24 октября, среда 08:46
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Телексные ключи

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Телексные ключи

    1. Не подскажите ли специальную литературу или ссылки по методике создания телексных таблиц и процессов создания/проверки ключа, их криптографического анализа и стойкости (как-то сходу не удалось найти)?
    2. Может, у кого есть проверенный алгоритм (лучше независимой авторитетной стороной) построения телексных таблиц и процессов создания/проверки ключа?
    3. Есть ли у кого программа для автоматизации процессов проверки/создания телексного ключа?
    4. Может, есть какая либо фирма, которой можно заказать работы по разработке алгоритма создания телексных таблиц и процессов создания/проверки ключа?
    5. Есть ли работы по адаптации технологии ЭЦП к телексным сообщениям?

  • #2
    Zuz
    1. Вообще-то процедура настолько проста и примитивна, что нет смысла книжки писать...
    2. Если проанализировать алгоритмы разных банков, то видно, что все они примерно одинаковы, и разработать любой подобный - не проблема, будет ничуть не хуже любого из них.
    3. Естественно, есть; был взят за основу алгоритм одного из банков-корреспондентов (один из тех, которые показались относительно навороченными), в него были внесены незначительные изменения (только для того, чтобы чуть-чуть отличаться, а не потому, что были обнаружены какие-то недостатки в исходном). Далее с помощью обычного генератора случайных чисел реализовано заполнение таблиц. Кстати, многие реальные таблицы ключей, подозреваю, отличаются для разных клиентов только постоянным числом, хотя генерить для каждого полностью новые таблицы - не проблема.
    4. Может, и есть. Денег не жалко? Там всей работы-то максимум на два дня - сделать и генератор таблиц, и одновременно расшифровщик...
    5. Не слышал. Тут ведь нужно учитывать и такую, далекую от технологий вещь, как традиции... Хотя свои ключи - это практически исключительно для дружественных банков, можно и поизобретать...

    Комментарий


    • #3
      2 hamster:
      1. Если не секрет почему Вы считает создание алгоритма подобного хэш функции простым и не стоящим внимания с точки зрения криптографического анализа?
      2. Да это так, но толку от такого подхода? В случае изъяна в таком алгоритме я не хочу нести за это ответственность, а хочу переложить её на компетентных в этом вопросе лиц.
      3-4. Каждое решение в плане безопасности должно быть поддерживаемо и сопровождаемо и возится с изменениями не очень то и охота лучше это дело отдать на аутсорсинг.
      5. Теоретически, что мешает упростить схему того же RSA и адаптировать для работы с телексными сообщениями? Может есть такие упрощенные алгоритмы ЭЦП?
      Последний раз редактировалось Zuz; 10.06.2004, 13:07. Причина: Ачепятки

      Комментарий


      • #4
        Zuz
        1. Потому что у меня достаточно много реально действующих ключей самых разных, в том числе самых-самых уважаемых зарубежных, банков, и я их достаточно анализировал, когда занимался разработкой своих алгоритмов и расшифровщиков. Раз они работают - значит, этого достаточно с практической точки зрения. Их опыт, надо полагать, несопоставимо выше нашего.
        2. Возразить нечего. Действительно, можно любую работу переложить на чьи-то плечи, если есть чем заплатить.
        3-4. См. п. 2. Все же, повторюсь, телексные ключи в их реальном виде - штука крайне простая, самостоятельная поддержка ее - не проблема. Если, конечно, не делать из них священной коровы.
        5. Да не проблема внедрить все, что угодно. Надо только взглянуть на дело не с позиции криптозащиты, а с позиции практики. Допустим, Вы внедрили у себя некий аналог цифровой подписи вместо ключа. Получили на выходе некую цифровую последовательность (знаков 10-30, в зависимости от фантазии). Хорошо, сами защитились. Далее отправляете это дело по телексу контрагенту. Там девочка получила это дело и взялась проверять... Вот тут-то она нецензурную лексику и выучит.
        В таком случае Вам необходимо позаботиться не только о том, как зашифровать сообщение, но и о том, как получатель будет его расшифровывать, т.е. по существу ставить ему АРМ. И тут уже мы уходим от телекса далеко-далеко, т.к. это практически сразу делает логичным использование других каналов связи.

