16 сентября, понедельник 02:14
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Регистрация сертификатов в СДБО и PKI

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Регистрация сертификатов в СДБО и PKI

    Как показывает практика (http://dom.bankir.ru/showpost.php?p=...&postcount=141) с регистрацией сертификатов в банках уже сейчас возникают проблемы. Насколько реализация PKI в СДБО эти проблемы снимет?
    Или приумножит .

    Начнем с физлиц. Два варианта:

    1 вариант: клиент обслуживается в нескольких банках и, чтобы не возиться с кучей корпоративных сертификатов, получил сертификат в одном из публичных УЦ.
    Разумеется, в этом сертификате указаны паспортные данные (ПД) клиента и имеется запись о том, что эти данные действительны только на дату выдачи сертификата.
    Несмотря на то, что актуальность ПД в сертификате не поддерживается, в целом ряде случаев его вполне можно использовать. Допустим, у клиента открыты счета в банке, который предоставляет физлицам возможность дистанционно управлять своими счетами. Все, что нужно сделать клиенту, это зайти на сайт СДБО, для идентификации ввести свои ФИО и номер одного из счетов, и затем указать свой публичный сертификат. В банке СДБО сверит ПД, указанные в сертификате, с ПД предоставленными при открытии счета. Если все совпадает, сертификат в СДБО регистрируется и помещается в хранилище сертификатов. Если нужно, в электронном виде подписывается договор на обслуживание, и клиент получает возможность дистанционного управления своими счетами.

    И все! Никаких бумаг, ИМХО, клиенту в банк предоставлять не нужно. Вся ответственность за достоверность данных сертификата и то, что соответствующий закрытый ключ принадлежит лицу, указанному в сертификате, лежит на публичном УЦ.
    Забавно, что при этом собираются отказаться от лицензирования публичных УЦ .

    Другое дело, когда для каких-то действий требуется предъявить действующий паспорт. Например, при открытии счета. Дистанционно с таким сертификатом счет открыть не получится, т.к. актуальность ПД данный сертификат не гарантирует. (Здесь еще, правда, 88-ФЗ ). Для таких случаев нужен сертификат, где будет запись о том, что УЦ гарантирует актуальность ПД.


    2 вариант: у клиента нет сертификата публичного УЦ.
    В таком случае:
    a) у банка должен быть корпоративный УЦ (не всем клиентам такое решение может понравиться - корпоративный сертификат нигде больше использовать нельзя)
    b) банк должен заключить договор с одним из публичных УЦ, чтобы иметь возможность от имени этого центра выпускать публичные сертификаты
    c) банку нужно создать свой собственный публичный УЦ.
    В последнем случае банк сможет выдавать своим клиентам публичные сертификаты бесплатно. И не только физлицам, но и лицам юридическим.

    Т.к. в данном варианте банк исполняет роль УЦ, то по Закону об ЭЦП клиент обязан расписаться как на заявлении, так и на самом сертификате.
    Хотя вполне было бы достаточно подписанного клиентом заявления на сертификат, которое можно отправить в банк по почте. Разумеется, если в банке уже открыт счет клиента, имеются ПД и образец его подписи.
    А если бы Закон об ЭЦП позволял подписывать заявку не только собственноручно, но и электронной подписью, то при смене ключей можно было бы сэкономить на бумаге.

    После получения сертификата в электронном виде клиент регистрирует его в СДБО, как и в первом варианте.


    Ну и какие во всем этом могут быть подводные камни?


    P.S. Надеюсь,Lee, я ответил на вопрос о перспективах публичных сертификатов в СДБО .

  • #2
    P.S. Надеюсь,Lee, я ответил на вопрос о перспективах публичных сертификатов в СДБО .

    Не знаю, на какой вопрос Вы отвечали, но я спрашивал про то, сколько банков направляют своих клиентов на сертификацию в публичные УЦ, и сколько клиентов к ним возвращается оттуда А вопрос был исключительно по поводу ценовой политики УЦ (для примера http://www.cryptopro.ru/CryptoPro/products/price.asp).
    Ну а что касается вашего сообщения, то второй вариант - чушь полная (извините за резкость), потому и обсуждать не имеет смысла.
    А по первому варианту есть проблемы законодательные, есть технические, и есть вопрос стоимости.
    Но главное даже не в этом - если в банке не обращают внимания на проблемы безопасности (как у себя, так и у своих клиентов), то примение PKI кроме удорожания системы ничего не даст.

    Комментарий


    • #3
      Для таких случаев нужен сертификат, где будет запись о том, что УЦ гарантирует актуальность ПД.
      Ага. Сертификат от марта прошлого года о том, что с той поры я не терял паспорт...

      "В штате нашего УЦ состоят авгуры и пифии с гарантированными предсказательными способностями". Отрывок из рекламного проспекта.

      у клиента нет сертификата публичного УЦ.
      В таком случае:
      a) у банка должен быть корпоративный УЦ (не всем клиентам такое решение может понравиться - корпоративный сертификат нигде больше использовать нельзя)
      А зачем? Зачем таки физику сертификат, окромя как поскольку без этого сертификата он будет в свой любезный банк таскаться по 5 раз в месяц, а с ним - раз в году пластик поменять да "сертификат" новый получить.

      То есть, это всё зачем-то надо, когда эти физики при помощи тех самых "сертификатов" таки может начнут друг с другом по емылу разговаривать, да в налоговую декларацию отсылать, - тогда да, может он и захочет иметь один настоящий сертификат вместо трёх "сертификатов", одного в аутглюке, одного из банка и одного от налоговой, когда там таки до этого дойдёт дело.

      Ах, да. Ещё ПФР. Если к тому времени, как (опять же) дойдёт дело, его не растащат на НГПФ-ы.

      "Жаль, только жить в эту пору прекрасную..." как там у Некрасова. Хотя лично мне не жаль. "В результате внедреня электронного документооборота количество расходуемой бумаги выросло втрое и от перегрузки сломался сетевой принтер" (с) докладная записка.

      А может таки клиентом попадётся человек разумный и подумает, нафига ему одним и тем же ключом подписывать и платежи в банк, и письма таинственной незнакомке - и получит в банке отдельный банковский ключик, которому публично заверенный сертификат нужен как зайцу стоп-сигнал на лбу.

