18 декабря, вторник 20:50
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Защищённость ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Защищённость ИБ

    Уважаемые коллеги! Сообщите пожаёлуста были ли у Вас случае взлоиа ИБ хакерами. У нас крупный клиент не соглашается на ИБ только из -зи того, что боится, что его обчистят хакеры. Какие доводы вы выдвигаете на вопрос о возможности взлома хакерами.
    С уважением .....

  • #2
    Уважаемые коллеги! Сообщите пожаёлуста были ли у Вас случае взлоиа ИБ хакерами. У нас крупный клиент не соглашается на ИБ только из -зи того, что боится, что его обчистят хакеры. Какие доводы вы выдвигаете на вопрос о возможности взлома хакерами.
    ...........
    А доводов и не может быть. Защищенность слабая. У нас также ни один крупный клиент не желает работать через ИБ. Предагаем ему верный (но современный)банк-клиент и прямой (или Спринт) дозвон.

    Комментарий


    • #3
      У нас пока не было, и, надеюсь, не будет. В других Латвийских банках тоже вроде не слышал, однако, сами понимаете, такую информацию (если что-то и было) будут держать за семью печатями...

      К тому же, все-таки, ИБ не всегда работают в "истинном" он-лайне в том смысле, что во многих местах транзакция все-равно проходит через back-office и оперов - смысл тогда взламывать? Денежки-то можно перевести, а через два дня вместо денег - "человек с ружьем"
      Praemonitus, Praemunitus... Другими словами, Знание - Сила.

      Комментарий


      • #4
        Я думаю, что банк выберет то решение Интернет-банкинга, которое имеет бОльшую степень защиты информации. И тогда он сможет предложить своим клиентам дополнительные гарантии в этом плане. Это же огромный плюс для банков в вопросе привлечения клиентов.

        Комментарий


        • #5
          Совершенно понятно, что про защищенность такому человеку бесполезно будет толковать. IMHO, единственное, что может повлиять - более богатый и качественный сервис работы с банком через электронную систему.
          Если ему чисто интернет не понравился, можно посадить на диалап.
          Либо стой в очереди со своими бумажными платежками, либо работай по клиент-банку. А будет рыпаться, скажем то у вас подписи в платежках не соответствуют зарегистированным в карточке. У нас по этому поводу несколько клиентов "бежали" на Клиент-Банк.

          А про хакеров, у нас постоянно сканируются порты, не успели поставить
          сервак - его уже сканируют.
          WBR
          serg

          Комментарий


          • #6
            Боязнь клиентов от непонимания. Страшно именно непонятное. Здесь кроме ликбеза ничем не помочь. Ну могу я привести кучу примеров. Вот один из клиентов одного из уральских банков шлет платежки и по 30 млн. рублей и по 50 млн. Именно по Интернет-Банкингу. И что, это убедит Вашего клиента начать работать по Интернет-Банкингу?! Врядли. Думаю, что клиента слабо убедит и наличие Сертификата соответствия ФАПСИ на встроенную криптографию. И даже страховой полис . В общем - только ликбез.

            С уважением, Репан Димитрий
            Компания "БИФИТ"
            С уважением, Репан Димитрий
            Компания "БИФИТ" - www.bifit.com

            Комментарий


            • #7
              to Korporativshik
              Добрый день! А в самом себе Ваш клиент уверен?
              1.Протокол - это алгоритм согласованных действий сторон, направленных на достижение определенного результата.
              Составной частью протокола обмена электронными документами являются не только программные и аппаратные средства, но и действия конкретных исполнителей.Упование на ОС/ПО/HTTP/SSL/etc как на единственный барьер, защищающий нас от злоумышленников,можно назвать технологическим фетишизмом.

