19 августа, понедельник 02:32
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Возможно появился червяк по БСС

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #31
    Сообщение от surfer Посмотреть сообщение
    xell,
    Придумал защиту: Берём защищённый бокс (типа закрытого КПК) с возможностью выхода в Инет. В боксе находится всё: ОС, броузер, клава, USB для токена. Бокс настроен на МАКСИМАЛЬНУЮ защиту и ТОЛЬКО под работу с данным банк-клиентом.
    Не берусь судить о стоимости данного решения и о возможности МОБИЛЬНО применять сей девайс. Но как вариант...
    Что-то наподобие нетбука. Вполне реально и мобильно. Только как-то нужно защитить от "развинчивания" в случае кражи, т.е. от прямого доступа к HDD в обход ОС. Например, шифрованием всего HDD.

    Итого:
    2 пользователя (root и бухгалтер);
    HDD полностью зашифрован и открывается от одного из 2 указанных паролей;
    из софта - только ядро ОС, стек TCP/IP и БанкКлиент.

    Комментарий


    • #32
      я в соседней теме про иБанк отписал уже, конкретно знаю что этот троян один и тот же что под бсс что под ибанк что под вебмани и многое другое...берегите деньги))) хотябы свои)
      сомневаюсь что тут спасут токены,сомневаюсь что клиенты будут выделять специальные компьютеры и настраивать права(сами знаете наверное, у некоторых даже админов нету)
      с таким раскладом сразу новую услугу в банке пропихивать - нетбуки тонких и толстых клиентов))))))))))))))(все настроено, интернет мобильный со стартовым 100р на борту)))))

      и сваливать всю проблему на клиентов, считаю в корне не правильным
      патч 17.5.300 - ну так, "чисто" игрушка,которая на мой взгляд должна была быть в 15ых версиях,ничего сверх естественного, логирование в systemlog сделано вообще как то странно , если будете переходить - тогда сразу на 17.6.200

      Комментарий


      • #33
        главное в этих патчах (в бсс), что они приватные секурити баги прикрывают. О которых клиенты докладывают, после пен-тестов и анализов всяких. Троян это лишь одна часть угрозы (да и то, для клиента). Для банков тоже свои риски есть.

        Комментарий


        • #34
          Сообщение от surfer Посмотреть сообщение
          xell,
          Ключ не покидает носителя. Грубо: на входе - платёжка, на выходе - платёжка с ЭЦП
          eToken ГОСТ и RuToken пока не сертифицированы.
          Остальные USB-носители отдают ключ в оперативную память.

          Комментарий


          • #35
            malotavr,
            Остальные USB-носители отдают ключ в оперативную память.
            Откуда новости?
            И сертификат давно имеется, и про неизвлекаемость ключа давно отписано.
            Главное достоинство этого USB-ключа – формирование ЭЦП клиента непосредственно внутри него. При использовании MS_Key в криптографических приложениях «Сигнал-КОМ» формирование ЭЦП под электронным документом выполняется в два этапа: на вход USB-ключа передается хеш-функция от документа, вычисляемая средствами СКЗИ «Крипто-КОМ 3.2» из состава криптографического приложения, а на выходе получаем ЭЦП, сформированную на «борту» MS_Key с использованием неизвлекаемого секретного ключа.
            И используется уже вовсю...

            Комментарий


            • #36
              Сообщение от surfer Посмотреть сообщение
              malotavr,
              Откуда новости?
              И сертификат давно имеется
              На сайте производителя, кстати, на странице про ms-key, лежит название протухшего в марте сего года сертификата СФ/114-1009 (без скана и текста), и гордая надпись "under construction". Этот же номер сертификата фигурирует на сайте "ру токен".

              Лично мне сложно сказать, что там сертифицировали, когда, зачем, какое отношение они все имеют к ЗАО "Терна-СБ", и чем оная последняя сейчас занимается (в частности, собирается ли пересертифицировать криптомодуль-С)
              /kiv

              Комментарий


              • #37
                Только никто не говорит, что на вход такой "панацеи" можно подать подмененную платежку ;-( Такой токен защищает от угрозы, но не от той, от которой нужно. Основная же задача - не защита ключей ЭЦП, а защита от несанкционированного перевода средств. Если поставить задачу именно так, то сразу все станет на свои и места и будут понятны и возможные угрозы и возможные пути их отражения/устранения.