        Комментарий


        • #5
          2 hamster:
          1. А не поделитесь алгоритмами работы этих многоуважаемых банков (естественно, само содержание телексных таблиц я не прошу ;-)? Может кто-то просто какую-то стандартную хэш функцию с небольшими изменениями адаптировал для этого дела?
          2-3-4 Вы хотите сказать, что своими силами обычно легче всё сделать и "ждать пока ухнет", вместо того, чтобы использовать общепризнанное годами апробированное решение? Только вот где оно это решение? Я практически не нашел ни одного не самописного решения для автоматизации процессов создания/проверки телексного ключа, как и ни одного алгоритма описывающего эти процессы, который прошел проверку хотя бы на основе модели угроз процесса обмена телексными сообщениями (и есть ли такая модель вообще).
          5. В данный момент процесс вычисления телексного ключа без автоматизации, тоже похож на пляски с бубном, я же говорю о том, что необходимо максимально упростить алгоритмы ЭЦП, для возможности ручного расчета ЭЦП не сложнее чем расчет телексного ключа.
          6. Интересно регулируется ли вопрос защиты телексных сообщений, какими либо мировыми стандартами ISO и т.п. (или может ГОСТ или ОСТ какой есть)?
          7. Не совсем понятен следующий момент. Если телексное сообщение (содержащее, например, платежное поручение) это электронный платежный документ, тогда телексный ключ является АСП. В договорах определены процедуры проверки подлинности и разрешения конфликтных ситуаций. НО почему же банки при работе с клиентами предпочитают ЭЦП, а при работе с банками корреспондентами АСП в виде суррогатных телексных ключей? Даешь телексные ключи в массы! Зачем платить за ЭЦП, мучится с лицензированием СКЗИ в ФСБ ведь можно взять наваять свой алгоритм за бесплатно ;-)
          8. Вообще были ли прецеденты при работе с телексными ключами которые дошли до суда?
          Последний раз редактировалось Zuz; 10.06.2004, 14:53. Причина: дополнения

          Комментарий


          • #6
            Zuz
            1. Конкретным не поделюсь - не потому, что считаю его больно секретным, а просто из формального принципа: какими бы я их не считал, а все ж официально секретные инструкции.
            Могу с ходу придумать произвольный не хуже. Но ведь у Вас же наверняка хотя бы один-два корр.счета где-нибудь есть, да? Возьмите таблицы своих корреспондентов - уверяю Вас, у самых уважаемых алгоритмы расчета в принципе ничем не отличаются.
            Никаких хэш-функций там нет: берутся сумма, валюта, дата платежа и на основе этих данных и таблиц вычисляется некое новое число - и все. Все, кстати, ориентировано на то, что расшифровка ключа будет проводиться вручную - поэтому особые навороты здесь неуместны.
            2-3-4. Ну не знаю, что и сказать... Я вообще не искал никаких самописных решений - просто взял и написал. Кстати, вспомнил тут meantime, что SWIFT куда-то встроил телексные ключи; вроде как за доп.плату эту опцию к своему SWIFTу можно добавить. Если интересно. Насчет же тестирования по поводу возможных угроз... я просто вижу, что сделали другие; вижу, что все делают одно и то же; вижу, что самодельное решение просто не может быть хуже... Ну что еще добавить-то? Что-то мне говорит, что у Вас ни одних реальных ключей просто нет... стало быть, нет и корр.счетов. Или ошибаюсь?
            5. Пожалуй, сошлюсь пока на п.2-3-4...
            6. Не знаю, не слышал ни о каких стандартах. Вообще говоря, вопросы защиты двусторонних сообщений - это компетенция исключительно двусторонних отношений... При желании и сюда можно привнести стандарты, лицензии ФАПСИ какие-нибудь... но пока все обходятся.