      Ну и какие во всем этом могут быть подводные камни?
      Например, регламент деятельности того самого публичного УЦ (а он не только ценой вопроса определяется). Про нынешнее состояние дел не в курсе, но вот ещё год назад ни одного УЦ (не говоря о регламенте) мне найти не удалось. Если не считать Thawte, конечно, но он нас ведь не интересует?
      /kiv

      Комментарий


      • #4
        2 Joint:
        Вот более развернутый взгляд на затронутую тему:
        http://www.rans.ru/disdocs/sucrf.doc

        Комментарий


        • #5
          Мне кажется, что размещение паспортных данных в составе сертификата не очень хорошая идея, ведь Реестр по закону должен быть свободно доступен, следовательно мои паспортные данные будут вывешены в свободном доступе, что не есть хорошо. Я, к примеру, в МТС уже пару контрактов закрывал, выданные дилерами на мои паспортные данные :-(
          Если уж говорить о сертификата, то мне кажется, задачу надо разбить на две части, первая – проведение идентификационных процедур (это сертификат открытого ключа) и второе – привязка к уже идентифицируемому лицу некой служебной информации, которая бы никогда не покидала защищенный периметр автоматизированной системы банка. Техническая часть изложена в RFC по атрибутным сертификатам. И все это предоставляет широкое поле для маневра, хочешь свой УЦ заводи, хочешь пользуй чужой, а вот всю банковскую специфику придется сопровождать и актуализировать у себя в банке.

          Комментарий


          • #6
            Lee: второй вариант - чушь полная (извините за резкость), потому и обсуждать не имеет смысла.


            Не понял. Вы о том, что банки не будут ставить у себя УЦ? Ну тогда зачем это надо, скажем, банку hugevlad'a? (http://dom.bankir.ru/showpost.php?p=937544&postcount=8).

            Может вы варианты перепутали? Или что-то не так поняли?
            На всякий случай уточняю - для 2 варианта либо a), либо b), либо c).


            Lee: А вопрос был исключительно по поводу ценовой политики УЦ

            Опять не ясно. Вы о какой цене говорите? Стоимости УЦ для банка или о стоимости получения публичного сертификата для клиента?


            Илюха: "В штате нашего УЦ состоят авгуры и пифии с гарантированными предсказательными способностями". Отрывок из рекламного проспекта

            Напрасно иронизируете. С актуальностью ПД в сертификате проблем, видимо, скоро не будет:

            http://www.gpvu.ru/news.asp?id=13

            18.11.2004
            Для юридических лиц на ресурсе запущен в тестовую эксплуатацию веб-сервис по проверке действительности паспортов граждан Россиийской Федерации (SOAP, HTTP-POST, HTTP-GET). Использование данного сервиса позволит техническим специалистам интегрировать механизм проверки паспортов в разрабатываемое ими программное обеспечение
            Илюха: А зачем? Зачем таки физику сертификат, окромя как поскольку без этого сертификата он будет в свой любезный банк таскаться по 5 раз в месяц, а с ним - раз в году пластик поменять да "сертификат" новый получить.

            То есть, это всё зачем-то надо, когда эти физики при помощи тех самых "сертификатов" таки может начнут друг с другом по емылу разговаривать, да в налоговую декларацию отсылать, - тогда да, может он и захочет иметь один настоящий сертификат вместо трёх "сертификатов", одного в аутглюке, одного из банка и одного от налоговой, когда там таки до этого дойдёт дело.


            Про банки я уже говорил.
            А какие проблемы с e-mail? Ставьте CSP и пользуйтесь. Декларацию в налоговую? Пожалуйста - http://www.r71.nalog.ru/index.php?topic=er71

            А еще физики могли бы, например, подписывать договора страхования или заказывать всевозможные справки в электронном виде. Чтобы справки не выдавались в чужие руки, заявление на их получение должно подписываться теми, кто имеет на это право.
            Кстати, для выдачи справок можно использовать подход, который реализован в УЦ. Физлицо отсылает подписанное заявление на справку и, после его обработки (сверки ПД из сертификата), скачивает заверенную справку.


            Илюха: Про нынешнее состояние дел не в курсе, но вот ещё год назад ни одного УЦ (не говоря о регламенте) мне найти не удалось. Если не считать Thawte, конечно, но он нас ведь не интересует?

            Дайте поиск в Яндексе на "Удостоверяющий центр", найдете много интересного.


            Sergey_Murugov: Мне кажется, что размещение паспортных данных в составе сертификата не очень хорошая идея

            Абсолютно с вами не согласен! ФИО однозначно лицо не идентифицирует. Поэтому если в публичных сертификатах физлиц не указывать ПД, то такие сертификаты можно будет использовать разве что в личной переписке. Ни о какой подписи документов, в этом случае и речи быть не может.
            Ну а если без ПД не обойтись в публичных сертификатах, то почему их не стоит использовать в банке?

            Что касается атрибутных сертификатах, то тут я солидарен с Serge3 и считаю, что особой необходимости в них нет. Но об этом несколько позже.


            Zuz

            Своих мыслей опять нет ?

            Комментарий


            • #7
              2 Joint:
              Своих мыслей опять нет?
              Вы хотя бы потрудились прочитать список лиц, принимавших участие в разработке сего документа?
              От себя замечу, что я за мысли деньги получаю и делиться ими безвозмездно пока не готов или делюсь тогда когда вижу, что принесу хоть какую-то пользу или когда есть желание на такие действия.
              Ваши же мысли, ИМХО, свидетельствуют о небольшом или никаком опыте эксплуатации PKI в больших объемах, тем более в масштабах страны... либо я настолько ограничен, что не понимаю, что же такого нового Вы сказали.
              P.S. А за ссылку на http://www.gpvu.ru/news.asp?id=13 спасибо, если такой сервис действительно будет качественно работать, то это шаг вперед.

              Комментарий


              • #8
                Zuz: либо я настолько ограничен, что не понимаю, что же такого нового Вы сказали

                Да ничего нового, просто поднял вопросы, которые, ИМХО, до сих пор не решены однозначно:

                - указание ПД в сертификатах
                - поддержка актуальности ПД в сертификатах
                - использование сертификатов, которые актуальность ПД не поддерживают
                - дистанционная регистрация сертификатов для управления счетом
                - лицензирование публичных УЦ
                - перспектива использования публичных сертификатов в корпоративных системах банков
                - целесообразность создания банком собственного УЦ, если создавать, то корпоративный или публичный

                Но для вас, Zuz, как я понимаю, никаких вопросов здесь нет. Тогда вам не в банке, а в Совмине работать надо !

                Zuz: От себя замечу, что я за мысли деньги получаю и делиться ими безвозмездно пока не готов

                Где-то я уже это слышал . Ну что ж, ждать когда созреете, ИМХО, смысла никакого нет.