                Комментарий


                • #38
                  Алексей Лукацкий,
                  Только никто не говорит, что на вход такой "панацеи" можно подать подмененную платежку
                  Согласен, уже где-то на форуме обсуждал. И решение есть - дисплей с реквизитами на токене и кнопки для подтверждения/отмены. Вопрос в том, что будет дорого. Да и пока проще тырить ключи и логины/пароли иэ того же телебанка ВТБ24.

                  Комментарий


                  • #39
                    RIP Панночка померла вместе с криптомодулем-С, а ее разработчик давно стал просто дистрибьютером КриптоПро. Это решение ребрендировали в Магистра-CSP, но сертификат протух и продлевать его, вроде бы, никто не собиирается.

                    Оставшиеся два решения eToken CSP и Rutoken ЭЦП tot только проходят сертификационные испытания.

                    Комментарий


                    • #40
                      Сообщение от surfer Посмотреть сообщение
                      Алексей Лукацкий, Согласен, уже где-то на форуме обсуждал. И решение есть - дисплей с реквизитами на токене и кнопки для подтверждения/отмены. Вопрос в том, что будет дорого.
                      Я бы добавил, что и малореализуемо. Чтобы токен отобразил реквизиты он должен понимать формат передаваемых платежек. А если он использует что-то вроде XML, то разработчик банковского софта должен переделывать свое ПО под работу с этим конкретным токеном. Будет ли он это делать? Врядли.

                      Комментарий


                      • #41
                        malotavr,
                        Это решение ребрендировали в Магистра-CSP, но сертификат протух и продлевать его, вроде бы, никто не собиирается.
                        Поставщик MS-key ООО Мультисофт Системз> проинформировал, что срок действия сертификата соответствия ФСБ России на изделие Криптомодуль-С> для операционной системы микроконтроллера интеллектуальной карты ФДИШ 461143.313-01 30 01 продлен до 30 июня 2010 года.

                        Комментарий


                        • #42
                          Алексей Лукацкий,
                          Чтобы токен отобразил реквизиты он должен понимать формат передаваемых платежек. А если он использует что-то вроде XML, то разработчик банковского софта должен переделывать свое ПО под работу с этим конкретным токеном
                          Может быть и так. Вопрос не в реализации, а в поиске пути решения проблемы.
                          Ещё раз повторю: пока есть более простые способы (украсть логины/пароли или ключи ЭЦП) будут использоваться именно они. Когда все перейдут на работу с защищёнными носителями ЭЦП - будут искать другие возможности.

                          Комментарий


                          • #43
                            Сообщение от surfer Посмотреть сообщение
                            Когда все перейдут на работу с защищёнными носителями ЭЦП - будут искать другие возможности.
                            Согласен. Вон уже трояны научились на лету подменять реквизиты платежа, отображаемые в системах ДБО. Так что и тут ничего сложного нет...

                            Комментарий


                            • #44
                              Сообщение от surfer Посмотреть сообщение
                              И решение есть - дисплей с реквизитами на токене и кнопки для подтверждения/отмены. Вопрос в том, что будет дорого.
                              Сравнительно полноценный миникомпьютер на ARM с виндой CE, тачскрином и GPS-приёмником в нагрузку стоит на сегодня порядка 2500 рублей. Допустим, стоимость заказного софта, при тиражировании до 50 000 экземпляров, выйдет ещё в 2000 на "токен".