            Комментарий


            • #7
              Zuz
              7. Банки при работе с клиентами предпочитают ЭЦП в первую очередь потому, что 1) они при этом ставят клиентам свой АРМ, в который встроена ЭЦП; 2) при этом используется не телекс, а другие каналы связи - телекса у подавляющего большинства клиентов просто нет.
              Телекс традиционно считается достаточно защищенной линией связи - когда-то, насколько я помню, это реализовывалось за счет соединений телексных станций абонентов в одну линию соединениями на телеграфах. Помнится, нужно было договариваться с телеграфом о прямой линии, которую надо было тянуть от офиса куда-то к ним... впрочем, на практике мне этим заниматься уже не пришлось. Но живьем классический телексный терминал увидел однажды - зрелище впечатляющее...
              Да, наверное, ЭЦП лучше; наверное, намного. Подозреваю, однако, что это лишнее в данном случае.
              8. Мне не приходилось иметь дело с какими-либо юридическими проблемами, связанными с телексными ключами, за 12 лет почти работы в банках (один из которых входил в Top 20 по России). Слышать о чем-либо на эту тему тоже не довелось.

              Комментарий


              • #8
                2 hamster:
                1. А какова гарантия, что Ваш алгоритм при случайном изменении любого символа из суммы платежа не выдаст на выходе то же самое число? Я такие алгоритмы тоже придумывать могу пачками ;-)
                2-3-4 _Cамописные_ тоже не искал, за деньги искал: нормальное поддерживаемое решение, либо за бесплатно: открытое общепринятое решение. В своё время у нас много наших корреспондентских счетов в других банках обслуживалось ч/з телекс, но как только эти банки предоставили системы класса клиент-банк мы на них сразу мигрировали. В основном телекс сейчас используется для подтверждения сделок на межбанке…
                5. ;-(
                6. Это не просто обмен сообщениями, это обмен платежной информацией со всеми вытекающими...
                7. Точно также в АРМ может быть встроено ключевание, а встраивают ЭЦП, почему? Вы считаете телексную связь прямо-таки супер защищенной? То, что к сети достаточно сложно легально подключится не означает, что информация циркулирующая по этой сети защищена. При наличии определенных навыков, ИМХО, к ней подключится не сложнее чем к телефонной линии (хотя бывают варианты, смотря как реализовано это подключение: IP, GlobalOne, радиотелекс и т.п.), потом послушать эфир, и ... Может кто-то из специалистов прояснит ситуацию, каким образом защищается телексный трафик от прослушивания, искажения, фальсификации, атак повтором и т.п. Насколько я понял информация, передаваемая по телексу, защищена от искажения практически только суррогатным телексным ключом, да и то только её часть, входящая в ключ.
                На чем основано Ваше подозрение, что ЭЦП здесь, что-то лишнее?
                8. Вот это радует! Может голосование устроить ;-? Хотя как-то странно: с ЭЦП такие разбирательства были, а вот с намного менее защищенными телексными ключами за 100 лет (12 лет в Вашей практике тоже большой срок) их существования нет. Спрашивается - нафига нам ЭЦП нужна?
                Может дешевле каждому клиенту телекс провести, чем покупать клиент-банк+СКЗИ+платить за поддержку... надо на досуге посчитать ;-) До кучи единый терминал, единый интерфейс и т.п. для обмена с любым банком!!!
                Последний раз редактировалось Zuz; 10.06.2004, 15:53. Причина: Ачепятки

                Комментарий


                • #9
                  Zuz
                  Собственно, добавить уже нечего. Тему можно развивать долго, особенно если вспомнить о всяких хакерах и т.д. Повторюсь напоследок, что я в своих подходах к данной теме опираюсь, по существу, на реальную банковскую практику, существующую много лет и действующую и сегодня. Если эта практика в какой-то момент будет признана недостаточно эффективной - менять придется очень много, все мы будем вовлечены в этот процесс, нас не забудут... Но раньше времени зачем беспокоиться?
                  Кстати, если уж задумываться о перспективах/альтернативах, то рецепт, кажется, уже готов: SWIFT. Все идет к тому, что он просто вытеснит телекс. Тем же, кто не сможет поставить SWIFT, придется ограничить свои коммуникации только корреспондентами, а там естественное решение - системы "Банк-клиент" с ЭЦП...
                  Может, потому никто и не изобретает вместо нынешних ключей ничего, что жить им как классу недолго осталось?

