает в режиме Он-лине с УЦ, ни одна! некоторые потуги есть (за которые огромнейшие баблищщи гребут), но реально - НИ ОДНА НЕ РАБОТАЕТ!
            Не очень понятно, зачем именно "Б-К" общаться с УЦ в онлайне. Можно просто зайти на онлайновый Криптопрошный ( к примеру) УЦ и выпустить себе сертификат, а потом прописать его в "Б-К"

            Сообщение от xell Посмотреть сообщение
            вот и получается, что, в принципе, можно просто тупо купить сертифицированные СКЗИ и работать с ЭЦП без УЦ, назвав сертификатами бумажки заверенные! Единственная проблема хранить эти сертификаты вот и все.
            Поверьте, это не единственная проблема

            Комментарий


            • #7
              Spanky,

              ОК. УЦ - это орг-штатное подразделение, ПАК УЦ - это автоматизация его деятельности.

              обработка - принесли мне сертификат (ну типа распечатанный на бумаге с нужными реквизитами открытый ключ) заверенный печатью и подписью. этот же ключ при генерации по каналам связи попадает ко мне в систему, подписанный либо транспортным либо старым закрытым. я взял его и пошел в систему - сравнил ключ - если идентичны - разлочил - вс е довольны. эцп есть - есть! потом взял данные об сертификате внес ручками в реестр, СОС и т.д. система в эти файлики может ходить и сомтреть, кого отозвали, есть ли такой клиент и прочее.

              Не очень понятно, зачем именно "Б-К" общаться с УЦ в онлайне. Можно просто зайти на онлайновый Криптопрошный ( к примеру) УЦ и выпустить себе сертификат, а потом прописать его в "Б-К" а ты посчитай дорогой. сколько будет стоить аутсорсинг, если у тебе например, в БК, ну например 20000 клиентов? умумукаешься платить. и в любом случае твой БК должен ходить в СОС, понимаешь - вот это Он-Лине. Если уж ты прям такой честный, то при любой операции БК должен взять сертификат клиента и сходить в крипто-прошный УЦ и посмотреть в каком он состоянии и только после этого разрешать или нет. Понятное дело, что в описываемом случае должен быть вылезанный регламент - ну дык это с УЦ так же.

              - приостанавливать... - да ровно точно так же - ручками. в Уц ты тоже самое делаешь. в системе, взял и заблокировал и внес в СОС. а потом удалил - ручками.

              -осуществлять по обращениям... система же проверяет верна ЭЦП или нет? проверяет. ровно также пришел ко мне клиент - я беру заверенный им же сертификат, веду его на систему, беру эл. док и прочее - показываю - вот твой сертификат, вот проверка - подпись верна - верная твоя подпись-твоя. - досвидос.

              да чо верить-то, я это прекрасно знаю ))

              Комментарий


              • #8
                Гм.. Буду перенимать манеру общения...
                Сообщение от xell Посмотреть сообщение
                обработка - принесли мне сертификат (ну типа распечатанный на бумаге с нужными реквизитами открытый ключ) заверенный печатью и подписью. этот же ключ при генерации по каналам связи попадает ко мне в систему, подписанный либо транспортным либо старым закрытым. я взял его и пошел в систему - сравнил ключ - если идентичны - разлочил - все довольны. эцп есть - есть! потом взял данные об сертификате внес ручками в реестр, СОС и т.д. система в эти файлики может ходить и сомтреть, кого отозвали, есть ли такой клиент и прочее.
                Мой папа говорит в таких случаях: "Теоретически - лошадь, практически - не везёт". Блин, детский сад какой-то: "взял его, пошел в систему, разлочил", тыц, пыц, всё готово... Я просто задам ещё несколько вопросов:
                1. Как ты ручками будешь обрабатывать запрос PKCS#10?
                2. В реестр ты что, тоже бумажный сертификат будешь заносить? Его же и своим ключом УЦ подпишешь?
                3. Что ты будешь делать с неуникальными номерами сертификатов?
                3. Как будешь заносить в сертификат сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение?
                4.Чем твои контрагенты будут генерить запрос на сертификат, сами ключи?
                5. О каком присланном подписанном бумажном сертификате с печатью идет речь? Юзеры сами у тебя их делают!? Ведь его клиенту ты должен выдать! "В случае выдачи сертификата ключа подписи в форме документа на бумажном носителе этот сертификат оформляется на бланке удостоверяющего центра и заверяется собственноручной подписью уполномоченного лица и печатью удостоверяющего центра."
                6. У вас с контрагентом хоть одно и тоже СКЗИ?
                7. Блин, устал да и надоело. Хотелось бы ещё взглянуть на желающих поработать по подобной схеме.

