16 октября, вторник 00:50
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Система доступа к и-банку с использованием материальных ключей.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Система доступа к и-банку с использованием материальных ключей.

    Кто может подсказать по данному вопросу? Интересует следующая система: у клиента материальный ключ в виде генератора пароля на основании данных предоставляемых сервером. Таким образом можно хоть каждую тр-цию в системе закрывать отдельным ключем как в Телебанке, но при этом не использовать таблиц ключей на бумаге или скретч карте. Интересует ваше мнение о подобной системе защиты (на сколько я знаю в корпоративных сетях очень часто применяется и зарекомендовало себя оч устойчивым решением), а так же информация о поставщиках таких решений.

  • #2
    Основные поставщики ОТР-устройств - RSA Security, Vasco, Activcard и пр. Те же устройства DigiPass от Vasco, кстати говоря, могут использоваться и в Телебанке - в пакете с повышенной безопасностью. С точки зрения технологии - безусловно удобно (аутентифицироваться с помощью токенов могут и пользователи ПК, и КПК и сотовых телефонов), но нефункционально (кроме как для аутентификации, данные устройства использовать нельзя). Есть и другие недостатки - в устройствах с синхронизацией по событию случайное нажатие на кнопку генерации кода означает мгновенную рассинхронизацию между токеном и сервером. Мне ближе смарт-карты и USB-токены типа eToken. И двухфакторная аутентификация, и защищенное хранение ключей, сертификатов, профилей и другой персональной информации пользователя.

    Комментарий


    • #3
      ton9 Мне ближе смарт-карты и USB-токены - мне может быть тож, но клиенту неудобно, он то хочет откудова угодно иметь доступ к и-банку, а пока для всяких юсби токенов есть ограничения, вот когда будет все компы с юсб и ОС поддерживающей все драйвера в горячем режиме, тогда да. Ну вобщем вопрос стоял лишь в том насколько это применяется, слышал ли кто-нить чтоб применяли для и-банка и на сколько дороже обычных таблиц с одноразовыми ключами/скретч карт.

      Комментарий


      • #4
        Digipass чудно применяется в прибалтике (Латеко банк например) и весьма любим клиентами за простоту использования (если при включении сразу не заблокировал, то потом уже ни у кого проблем небывает), высокую секьюрность (очевидно понятную), непривязку к оборудованию (хоть из аэропорта с инет-терминала транзакции делай). Цена у него от скретчкарт не сильно отличается. А учитывая что он долгоиграющий и клиента не надо снабжать новыми картами по мере расходования вообще на круг так и дешевле он полчается.

        Комментарий


        • #5
          Mauser А кто поставщик Digipass?

          Комментарий


          • #6
            Smart

            ... но клиенту неудобно, он то хочет откудова угодно иметь доступ к и-банку, а пока для всяких юсби токенов есть ограничения, вот когда будет все компы с юсб и ОС поддерживающей все драйвера в горячем режиме, тогда да....
            Кстати говоря, есть очень интересное интегрированное решение - и OTP-токен и USB-ключ в одном флаконе. См здесь - http://www.aks.com/etoken/otp.asp

            Комментарий


            • #7
              ton9 А на русском сайте Алладина нету)) А так согласен - интересно решение. Интересна стоимость.

              Комментарий


              • #8
                Smart, Vasco data security.
                Сам дигипасс стоит копейки. такого же добра любые китайцы нашлепают вагон. Пучек на пятачек стоить будет. Один дигипасс стоить меньше 100 скретч карт точно будет. Правда у Васки патенты и дигипассиков же только мало, надо еще софт в банк.

                Комментарий


                • #9
                  Mauser Понятно дело что одним дижипассом не обойдешься. Естественно интересует оценочная стоимость решения под ключ.

                  Комментарий


                  • #10
                    Smart, так зависит сильно. Если софт свой (он совсем не сложный, совсем), аппаратики у китайцев, то буклеты с разъяснениями обойдутся дороже чем сама система. Если у васки... это вы к ним лучше стучитесь. На Руси у них реселлеры есть. Да и там, на самой Васке спросить можно.