              2. "Правопорядок в стране определяется не наличием воров, а умением органов их ловить".
              Ловить гораздо проще по горячим следам, и если бухгалтер клиента несколько дней не смотрит выписку, то вероятность увода средств посредством принесенной курьером бумажной платежки с очень похожими на
              настоящие подписью и печатью определяется только качеством субъективного (органолептического) контроля.
              Кто-нибудь видел за стойкой операционного зала профессионального графолога? А для того, чтобы выбрать систему, некорректно проверяющую ЭЦП клиента, нужно сильно постараться.
              Посмотри выписку во второй половине дня (через "б-к") и позвони в банк: "Милочка, а я что, действительно отправила 100млн. на Багамы?". Этот же вопрос, заданный спустя две недели, будет иметь гораздо меньший эффект.

              3. Ни ОС, ни прикладное ПО,пусть даже специализированное, ни сетевые протоколы сами по себе не защищают.
              Если у клиента на фирме бардак, ключевые дискеты валяются на столе, а бумажка с паролем приклеена к монитору, то не поможет ничего. Если ЭЦП клиента была в руках его бухгалтера, через некоторое время уволенного за воровство, и после этого клиент не сменил ЭЦП - то кто, кроме него, виноват?
              В договоре должны быть сформулированы условия, при которых ключи/пароли считаются скомпрометированными, и действия,
              предпринимаемые в этих случаях. Как клиент обеспечит сохранность ключей (носителя ключевой информации) - его проблема,
              он об этом должен быть предупрежден.

              Успехов

              Комментарий


              • #8
                BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил Capt
                Я думаю, что банк выберет то решение Интернет-банкинга, которое имеет бОльшую степень защиты информации. И тогда он сможет предложить своим клиентам дополнительные гарантии в этом плане. Это же огромный плюс для банков в вопросе привлечения клиентов.[/quote]

                В чем уважаемый Capt планирует измерять "бОльшую степень защиты информации" в Интернет-Банкинге? В килограммах? В кубометрах? В Джоулях? А может в мегабайтах установленного у клиента дополнительного спец.ПО, о "бОльшей защищенности" и особенно "бОльшей надежности" которого так усердно вещает Capt?

                Предлагаю, если только г-н Capt технический специалист, а не очередной маркетолог из компании-разработчика решений для Интернет-Банкинга (к сожалению Capt по какой-то причине сохраняет анонимность), развязать действительно продуктивную дискуссию о защищеннсти и надежности различных решений для Интернет-Банкинга. Уверен - будет интересно.

                С уважением, Репан Димитрий
                Компания "БИФИТ"
                С уважением, Репан Димитрий
                Компания "БИФИТ" - www.bifit.com

                Комментарий


                • #9
                  Наш банк развития автомобильной индустрии СССР работает с Банк-клиентом юр. лиц с 92, а с И-банком физ. лиц с 97-98 года, хотя FTP доступ юр. лиц включился только 2-3 года назад. Приходят непонятные запросы, но они просто не воспринимаются системой, а была это атака или просто ошиблись дверью, не знаем, но прорывов нет и не будет. Наша электронная подпись принята судом, был случай, судились две фирмы, одна послала платежи, подписав таблеткой. Вторая говорила, что это ерунда, суд сказал, что они ошибаются.
                  Александр

                  Комментарий


                  • #10
                    А я согласен с Capt!

                    Чем больше система ИБ предоставляет степеней защиты, тем больше уверенности и у клиента и у банка в ее надежности. К примеру применение дополнительных пин кодов на операции (транзакции).
                    Дмитрий, в системе iBank это реализовано?

                    С уважением, Герасимов Александр

                    Комментарий


                    • #11
                      Уважаемый Александр Герасимов!

                      Уверенность у клиента и у банка должна основываться не на количестве степеней защиты, а на понимании способов атак, предполагаемых рисков и используемых механизмов защиты. Если нужен пин-код (выполняющий фактически функции пароля при аутентификации, хотя изначально PIN - это персональный идентификатор) - значит надо его использовать.

                      Что касается аутентичности операций, то самым надежным механизмом является ЭЦП клиента под распоряжениями. ТТК и прочие пин-коды с паролями при совершении операции - это уже упрощение, влекущее за собой снижение уровня безопасности, появления возможности у банка подделать распоряжение клиента и пр.