                Сообщение от xell Посмотреть сообщение
                Не очень понятно, зачем именно "Б-К" общаться с УЦ в онлайне. Можно просто зайти на онлайновый Криптопрошный ( к примеру) УЦ и выпустить себе сертификат, а потом прописать его в "Б-К" а ты посчитай дорогой. сколько будет стоить аутсорсинг, если у тебе например, в БК, ну например 20000 клиентов? умумукаешься платить. и в любом случае твой БК должен ходить в СОС, понимаешь - вот это Он-Лине. Если уж ты прям такой честный, то при любой операции БК должен взять сертификат клиента и сходить в крипто-прошный УЦ и посмотреть в каком он состоянии и только после этого разрешать или нет. Понятное дело, что в описываемом случае должен быть вылезанный регламент - ну дык это с УЦ так же.
                Это ты с кем разговаривал? Я спросил ровно то, что спросил: зачем именно "Б-К" общаться с УЦ в онлайне? Причём тут аутсорсинг и прочий бред? И если уж ты сам этого коснулся - как в твоём уц будут обстоять дела с OCSP?

                Сообщение от xell Посмотреть сообщение
                -осуществлять по обращениям... система же проверяет верна ЭЦП или нет? проверяет. ровно также пришел ко мне клиент - я беру заверенный им же сертификат, веду его на систему, беру эл. док и прочее - показываю - вот твой сертификат, вот проверка - подпись верна - верная твоя подпись-твоя. - досвидос.
                В законе описана более широкая ситуация. Приходит к тебе чел и грит: слышь, пришёл ко мне ЭД с ЭЦП, посмотри там у себя, ты действительно выпускал на него чего или нет? А ты ему: ща, мужик, но только погоди, я свою папочку с 20000 бумажными сертификатами (ведь они у тебя бумажные?) достану и посмотрю.

                Сообщение от xell Посмотреть сообщение
                да чо верить-то, я это прекрасно знаю ))
                Это хорошо

                Комментарий


                • #9
                  Сообщение от xell Посмотреть сообщение
                  sunny,

                  если не секрет, можешь назвать кого-нить у кого так БК живет?
                  Извини, дружище, я не чувствую за собой такого права. Придётся верить на слово.

                  Комментарий


                  • #10
                    Spanky,



                    "Теоретически - лошадь, практически - не везёт" - ) клёво ) запомню.

                    1. Как ты ручками будешь обрабатывать запрос PKCS#10? - а кто сказал, что запрос должен быть PKCS#10?
                    Самый то главный вопрос в том, что нет ни одного нормативного документа, что УЦ - это ПАК, PKI и прочее!

                    2. В реестр ты что, тоже бумажный сертификат будешь заносить? Его же и своим ключом УЦ подпишешь? - кто сказал, где написато, какой должен быть реестр, как его вести и проч? ну где? Будет файл, в который будут руками вносится данные о сертификате, т.е. то что автоматизировано в УЦ будет делаться руками.

                    3. Что ты будешь делать с неуникальными номерами сертификатов? что значит с неуникальными? неуникальные я понимаю - одинаковые? равные? А такое бывает? На сколько мне помнится - нет. темболее я вести сам ручками его буду.

                    3. Как будешь заносить в сертификат сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение? - средствами системы БК. в случае УЦ это делается средствами УЦ, в моем средствами БК.

                    4.Чем твои контрагенты будут генерить запрос на сертификат, сами ключи? - средствами системы и СКЗИ.
                    в моем случае, запрос на сертифика - это открытый ключ, который подписан: если клиент притопал первый раз - то я ему дал транспортный ключ с ограниченной областью действия, если последующие разы соответственно боевым ключом. (для создания, проверки ЭЦП достаточно пары ключей!).