                    Комментарий


                    • #11
                      Mauser Спасибо.

                      Комментарий


                      • #12
                        To Smart

                        Понятно дело что одним дижипассом не обойдешься. Естественно интересует оценочная стоимость решения под ключ.

                        По поводу Vasco не знаю, но приблизительная оценка по системе на базе RSA SecurID такая - $15 000 (на 100 пользователей), $90 000 (на 1000 пользователей), $650 000 (на 10000 пользователей). Это - данные по стоимости RSA ACE/Server + RSA SecurID Tokens. Причем ориентировочная стоимость только первоначальной закупки - внутренней батарейки у токенов хватает обычно на 4-5 лет, потом устройство надо покупать по новой.

                        Комментарий


                        • #13
                          To Mauser

                          Если софт свой (он совсем не сложный, совсем), аппаратики у китайцев, то буклеты с разъяснениями обойдутся дороже чем сама система.

                          Вот это, ИМХО, вряд ли. И по сложности софта, и по стоимости девайсов - один родной токен обойдется примерно в $50 (для малого объема поставки, и это только на первые пять лет). Китайские не пробовал, но и желания особого нет.

                          Комментарий


                          • #14
                            ton9, давайте спорить о вкусе устриц с теми кто их ел...

                            И насчет китайцев вы зря. Вы Васковский дигипассик переверните Вы там найдете что-то вроде "Manufactured by VASCO DATA SECURITY. Patent protected. MADE IN CHINA" И я спешу вас уверить что в данной фразе china означает именно Китай, а не фрафор

                            Комментарий


                            • #15
                              Smart
                              Добавлю свои 5 копеек
                              Собсно, явки, пароли и адреса производителей даны. Система действительно удобнее кодовых таблиц и безопаснее пароля постоянного действия.
                              Но!
                              Подумайте над процедурой разбора конфликтной ситуации. Что вы будете предъявлять клиенту, который откажется от платежа? Электронную платежку и OTP к ней? Так, простите, в арбитраже клиент сразу же заявит, что:
                              1) Поскольку код выдан банком, то он не является доказательством авторства клиента
                              2) Код не связан с содержимым сообщения (платежки), т.е. банк мог изменить сумму после получения.

                              Вывод: системы OTP - хорошее дополнение к ЭЦП (без которой - никуда), т.е. как элемент двухфакторной защиты.
                              Earl Vlad Drakula. ///

                              Комментарий


                              • #16
                                hugevlad - А нельзя формировать ОТP на основе данных платежки?

                                Комментарий


                                • #17
                                  hugevlad, христос с вами. Это как это не связан. Вы что говорите такое. А смысл в нем если не связан? Вяжется на номер счета отправителя, получателя, сумму, дату-время, валюту. И в принципе на все что изобретете, хоть на курс Кот'д'Ивуарских тигровых когтей к чинарикам камеры №8 Урюпинского СИЗО на момент совершения платежа.

                                  Комментарий


                                  • #18
                                    2 Mauser:
                                    Смысл без связывания как раз в одноразовых короткоживущих паролях не более...
                                    В ситуации, описанной Вами, в устройство OTP необходимо будет встроить клавиатуру, что увеличит его размер и усложнит использование (я знаю, что такие есть на рынке, но пользоваться ими крайне неудобно).
                                    Дополнительно от этой напасти Вы в любом случае не избавитесь: 1) Поскольку код выдан банком, то он не является доказательством авторства клиента, т.к. банк для проверки OTP должен знать симметричный ключ шифрования, на котором всё данные зашифрованы.
                                    Вот если бы были подобного класса устройства, в которых реализовывали бы асимметричные алгоритмы достаточной стойкости, а ЭЦП получалась в виде набора 10-12 символов (не обязательно цифр), то это представляло бы определенный интерес.
                                    Оставалась бы проблема ввода информации в это устройство для подписи, но здесь можно было бы встроить в него фотокамеру, а информацию необходимую для подписи кодировать в виде двухмерного шрих-кода (кстати, в качестве такого устройства можно вполне использовать сотовый телефон с соответствующим java апплетом, жаль, нет ни одной сертифицированной СКЗИ реализованной на java, если есть поправьте меня).
                                    При таких условиях вполне можно организовать мобильный eBanking.
                                    Последний раз редактировалось Zuz; 25.06.2004, 11:37. Причина: ачепятки ;-)

                                    Комментарий


                                    • #19
                                      To Mauser

                                      hugevlad, христос с вами. Это как это не связан. Вы что говорите такое...