                              Не считаю, что это - дорого. Вопрос только - кто напишет этот софт так, чтобы впихнутые в usb данные не переполнили буфер приёма с предсказуемыми последствиями
                              /kiv

                              Комментарий


                              • #45
                                Илюха, и GPS-приёмником ГЛОНАСС, коллега! Только ГЛОНАСС, и никак иначе...
                                С уважением, Антон

                                Комментарий


                                • #46
                                  Сообщение от surfer Посмотреть сообщение
                                  malotavr,

                                  Поставщик MS-key ООО Мультисофт Системз> проинформировал, что срок действия сертификата соответствия ФСБ России на изделие Криптомодуль-С> для операционной системы микроконтроллера интеллектуальной карты ФДИШ 461143.313-01 30 01 продлен до 30 июня 2010 года.
                                  Спасибо, учту. Только мы с вами это уже проходили пару лет назад на примере печально известного КриптоЭкса

                                  Комментарий


                                  • #47
                                    Сообщение от surfer Посмотреть сообщение
                                    Алексей Лукацкий,
                                    Может быть и так. Вопрос не в реализации, а в поиске пути решения проблемы.
                                    Ещё раз повторю: пока есть более простые способы (украсть логины/пароли или ключи ЭЦП) будут использоваться именно они. Когда все перейдут на работу с защищёнными носителями ЭЦП - будут искать другие возможности.
                                    +1

                                    Комментарий


                                    • #48
                                      Ну вот и то (http://www.bifit.ru/ru/company/press/vazhno4.html), о чем давно говорилось. Подмена понятий, а исходная угроза так и осталась незакрытой.

                                      Комментарий


                                      • #49
                                        ... на что я ссылку и давал, возрождая тред...

                                        Наконец то идея с трояном и ЮСБ-Токеном нашла реализацию.
                                        Товарищи в соседнем под-форуме - http://dom.bankir.ru/showthread.php?t=99228

                                        Комментарий


                                        • #50
                                          О новом сертификате на СКЗИ "Криптомодуль-С" для ST19NR66.

                                          В начале 2010 года компанией "ПрограмПарк" были запущен процесс продления сертификата ФСБ РФ на СКЗИ "Криптомодуль-С".

                                          8-й Центр ФСБ РФ потребовал проведения дополнительного КТИ (контрольно-тематического исследования). Процесс был сразу же запущен с участием ЦСИ Шапошникова И.Г.

                                          09.03.2010г. на период КТИ был выдан временный сертификат ФСБ РФ рег. № СФ/114-1436 со сроком действия до 30 июня 2010 года.

                                          В пятницу общался с ПрограмПарком. Заключение ЦСИ по КТИ передано в 8-й Центр ФСБ. Ждут нового сертификата на СКЗИ "Криптомодуль-С".
                                          С уважением, Репан Димитрий
                                          Компания "БИФИТ" - www.bifit.com

                                          Комментарий


                                          • #51
                                            отправил Алексей Лукацкий
                                            Ну вот и то (http://www.bifit.ru/ru/company/press/vazhno4.html), о чем давно говорилось. Подмена понятий, а исходная угроза так и осталась незакрытой.
                                            Это у Вас, Алексей, "подмена понятий".

                                            У меня в пресс-релизе всё ясно и четко. Без передергиваний.

                                            Теперь по-порядку.

                                            Исходная угроза изначально была в хищении злоумышленниками секретных ключей ЭЦП, хранящихся в копируемых файлах.

                                            Именно это - хищение файлов с ключами - и есть ПРЯМАЯ угроза.

                                            А хищения же средств с расчетных счетов клиентов методом направления в банк электронных платежных поручений с корректной ЭЦП клиента, сформированной с использованием ранее похищенного секретного ключа ЭЦП клиента - это уже СЛЕДСТВИЕ хищения файлов с секретными ключами ЭЦП.

                                            Не надо, Алексей, передергивать и называть белое черным.

                                            Хищение средств со счета клиента - это не угроза информационной безопасности, а конечная цель злоумышленника.

                                            То, что произошло - http://www.bifit.ru/ru/company/press/vazhno4.html - это появление двух новых угроз:

                                            - доступ к персональному аппаратному криптопровайдеру через зашаренный USB-порт компьютера клиента

                                            - удаленный доступ к компьютеру клиента (RDP, RFB и пр.)