                    5. О каком присланном подписанном бумажном сертификате с печатью идет речь? Юзеры сами у тебя их делают!? Ведь его клиенту ты должен выдать! "В случае выдачи сертификата ключа подписи в форме документа на бумажном носителе этот сертификат оформляется на бланке удостоверяющего центра и заверяется собственноручной подписью уполномоченного лица и печатью удостоверяющего центра." - ОК, согласен, косяк, тогда так: он мне прислал подписанный ЭЦП созданной с помощью транспортного/боевого закрытого открытый ключь (аля запрос на сертификат). я его получил, распечатал, заверил и выдал. хотя, я думаю, если он сразу привезет уже заверенный со своей стороны сертификат. никто не запретить мне выложить бланк на сайт, например.

                    6. У вас с контрагентом хоть одно и тоже СКЗИ? - а по другому бывает? очень хотел бы на енто взглянуть.

                    7. Блин, устал да и надоело. Хотелось бы ещё взглянуть на желающих поработать по подобной схеме. - понимаю, работают и очень многие - только они живут по 160 статье ГК и называют ЭЦП - АСП.
                    В том то все и дело, что не докрутили 1-ФЗ, реально он так и не работает.
                    и впринципе, все кто живет с АСП - могут перейти на 1-ФЗ, т.к. реально - они используют ЭЦП. ну нет просто PKI ну нет, и что? не общаются клиенты между собой - только с банком и все.


                    Это ты с кем разговаривал? Я спросил ровно то, что спросил: зачем именно "Б-К" общаться с УЦ в онлайне? Причём тут аутсорсинг и прочий бред? И если уж ты сам этого коснулся - как в твоём уц будут обстоять дела с OCSP? с тобой и разговаривал, ты сам то понимаешь, что пишешь?
                    Не очень понятно, зачем именно "Б-К" общаться с УЦ в онлайне. Можно просто зайти на онлайновый Криптопрошный ( к примеру) УЦ и выпустить себе сертификат, а потом прописать его в "Б-К" писал ровно то и писал, что писал:
                    - если ты заходишь на Он-лайн УЦ Крипто-Про - это значит, что УЦ не твой и ты будешь платить за их обслуживание той орг у которой он находится - а это на зывается аутсорсин, и если у тебя больше хотя бы 500 клиентов - то будет очч большая сумма, ооооооочень, тем более если это УЦ Крипто-пры.
                    - а вот теперь давай рассмотрим ситуацию: ну во-первых в случае компрометации, он куда звонит в банк или в УЦ? дык вот, звонит он в УЦ и говорит - у мну потырыли ключ, анулируйте сертификат. а у вас система с УЦ в онлайне не общается. даже если у вас в регламенте прописано, что например СОС обновляется 1 раз в день - это не важно! так вот клиент позвонил и отозвал свой сертификат, да даже пришел и заявление в УЦ принес. его отозвали, он попал в СОС, а вашей системе не нужен онлайн, и у вас в системе (по каким либо причинам СОС не обновился). далее - хоть злоумышленнег, хоть сам клиент берет и переводит все свои стотыщ милионов на каймановые острова. а потом идет в банк и говрит: "ГДЕ ДЕНЬГИ МАЗАФАКА? Я ОТОЗВАЛ СЕРТИФИКАТ!ЭТО НЕ Я! В Е Р Н И Т Е Д Е Н Г И!"далее разбор конфликтной ситуации...бла бла блаа, берем сертиф, берем док, эцпу, СОС - ОПАНЬКИ, А ВЕДЬ И ПРАВДА ОТОЗВАН БЫЛ! далее суд бла бла бла, постановление суда - ЭЭЭ БАНК - ДЕНЕГ ВЕРНИ, А?
                    ну вот как-то так, для ентого и нужен он-лайн с УЦ.