                                      Да, собственно, никак не связан. А как Вы представляете себе реализацию описанных Вами связей, если не секрет?

                                      То Zuz

                                      банк для проверки OTP должен знать симметричный ключ шифрования, на котором всё данные зашифрованы

                                      Простите, но о каком ключе шифрования идет речь? Причем здесь OTP и ключ шифрования данных. Пожалуйста, поясните.

                                      Вот если бы были подобного класса устройства, в которых реализовывали бы асимметричные алгоритмы достаточной стойкости, а ЭЦП получалась в виде набора 10-12 символов (не обязательно цифр), то это представляло бы определенный интерес.
                                      Оставалась бы проблема ввода информации в это устройство для подписи, но здесь можно было бы встроить в него фотокамеру, а информацию необходимую для подписи кодировать в виде двухмерного шрих-кода ...


                                      А Вы себе представлете себе сколько такой девайс будет стоить?

                                      Комментарий


                                      • #20
                                        2 ton9:
                                        I. А как Вы представляете работу OTP?
                                        Сгенерили случайное число и всё??? Ну, уж нет, обычно, ИМХО, делается примерно так:
                                        1. Берется временная метка timestamp;
                                        2. id устройства;
                                        3. данные о сумме платежа, дате, валюте и т.п. (для устройств с клавиатурой);
                                        4. 2 и 3 хэшируется (1 нет, т.к. надо потом будет на сервере время проверить, т.к. обычно такие коды действуют в течении определенного промежутка времени);
                                        5. затем шифруется des или 3des или ещё чем (вот он родной ключ шифрования);
                                        6. полученный результат каким-то образом пакуется в число и выводится на дисплее.
                                        7. Сервер куда этот число направляется должен знать ключ на котором оно зашифровано (который может быть и переменным, изменяющимся по какому либо закону).
                                        Это как я представляю нормальную систему, обеспечивающую хоть какой-либо уровень безопасности. Косвенно это подтверждается тем, что когда читаешь спецификации таких устройств везде есть упоминание Data Encryption Standard (DES) и кучи другой лабуды из ANSI, но технической документации о работе таких устройств мне найти не удалось ;-( У кого есть поделитесь...
                                        В этой схеме достаточно заменить DES на DSA и вуаля ;-)
                                        В общем, я, конечно, "наврал" ;-) - упростил, исказил и т.п., поэтому лучше узнать как всё это происходит из первоисточников:
                                        ANSI X3.92 Data Encryption Standard (DES) algorithm
                                        ANSI X9.9 calculation and display of a dynamic password
                                        ANSI X9.17 DES key management
                                        ANSI X9.19 message authentication
                                        ANSI X9.24 DES key derivation
                                        ANSI X9.26 sign-on
                                        II. Про цену, я одно могу сказать, что такое устройство не сложнее калькулятора, есть, конечно, критичные компоненты по цене и качеству типа генератора случайных чисел, камеры, но ИМХО при массовом производстве такое устройство будет стоить 150 рублей без камеры, с камерой и системой распознавания ну 300-400 рублей максимум + USB интерфейс к компьютеру ещё 100 руб. итого 500 рублей...
                                        Последний раз редактировалось Zuz; 25.06.2004, 16:28. Причина: странная...

                                        Комментарий


                                        • #21
                                          ton9, вы не поверите! Но да, на девайсах ЕСТЬ клавиатура. Если бы вы кликнули по ссылке что я дал в бы ее увидели. Именно с нее и заводится сумма, валюта и так далее. Cмотрите:

                                          Возможны более продвинутые решения, типа втыкаемого в компьютер девайсика. Если упростить происходящее дальше до его сути, то посто вместо клавиатуры на приборчике будет использован комп, не руками будем цифру забивать, а она будет передана софтом.