                                            Причины появление новых угроз - появление новых троянов с новым функционалом, которые проникают на компьютеры пользователей через бреши в системном и прикладном ПО, а также из-за некомпетенции в вопросах ИБ самих пользователей.

                                            Гарантировано проблема может быть решена только при обеспечении доверенной среды на компьютере пользователя с формально доказанным отсутствием уязвимостей в этой среде.

                                            Понятно, что на Марс слетать дешевле и проще

                                            Поэтому приходится работать с тем, что есть и ставить везде где, только можно, барьеры (технически и организационно, проходя по бюджетам), усложняя жизнь злоумышленникам.

                                            USB-токены с неизвлекаемыми секретными ключами ЭЦП клиента закрыли большую брешь - хищение файлов с секретными ключами ЭЦП.

                                            Я в Банк-Клиентах - с начала 1994 года, когда пришел работать в РФК. И ставил эти Банк-Клиенты по всей России в большом числе банков. Это уже потом, в 1999 году был уход и создание БИФИТа.

                                            Так вот, исторически в России сложилось так, что секретные ключи ЭЦП клиентов ВСЕГДА хранились на извлекаемых носителях - будь то дискетка, Touch Memory, смарт-карта или USB-токен.

                                            С помощью специализированных вредоносных программ секретные ключи ЭЦП клиентов МОЖНО БЫЛО ВСЕГДА спереть из файликов на дискетках, флешках, жестких дисках, с "таблеток", смарт-карт и старых USB-токенов.

                                            Для трех последний в некоторых случаях надо было перехватить вводимый пароль с клавиатуры, что уже тогда, 15 лет назад, не являлось проблемой.

                                            Радикально ситуация поменялась лет пять..семь назад, с массовым доступом в Интернет "чайников".

                                            Именно тогда начали появляться первые трояны под WebMoney, которые тырили пароли и ключи от электронных кошельков.

                                            А в 2007 году "пришла очередь" систем ДБО.

                                            Но еще в 2005 году, понимая растущую угрозу, БИФИТом были запущены пилотные проекты по созданию USB-токенов с неизвлекаемыми ключами ЭЦП.

                                            Делать решили на универсальных микроконтроллерах, имеющих на борту USB-порт.

                                            После анализа возможностей и архитектур процессорных ядер в разрезе полностью софтверной реализации математики для эллиптических кривых, был сделан выбор в пользу 32-битных микроконтроллеров с ядром ARM7.

                                            Тогда же были запущены работы и созданы прототипы USB-токенов для ARM7-микроконтроллеров сразу трех чипмейкеров - ST, NXP и Atmel (уже тогда следовали подходу снижения рисков от вендоров). Причем с реальным двухканальным аппаратным ДСЧ на плате токена.

                                            Проект был доведен до стадии ТЗ и подачи заявки на сертификацию, но в тот момент - середина 2007 года появилось уже сертифицированное ФСБ РФ СКЗИ "Криптомодуль-С" для защищенного (CC EAL4++ !!!) карточного чипа ST19NR66.

                                            Решение от ПрограмПарка было с существенно более худшими ТТХ:

                                            - формирование ЭЦП по ГОСТ Р34.10-2001 в ST19NR66 с Криптомодуль-С ~600мс, у нас на LPC2142 - 50мс

                                            - шифрование по ГОСТ 28147-89 в ST19NR66 с Криптомодуль-С ~300 байт/сек, у нас на LPC2142 ~300 Кбайт/сек.

                                            В общем сказывались преимущества универсальной 32-битной ARM7-архитектуры перед 8-битной серией ST19 с криптоускорителем на борту

                                            Так вот, даже тогда, имея более производительное и более выгодное по деньгам решение на руках, но при этом НЕСЕРТИФИЦИРОВАННОЕ ФСБ РФ, мы приняли решение сделать ставку на сертифицированный Криптомодуль-С дабы как можно быстрее донести продукт, обеспечивающий РЕАЛЬНУЮ ЗАЩИТУ секретных ключей ЭЦП клиентов от хищений, до наших банков и их клиентов.