                Zuz: А за ссылку на http://www.gpvu.ru/news.asp?id=13 спасибо

                С вас 100 баксов, номер счета выслал по e-mail

                Извиняюсь за оффтопик.

                Комментарий


                • #9
                  Некоторые мысли по поставленным вопросам:

                  - указание ПД в сертификатах
                  Я считаю что информацию, которую в совокупности можно отнести к персональной не следует размещать в публичном доступе, ее наоборот необходимо и обязано защищать. На мой взгляд, идентифицирует персону в PKI обладание закрытым ключом, а не ПД, которые к слову могут быть сверены в момент создания сертификата.
                  - поддержка актуальности ПД в сертификатах
                  Искусственная проблема – вызванная желание размещения ПД в сертификате.
                  - использование сертификатов, которые актуальность ПД не поддерживают
                  Аналогично.
                  - дистанционная регистрация сертификатов для управления счетом
                  Технически удаленно зарегистрировать сертификат в системе вполне возможно, только мне кажется, после этого должны всплыть юридические проблемы о законности владения счетом и т.п.
                  - лицензирование публичных УЦ
                  На эту процедуру вообще трудно влиять, прежде чем начать что то лицензировать, УФО должно родить целый пакет регламентов и «порядок регистрации сертификата уполномоченного лица ….», требований к техническим средствам УЦ и т.п.
                  - перспектива использования публичных сертификатов в корпоративных системах банков
                  Технических проблем нет (если считать что СКЗИ совместимы), поскольку в данном контексте банковская системе ни чем не отличается от абстрактной PKI системы.
                  - целесообразность создания банком собственного УЦ, если создавать, то корпоративный или публичный
                  На это трудно что ответить, кому что более привлекательно.

                  Комментарий


                  • #10
                    Joint
                    Да ничего нового, просто поднял вопросы, которые, ИМХО, до сих пор не решены однозначно
                    Да, Вы их просто _подняли_ и?
                    Поднятые Вами вопросы претендуют каждый на отдельный жирный топик.

                    Но для вас, Zuz, как я понимаю, никаких вопросов здесь нет.
                    Это почему же?
                    Просто я сначала анализирую, что до меня в этой области сделано, а не придумываю сам велосипед.
                    Чем Вас так задел этот документ-то?
                    Ну что ж, ждать когда созреете, ИМХО, смысла никакого нет.
                    Когда меня подкалывают, "созревать" совсем не хочется.
                    Я просто хотел обратить внимание на документ, всё... Что здесь смешного-то? Я физически не могу ответить также развернуто, как в этом документе, а ведь там только основа и принципы.
                    Вы же сразу поставили глобальные проблемы и спустились на конкретную реализацию, причем с очевидными ошибками. Над решением затронутых Вами вопросов работало, и работают масса людей. Вы же хотите решить разом в одном топике форума... фантастика.

                    Чтобы принести хоть какую-то пользу этим сообщением, покритикую Ваши варианты:
                    Разумеется, в этом сертификате указаны паспортные данные (ПД) клиента и имеется запись о том, что эти данные действительны только на дату выдачи сертификата.
                    На мой взгляд, указывать любые персональные данные или их часть (тем более те которые могут измениться) в сертификате нетехнологично, а связанные с этим проблемы являются только следствием этой идеи.
                    С другой стороны, включив в сертификат ПД Вы хотите тем самым обеспечить доказательство множества фактов, так вряд ли получится ;-(
                    Идеальным вариантом было бы организация сервиса (типа того за ссылку на который Вы меня на 100$ подписали), который бы выдавал в виде атрибутного сертификата (или в другом технологичном виде) необходимые данные по запросу заинтересованной стороны.
                    Т.е. по совокупности фактов полностью солидарен в этом вопросе с Sergey_Murugov.
                    И все! Никаких бумаг, ИМХО, клиенту в банк предоставлять не нужно
                    Здесь действительно соглашусь. Колоссальное преимущество, но вряд ли удастся довести до рабочего состояния этот вариант.
                    Другое дело, когда для каких-то действий требуется предъявить действующий паспорт. Например, при открытии счета.
                    Не совсем корректный пример. На мой взгляд, при открытии счета важно физическое присутствие и идентификация лица (дополнительно есть вариант по доверенности), как и написано в 115-ФЗ.

                    Т.к. в данном варианте банк исполняет роль УЦ, то по Закону об ЭЦП клиент обязан расписаться как на заявлении, так и на самом сертификате.
                    Для корпоративной системы, ИМХО, это не очевидно и может не соблюдаться.
                    Хотя вполне было бы достаточно подписанного клиентом заявления на сертификат, которое можно отправить в банк по почте.
                    ИМХО, быстрее в банк сходить.
                    А если бы Закон об ЭЦП позволял подписывать заявку не только собственноручно, но и электронной подписью, то при смене ключей можно было бы сэкономить на бумаге.
                    Это допускается. Есть действующие системы (в том числе и государственные), использующие такую схему обновления ключевой информации.

                    Ну и какие во всем этом могут быть подводные камни?
                    Т.е. Вам всё понятно и "подводных камней", на ваш взгляд в предложенных Вами вариантах нет?

                    Комментарий


                    • #11
                      Sergey_Murugov: Искусственная проблема – вызванная желание размещения ПД в сертификате

                      Фирма получила в электронном виде договор, подписанный физлицом Ивановым И.И.
                      В договоре Иванов указал свои паспортные данные.
                      Если ПД нет в сертификате Иванова, то как фирма может быть уверена, что Иванов И.И., ПД которого указаны в договоре, и Иванов И.И., на чье имя выдан сертификат, одно и то же лицо? А без этого какой же это договор?

                      Sergey_Murugov: Технически удаленно зарегистрировать сертификат в системе вполне возможно, только мне кажется, после этого должны всплыть юридические проблемы о законности владения счетом и т.п.

                      Вот-вот. А если бы в сертификате были ПД, оспаривать законность, ИМХО, нет никаких оснований.

                      Sergey_Murugov: - перспектива использования публичных сертификатов в корпоративных системах банков
                      Технических проблем нет


                      Тогда технический вопрос: где хранить в СДБО "чужие" сертификаты? В своей базе данных или базе данных УЦ?


                      Zuz: С другой стороны, включив в сертификат ПД Вы хотите тем самым обеспечить доказательство множества фактов, так вряд ли получится ;-(

                      ПД в сертификате я хочу использовать исключительно для того, чтобы по сертификату можно было идентифицировать личность. Я не предлагаю включать в сертификат ни адрес проживания, ни семейное положение, ни возраст (женщины будут против ).