                    В законе описана более широкая ситуация. Приходит к тебе чел и грит: слышь, пришёл ко мне ЭД с ЭЦП, посмотри там у себя, ты действительно выпускал на него чего или нет? А ты ему: ща, мужик, но только погоди, я свою папочку с 20000 бумажными сертификатами (ведь они у тебя бумажные?) достану и посмотрю. - во первых у меня есть БК, во-вторых у меня есть реестр в электронном виде, в 3-х да и ладно, и поисчу не обламлюсь - у меня специавльно обученные люди есть.

                    еще раз повторюсь, вот совсем не давно услышал фразу очч клевую:
                    "УЦ - это подразделение, а ПАК УЦ - это автоматизация работы этого подразделения"
                    тот же опер день можно в ручную крутить, а можно автоматизировать.

                    на самом деле я не против УЦ, я всеми ногами за, но разные бывают ситуации и очень обидно, что никто не хочет довести до ума законадательство в области криптографии - а это грустно, очень!

                    Комментарий


                    • #11
                      sunny,

                      эхх, жаль... ну ничо, пробьемся

                      Комментарий


                      • #12
                        Мда... Бодро начал бумажными сертификатами и плавно закончил "електрическими"... Куда всё девалось?
                        Откомментить хотелось бы только 2 эпизода:
                        Сообщение от xell Посмотреть сообщение
                        - если ты заходишь на Он-лайн УЦ Крипто-Про - это значит, что УЦ не твой и ты будешь платить за их обслуживание той орг у которой он находится - а это на зывается аутсорсин, и если у тебя больше хотя бы 500 клиентов - то будет очч большая сумма, ооооооочень, тем более если это УЦ Крипто-пры.
                        Спасибо за информацию.
                        Хороший старый анекдот:
                        В Нью-Йорке около небоскрёба стоит мужик(М) и курит, подскакивает к нему журналист(Ж).
                        Ж: Вот, Вы стоите, курите, время у Вас есть, можно я Вам несколько вопросов задам?
                        М: Валяй.
                        Ж: Вам сколько лет?
                        М: Ну, 50.
                        Ж: А сколько лет курите?
                        М: Наверное лет 30.
                        Ж: А сколько пачек в день?
                        М: около 2-х
                        Журналист что-то быстренько подсчитал на калькуляторе:
                        Ж: Вот, если бы Вы не курили, то на деньги, потраченные за эти годы на сигареты, Вы могли бы купить небоскрёб около которого стоим!!!
                        М: А ты куришь?
                        Ж: нет!!!!
                        М: А я и курю, и небоскрёб этот МОЙ

                        Дык вот. У меня, совершенно случайно, есть и система ЭДО и онлайновый УЦ Крипто-про на 500 пользователей.

                        Сообщение от xell Посмотреть сообщение
                        во первых у меня есть БК, во-вторых у меня есть реестр в электронном виде, в 3-х да и ладно, и поисчу не обламлюсь - у меня специавльно обученные люди есть.
                        А может стоит, всё-таки, парочку специально обученных людей сократить, а на сэкономленные средства прикупить скромненький ( а может и не очень) УЦ?

                        Комментарий


                        • #13
                          Spanky,

                          Мда... Бодро начал бумажными сертификатами и плавно закончил "електрическими"... Куда всё девалось? - я пытался объяснить, зачем при правильной организации взаимодействия УЦ с БК нужно он-лайн взаимодействие.

                          500 юзверей - это нормально, это рентабельно, но вот если их более 15 000 - это очч даже не рентабельно.

                          А может стоит, всё-таки, парочку специально обученных людей сократить, а на сэкономленные средства прикупить скромненький ( а может и не очень) УЦ? - вот как раз таки для своего УЦ нужно будет людей набрать, да еще и с соответствующим образованием и знаниями. и вот скромненький проектег с УЦ выливается в 8 лямофф в первый год, а может и больше + гемморой по развертыванию и проч и проч. Прошу заметить - при развертывании УЦ далеко не Крипто-Пры, вообще не спорю что у Крипто-Пры все прально и красиво - они молодцы, но у них бы это стоило раза в 2 больше.

                          воопщем, спасибо за дисскуссию, я все для себя до конца уложил в голове.