                                            Версия системы "iBank 2" с поддержкой USB-токенов "iBank 2 Key" с неизвлекаемыми секретными ключами ЭЦП клиентов вышла в феврале 2008 года.

                                            БИФИТ был первым в России разработчиком систем ДБО, который пошел на столь радикальный шаг и начал предлагать банкам новое решение, РЕАЛЬНО защищающее секретные ключи ЭЦП клиентов от хищений.

                                            За два прошедших года мы поставили банкам более 200 тысяч USB-токенов "iBank 2 Key".

                                            И ни у одного клиента,использующего USB-токен или смарт-карту "iBank 2 Key", ключи не были украдены.

                                            Выявленные же в конец марта и начале апреля инциденты - лишь подтвердили невозможность хищения секретных ключей ЭЦП клиентов.

                                            В одних попытках хищений был банальный удаленный доступ к компьютеру с полными администраторскими правами. В том числе к подключенному в компьютер USB-токену "iBank 2 Key".

                                            То есть клиентский Java-апплет "iBank2" запустили прям на компьютере клиента (!), и прямо в нем создали и отправили платежки в банк от имени юрика.

                                            В других попытках хищений троян "пробросил" все USB-порты с компьютера клиента до хоста злоумышленника, далее злоумышленник на своем компе запустил клиентский Java-апплет и воспользовался удаленно подключенным USB-токеном.

                                            Можно бороться с описанными новыми угрозами?

                                            Безусловно ДА.

                                            Можно и нужно.

                                            Бороться комплексом мер, сразу по многим направлениям.

                                            Начиная от банальной пропаганды клиентам здорового образа жизни и заканчивая отдельными устройствами с доверенной средой и экранчиком для просмотра подписываемых документов, а также меганавороченным Fraud-мониторингом электронных платежей в банках.

                                            И именно это БИФИТ делает.
                                            Последний раз редактировалось Димитрий; 24.04.2010, 17:26.
                                            С уважением, Репан Димитрий
                                            Компания "БИФИТ" - www.bifit.com

                                            Комментарий


                                            • #52
                                              Сообщение от Димитрий Посмотреть сообщение
                                              Исходная угроза изначально была в хищении злоумышленниками секретных ключей ЭЦП, хранящихся в копируемых файлах.

                                              Именно это - хищение файлов с ключами - и есть ПРЯМАЯ угроза.
                                              Димитрий, угроза для кого? Вот меня, как клиента ДБО, совершенно не волнуют какие-то там ключи. Уж так повезло, что я знаю, что это. Но многие мои знакомые не знают ;-( И их (и меня) волнует снятие денег со счета. Ничего другого. И когда у моего знакомого украли деньги, он мне жаловался: "Ну как же. Вот же на сайте банка написано, что у них супер-система безопасности и хакеры никогда не украдут мои деньги". Он просто поставил знак равенства между криптоключами и деньгами.

                                              Поэтому когда я говорю о подмене понятий, то я повторю, что клиента волнует совершенно иная угроза, чем та, которая преподносится.

                                              Сообщение от Димитрий Посмотреть сообщение
                                              Гарантировано проблема может быть решена только при обеспечении доверенной среды на компьютере пользователя с формально доказанным отсутствием уязвимостей в этой среде.
                                              Гарантированной безопасности вообще не бывает. Но это лирика.

                                              Сообщение от Димитрий Посмотреть сообщение
                                              Так вот, даже тогда, имея более производительное и более выгодное по деньгам решение на руках, но при этом НЕСЕРТИФИЦИРОВАННОЕ ФСБ РФ, мы приняли решение сделать ставку на сертифицированный Криптомодуль-С дабы как можно быстрее донести продукт, обеспечивающий РЕАЛЬНУЮ ЗАЩИТУ секретных ключей ЭЦП клиентов от хищений, до наших банков и их клиентов.
                                              Не совсем понял, причем тут это. С точки зрения ФСБ наличие сертифицированного токена - только часть задачи. У вас должна быть также подтверждена корректность встраивания криптобиблиотек. Это реализовано? Если нет, то какой смысл вообще говорить о наличии сертификата соответствия?

