21 сентября, суббота 08:27
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Неполнота Internet-Banking систем предлагаемых в России.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Неполнота Internet-Banking систем предлагаемых в России.

    Любая ЭЦП имеет дату подписи. Ни одна из российских предложенных систем не использует общие сервисы(авторизованные, например Verisign TimeStamp) для взятия даты для ЭЦП. И даже более того во многих системах дата берется с машины пользователя. Получаются накладки с валидностью документов подписанных отозванными сертификатами. Все системы работают хорошо, если пользователь всегда работает с одним сертификатом, и не отзывает. Но это неполное представление о работе. Может быть подловить кого-нибудь )))

    Посмотрел предлагаемые тут системы - у всех такой недочет есть.

  • sandyman
    Участник ответил
    to Dimka-Toucan
    Ну зачем так категорично ?
    Если УЦ не используется и открытый ключ (сертификат) поступает прямо в банк, то банк при его получении блокирует старый ключ клиента. И какая бы дата (или время) ни стояла в платежке, подписанной старым ключем, если она поступила после получения (и регистрацией) банком нового ключа, такая платежка банком не должна приниматься.

    Ежели Вы имеете ввиду использование УЦ, в том числе и в системах ИБ (кстати, а разве есть такие?), то при регистрации сертификата указывается срок его действия. И при любом досрочном прекращении его действия, не должны пострадать контрагенты (как любит выражаться Фактура ) - они же не виноваты в том, что у Вас похитили ключ. Поэтому, думаю, было бы правильным если в законе прописать следующее: анулирование сертификата вступает в действие после завершения суток поступления в УЦ соответствующего заявления.
    Таким образом, контрагенту достаточно раз в сутки обращаться в УЦ для получения Вашего сертификата и не волноваться о том, а вдруг Вы его отозвали. Если же Вам до конца суток будет нанесен вред, то так Вам, разгильдяю, и надо - не нужно было терять секретные ключи!
    А разные time-stamp сервера лишь ярмо на шее электронной подписи . Кто хочет, пусть пользуется, но принуждать, тем более законом, никого не нужно.

    Прокомментировать:


  • Dimka-Toucan
    Участник ответил
    По крайней мере эти случаи
    1) при создании сертификата
    2) при подписи самой же даты(что нужно делать почти в каждом документе, иначе подпись мало имеет смысла)
    3) при отзыве сертификатов.

    Одним словом - именно поэтому, в построенных системах, я могу отозвать сертификат когда угодно и все действия подписи считать не валидными с любой даты. Таким образом, цифровая подпись не имеет юр силы (во всех представленных системах, где документ дотируется датой и есть возможность отзыва сертификата)

    В итоге - чему так все радовались, когда приняли закон о цифровой подписи ?? Ситуация останется преженей - юридическими договорами обходить этот вопрос.

    Прокомментировать:


  • sandyman
    Участник ответил
    to Dimka-Toucan

    Здесь этот вопрос уже затрагивался. Если коротко, то заверение времени простановки электронной подписи требуется в очень немногих случаях. В ИБ, где открытый ключ посылается в банк, этого совершенно не нужно - все определяется порядком поступления документов в банк.

    P.S. А вообще название топика неплохое - ведь надо же помочь разработчикам осознать недостатки своих систем

    Прокомментировать:

Пользователи, просматривающие эту тему

Свернуть

Присутствует 1. Участников: 0, гостей: 1.

Обработка...
X