                                          Но как я выше сказал дигипассы любимы народом во многом потому что их работа понятна. Уровень секьюрности ясен и очевиден. Если вы убираете это в софт и прячете в недра компа, то процесс перестает быть прозрачным для пользователя.

                                          как это выглядит в классике: сформировали платежку. Приступили к подпсанию.
                                          1. включили дигипасс и идентифицировали себя как владельца (ввели ПИН. Три невеных ПИНА убиваю дигипасс)
                                          2. завели в девайс РУКАМИ сумму, валюту, счет того кому платим.
                                          3. девайс сам берет текущее время и свой номер и добавляет к спску парамеров.
                                          4. на основании них он формирует ключ.
                                          5. РУКАМИ ключ вбивается в интерфейс банк-клиента.
                                          6. сервер банка на осноании суммы, валюты, времени и т.д. расчитывает ключ. Если ключи совпали (ключи из одной пары), то все ок. платежка проходит.


                                          для идентификации клиента и посмотра выписки все тоже самое, просто исходных данных иной набор.

                                          Для пользоватетеля совершенно очевидно что:
                                          1. его компьютер можно украсить 10000 троянов и поселить там 25000 хакеров и это не поможет злоумышленнику никак. Потому что программа расчета ключа принципе не хранится в компьютере. А уже отработаный ключ нужен как рыбе зонтик. Максимум что может троян это мониторить транзакции.
                                          2. Дигипасс вообще не имеет никаких средств связи с миром кроме клавиатуры и ЖК экранчика. То есть украсть из него его софт не взяв в руки сам девайс затруднительно. А другой дигипасс содержит в себе другой номер усройства. То есть даже если злоумышленник купил себе приборчик и раскусил все его алгоритмы ему это мало поможет.
                                          3. 4-6 значный ПИН при лимите на три неверных попытки очевидно выглядит достаточной защитой от того что кто-то воспользуется украденым дигипассом. Надо отнять дигипасс, надавать по голове что бы выбить ПИН, да и прихлопнуть потом что бы вледлец не заблокировал счета. Конечно возможно, но против пистолета у головы счетовладельца шифрование пока что не помогает даже в идеале.

                                          Так что повторяю, преимущества дигипасса не только и не столько в том что он обеспечивает достаточный уровень защиты. Он при этом остается ПОНЯТНЫМ пользователю. Нету страха "а вдруг хакеры пароль украдут". Весь процесс интуитивно понятен.

                                          Zuz, так мобильный интернет банкинг существует. Я не очень люблю вникать втонкости российского зщаконодательства и как бредни законотворцев вязать с реальной жизнью, но тот процесс что я описал как бы даааавно работает в жизни. Прибалтика вся на дигипассах сидит кажется. Испания тоже. В штатах как-то не очень с этим правда. Но в целом это все давно давно живет. Именно потому что там нет никаких хитрых камер-шмамер... ручками цифирьки настучим. Зато все понятно.
                                          Последний раз редактировалось Mauser; 26.06.2004, 00:03.

                                          Комментарий


                                          • #22
                                            2 Mauser:
                                            Да с помощью подобных систем может работать физик, но для корпоративных клиентов от такой системы толку мало...
                                            Всё бы было ничего, но банк _всегда_ может сгенерировать такой же ключ, под _любым_ документом клиента (т.к. иначе он не смог бы его проверить) значит невозможно доказать _авторство_ документа, в таком случае необходимо безгранично доверять банку (доверять, конечно, нужно иначе чего Вы в этом банке делаете, но не безгранично).

                                            Комментарий


                                            • #23
                                              Zuz Всё бы было ничего, но банк _всегда_ может сгенерировать такой же ключ, под _любым_ документом клиента (т.к. иначе он не смог бы его проверить)- постойте, а как же системы открытых/закрытых ключей? Не реализуются с помощью подобных устройств?