                                              Комментарий


                                              • #53
                                                отпрвил Алексей Лукацкий
                                                Димитрий, угроза для кого? Вот меня, как клиента ДБО, совершенно не волнуют какие-то там ключи.
                                                Алексей, Вы определитесь с Вашей ролью.

                                                Вы - водитель автомобиля, и тогда именно Вы должны разбираться в правилах дорожного движения, понимать общее устройство автомобиля, нести ответственность за езду.

                                                Или же Вы - VIP-пассажир, и тогда Ваша задача выбрать квалифицированного водителя, который будет следить за исправностью автомобиля, везти Вас быстро, аккуратно и с минимальными рисками.

                                                Ровно тоже самое - в Интернет-Банкинге.
                                                С уважением, Репан Димитрий
                                                Компания "БИФИТ" - www.bifit.com

                                                Комментарий


                                                • #54
                                                  отправил Алексей Лукацкий
                                                  Гарантированной безопасности вообще не бывает.
                                                  Бывает

                                                  Например, блокнотные шифры обеспечивают гарантированную стопроцентную конфиденциальность передаваемых данных при обеспечении конфиденциальности ключей.

                                                  Учите матчасть...
                                                  С уважением, Репан Димитрий
                                                  Компания "БИФИТ" - www.bifit.com

                                                  Комментарий


                                                  • #55
                                                    С точки зрения ФСБ наличие сертифицированного токена - только часть задачи. У вас должна быть также подтверждена корректность встраивания криптобиблиотек. Это реализовано? Если нет, то какой смысл вообще говорить о наличии сертификата соответствия?
                                                    Корректность встраивания...

                                                    Любимая тема для рассуждений представителей регуляторов (ФСБ, ЦБ и др.)...

                                                    Только вот вопрос - корректность встраивания чего и куда?

                                                    Только конкретно, без очередной "подмены понятий".

                                                    Встраивание СКЗИ "Криптомодуль-С" при производстве в масочный ROM микроконтроллера ST19NR66?

                                                    Встраивание СКЗИ "Криптомодуль-С" в карточную операционную систему "Магистра"?

                                                    Встраивание карточного чипа ST19NR66 с Магистрой и Криптомодулем-С в масочном ROM'е в USB-токен (фактически анализ работы связки USB-картридера со смарт-карта через интерфейс ISO 7816)?

                                                    Встраивание поддержки Криптомодуля-С в прикладной продукт?

                                                    Но так ведь непосредственного доступа к СКЗИ "Криптомодуль-С" у прикладных продуктов нет

                                                    Есть API карточной операционной системы "Магистра". С этим API и приходится работать. Дали на вход смарт-карте одну APDU-команду - получили один результат. Дали другую APDU-команду - другой результат.

                                                    Я тут временами участвую в дискуссиях о необходимости и возможности независимой оценки корректности встраивания СКЗИ в системы ДБО.

                                                    Тема больная.

                                                    У государевых регуляторов почему-то есть острое ощущение, что лицензиаты (а другие - и не могут заниматься встраиванием), не имеют должной компетенции, и некорректно встраивают СКЗИ в прикладные системы.

                                                    Но если внимательно, не торопясь почитать API к сертифицированным CКЗИ (хоть одно API Вам, Алексей, знакомо?), а после хорошенько всё обдумать, то оказывается, что пространства для манёвра у лицензиата-разработчика прикладной системы, который встраивает в свою систему поддержку очередного сертифицированного СКЗИ, не так уж и много.

                                                    А вернее ВООБЩЕ НЕТ.

                                                    Есть API к СКЗИ - вот его и можем пользовать.

                                                    API к СКЗИ в рамках ТЗ и последующей сертификации утвержден ФСБ и неизменен. А по-другому, кроме как через API, воспользоваться СКЗИ НЕВОЗМОЖНО.

                                                    Может мне кто-нибудь в форуме привести пример некорректного встраивания СКЗИ "КриптоПро CSP" в прикладную систему?!