                      Что касается iBank'а, то в нем используется ЭЦП клиента под электронными документами (платежка, валютный перевод, конвертация и пр.).

                      PIN-код используется в iBank'е на стороне клиента только при работе со смарткартой для доступа к DF-файлу, в котором хранятся секретные ключи ЭЦП клиента. Без знания PIN-а нельзя считать со смарткарты DF-файл с секретными ключами ЭЦП клиента.

                      С уважением, Репан Димитрий
                      Компания "БИФИТ"
                      С уважением, Репан Димитрий
                      Компания "БИФИТ" - www.bifit.com

                      Комментарий


                      • #12
                        Ну что ж Дмитрий, давайте обсудим!
                        Я говорю о пин кодах на транзакции, КАК ДОПОЛНЕНИЕ К ЭЦП! Т.е. сделать возможным, чтобы клиент (либо администратор) могли настраивать различные условия для проведения платежа.
                        Давайте рассмотрим ситуацию, когда клиент находится не в своем офисе, а в командировке. Зашел в интернет из кафе или гостиницы, у него перехватили ключи и пароли на ключи и все, при следующем сеансе он может не увидеть свой остаток на счете. И без разницы, какой "толщины" был ваш "клиент", хоть супертонкий, ключи везде есть и их можно похитить, как и пароли.
                        А вот если на транзакцию повешать динамические пин-коды, которые не повторяются, то можно смело утверждать, что клиент останется при своих средствах. Вот это и есть дополнительное средство защиты к уже существующим.
                        Почему Вы не берете эту идею в свою разработку, разве она не логичная или не хотите "утяжелять" свой продукт?

                        С уважением, Герасимов Александр

                        Комментарий


                        • #13
                          Позволю себе с Вами не согласиться. BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>╘ Димитрий
                          ТТК и прочие пин-коды с паролями при совершении операции - это уже упрощение, влекущее за собой снижение уровня безопасности, появления возможности у банка подделать распоряжение клиента и пр.[/quote]А как у Вас реализована ЭЦП? На сертификатах? Тогда все разговоры о том, что ЭЦП является надежным АСП, а использование ТТК снижает безопасность - не более, чем красивый рекламный блеф с целью повысить ставки.

                          До той поры, пока для идентификации клиента не будут применяться биометрические системы, большой разницы между ТТК, DigiPass или сертификатом не будет. DigiPass, например, или ActivCard в данном случае будут даже более удобны, чем сертификат. Потому как на уровне передачи данных солидные банки все равно шифруют информацию церез SSL, а а уровне доступа - поставил клиент себе сертификат на компьютер, а чем ограничено использование? Правильно, паролем. А чем такой пароль лучше любого другого?

                          По поводу подделки банком - с сертификатами еще проще, потому как банки вряд ли захотят принимать сертификаты, выданные third party, так что certificate authority, скорее всего, будет внутрибанковская. А тогда, если уж так относиться к банкам... платежку хоть на миллион можно провести без ведома клиента, а если будет закон ЭЦП, так тому еще и отвертется, скорее всего, не удастся.

                          В данном случае большой разницы между ЭЦП, ТТК или любым другим вариантом я пока не вижу. Подделать можно все. А посему ЭЦП пока что лишь немного более надежна, чем ТТК, и то - на уровне проверки целостности информации, а не аутентификации.
                          Praemonitus, Praemunitus... Другими словами, Знание - Сила.

                          Комментарий


                          • #14
                            To AGL

                            Посмотри выписку во второй половине дня (через "б-к") и позвони в банк: "Милочка, а я что, действительно отправила 100млн. на Багамы?". Этот же вопрос, заданный спустя две недели, будет иметь гораздо меньший эффект.

                            Трудно не согласиться, но физические лица, в отличие от юридических, выписки ежедневно смотреть не будут. Поэтому, с этой точки зрения, home-banking более опасная штука, чем ИБ для юрлиц, особенно для богатых клиентов.