                      Сообщение от Zuz
                      Т.к. в данном варианте банк исполняет роль УЦ, то по Закону об ЭЦП клиент обязан расписаться как на заявлении, так и на самом сертификате.
                      Для корпоративной системы, ИМХО, это не очевидно и может не соблюдаться.
                      Читаем Закон об ЭЦП (Статья 17, пункт 1):
                      "1. Корпоративная информационная система, предоставляющая участникам информационной системы общего пользования услуги удостоверяющего центра корпоративной информационной системы, должна соответствовать требованиям, установленным настоящим Федеральным законом для информационных систем общего пользования."

                      Сообщение от Zuz
                      Хотя вполне было бы достаточно подписанного клиентом заявления на сертификат, которое можно отправить в банк по почте.
                      ИМХО, быстрее в банк сходить.
                      Это что ж получается, если УЦ в областном центре, то остальной области без сертификатов сидеть?

                      Сообщение от Zuz
                      А если бы Закон об ЭЦП позволял подписывать заявку не только собственноручно, но и электронной подписью, то при смене ключей можно было бы сэкономить на бумаге. Это допускается.
                      Читаем Закон об ЭЦП (Статья 9, пункт 2):
                      "2. Изготовление сертификатов ключей подписей осуществляется на основании заявления участника информационной системы... Заявление подписывается собственноручно владельцем сертификата ключа подписи."

                      Zuz: Вы же сразу поставили глобальные проблемы и спустились на конкретную реализацию, причем с очевидными ошибками.

                      Назовите хоть одну очевидную ошибку. А то ведь может это вы ошибаетесь ?

                      Комментарий


                      • #12
                        2 Joint:
                        ПД в сертификате я хочу использовать исключительно для того, чтобы по сертификату можно было идентифицировать личность.
                        Я может быть Вас разочарую, но для этого паспорт придуман ;-(
                        У сертификата открытого ключа предназначение несколько иное.
                        Читаем Закон об ЭЦП (Статья 17, пункт 1):
                        "1. Корпоративная информационная система, предоставляющая участникам информационной системы общего пользования услуги удостоверяющего центра корпоративной информационной системы, должна соответствовать требованиям, установленным настоящим Федеральным законом для информационных систем общего пользования."

                        Неточно выразился: имел в виду вариант 2, пункт а). Пункты b) и c) считаю чем-то из области фантастики, хотя всё может быть.
                        Это что ж получается, если УЦ в областном центре, то остальной области без сертификатов сидеть?
                        Будут отделения в виде регистрационных центров, есть спрос есть предложение.
                        Заявление подписывается собственноручно владельцем сертификата ключа подписи.
                        А то, что электронная цифровая подпись равнозначна собственноручной и для чего собственно закон от ЭЦП?

                        Комментарий


                        • #13
                          Zuz: может быть Вас разочарую, но для этого паспорт придуман
                          Паспорт для электронного документооборота не годится

                          Zuz: Пункты b) и c) считаю чем-то из области фантастики

                          И что же в этом фантастичного, для 2b имеется прецедент:
                          "Удостоверяющий центр - ООО "КРИПТО-ПРО", осуществляющее выполнение целевых функций Удостоверяющего центра в соответствии с ФЗ "Об электронной цифровой подписи" от 10.01.2002 года

                          Оператор Удостоверяющего центра (Оператор) - государственная корпорация "Агентство по страхованию вкладов", наделенная Удостоверяющим центром полномочиями по осуществлению действий по регистрации и управлению сертификатами ключей подписи Пользователей Удостоверяющего центра - полномочных представителей Банков, заключивших с Агентством Соглашение об обмене электронными документами"
                          А 2с позволит банку не брать со своих клиентов мзду за выдачу сертификата.

                          Zuz: Будут отделения в виде регистрационных центров, есть спрос есть предложение.

                          А затраты УЦ на содержание таких отделений вы посчитали? Какую сумму вы тогда заплатите за получение сертификата?

                          Zuz: А то, что электронная цифровая подпись равнозначна собственноручной и для чего собственно закон от ЭЦП?

                          В других законах да, но не в этом. А иначе какая-то юридическая рекурсия получается .

                          Комментарий


                          • #14
                            По поводу Иванова, я не юрист, но мне кажется, что для заключения договора мало одних паспортных данных. По аналогии с юрлицами – сертификат которых (точнее физлица – представителя юрлица) содержит информацию о компании, что не является персональной информацией и может быть доступна с любых справочных серверов типа Желтые страницы. Если все это вводить в сертификат для физлица, то это уж точно подпадет под персональную (охраняемую, если владелец ее открыто не публикует) информацию, а вводить какой то фрагмент от всего требуемого и на основании этого делать заключение что он это он, мне кажется не верным. Поэтому как юридически правильно поступить с физлицом я не знаю.
                            Как технарь, могу сказать одно, в рамках одного УЦ (и у нас это реализовано) возможно решение проблемы однофамильцев, в RFC это называется «коллизия имен», где в сертификат добавляется серийный номер DN.

                            Про хранения сертификатов, сертификаты хранятся там, где им и положено, в данном случае в УЦ выдавшим сертификат. Сама ЭЦП может содержать сертификат автора или ссылку однозначного его нахождения – серийный номер, издатель.

                            Комментарий


                            • #15
                              Сообщение от Joint
                              Zuz: либо я настолько ограничен, что не понимаю, что же такого нового Вы сказали

                              Да ничего нового, просто поднял вопросы, которые, ИМХО, до сих пор не решены однозначно:

                              - указание ПД в сертификатах
                              - поддержка актуальности ПД в сертификатах
                              - использование сертификатов, которые актуальность ПД не поддерживают
                              - дистанционная регистрация сертификатов для управления счетом
                              - лицензирование публичных УЦ
                              - перспектива использования публичных сертификатов в корпоративных системах банков
                              - целесообразность создания банком собственного УЦ, если создавать, то корпоративный или публичный

                              skip>

                              Извиняюсь за оффтопик.
                              Смешались в кучу кони, люди... (С) (Известный поэт)
                              Нельзя объять необъятное (С) К.Прутков