                                                    То есть чтобы всё четко работало - ключики генерировались, сохранялись в контейнерах, всё шифровалось и расшифровывалось, всё подписывалось и проверялось, обеспечивалась целостность, аутентификация и т.д. - но при этом встраивание СКЗИ было некорректным.

                                                    Да, и еще. Прошу привести в форуме информацию о сертификатах ФСБ РФ о корректности встраивания СКЗИ в прикладные системы.

                                                    Может я чего не знаю, чего-то пропустил...
                                                    С уважением, Репан Димитрий
                                                    Компания "БИФИТ" - www.bifit.com

                                                    Комментарий


                                                    • #56
                                                      Сообщение от Димитрий Посмотреть сообщение
                                                      Бывает

                                                      Например, блокнотные шифры обеспечивают гарантированную стопроцентную конфиденциальность передаваемых данных при обеспечении конфиденциальности ключей.

                                                      Учите матчасть...
                                                      Дмитрий,
                                                      вы уж определитесь: или "гарантированная стопроцентная", или "при обеспечении конфиденциальности ключей". Иначе это вариант из серии "к пуговицам претензии есть"?

                                                      В обсуждаемым случае шифровальный блокнот постоянно валяется на столе в переговорке.

                                                      Комментарий


                                                      • #57
                                                        Сообщение от Димитрий Посмотреть сообщение
                                                        Бывает

                                                        Например, блокнотные шифры обеспечивают гарантированную стопроцентную конфиденциальность передаваемых данных при обеспечении конфиденциальности ключей.

                                                        Учите матчасть...
                                                        Матчасть? Мы о какой криптостойкости сейчас будем спорить? О теоретической или практической? Я уже давно вышел из того возраста, когда рассматриваю чисто теоретические изыскания. Я стараюсь преломлять ту или иную аксиому на практику.

                                                        Комментарий


                                                        • #58
                                                          Сообщение от Димитрий Посмотреть сообщение
                                                          Алексей, Вы определитесь с Вашей ролью.

                                                          Вы - водитель автомобиля, и тогда именно Вы должны разбираться в правилах дорожного движения, понимать общее устройство автомобиля, нести ответственность за езду.

                                                          Или же Вы - VIP-пассажир, и тогда Ваша задача выбрать квалифицированного водителя, который будет следить за исправностью автомобиля, везти Вас быстро, аккуратно и с минимальными рисками.

                                                          Ровно тоже самое - в Интернет-Банкинге.
                                                          Вот именно. Даже если я VIP-пассажир, я не хочу, что за лоском и фуражкой якобы квалифицированного и сертифицированного водителя скрывался профан, который с меня тресет деньги ;-) И когда мне приходится пересаживаться с авто на такси, я все-таки слежу как он меня везет (и с точки зрения манеры, и с точки зрения знания города). Ибо меня волнует конечный результат (добраться живым и вовремя до точки назначения), а не якобы имеющаяся квалификация и безупречная работа водителя. И если он попадет в аварию и начнет кивать на то, что это все другой водила не смотрел по сторонам, то я его выслушаю, но в следующий раз уже не выберу. Это его обязанность была предусмотреть все случайности на дороге.

                                                          Комментарий


                                                          • #59
                                                            /**/

                                                            Комментарий


                                                            • #60
                                                              Сообщение от Димитрий Посмотреть сообщение
                                                              Корректность встраивания...

                                                              Любимая тема для рассуждений представителей регуляторов (ФСБ, ЦБ и др.)...
                                                              Ну а как без нее ;-)

                                                              Сообщение от Димитрий Посмотреть сообщение
                                                              Только вот вопрос - корректность встраивания чего и куда?

                                                              Только конкретно, без очередной "подмены понятий".


                                                              Встраивание поддержки Криптомодуля-С в прикладной продукт?
                                                              Именно. Начнем хотя бы с этого.