                            Руководство нашего банка также считает, что интернет-банк менее надежен по сравнению с классическим Банк-Клиентом. Даже при использовании карточки или Touch Memory для хранения секретных ключей. Причем опасность не столько в хищении секретных ключей, сколько в том, что в результате деятельности "троянского коня" будет подписано не то, что набиралось.

                            А поскольку ждать более безопасных решений ИБ не совсем разумно, мы рекомендовали руководству следующие ограничения:

                            1. ИБ для юридических лиц - только выписки
                            2. ИБ для физических лиц - перевод средств в пределах своих счетов (текущий, карточный, депозитный, валютный)
                            3. Для платежной системы В2С - привязка в банке к счету физического лица информации о домашнем адресе, куда следует доставлять товар, номера контактного телефона, а также паспортных данных, если товар получают лично, например, в автомобильном салоне.
                            При этом корыстный мотив для взлома ИБ утрачивает силу, остаются только хулиганские побуждения.

                            PS Я тут посетил сайты американских банков (www.citibank.com, www.bofa.com) и, как понял, они также не предоставляют по ИБ всех возможностей. Во-первых, ИБ там только для физических лиц (home banking), но даже для физиков допускается работа только со своими считами, т.е. перевод средств на чужой счет невозможен. Или у меня что-то с английским?

                            Комментарий


                            • #15
                              BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил Maestro
                              А как у Вас реализована ЭЦП?[/quote]

                              В соответствии с ГОСТ Р34.10-94 и ГОСТ Р34.11-94. Если Вы, уважаемый Maestro, не знакомы с криптографическими алгоритмами, описанными в указанных ГОСТах, то могу пояснить. В основе российского ГОСТа на ЭЦП лежит алгоритм Эль-Гамаля, относящийся к асимметричным криптографическим алгоритмам, то есть имеющим пару ключей - один серкетный, который знает ТОЛЬКО клиент и с помощью которого формируется ЭЦП под документом, второй - открытый ключ, который знает принимающая сторона (в нашем случае Банк), и с помощью которого можно проверить ЭЦП под документом, подтвердив авторство и целостность документа. Естественно пару ключей генерирует сам клиент.

                              BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Тогда все разговоры о том, что ЭЦП является надежным АСП, а использование ТТК снижает безопасность - не более, чем красивый рекламный блеф с целью повысить ставки.[/quote]

                              Вся проблема в том, что суррогаты типа пин-кодов, паролей, ТТК и пр. технически допускают возможность сформировать т.н. Аналог Собственноручной Подписи не только клиенту, но и Банку. В случае же использования механизма ЭЦП, основанного на стойких криптографических алгоритмах (RSA, Эль-Гамаль, элипсные кривые и пр.), подделать электронную подпись клиента не может ни банк, никто другой.

                              BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>До той поры, пока для идентификации клиента не будут применяться биометрические системы, большой разницы между ТТК, DigiPass или сертификатом не будет.[/quote]

                              Речь не идет об идентификации и аутентификации клиента. Речь идет об аутентичности (авторство и целостность) документов.

                              В Вашем письме, уважаемый Maestro, Вы упоминаете о Сертификатах, подразумевая, как я понял из контекста, клиенсткий Сертификат X.509, установленный в Web-браузер клиента. Так вот, наличие такого сертификата в бразуере позволяет только провести строгую аутентификацию клиента, но никак не создать электронный документ (платежка) с ЭЦП клиента (который и является доказательным материалом при разрешении конфликтных ситуаций). Я конечно понимаю, что Вы можете в Договоре между Банком и Клиентом указать, что все споры разрешаются на основе логов Вашего Web-сервера (которые всегда можно подправить). Так ведь именно это и есть профанация.