                              Если возникло взаимное непониманиее, давайте начнем с азов:
                              те УЦ, которые существуют на сегодняшний день, таковыми по закону об ЭЦП не являются, поскольку не разработан порядок их лицензирования, не работает УФО, предусмотренный законом, ... да наверное легче перечислить то, что сделано, чем наоборот. Следовательно те сертификаты, которые они выдают, никакого отношения к закону об ЭЦП не имеют и этим законом регулироваться не могут. Это первый большой жирный минус.
                              Второе. Если вы посмотрите на сертификаты, которые выдают подобные УЦ, то там (в лучшем случае) написано - "для защищенной почты и для авторизации серверов. Чаще НИЧЕГО не написано, т.е. УЦ выдает непонятно какой сертификат.
                              Третье. Поскольку подпись (обычно) ставится под документом, а понятие электронного документа до сих пор не определено законодательно, то непонятно какую подпись и под чем надо проверять.
                              Четвертое. хотя наверное и первого было достаточно.
                              Согласен с Zuz - учите матчасть (ничего личного)

                              Комментарий


                              • #16
                                2 Joint:
                                Паспорт для электронного документооборота не годится
                                А Вы электронное удостоверение личности (EID), используемое в Швеции видели? ;-)
                                И что же в этом фантастичного, для 2b имеется прецедент:
                                Гм. Во-первых прецедент несостоявшийся ещё, готового соглашения с агентством нет и агентство не банк и масштабы его «бизнеса» не те. Во-вторых, Вы забываете о том, что банк должен оказывать конкурентоспособные услуги, а вариант 2b подразумевает, учитывая текущие цены в большинстве действующих УЦ, нехилые накладные расходы для клиента.
                                Вариант 2с банку невыгодно воплощать, т.к. во-первых, это непрофильный для банка бизнес (нести расходы по страхованию непрофильных рисков, часто не связанных с предоставлением услуг, связанных с СДБО), а во-вторых, зачем банку создавать условия, когда сертификат, выпущенный его же УЦ будет использован в банках конкурентах. Как ни странно, но на мой взгляд, конкуренция часто сдерживающий фактор ;-(
                                А затраты УЦ на содержание таких отделений вы посчитали? Какую сумму вы тогда заплатите за получение сертификата?
                                Регистрационным центром может быть хоть ИПшник и предоставлять услуги УЦ от его имени на основании соглашения, качество услуг должен гарантировать УЦ (т.к. ответственность несёт УЦ а не РЦ) и не заключать соглашений непонятно с кем.
                                А вот цена, да это проблема и снизить её можно только количеством.
                                В других законах да, но не в этом. А иначе какая-то юридическая рекурсия получается
                                Почему? Есть заявление на изготовление сертификата в электронной форме подписанное заявителем, есть сертификат заявителя, есть область действия сертификата, указанная в нём. ЭЦП проверена, сертификат действующий. Есть закон об ЭЦП. Статью 4 читаем и радуемся.
                                Другое дело, что в статье 9, пункт 2 Вы важный момент не дочитали: «... Содержащиеся в заявлении сведения подтверждаются предъявлением соответствующих документов».
                                А вот предъявить документы удалённо, ой как сложно будет.

                                Комментарий


                                • #17
                                  Sergey_Murugov: мне кажется, что для заключения договора мало одних паспортных данных

                                  Адрес еще вроде бы нужен. Он может быть указан физиком в самом договоре. А ежели требуется документальное подтверждение этих данных, то без справки в электронном виде не обойтись.

                                  Sergey_Murugov: Про хранения сертификатов, сертификаты хранятся там, где им и положено, в данном случае в УЦ выдавшим сертификат

                                  ИМХО, чтобы не снижать производительность системы, зарегистрированные в СДБО сертификаты разных УЦ лучше держать в хранилище самой системы. А к УЦ обращаться лишь за списками отозванных сертификатов.
                                  Интересно было бы узнать, каким образом поддержка PKI реализована в iBank'е. Может Димитрий расскажет здесь об этом.

                                  Zuz: вариант 2b подразумевает, учитывая текущие цены в большинстве действующих УЦ, нехилые накладные расходы для клиента.

                                  Это вы о 15-20 баксах за выдачу сертификата на год ?

                                  Zuz: зачем банку создавать условия, когда сертификат, выпущенный его же УЦ будет использован в банках конкурентах

                                  А вы не подумали, что клиенту может не понравиться банк, где выдаются сертификаты, которые нигде больше использовать нельзя. Причем в большей степени это относится к сертификатам для юрлиц. Но об этом позже.

                                  Zuz: Почему? Есть заявление на изготовление сертификата в электронной форме подписанное заявителем

                                  Там же четко указано "подписывается собственноручно". Впрочем речь о юридических тонкостях, и не нам с вами о них рассуждать.

                                  Zuz: Другое дело, что в статье 9, пункт 2 Вы важный момент не дочитали: «... Содержащиеся в заявлении сведения подтверждаются предъявлением соответствующих документов».
                                  А вот предъявить документы удалённо, ой как сложно будет


                                  Ну почему же, дочитал . Я ведь о банке, где необходимые документы были представлены клиентом ранее, при открытии счета.
                                  И почему вы считаете, что речь не может идти о нотариально заверенных копиях документов. Ведь это тоже документы. В том числе и заявление на сертификат, подписанное собственноручно с нотариальным заверением подписи.


                                  Lee: начнем с азов:
                                  те УЦ, которые существуют на сегодняшний день, таковыми по закону об ЭЦП не являются, поскольку не разработан порядок их лицензирования, не работает УФО, предусмотренный законом, ... да наверное легче перечислить то, что сделано, чем наоборот. Следовательно те сертификаты, которые они выдают, никакого отношения к закону об ЭЦП не имеют и этим законом регулироваться не могут. Это первый большой жирный минус.


                                  Нужно внимательно читать Законы. В Законе об ЭЦП говорится как об УЦ, которые выдают сертификаты для использования в информационных системах общего пользования, так и об УЦ, обеспечивающих функционирование корпоративных информационных систем (Статья 8). Отличаются они всего лишь статусом и Статья 9 ("Деятельность удостоверяющего центра"), среди прочих, относится и к тем и к другим. А значит под действие Закона об ЭЦП подпадают сертификаты, выдаваемые любым УЦ.

                                  Другое дело, что на данный момент все УЦ можно отнести исключительно к корпоративным УЦ, хотя бы потому, что они не прошли процедуру лицензирования, предусмотренную в Законе. Но как только будут реализованы все положения Закона, относящиеся к созданию публичных УЦ, не сомневаюсь, что большинство этих УЦ будут преобразованы в УЦ для информационных системах общего пользования.