                  Комментарий


                  • #10
                    2 hamster:
                    Если бы так... Есть корреспонденты с громадными отделами, обрабатывающими эти телексные сообщения, они лобируют только работу по телексу и никак больше (на мой взгляд зачем содержать целый отдел, если может всё это дело один человек заменить... вот они это дело и лобируют, кушать то всем хочется), это _основное_ условие работы с такими корреспондентами, о современных системах передачи электронных сообщений ничего и слышать не хотят ;-(
                    Хочу ещё ответ на один вопрос: зачем всё-таки телексные ключи вообще, какой от них толк?

                    Комментарий


                    • #11
                      Zuz
                      Есть корреспонденты с громадными отделами, обрабатывающими эти телексные сообщения, они лобируют только работу по телексу
                      Сюрприз!... Это ж кто такие? Нет, я не надеюсь на ответ, поскольку сам алгоритмами расчета делиться не стал... в общем, первый раз слышу про таких, особенно "с громадными отделами", которые просто позарез необходимо чем-то занять. В моей практике что-то чаще наоборот: все настаивают на отказе от телекса - в первую очередь в пользу SWIFT, прочим предлагают "банк-клиенты"... да и отделы подобные не сохранять стремятся, а сокращать в первую очередь: уж очень благодатная сфера для экономии, уж очень просто добиться результата...
                      Впрочем, о чем мы говорим? Ваши корреспонденты настаивают на телексе? НОСТРО-корреспонденты то есть? Ну так тогда и ключи они генерят, Вам-то что за печаль, какой там алгоритм реализован? Или я что-то не понял? Кстати, маленькое уточнение к может всё это дело один человек заменить... : тут вообще людей не нужно. Процесс настолько малотрудоемкий, что может быть реализован без специальных людей.

                      Комментарий


                      • #12
                        Zuz
                        зачем всё-таки телексные ключи вообще, какой от них толк?
                        Дополнительный контроль того факта, что сообщение отправлено от определенного адресата, т.е. как бы дополнение к телексному номеру и автоответу. А, может, и вместо телексного номера и автоответа - честно говоря, не знаю, кто как реализует проверку, тут возможны варианты.

                        Комментарий


                        • #13
                          2 hamster:
                          a) Я имел в виду счета (для нас ЛОРО) открытые у нас банке нашим корреспондентам, прошу прощения за неточность... Т.е. ключи необходимо создавать нам, поддерживать и писать правила, регламенты, и регулярно ключевые таблицы менять, оценивать угрозы, анализировать возникающие риски и т.д и т.п. ;-(
                          b) Насчет дополнительного контроля, я как-то очень сомневаюсь, какова вероятность коллизий в ваших алгоритмах ключевания?
                          с) А может и не отделы телекса это лобируют, а автоматизаторы у которых уже всё давно настроено и налажено для телекса, а поддержка клиент-банка им не очень то и нужна?

                          Комментарий


                          • #14
                            Zuz
                            ) А может и не отделы телекса это лобируют, а автоматизаторы у которых уже всё давно настроено и налажено для телекса, а поддержка клиент-банка им не очень то и нужна?
                            Вот это, на мой взгляд, основная причина: сам намучался с "банк-клиентами". Даже у крупных западных банков (ABN AMRO, к примеру) попадается такое барахло... даже с явными программными ошибками... Трудоемкость операций возрастает очень сильно.

                            Комментарий


                            • #15
                              Zuz зачем всё-таки телексные ключи вообще, какой от них толк дык, для того, чтобы в суде бумажкой размахивать в случае форс-мажора. Вы никогда не задумывались, почему таблицы телексных ключей передаются на бумаге, в опечатанном конверте, за подписями и печатями?.. Чтобы было на кого ответственность свалить.
                              Семь раз отпей - один отъешь.