                              BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>DigiPass, например, или ActivCard в данном случае будут даже более удобны, чем сертификат. Потому как на уровне передачи данных солидные банки все равно шифруют информацию церез SSL, а а уровне доступа - поставил клиент себе сертификат на компьютер, а чем ограничено использование? Правильно, паролем. А чем такой пароль лучше любого другого?[/quote]

                              Я согласен с Вами, что использование клиентского Сертификата, установленного в Web-браузер, для строгой аутентификации клиента неоправдано. Это усложняет работу клиента. Клиент должен каждый раз добавлять свой Сертификат в БД Сертификатов Web-браузера, а по окончании работы - удалять его. Это неудобно.

                              Что же касается пароля для доступа к Секретному ключу, хранящемуся в Сертификате, так ведь это классика. Никто в здравом уме не хранит серкетные ключи в открытом виде, а как минимум в зашифрованном на хеш-фнукиции от идентификатора ключа и вводимого пароля. В общем, уважаемый Maestro, могу Вам только порекомендовать почитать PKCS - там рекомендованы способы хранения секретных ключей.

                              BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>В данном случае большой разницы между ЭЦП, ТТК или любым другим вариантом я пока не вижу.[/quote]

                              Это плохо, что не видите. ЭЦП используется для аутентичности электронного документа. В том числе и для доказатества, на основании чего банк совершил операцию по счету клиента.

                              ТТК - телексные ключи - это так сказать упрощенная, вырожденная ЭЦП, фактически это параметрическая функция от документа (в случае платежки - как правило от даты, номера, суммы и счета) и секретной компоненты, известной клиенту и банку (так как именно Банк выдает секретные таблицы Клиенту). Так вот ТТК расчитывает сам клиент, методом подстановок и замен. Этот механизм использовался достаточно давно, в том числе и в финансовой сфере. Сейчас, когда на производительность PC позволяет за пол-секунды посчитать (A^B) mod C, где A, B и C - числа длиной в 1024 бита, использовать ТТК - анахронизм. Современный PC позволяет совершенно спокойно использовать полноценный механизм Электронной Цифровой Подписи клиента под его платежкой.

                              А Вы, уважаемый Maestro, смешали всё в одну кучу.

                              BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Подделать можно все.[/quote]

                              Фраза о подделке ЭЦП достаточно самонадеяна. Вы можете зайти на сайт https://ibank.isb.ru и попробовать от имени БИФИТа отправить денюжку со счета БИФИТа. Это реальная работающая система и реальный Банк. Секретный ключ ЭЦП я, естественно, Вам не дам. Открытый ключ для проверки подписи - пожалуйста. Я не имею ничего на своем компьютере, никаких Сертификатов в барузерах. У меня есть только секретный ключ ЭЦП клиента, который хранится в файле в зашифрованном на пароле виде на дискете. Успехов в ломании.

                              BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR> А посему ЭЦП пока что лишь немного более надежна, чем ТТК, и то - на уровне проверки целостности информации, а не аутентификации.[/quote]

                              Меня часто упрекают в том, что я налево и направо обвиняю людей в некомпетентности. Тогда что это еще, если некомпетентность???

                              Специально для Вас, Maestro, повторюсь, что в случае использования ТТК, секретные таблицы для расчета ТТК формирует сам Банк и передает клиенту. Соответственно сам банк может сформировать документ с корректным ТТК.

                              В случае использования ЭЦП, пару ключей генерирует сам клиент. Секретный хранит у себя, а открытый передает Банку. Банк, имея открытый ключ клиента, в прицнипе НЕ МОЖЕТ создать документ с корректной ЭЦП клиента.

                              В случае ТТК обеспечивается только целостность документа и проводится косвенная аутентификация, что документ создал клиент. При этом этот же документ может создать и банк. Именно к этому факту и может аппелировать продвинутый клиент в случае конфликтной ситуации.

                              В случае с ЭЦП подпись подделать не может никто. И документ с ЭЦП априори может создать только владелец секртного ключа, то есть только Клиент.

                              Схема с ЭЦП принципиально отличается от схемы с ТТК.