                                  Лично я считаю, что к этому нужно готовиться заранее. Если же вы считаете, что время терпит - спите дальше. Очень сожалею, что нарушил ваш покой .

                                  Lee: Второе. Если вы посмотрите на сертификаты, которые выдают подобные УЦ, то там (в лучшем случае) написано - "для защищенной почты и для авторизации серверов. Чаще НИЧЕГО не написано, т.е. УЦ выдает непонятно какой сертификат.

                                  К вашему сведению приведу перечень политик применения сертификатов, которые выдает УЦ ЗАО "Цифровая подпись" (http://www.signatura.ru/oid.html)

                                  1.2.643.3.15.1.1 Общее использование в системах ИОК без права заверения финансовых документов.
                                  1.2.643.3.15.1.2 Оформление взаимных обязательств, соглашений, договоров, актов и т.п.
                                  1.2.643.3.15.1.3 Организация внутрикорпоративного документооборота.
                                  1.2.643.3.15.1.4 Сопровождение внутрикорпоративных клиентов.
                                  1.2.643.3.15.1.5 Закрепление авторских прав.
                                  1.2.643.3.15.1.6 Защита и целостность данных.
                                  1.2.643.3.15.1.7 Использование в системах электронной коммерции.
                                  1.2.643.3.15.1.8 Выработанные ЭЦП считаются действительными только в совокупности с квитанциями "Электронного нотариуса".
                                  Lee: Третье. Поскольку подпись (обычно) ставится под документом, а понятие электронного документа до сих пор не определено законодательно, то непонятно какую подпись и под чем надо проверять.

                                  Читаем Закон об ЭЦП (Статья 3):
                                  "электронный документ - документ, в котором информация представлена в электронно-цифровой форме;

                                  электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;"

                                  Ну и кому нужно учить матчасть ?

                                  Комментарий


                                  • #18
                                    Вопрос, а почему нельзя в договоре указать свертку открытого ключа из сертификата, закрытым ключом которого выработана ЭЦП? В этом случае в сертификат можно вообще ничего не включать.
                                    Зачем еще хранить сертификаты, если 99% сам сертификат содержится в ЭЦП?

                                    Комментарий


                                    • #19
                                      Sergey_Murugov Вопрос, а почему нельзя в договоре указать свертку открытого ключа из сертификата, закрытым ключом которого выработана ЭЦП? В этом случае в сертификат можно вообще ничего не включать

                                      Еще лучше . Ну и что фирма будет делать с договором, если не будет знать, чьим сертификатом он подписан? Кто будет исполнять анонимный договор?

                                      Sergey_Murugov Зачем еще хранить сертификаты, если 99% сам сертификат содержится в ЭЦП?

                                      А зачем забивать трафик, передавая с каждой платежкой сертификат?

                                      Комментарий


                                      • #20
                                        Сообщение от Joint
                                        К вашему сведению приведу перечень политик применения сертификатов, которые выдает УЦ ЗАО "Цифровая подпись" (http://www.signatura.ru/oid.html)
                                        Раз уж Вы привели в качестве положительного примера УЦ ЗАО "Цифровая подпись", посмотрим,что из себя представляют сертификаты данного УЦ. Читаем "Зарегистрированный в IANA root OID 1.3.6.1.4.1.6943", ищем в базе зарегистрированных OID -
                                        OID 1.3.6.1.4.1.6943: R-Alpha Ltd. Vladimir A. Grishin.
                                        Какое отношение имеет R-Alpha Ltd. и лично Vladimir A. Grishin к ЗАО "Цифровая подпись", оставим это на совести указанных организаций. Нас больше интересует области применения сертификатов и регламент использования сертификатов. Читаем дальше: OID 1.3.6.1.4.1.6943.18 - Certificate Policies, ищем и ... пусто. Нет описания данного OID. Хорошо, возможно поленились зарегистрировать за рубежом, ищем дома - зарегистрированный в Российском дереве имен OID 1.2.643.3.15 за ЗАО "Цифровая подпись", 1.2.643.3.15.1 - Политика применения сертификата. Ищем указанный OID ... опять пусто. Ладно, ищем на сайте УЦ, находим документ "Политика применения Сертификатов. Версия 1.0.", читаем... Ни слова о регламентах и областях применения сертификатов. Так что тогда означают 8 политик, декларируемых на сайте?
                                        Вот такие сертификаты и относятся к категории "непонятно что".

                                        Сообщение от Joint
                                        Читаем Закон об ЭЦП (Статья 3):
                                        "электронный документ - документ, в котором информация представлена в электронно-цифровой форме;
                                        Да, велик и могуч русский язык.
                                        Для того, чтобы эта статья работала, как минимум должен быть определен порядок представления документа в электронно-цифровой форме. Если порядок претендует на публичность, то он должен либо определяться Законом, либо на данный порядок должна быть ссылка в Законе. В настоящее время сделать это можно только в двухсторонних договорах с клиентами. В качестве примера могу рекомендовать положение Банка России №774-П (дату не помню, год 2002). Хоть документ и не новый, но до сих пор для многих может служить примером грамотно составленного договора.

                                        Комментарий


                                        • #21
                                          Продолжим.
                                          Три варианта для юрлиц:

                                          1 вариант: Использование публичных сертификатов, которые выданы на физическое лицо без указания места работы и занимаемой должности.
                                          В этом случае, у банка должны быть (либо должны быть ему предоставлены) ПД лиц, имеющих право первой и второй подписи.
                                          К сожалению, в карточке с образцами подписей (КОП) для юрлиц указание ПД не требуется.
                                          Кстати, почему бы для счетов, управление которыми будет исключительно электронным, вообще не отказаться от КОП ?

                                          Для данного варианта при подключении сертификата к СДБО, ИМХО, также вполне можно обойтись без бумаг. На сайте СДБО должностное лицо вводит ФИО, номер расчетного счета фирмы и затем указывает свой публичный сертификат. Если это лицо имеет, согласно КОП, право первой или второй подписи, и ПД, указанные в сертификате, совпадут с ПД, которые имеются в банке, то сертификат в СДБО регистрируется.

                                          2 вариант: Использование публичных сертификатов, которые были выданы "чужими" публичными УЦ. Например, для передачи налоговой отчетности в электронном виде или для электронной декларации товаров на таможне.
                                          В таких сертификатах (служебных) помимо ПД указываются должность, полномочия, название и юридический адрес фирмы. Если сертификат выдан не руководителю фирмы, а его заму, то в качестве полномочий приводится номер и дата выдачи доверенности, которая эти полномочия определяет. Сама доверенность - в электронном виде, подписанная руководителем фирмы.