                              Комментарий


                              • #16
                                2 Pychick:
                                А ответственность можно и проще свалить: прописать в договоре, в процедуре разбора конфликтных ситуаций, что если получено телексное сообщение от того-то, с таки-то реквизитами, в таком-то формате и т.п., то оно равнозначно бумажному документу со всеми вытекающими, как говорится, стороны договорились и... здесь телексные ключи, в общем, то и не нужны.
                                2 All:
                                1. Кто-нибудь знает, какова сложность подделки (искажения, модификации и т.п.) телексного сообщения вообще (в зависимости от способа подключения к сети телексной связи), насколько сложно выдать себя за другое лицо (любому человеку, провайдеру телексной связи)?
                                2. Кто-нибудь проводил криптографический анализ алгоритмов построения телексных ключей/таблиц?
                                3. Насколько часто в алгоритмах для расчета/проверки телексного ключах используются "соль" - дополнительное, число, например из одноразовой таблицы кодов или таблицы циклически, либо ещё по какому правилу повторяющихся (выбираемых), кодов?
                                3. Кто у Вас занимается: a) подготовкой телексного сообщения, b) ключеванием/проверкой ключа, c) отправкой (имеется в виду подразделения и сколько людей)?
                                4. Кто у Вас занимается разработкой телексных ключей, инструкций по их вычислению, хранению, передаче, дополнительных требований для включения в договора, процедуры разбора конфликтных ситуаций, постановкой ТЗ на автоматизацию?
                                5. Есть ли в природе организация предоставляющая алгоритмы телексных ключей и весь комплект нормотивных документов для их внедрения и использования, а также автоматизации?
                                Последний раз редактировалось Zuz; 11.06.2004, 07:35. Причина: дополнение вопроса

                                Комментарий


                                • #17
                                  Zuz
                                  3. Кто у Вас занимается: a) подготовкой телексного сообщения, b) ключеванием/проверкой ключа, c) отправкой (имеется в виду подразделения и сколько людей)?
                                  Всем этим занимаются люди, ведущие операции, требующие ключевания. Сообщения, отправляемые НОСТРО-корреспондентам, контрагентам по межбанку, готовят, ключуют и отправляют одни люди (отдел расчетов в нашем случае), сообщения для ЛОРО-корреспондентов - другие. Но в любом случае ключевание само по себе считается не самостоятельной операцией, требующей отдельных людей, а частью процедуры подготовки сообщения. В большинстве случаев процедура ключевания просто встроена в систему подготовки сообщения и проводится автоматически при его отправке.

                                  Комментарий


                                  • #18
                                    2 hamster:
                                    3. То, что подготавливает, ключует и отправляет один и тот же человек не верно с точки зрения безопасности.
                                    Поясню:
                                    Пусть есть платеж банка (не клиента, а именно банка).
                                    Рассмотрим ситуацию с бумажным документом, кто его подписывает? Правильно Председатель Правления банка и Гл. бухгалтер.
                                    Пусть для отправки этого платежа используется телекс, что здесь происходит?
                                    Человек, который производит подготовку, ключевание и отправку телексного сообщения "царь и бог" в таком случае...
                                    Я в такой ситуации слабо вижу в качестве человека ключующего сообщение Председателя Правления и Гл. бухгалтера, поэтому логично выделить эту операцию в другую зону ответственности, чтобы небыло возможности подготовить телексное сообщение, заключевать его и отправить одним человеком.
                                    2 All:
                                    1. Вопрос, если у Вас это сделано, т.е. операция ключевания телексного сообщения производится независимо от подготовки и отправки, как это у Вас регламентировано?
                                    2. А вообще как у Вас распределены ключевые носители для работы с банками корреспондентами по системам типа Клиент-Банк, т.е. сам Председатель Правления банка и Гл. бухгалтер подписывают все документы передаваемые по этим системам или эти функции (негласно, не регламентировано или юридически обосновано и регламентировано) переданы другим лицам (хотя я слабо представляю, как можно передать дискетку с ключами ЭЦП и пароль, не скомпрометировав эти ключи и не нарушить условия договора, где обычно такие пункты прописывают)?
                                    Последний раз редактировалось Zuz; 11.06.2004, 09:45. Причина: разная ;-)