                              С уважением, Репан Димитрий
                              Компания "БИФИТ"
                              С уважением, Репан Димитрий
                              Компания "БИФИТ" - www.bifit.com

                              Комментарий


                              • #16
                                BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил Александр Герасимов
                                Давайте рассмотрим ситуацию, когда клиент находится не в своем офисе, а в командировке. Зашел в интернет из кафе или гостиницы, у него перехватили ключи и пароли на ключи и все, при следующем сеансе он может не увидеть свой остаток на счете. И без разницы, какой "толщины" был ваш "клиент", хоть супертонкий, ключи везде есть и их можно похитить, как и пароли.[/quote]

                                Ок. Значит речь зашла о доверии к среде исполнения. Тогда предлагаю еще более крутой сценарий, когда даже предолженныме Вами, Александр, пин-коды не помогают:

                                Вредоносный код не только перехватывает пароль, вводимый для доступа к секретному ключу ЭЦП клиента, не только считывает и сохраняет где-то секретный ключ ЭЦП клиента, но и подменивает отображаемую информацию клиенту. Здесь два подварианта.

                                Первый - отображаются одни реквизиты и сумма, а подписываются и отправляются вместе пин-кодами другие реквизиты и сумма.

                                Второй подвариант - отображается, что все Ок, а на самом деле ничего в банк не отправляется. Далее злоумышленник воспользуется файлом с секретным ключом ЭЦП, паролем к нему, и предложеными Вами пин-кодами, который клиент ввел (но вредоносная прогармма не отправила), и спокойненько отправляет платеж уже по-максимуму куда-нибуть в Антигуа.

                                BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>А вот если на транзакцию повешать динамические пин-коды, которые не повторяются, то можно смело утверждать, что клиент останется при своих средствах. Вот это и есть дополнительное средство защиты к уже существующим.[/quote]

                                Александр, предложеное Вами добавление пин-кодов есть профанация защиты, так как на самом деле ни от чего не защищает, а только добавляет сложности в работе, добавляет мезанизм выработки и передачи клиентам таблицы одноразовых пин-кодов и пр.

                                Если нет доверия к среде исполнения, тогда вообще нельзя работать, даже при использовании смарт-карт, когда секретный ключ не покидает карточу, и ЭЦП осуществляется самой смарткартой. Ведь даже в этом случае существует угроза атаки на подмену реквизитов в подписываемом документе.

                                BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Почему Вы не берете эту идею в свою разработку, разве она не логичная или не хотите "утяжелять" свой продукт?[/quote]

                                И здесь без подколки не получается ? "Утяжеления" продукта, как Вы сами прекрасно понимаете, не произойдет. В случае реализации Вашего варианта "дополнительной защиты" в документы просто добавится дополнительное поле "пин-код", что совершенно не отразится как на размерах апплета, так и на скорости работы.

                                С уважением, Репан Димитрий
                                Компания "БИФИТ"
                                С уважением, Репан Димитрий
                                Компания "БИФИТ" - www.bifit.com

                                Комментарий


                                • #17
                                  BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил sandyman
                                  Я тут посетил сайты американских банков (www.citibank.com, www.bofa.com) и, как понял, они также не предоставляют по ИБ всех возможностей. Во-первых, ИБ там только для физических лиц (home banking), но даже для физиков допускается работа только со своими считами, т.е. перевод средств на чужой счет невозможен. Или у меня что-то с английским?[/quote]

                                  Уважаемый sandyman, Вы не то смотрели

                                  Посмотрите системы для Интернет-Банкинга оффшорных банков. Там можно всё - и отправлять, и управлять, и получать. И для всех - юриков и физиков.

                                  Как правило, весь интерфейс на базе html-страниц. Для шифрования - строгий SSL (даже патчи для браузеров лежат). Для аутентификации клиента - браузерный логин с паролем (куки используют редко). Для аутентичности документов - ТТК. Про риски держания денег в оффшорах и управления ими рассказывать, я надеюсь, не надо?