                          пы. сы. анек зачодный )))

                          Комментарий


                          • #14
                            Сообщение от xell Посмотреть сообщение
                            Spanky,
                            А может стоит, всё-таки, парочку специально обученных людей сократить, а на сэкономленные средства прикупить скромненький ( а может и не очень) УЦ? - вот как раз таки для своего УЦ нужно будет людей набрать, да еще и с соответствующим образованием и знаниями. и вот скромненький проектег с УЦ выливается в 8 лямофф в первый год, а может и больше + гемморой по развертыванию и проч и проч. Прошу заметить - при развертывании УЦ далеко не Крипто-Пры, вообще не спорю что у Крипто-Пры все прально и красиво - они молодцы, но у них бы это стоило раза в 2 больше.
                            Ну на самом деле не всё так страшно.
                            Не очень понял, на что там можно потратить 8 лимонов.
                            Штат - 3 человека (это просто минимум, который обусловлен разделением полномочий), разворачивать можно самим -ничего там такого супер-пупер сложного нет, документация нормальная, 3 раза тренировочно развернёшь, далее уже с закрытыми глазками делать будешь . На виртуалке (потестить чё-нить) неспешно разворачиваем за день. Обучение сейчас 30000 р. на человека. Про 15 000 пользователей - да дай Бог, чтобы они были , а уж лицензию можно и прикупить (проапгрейдить?)

                            Сообщение от xell Посмотреть сообщение
                            воопщем, спасибо за дисскуссию, я все для себя до конца уложил в голове.

                            пы. сы. анек зачодный )))
                            Welcome!

                            Комментарий


                            • #15
                              Spanky,

                              ну вообще-то, УЦ поднимал с 0 ), на минуточку, я очень хорошо понимаю и что и как и сколько.

                              Не очень понял, на что там можно потратить 8 лимонов. да легко!
                              - скока анлим версия просто СКЗИ (CSP) стоит будет у Крипто-Пры знаете? поинтерисуйтесь - думаю вам понравится.
                              - ПО самого УЦ + всякая база, антивири, фаервол по 4 классу сертифицированый, HSM для ключа уполномоченного лица, софт для бэкапа серваков....бла бла бла про софт много чего, или можно не лицензионное поставить, да?
                              - железки под УЦ, зип для них,
                              - зрп 3-х сотрудников,
                              - остальная шняга для сотрудников, начиная от столов......, сейф, шкаф для архива...бла бла бла, принтер-шминтер-сканер...бла бла бла
                              - ключевые носители,
                              - разработка документации,
                              - чо-нить для надежной доставки,
                              продолжать? вот так вот, на минуточку, посчитайте скока у вас получится?
                              нет ну можно конечно купить софт и железо - будет не много, лямов эдак 4-5 - но вот только когда начнете его разворачивать и дружить его с ЭДО - вам нужно будет ходить к вождям и выпрашивать постоянно денги....и получится, что вы заплатите еще больше бабла, ибо все дорожает, вот например, для серваков, например, вы чере пол года год - не найдете зип. да много чего..

                              Комментарий


                              • #16
                                Ну, анлим... - мания величия? Потихонечку, надо, потихонечку...
                                МЭ - у нас Cisco Pix, сертифицировать - примерно 15 - 20% от первоначальной стоимости.
                                HSM... Атликс, что ли? - а оно вам надо? eToken'a не хватит для начала? Мне руководство вечно вещает - "не надо строить идеальную систему"
                                Софт для бэкапа - виндозный, пока всё нормально.
                                Железки - ну, это разово, и не так дорого. 2 сервака + рабочая станция. PIX и так нужОн был.
                                Зарплата - вообще-то, у нас УЦ занимаются, как Вы говорите, "специально обученные люди" , но, это для них далеко не единственная обязанность. У вас по-другому? Тогда я весь в завидках...
                                Документация - ну, блин, это ваше всё. Сами, всё сами Лучше Вас никто не напишет...
                                Ключевые носители - вы, чё, типа, за свой счет их берёте и дарите клиентам?
                                "чо-нить для надежной доставки" - не понял, чесслово, про что речь.
                                "вот так вот, на минуточку, посчитайте скока у вас получится" - уж 3 года прошло, давно это было, но от цены никого не тошнило . Мы как-то без фанатизма

                                Комментарий


                                • #17
                                  Spanky,

                                  500 человек - это мало - не нужно строить идеальную систему...пока все нормально...и проч
                                  - если хоть один раз пока не сработает, и это пока будет большой суммой - вообщето банк легко может и ликвидность потерять.