                                              Комментарий


                                              • #24
                                                2 Smart:
                                                постойте, а как же системы открытых/закрытых ключей? Не реализуются с помощью подобных устройств?
                                                Я таких в природе не видел, см. мои предыдущие сообщения, если знаете про такие, то, пожалуйста, ссылку в студию, уж очень хочется такое устройство.

                                                Комментарий


                                                • #25
                                                  Smart
                                                  А нельзя формировать ОТP на основе данных платежки?
                                                  Можно, но не на основе, а с учетом. Юра (Zuz) уже обрисовал схему. Но для проверки на стороне банка понадобится тот же секрет, посему свойством "неотказуемости" эта схема все равно не обладает.

                                                  Mauser
                                                  hugevlad, христос с вами. Это как это не связан. Вы что говорите такое.
                                                  Говорю то, что вижу в большинстве случаев. Про токены с клавой - в курсе, но кто же их юзает? Во-первых, дорого, во-вторых клиенту самому неудобно вбивать данные 2 раза.

                                                  Для пользоватетеля совершенно очевидно что:
                                                  1. его компьютер можно украсить 10000 троянов и поселить там 25000 хакеров и это не поможет злоумышленнику никак. Потому что программа расчета ключа принципе не хранится в компьютере. А уже отработаный ключ нужен как рыбе зонтик. Максимум что может троян это мониторить транзакции.


                                                  Мы про разные угрозы вообще-то. Вы про защиту от хакера, а я - про конфликтную ситуацию с отказом от платежа. Если я скажу Вам что-то на ухо, Вы точно будете знать, что это сказал я. Но Вы фиг докажете это третьей стороне. Так и HMAC с общим секретом: кто сделал документ? один из двух - или отправитель, или получатель.
                                                  Earl Vlad Drakula. ///

                                                  Комментарий


                                                  • #26
                                                    Zuz

                                                    ton9, вы не поверите! Но да, на девайсах ЕСТЬ клавиатура. Если бы вы кликнули по ссылке что я дал в бы ее увидели. Именно с нее и заводится сумма, валюта и так далее.

                                                    Мы с Вами говорим о разных устройствах. Подобный клавиатурный токен стоит минимум на порядок дороже обычной пластиковой скретч-карты. А как же Ваш тезис о том, что подобное устройство должно стоить меньше пачки из 100 карточек?

                                                    Кстати говоря, в свое время приходилось сталкивался с устройством, не требующим ручного ввода в токен заверяемых данных. Это была моделька, по-моему, от ActiveCard'a, считывающая данные непосредственно с монитора через специальное окно оптического ввода. Использовался этот девайс в гутовском телебанке, стоил порядка $60.

                                                    Комментарий


                                                    • #27
                                                      Кстати говоря, в свое время приходилось сталкивался с устройством, не требующим ручного ввода в токен заверяемых данных. Это была моделька, по-моему, от ActiveCard'a, считывающая данные непосредственно с монитора через специальное окно оптического ввода. Использовался этот девайс в гутовском телебанке, стоил порядка $60.

                                                      Вот,кстати, ссылки:
                                                      http://banking.guta.ru/telebank/inte...uctions.htm#03
                                                      http://www.stepup.ru/distribution/activcard/token.htm
                                                      Последний раз редактировалось ton9; 28.06.2004, 18:56. Причина: добавил ссылку

                                                      Комментарий


                                                      • #28
                                                        ton9, вы цены на китайские калькуляторы видели? Вон он столько же стоит. И он ОДИН, а скретч-карт вам надо МНОГО.

                                                        пысы: попробуйте сравнить стоимость 100 карт (им же надо будет делать нумерацию) со стоимостью калькулятора. И я вас уверяю, баллнас окажется сильно не в пользу карт.

                                                        Комментарий


                                                        • #29
                                                          2 Mauser:
                                                          вы цены на китайские калькуляторы видели? Вон он столько же стоит.
                                                          Не подскажите где? можно в b(e)-mail...

                                                          Комментарий


                                                          • #30
                                                            Zuz, увы. Найти следы человека что закупал железо не удалось. Цена была 1,19 за штуку. За кожанные шкурки просили еще 0,82. На них пожлобились и купили что бы давать только випам.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X