                                          Проблема актуальности сведений служебных сертификатов решается самой фирмой. Фирма должна отзывать сертификаты, сведения которых стали недействительными и нести ответственность за документы, подписанные неотозванным своевременно сертификатом.
                                          Точно так же как фирма должна поменять КОП, сведения в которой утратили свою актуальность. И если фирма не заменила КОП вовремя, а банк исполнил платеж, подписанный бывшим сотрудником фирмы, то вся ответственность за это лежит исключительно на фирме.
                                          Интересно, в явном виде это где-нибудь прописано?

                                          Регистрация такого сертификата в СДБО опять же производится без бумаг, аналогично 1 варианту. Помимо ПД сверяются также должность, название и юридический адрес фирмы.

                                          3 вариант: Выдача публичных сертификатов удостоверяющим центром банка. Данные сертификаты фирме можно будет использовать и для других целей, например, для подписи договоров с контрагентами или в ранее упомянутых налоговой и таможенной системах. Поэтому в таких сертификатах указываются те же сведения, что и для сертификатов во 2 варианте.

                                          Заявление о выдаче сертификата в банковский УЦ должно предоставляться не только с подписью лица, которому сертификат выдается, но и с подписью руководителя фирмы и печатью.
                                          Точно так же, как и в другие публичные УЦ. Иначе, как бы фирма узнала, что нужно отозвать сертификат при увольнении сотрудника, и в какой УЦ для этого обратиться.

                                          Можно критиковать

                                          Lee: Для того, чтобы эта статья работала, как минимум должен быть определен порядок представления документа в электронно-цифровой форме

                                          Такое впечатление, что вы несколько отстали от жизни. Закону об ЭЦП уже более 3 лет. Даже в государственных структурах, налоговой и таможне, электронный документооборот с предприятиями основан на положениях данного Закона. Поэтому заявлять о незаконности УЦ, о том что понятие электронного документа до сих пор не определено или что оно не работает, мягко говоря не разумно.

                                          Комментарий


                                          • #22
                                            2 Lee:
                                            В качестве примера могу рекомендовать положение Банка России №774-П (дату не помню, год 2002).
                                            Чета нет в консультанте такого документа... Может быть Вы имели в виду указание от 11 апреля 2000 г. N 774-У?
                                            Дайте, пожалуйста, если не трудно, более четкие данные.
                                            2 Joint:
                                            Это вы о 15-20 баксах за выдачу сертификата на год?
                                            Да, когда соседний банк не берет за сопровождение сертификатов ни копейки и ещё сам за этого физика ключевую пару создаёт (физику так проще ;-), то сложно обычного физика (о них разговор и шёл согласно заданным условиям) заманить на платный сертификат и самостоятельную генерацию. Про СДБО где ЭЦП вообще отсутствует как класс я вообще молчу, они ещё проще для физика и заманить на ЭЦП тоже не просто.
                                            А вы не подумали, что клиенту может не понравиться банк, где выдаются сертификаты, которые нигде больше использовать нельзя. Причем в большей степени это относится к сертификатам для юрлиц. Но об этом позже.
                                            Если у клиента появится желание использовать сертификат, выданный нашим банковским ЦС, то мы готовы помочь ему в таком начинании. Но представить физика, использующего, такой сертификат где-то ещё, кроме СДБО, я с трудом могу. Ответственность УЦ в таком случае ограничивается указанием на несоответствие действий УЦ регламенту без всякой дополнительной финансовой ответственности.
                                            Кому такой сертификат нужен, я не знаю.
                                            Как только какой-либо банк будет предоставлять возможность использовать его сертификаты, мы с удовольствием рассмотрим вариант взаимодействия.

                                            Там же четко указано "подписывается собственноручно".
                                            И там же написано, что ЭЦП "равнозначна собственноручной подписи" ;-)
                                            Форма заявления не указана, т.е. не написано, что заявление составляется исключительно на бумажном бланке.

                                            Я ведь о банке, где необходимые документы были представлены клиентом ранее, при открытии счета.
                                            И почему вы считаете, что речь не может идти о нотариально заверенных копиях документов. Ведь это тоже документы.

                                            Нет, я так не считаю, здесь разногласий в интерпретации у меня с Вами нет.

                                            Поддержу Lee, в части того, что определение электронного документа, с одной стороны, тавтологическое ("веревка есть вервие простое"), а с другой - неполное (однозначного определения "документа" как такового в законодательстве сегодня нет, есть, например, в ГОСТ'ах, но этого мало).

                                            Комментарий


                                            • #23
                                              2 Joint:
                                              Можно критиковать
                                              Что критиковать-то?
                                              Вы работающий процесс покажите, теоретизировать сейчас все умеют ;-)
                                              Вполне реально выглядит вариант 3, про публичные УЦ, ИМХО, сейчас смысла говорить нету, работать, то нужно здесь и сейчас.

                                              Комментарий


                                              • #24
                                                Zuz: Как только какой-либо банк будет предоставлять возможность использовать его сертификаты, мы с удовольствием рассмотрим вариант взаимодействия

                                                И откроете доступ к вашему УЦ другим банкам для получения СОС?

                                                Zuz: Ответственность УЦ в таком случае ограничивается указанием на несоответствие действий УЦ регламенту без всякой дополнительной финансовой ответственности.

                                                А как же Закон об ЭЦП (Статья 8, пункт 1) ?
                                                При этом удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.
                                                Zuz: Но представить физика, использующего, такой сертификат где-то ещё, кроме СДБО, я с трудом могу

                                                Я же говорил, что на данный момент это больше относится к юрлицам.
                                                Вам не кажется, что без публичных УЦ главбухи утонут в сертификатах?
                                                - сертификат для налоговой
                                                - сертификат для таможни
                                                - сертификат для банка
                                                - сертификат для подписи договоров

                                                Если главбух работает в нескольких фирмах, то это число соответственно умножается.
                                                А ведь главбух еще и физическое лицо и может обслуживаться в нескольких банках. Плюс налоговая декларация, страховые договора..

                                                Комментарий


                                                • #25
                                                  Zuz: Что критиковать-то?