                                  а вот если более 15 000 в одной системе, более 5 000 в другой системе и число растет потихоньку, а там прибавляется перевупуск и прочч и прочч и проч. хотел бы я посмотреть я на ваших людей которые будут паралелльно заниматься другими делами.
                                  документы - фсё сами фсё сами сами? - да не вопрос сами, но вот только, если какой-нить умный клиент, знающий законодательство используя ваш легитимный документ поставит вас раком.... - думаю будет не очч., опять же смотря еще на какую сумму.
                                  виндовз форева - а вы помните о том что УЦ несет материальную ответственность? если помните - то удачи вам!
                                  короче говоря я понял - ваша система построенна ровно по менталитету рассейскага васи "пока гром не грянет - мужик не пу.....т".
                                  мания величия не мания величия - но если постепенно для 20 000 клиентов закупать лицензии - получится еще дороже. не ужели крипто-пры похожи на лохов? - мне вот так совсем не кажется - они на рынке самые крутые, по этому и стоят дороже всех и уже тысячу раз пересчитали как и за сколько продавать.
                                  доставка? - а вот тут все зависит, например, где у вас филиалы, как вы распределяете ключи, сколько раз у вас клиент ходит в банк и прочие.
                                  а еще очень хотелось бы посмотреть, что вам будет вещять руководство, когда произойдет инцидент какой-нить (не дай бог, конечно) и вы потеряете денег, репутацию и т.д.

                                  Комментарий


                                  • #18
                                    короче говоря я понял - ваша система построенна ровно по менталитету рассейскага васи "пока гром не грянет - мужик не пу.....т". - Ну что ж, я рад, что Вы так быстро разобрались с нашей системой.

                                    Комментарий


                                    • #19
                                      Spanky,

                                      )))) нууу....шоп без залетофф )))

                                      Комментарий


                                      • #20
                                        Сообщение от xell Посмотреть сообщение
                                        Если уж сказать честно - то ни одно ПО "Банк-Клиент" у нас в стране не работает в режиме Он-лине с УЦ, ни одна! некоторые потуги есть (за которые огромнейшие баблищщи гребут), но реально - НИ ОДНА НЕ РАБОТАЕТ!
                                        Мне просто обидно стало.
                                        У нас именно в он-лайне УЦ работает в КБ.

                                        Согласен, что по-другому и не может быть.
                                        И совсем бесплатно. Это все встроено в КБ по-умолчанию.

                                        Автоматизировано все. Клиент тратит секунд 15-20 от запроса на сертификат до возможностью уже пользоваться выпущенным сертификатом.
                                        Конечно, если администратор в банке на месте.
                                        IK Soft

                                        Комментарий


                                        • #21
                                          а валидность сертификата в он-лайне хоть кто-нибудь проверяет??? Сомневаюсь...

                                          Комментарий


                                          • #22
                                            Сообщение от ssm_2005 Посмотреть сообщение
                                            а валидность сертификата в он-лайне хоть кто-нибудь проверяет??? Сомневаюсь...
                                            "...Проверка валидности сертификата ключа подписи - это действия, производимые над проверяемым сертификатом ключа подписи для того, чтобы убедиться в возможности его использования, а именно:

                                            - проверка целостности сертификата ключа подписи;

                                            - проверка срока действия сертификата ключа подписи;

                                            - проверка отсутствия сертификата ключа подписи в актуальном списке отозванных сертификатов ключей подписей;

                                            - проверка области действия сертификата ключа подписи..."

                                            Если Вы это спрашивали, то да, проверяем в он-лайне т.к. УЦ встроен в Клиент-Банк и сертификаты хранятся в базе К-Б.