                                    Комментарий


                                    • #19
                                      Zuz 3. То, что подготавливает, ключует и отправляет один и тот же человек не верно с точки зрения безопасности.
                                      Поясню:
                                      Пусть есть платеж банка (не клиента, а именно банка).
                                      Рассмотрим ситуацию с бумажным документом, кто его подписывает? Правильно Председатель Правления банка и Гл. бухгалтер.
                                      Пусть для отправки этого платежа используется телекс, что здесь происходит?
                                      Человек, который производит подготовку, ключевание и отправку телексного сообщения "царь и бог" в таком случае...
                                      Я в такой ситуации слабо вижу в качестве человека ключующего сообщение Председателя Правления и Гл. бухгалтера, поэтому логично выделить эту операцию в другую зону ответственности, чтобы небыло возможности подготовить телексное сообщение, заключевать его и отправить одним человеком.

                                      Что тут сказать... С точки зрения принципов спорить не стану. С точки же зрения практики... в моей практике цепочка "исполнитель-контролеры" состояла до 5 звеньев. Поначалу все в этой цепочке более-менее работают; по мере набора оборотов в любой цепочке выделяется одно звено (неважно, как оно называется по должности), которое и осуществляет РЕАЛЬНЫЙ контроль, все же остальные люди просто начинают полностью полагаться на это звено и подписывают все не глядя. Естественно, в случае проблем все шишки, включая материальные, валятся именно на это одно звено. Соответственно вывод: реальный контролер наделяется максимумом полномочий, прочие звенья сводятся до формально необходимого минимума. Далее внедряется софт, минимизирующий ручной труд, т.е. ликвидируются насколько возможно все звенья, располагавшиеся ДО основного контролера.
                                      Нехорошо? Но это, к сожалению, объективная реальность... Я в трех банках работал, самого разного размера, и везде эта тенденция наблюдалась, независимо от структуры банка.

                                      Комментарий


                                      • #20
                                        2 All:
                                        Каково на Ваш взгляд участие службы информационной безопасности в процессе разработки алгоритмов телексных ключей и вообще в процессах генерации, передачи, хранении и т.п.?
                                        Кто у Вас этим занимается?

                                        Комментарий


                                        • #21
                                          Zuz Чем дальше читаю, тем больше прихожу к мнению, что это про ВасЕсть корреспонденты с громадными отделами, обрабатывающими эти телексные сообщения, они лобируют только работу по телексу и никак больше (на мой взгляд зачем содержать целый отдел, если может всё это дело один человек заменить... вот они это дело и лобируют, кушать то всем хочется)Ключ э то пустая формальность, которая не поможет вам ни в каком суде (Pychick), если не удастся доказать номер с которого вышел ТЕЛЕКС. Смысл ключа- защита от стороннего умысла, но никак не от умысла со стороны партнера. ИМХО.

                                          Комментарий


                                          • #22
                                            2 Дм. А.:
                                            1. Если честно, то я не понял смысл Вашей фразы: "Zuz Чем дальше читаю, тем больше прихожу к мнению, что это про Вас" и далее цитата моих слов, что Вы имели в виду?
                                            2. Как даказывается номер с которго ушло телексное сообщение? Есть ли у Вас соотвествующая процедура в договорах, необходима ли она?

                                            Комментарий


                                            • #23
                                              Zuz1. Сразу извиняюсь. Просто проблема не стоит столь глубокой дискуссии. Лишь свойственная hamster обстоятельность не дала ей умереть, так и не родившись. Если подходить к ней с вашим размахом, действительно без отдельной структуры банка не обойтись.
                                              2. Это вам к провайдерам ТЕЛЕКС услуг. Мне это не известно.