                                                  Да хотя бы то, что у меня места для атрибутных сертификатов как бы и не нашлось

                                                  Комментарий


                                                  • #26
                                                    2 Joint:
                                                    И откроете доступ к вашему УЦ другим банкам для получения СОС?
                                                    Он и так открыт.
                                                    А как же Закон об ЭЦП (Статья 8, пункт 1)
                                                    А никак, AS IS, как говорится. Есть регламент, обычно к нему присоединяются путем акцепта его положений в виде заявления. Предоставлять услуги УЦ общего пользования в данный момент невозможно, т.к. нет возможности выполнить требования закона. Для корпоративной системы можно всё.
                                                    Повторюсь, негоже банку отвлекать ресурсы на непрофильный для него бизнес (публичный УЦ), к тому же ещё и не такой доходный, как другие инструменты, хотя как стратегическое решение можно и попробовать.
                                                    Если главбух работает в нескольких фирмах, то это число соответственно умножается.
                                                    Да, это косяк ;-( Ещё и пароли на доступ ко всем этим контейнерам умножаются или устанавливаются одинаковыми и простыми.
                                                    Может тогда ему печать единую на все фирмы сделать, чтобы в сейфе нужную не искать ;-)
                                                    Согласно Вашим идеям: «помимо ПД указываются должность, полномочия, название и юридический адрес фирмы», ну дык нереально это для такого бухгалтера.

                                                    Да хотя бы то, что у меня места для атрибутных сертификатов как бы и не нашлось
                                                    А, с этой стороны.
                                                    Ну, я в общем противник включать в сертификат любые персональные данные. Есть, какая-то сущность (entity). Эта сущность _связана_ с открытым ключом через поле субъект (subject) сертификата. Сертификат _связывает_ сущности и открытые ключи. Всё. Другой функции на сертификат не возложено. На основании этой связи можно идентифицировать сущности.
                                                    Все необходимые Вам в процессе работы атрибуты должны быть связаны через атрибутный сертификат с сертификатом открытого ключа. Если этот сертификат необходимо использовать в каком-либо сервисе, то АА этого сервиса должен выдать атрибутный сертификат (короткоживущий), связанный с этим сертификатом. Все заинтересованные стороны при использовании сертификата могут запросить у сервиса атрибутный сертификат и получить все необходимые атрибуты. Всё.
                                                    ПД враг долгоживущих сертификатов открытого ключа ;–(

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Zuz
                                                      2 Lee:
                                                      В качестве примера могу рекомендовать положение Банка России №774-П (дату не помню, год 2002).
                                                      Чета нет в консультанте такого документа... Может быть Вы имели в виду указание от 11 апреля 2000 г. N 774-У?
                                                      Дайте, пожалуйста, если не трудно, более четкие данные.
                                                      2 Zuz:
                                                      Приношу свои извинения - промахнулся Речь действительно шла об изменениях к 20-П и указании от 11 апреля 2000 г. N 774-У.

                                                      Комментарий


                                                      • #28
                                                        Zuz: Согласно Вашим идеям: «помимо ПД указываются должность, полномочия, название и юридический адрес фирмы», ну дык нереально это для такого бухгалтера

                                                        Невнимательно читаете. Для такого бухгалтера у меня предусмотрен 1 вариант - использование сертификата, в котором имеются только ПД.

                                                        Zuz: ПД враг долгоживущих сертификатов открытого ключа

                                                        Обычно сертификат клиентам выдается на год. Так что не вижу здесь никаких проблем.
                                                        И потом, вопрос не в возможности, а в целесообразности применения атрибутных сертификатов в банковских УЦ. ИМХО, никакой целесообразности нет. К тому же, зачем в корпоративных УЦ применять атрибутные сертификаты, если в публичных УЦ они не будут использоваться?

                                                        Zuz: Повторюсь, негоже банку отвлекать ресурсы на непрофильный для него бизнес (публичный УЦ), к тому же ещё и не такой доходный, как другие инструменты

                                                        И какие же особенные ресурсы требуются для публичного УЦ по сравнению с корпоративным? Если доступ к сертификатам будет предоставляться всем желающим, а выдавать сертификаты банк будет только своим клиентам.
                                                        Закон об ЭЦП, ИМХО, предоставляет такую возможность (Статья 17, пункт 1). Точно также, как может быть создан корпоративный УЦ, который выдает сертификаты исключительно гос. чиновникам, но с функциями публичного УЦ по обеспечению доступа к этим сертификатам. Или (в отдаленной перспективе ) корпоративный УЦ ЦБР, который предоставит неограниченный доступ к сертификатам коммерческих банков, но выпуском других публичных сертификатов заниматься не станет.

                                                        Кстати, с учетом перспектив развития в таможне электронного документооборота (http://www.tamognia.ru/news/customs/...news_1249.html) у банков появляется реальный шанс договориться с таможней, чтобы та принимала от клиентов этих банков копии таможенных платежей в электронном виде. Разумеется, в формате УФЭБС . Если, конечно, СКЗИ в СДБО совместима с таможенной.

                                                        Комментарий


                                                        • #29
                                                          2 Joint: Всё пытаюсь понять, и пока не получается - Вы специально провоцируете людей на обсуждение пустых идей или всё же свято верите в то, что пишете!?

                                                          Комментарий


                                                          • #30
                                                            2 Joint:
                                                            Для такого бухгалтера у меня предусмотрен 1 вариант - использование сертификата, в котором имеются только ПД.
                                                            Ага, сначала получит сертификат по варианту 3, потом ещё кучку сертификатов в налоговой ещё где-то, а потом новая фирма появилась и тогда вариант 1 всё по новой.
                                                            Плохо так, надо единообразно, но это утопия.
                                                            Обычно сертификат клиентам выдается на год. Так что не вижу здесь никаких проблем.
                                                            Если Вы их не видите, то это не означает, что их нет ;-)
                                                            Опыт масштабной эксплуатации технологий PKI Вам на них укажет.
                                                            К тому же, зачем в корпоративных УЦ применять атрибутные сертификаты, если в публичных УЦ они не будут использоваться?
                                                            Это технологично.
                                                            И какие же особенные ресурсы требуются для публичного УЦ по сравнению с корпоративным?
                                                            Вы не поверите это банальные деньги, т.к. необходимо нести финансовую ответственность и страховать непрофильные для банка риски (вообще сам факт существования таких рисков может негативно на банке в целом), эксплуатация сложной поддерживающей инфраструктуры, лояльный персонал... проблем в общем много.
                                                            Учитывая, что для систем класса Клиент-Банк PKI с его заморочками и сертификатами как таковой вообще не нужен. Существует же iBank и успешно используется многими банками, всех в общем то всё устраивает, все довольны.
                                                            Выделение банком в отдельное юридическое лицо своего УЦ пока слишком хлопотно, но как стратегический вариант возможно.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X