                                            Иначе я не понимаю, зачем УЦ, если валидность сертификата проверяется "после".
                                            Это самая важная задача УЦ.
                                            IK Soft

                                            Комментарий


                                            • #23
                                              ssm_2005,
                                              вообще говоря, все должны.
                                              просто для этого необходимо тупо смотреть на СОС и все...его УЦы разные публиковать умеют куда угодно.
                                              IK Soft
                                              Если Вы это спрашивали, то да, проверяем в он-лайне т.к. УЦ встроен в Клиент-Банк и сертификаты хранятся в базе К-Б.
                                              О КАК!?
                                              сильно! ничего не могу сказать. а если не секрет - кто разработчик БК и какой УЦ?

                                              Комментарий


                                              • #24
                                                Сообщение от xell Посмотреть сообщение
                                                О КАК!?
                                                сильно! ничего не могу сказать. а если не секрет - кто разработчик БК и какой УЦ?
                                                Здесь и БК и УЦ . Описание не самое полное. Но представление дает.

                                                На форуме Крипто-Про, разработчики Крипто-Про CSP похвалили данную реализацию.
                                                IK Soft

                                                Комментарий


                                                • #25
                                                  IKSoft,
                                                  спсб... фигассе!

                                                  Комментарий


                                                  • #26
                                                    Мануал, конечно, впечатляет. А где конкретно в нем описан механизм он-лайновой проверки валидности сертификата при обработке документа?

                                                    Комментарий


                                                    • #27
                                                      Сообщение от ssm_2005 Посмотреть сообщение
                                                      Мануал, конечно, впечатляет. А где конкретно в нем описан механизм он-лайновой проверки валидности сертификата при обработке документа?
                                                      По моей бумаге, это происходит так.

                                                      При старте сервера К-Б он скачивает все работающие сертификаты к себе в виртуальное хранилище.

                                                      При проверке подписи проходит первичная проверка (т.е. сертификаты по состянию на момент старта).

                                                      Если эта проверка прошла, то на уровне MSSQL (где все сертификаты и хранияться) проходят все другие проверки.

                                                      Вот список возможных ошибок - все ступени проверки:

                                                      Код:
                                                      - Отказ: Сертификат не найден 
                                                      - Отказ: Сертификат ... вне периода действия: ... - ...
                                                      - Отказ: Сертификат ... отпечаток неверен. В базе "..." Клиентский: "..."
                                                      - Отказ: У сертификата ... нет уполномоченного лица (AE =0).'
                                                      - Отказ: У сертификата ... уполномоченное лицо не найдено (AE = ...).
                                                      - Отказ: У сертификата ... уполномоченное лицо (AE = ...) вне периода действия: ...-...
                                                      - Отказ: У сертификата ... уполномоченное лицо (AE = ...) не действенно.
                                                      - Отказ: Сертификат ... у уполномоченного лица (AE = ...) нет привязки к клиенту.
                                                      - Отказ: Сертификат ..., уполномоченное лицо AE = ... привязка к клиенту вне периода действия: ...-...
                                                      - Отказ: Сертификат ... уполномоченное лицо AE = ... привязка не действенна.
                                                      - Отказ: Сертификат ... уполномоченное лицо AE = ... привязка. Несоответствие полномочий.
                                                      - Отказ: Сертификат ... уполномоченное лицо AE = ... привязка. Несоответствие клиента.
                                                      Если я хочу заблокировать сертификат или клиент присылает запрос на отзыв, то у сертификата в карточке клиента меняется его статус, и все последующие проверки закончатся ошибкой.

                                                      Даже если я не перестартовал КБ.
                                                      IK Soft

                                                      Комментарий


                                                      • #28
                                                        IKSoft, Причем как на серверной, так и на клиентской стороне.

                                                        Комментарий


                                                        • #29
                                                          IKSoft, А ежли отзыв сертификата произошел через 10 минут после старта сервера? Как сервер об этом узнает?

                                                          Комментарий


                                                          • #30
                                                            IKSoft, вобчем, если вы технологию OCSP не используете, то как вы можете утверждать, что реализовали в он-лайне проверку статусов сертификатов. С вашим определнием процедуры проверки статусов сертификатов я согласен. Вопрос - как эта процедура в вашей проге реализуется в онлайне? Для Б-К это критическая опция. Или не согласны?

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X