                                              Комментарий


                                              • #24
                                                2 Дм. А.:
                                                Я думаю, что Вам не за что извинятся ;-)
                                                Но, на мой взгляд, проблема стоит дискуссии, т.к. оказывается банки многие операции осуществляют по телексу просто на доверии, без какой либо стоящей защиты. Просто складывается мнение, что все ждут, когда телекс «скончается», и менять в устоявшихся правилах никто ничего не хочет?
                                                2 All:
                                                Хотелось бы все-таки знать:
                                                а) кто у Вас занимается подготовкой кодовых таблиц телексных ключей (конкретно их заполнением, генерацией)?
                                                б) кто утверждает эти кодовые таблицы?
                                                в) кто контролирует правильность генерации этих кодовых таблиц (и возможно ли это без автоматизации процесса)?
                                                г) кто подписывает акт приёма-передачи (и утверждается кем)?
                                                д) как часто Вы меняете кодовые таблицы?
                                                е) сколько человек у Вас в банке имеют право доступа к кодовым таблицам?
                                                P.S. Надеюсь, что никого ещё не достал ;-)

                                                Комментарий


                                                • #25
                                                  Zuz на мой взгляд, проблема стоит дискуссии это лично Ваше ИМХО, на мой взгляд проблемы просто нет.

                                                  а) я (точнее, программа, написанная мною года два назад);
                                                  б) я;
                                                  в) я;
                                                  г) первая подпись + круглая печать;
                                                  д) никогда (и вообще предпочитаем работать по СВИФТу);
                                                  е) 4 человека.

                                                  PS. Гм. Уже достаточно близки к этой точке.
                                                  Семь раз отпей - один отъешь.

                                                  Комментарий


                                                  • #26
                                                    Zuz раздули из мухи слона

                                                    http://dom.bankir.ru/showthread.php?t=20815 и вообще поиск рулит!

                                                    Но для продолжения темы скажу что вы пытаетесь заппряч старую лошадку в новые сани. Не требуют телексы таких шаманских танцев. ИМХО.
                                                    Вспомните историю... ключевание есть способ ЗАЩИТИТЬ целостность, а не авторство. Авторство и прочие тонкости должны быть оговорены ДОГОВОРОМ(в том числе и договором с представителем услуг ТЕЛЕКСА) Там все дублируется, на сколько мне известно...
                                                    Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                                    Комментарий


                                                    • #27
                                                      2 Romsan:
                                                      1. Спасибо за ссылку, но читал я это уже, и ответа на поставленные вопросы там нет... Хорошая была тема, но так до конца её и не развили ;-(
                                                      2. Ключевание только суммы, даты и валюты платежа может быть и похоже на защиту целостности (хотя больше похоже на CRC (хэш функцию) или имитовставку), но в подавляющем большинстве случаев дополнительно используются и таблицы переменных кодов (для каждого сообщения используется новое одно(много)разовое число), а эта технология уже чаше используется "как бы для подтверждения авторства"...
                                                      3. Про то, что авторство должно быть оговорено в договоре, я догадывался ;-), но к сожалению, анализ имеющихся договоров показал их достаточно низкий уровень в этих вопросах... будь моя воля я бы и половины не подписал ;-(
                                                      4. Вот типичный договор:
                                                      2.1. В течение пяти дней с момента заключения настоящего Договора, Банк направляет по почте, в адрес Респондента, фиксированный номер, таблицы телексных ключей и Правила пользования телексными ключами.
                                                      2.2. Фиксированный номер – персональный номер, присваиваемый Респонденту и используемый при расчете значения телексного ключа.
                                                      2.3. Защита сообщений, направляемых Респондентом в Банк, осуществляется телексным ключом.
                                                      2.4. Телексный ключ - персональный идентификатор Респондента, являющийся контрольным параметром правильности составления всех обязательных реквизитов сообщения и неизменности их содержания. Телексный ключ удостоверяет факт составления и подписания сообщения от имени Респондента и подлинность сообщения.
                                                      2.5. Телексный ключ рассчитывается путем суммирования соответствующих чисел, указанных в таблицах телексных ключей, с учетом значения фиксированного номера, в установленном Правилами пользования телексными ключами порядке.
                                                      2.6. Защите телексным ключом подлежат все сообщения, которые Респондент направляет Банку в рамках договора корреспондентского счета «ЛОРО» (платежные документы, выписки по корреспондентским счетам и иные документы).
                                                      2.7. Сообщения должны быть заверены телексным ключом, а также содержать все необходимые реквизиты в соответствии с требованиями действующего законодательства.
                                                      2.8. Получив от Респондента сообщение, заверенное телексным ключом, Банк проверяет его достоверность. Достоверность сообщения считается подтвержденной, если значение телексного ключа, указанного Респондентом, совпадает со значением телексного ключа рассчитанного Банком.
                                                      2.9. Сообщения, достоверность которых подтверждена в порядке, установленном настоящим Договором, признаются имеющими равную юридическую силу с другими формами сообщений Респондента, подписанными им собственноручно и заверенными печатью.