                                                              Сообщение от Димитрий Посмотреть сообщение
                                                              Но так ведь непосредственного доступа к СКЗИ "Криптомодуль-С" у прикладных продуктов нет
                                                              А вот это и призвана доказать проверка корректности встраивания ;-)

                                                              Сообщение от Димитрий Посмотреть сообщение
                                                              У государевых регуляторов почему-то есть острое ощущение, что лицензиаты (а другие - и не могут заниматься встраиванием), не имеют должной компетенции, и некорректно встраивают СКЗИ в прикладные системы.
                                                              И что в этом странного с их многолетним опытом. Я сам, не будучи большим специалистом по криптографии, регулярно сталкиваюсь с заявлениями недавних выпускников о том, что они разработали супер-мега-стойкий криптоалгоритм, который никому не под силу ломать. В ФИДО, в RU.CRYPT уже перестали обращать внимания на такие заявления ;-)
                                                              И уж гораздо чаще мне приходится сталкиваться с примерами незнания программистами основ защищенного программирования. И с этим приходится потом бороться. Malotavr лучше может рассказать об этом.
                                                              И встраивание СКЗИ не исключение...

                                                              Сообщение от Димитрий Посмотреть сообщение
                                                              Но если внимательно, не торопясь почитать API к сертифицированным CКЗИ (хоть одно API Вам, Алексей, знакомо?), а после хорошенько всё обдумать, то оказывается, что пространства для манёвра у лицензиата-разработчика прикладной системы, который встраивает в свою систему поддержку очередного сертифицированного СКЗИ, не так уж и много.
                                                              Мы сейчас что обсуждаем? Неразвитость рынка СКЗИ, нежелание регулятора выпускать дойную корову из стойла или вопрос выполнения требований регуляторов? Если первые два пункта, то я даже очень согласен. Но мы же говорим о третьем пункте. Если компания заявляет о том, что она соответствует всем требованиям ФСБ и делает это своим конкурентным преимуществом, то мне становится интересно - компания все требования выполняет? Или только те, которые возможно выполнить в реальные сроки и с реальными затратами? Опять же я не буду спорить - хорошо это или плохо. Так есть. Давайте отталкиваться от этого, коль скоро мы все-таки используем сертификат и лицензию ФСБ, как дифференциатор. Вот когда ЛАН Крипто говорило о своих продуктах, как о классных с точки зрения криптографии, то они ни слова не говорили о сертификатах и пытались выживать на жестком рынке наравне с PGP и т.п. бесплатными программами. Увы... не выжили.

                                                              Сообщение от Димитрий Посмотреть сообщение
                                                              Да, и еще. Прошу привести в форуме информацию о сертификатах ФСБ РФ о корректности встраивания СКЗИ в прикладные системы.
                                                              У меня их нет ;-) Но требование-то у ФСБ есть.

                                                              Сообщение от Димитрий Посмотреть сообщение
                                                              Может я чего не знаю, чего-то пропустил...
                                                              Может быть. Вот у меня перед глазами документ ФСБ, который только готовится к выпуску. Так там прямо написано (чтобы не было недоразумений), что для встраивания в прикладные системы корректность встраивания должна быть ОБЯЗАТЕЛЬНОЙ при условии наличия такого пункта в формуляре (ТУ) на СКЗИ. Т.е. все зависит от того, что у вас написано в формуляре на криптомодули. Вот в КриптоПро, например, четко написано, что встраивать можно, но по ТЗ, согласованному с ФСБ. А еще есть у меня специальное разъяснение ФСБ, в котором написано, что просто встраивания недостаточно, нужна именно проверка корректности этого встраивания.

                                                              ЗЫ. Я еще раз подчеркну свою позицию.
                                                              1. Я не против токенов. Я за то, чтобы при из продвижении не подменялись понятия и одна угроза не заменялась другой, более интересной для конечного пользователя. Именно его, а не сотрудника службы ИБ, который решил закупить партию токенов.
                                                              2. На свободном рынке дифференцироваться надо не сертификатами регуляторов. И если уж дошло до этого и компания сказала "А", то надо говорить и "Б" и соответствовать всем действующим требованиям регуляторов.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X