                                                      И в большинстве договоров подобный «бред»... Если у кого есть хорошо проработанный в этих вопросах договор не могли бы Вы скинуть его мне на b(e)-mail. Заранее спасибо!
                                                      2 Pychick:
                                                      Мне нравится Ваша скромность ;-)
                                                      Но все же для «я», как информативно для вас это не звучит, мне бы хотелось услышать:IT, Служба безопасности, Служба информационной безопасности, отдел корреспондентских отношений и т.п., а также из каких соображений?
                                                      Я, конечно, сделал выводы, что Вы, скорее всего, относитесь к IT, но это не очевидно.

                                                      Комментарий


                                                      • #28
                                                        Zuz согласен. Наверно ключевание можно назвать потугой на защиту целостности и авторства.
                                                        Но флейма ради давайте порассуждаем дальше...
                                                        Если в банке не выполняются требования по Безопасности(как то: хранение и использование ключевой информации, ограничение доступа, распределение прав и полномочий... и т.д.) тодаже имея супер алгоритм утвержденный ФАПСИ - грошь цена такому делопроизводству. Если все выполняются все разумные ограничения - то и алгоритм высасаный из пальца - будет достаточной мерой. Однако всё зависит и от банка корреспондента. Если там Ваша таблица наклеена на стену оперзала...
                                                        ИМХО технология должна быть простой:
                                                        -Бухгалтер(отвественный за корсчета) составлят документ. Автор должен легко индифицироватся и ведется промежуточный архив.
                                                        -Отдел приёма-передачи ключует и подготавливает документ в том виде в котором его может принять корреспондент(также должно быть авторство обработчика) и ведется промежуточный архив.
                                                        -Документ подписывается лицом имеющим право подписи этого документа и ведется промежуточный архив.
                                                        -Документ отправляется(лог ведется).

                                                        Так(или почти так) наверно должен обрабатыватся любой исходящий документ. В каком виде будет подтверждатся авторство - не суть. Суть в органицации пути по которому легко отследить перемещение.
                                                        Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                                        Комментарий


                                                        • #29
                                                          Zuz Мне нравится Ваша скромность ;-) а я от нее просто балдею.
                                                          ...скорее всего, относитесь к IT. Я из ОБТ, в то время, когда писал программу генерации таблиц, был администратором информационной безопасности. Повторяюсь - проблема, ИМХО, просто не существует. Абсолютно согласен с уважаемым Romsan - всё зависит и от банка корреспондента.
                                                          Семь раз отпей - один отъешь.

                                                          Комментарий


                                                          • #30
                                                            2 Romsan:
                                                            1. Согласен, но небольшое уточнение на этапе "Документ подписывается лицом имеющим право подписи этого документа" Вы имели в виду последконтроль, если да, то в каком формате этот человек видит документ: готовое заключеванное телексное сообщение или что-то другое?
                                                            2. Если не трудно "нафлеймите" подобную схему для процессов генерации, передачи, утверждения и смены телексных ключей с разделением обязанностей по подразделениям...
                                                            2 Pychick:
                                                            1. ОБТ, простите за невежество, а что это?
                                                            2. Т.е. по Вашему получается, что АИБ должен писать программы, а програмисты на что?
                                                            3. "Повторяюсь - проблема, ИМХО, просто не существует", т.е. по Вашему, с работа по системе телексной связи абсолютно безопасна и сложившихся мер по их защите достаточно?
                                                            2 All:
                                                            Может кто страхует операции проводимые с использованием системы телексной связи?
                                                            Последний раз редактировалось Zuz; 15.06.2004, 10:13. Причина: ачепятки

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X