                                  С уважением, Репан Димитрий
                                  Компания "БИФИТ"
                                  С уважением, Репан Димитрий
                                  Компания "БИФИТ" - www.bifit.com

                                  Комментарий


                                  • #18
                                    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>╘ Димитрий
                                    В соответствии с ГОСТ Р34.10-94 и ГОСТ Р34.11-94. [/quote]Уважаемый Димитрий! Во-первых, я не проживаю в России (к сожалению), так что приведенные Вами номера ГОСТ мне, к сожалению, ничего не говорят. Во-вторых, меня интересовал не криптографический принцип, лежащий в основе Вашего решения (ассиметрическая криптография и так лежит в основе почти 90% решений ЭЦП), а именно техническое решение - т.е., каким образом клиент сам генерирует пару ключей - с помощью софта, или смарт-карты с софтом (тогда - кто такой софт или карту предоставляет), и т.д. - то есть, детальная процедура бизнес-процесса, т.е.:

                                    1) Клиент с помощью ... путем ... генерирует пару комплементарных ключей ЭЦП, в основе которой лежит ассиметрическая криптография.
                                    2) Клиент передает в Банк на ... (носителе) или путем ... открытый (публичный) ключ ЭЦП.
                                    3) и т.д.

                                    Если, конечно, такая информация не является по Вашему мнению конфиденциальной. BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Речь не идет об идентификации и аутентификации клиента. Речь идет об аутентичности (авторство и целостность) документов.[/quote]По поводу подтверждения целостности подписанного документа - полностью согласен, что ЭЦП на основе ассиметрической криптографии на данный момент такую функцию выполняет намного лучше ТТК (кстати, у нас под этой аббревиатурой обычно понимают Таблицы Тест-Ключей (или, иногда, Кодов), однако, судя по всему, мы все-же говорим об одном и том же, только называем по разному). А вот по поводу подтверждения авторства - что же это, если не идентификация? BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>...клиенсткий Сертификат X.509, установленный в Web-браузер клиента. Так вот, наличие такого сертификата в бразуере позволяет только провести строгую аутентификацию клиента, но никак не создать электронный документ (платежка) с ЭЦП клиента (который и является доказательным материалом при разрешении конфликтных ситуаций).[/quote]Это почему же? Тогда пожалуйста, поясните подробно, как Вы предлагаете реализовать механизм ЭЦП?

                                    По поводу Вашего предложения попробовать отправить деньги от имени БИФИТа - я не профессиональный программист (а тем более, не хакер), так что могу Вам предложить с таким же успехом отправить деньги от моего имени через Saules Internet-Bank, где используются признанные Вами анахронизмом таблицы тест-кодов. Это не довод.

                                    Жду побробного описания процесса, чтобы мы могли обсудить конкретику, а не глобальные вещи наподобие криптографических алгоритмов
                                    Praemonitus, Praemunitus... Другими словами, Знание - Сила.

                                    Комментарий


                                    • #19
                                      to Димитрий

                                      Посмотрите системы для Интернет-Банкинга оффшорных банков.

                                      Я Вас правильно понял, Дмитрий, что солидным банкам (мы, конечно, не Bank of America и даже где-то не Citibank , но ведь и Беларусь - не Америка!) связываться с платежами по ИБ не следует? Во всяком случае, для физических лиц, которые из вредности не желают контролировать выписку ежедневно?

                                      to All

                                      Москвичи на этом форуме есть ?
                                      Хотел бы узнать ваше мнение о перспективности услуги оплаты дорогих товаров (автомобили, мебель) в розничной торговле по ИБ, с использованием компьютера (интернет-терминала), установленного в магазине. В случае привязки паспортных данных к счету клиента в банке, такие платежи будут абсолютно безопасными,
                                      т.к. товар передается человеку, паспортные данные которого совпадают с данными из квитанции об оплате, полученной из банка. Квитанция здесь играет роль своеобразной доверенности.
                                      Или новые русские держат приличные суммы на карточках?

                                      Комментарий


                                      • #20
                                        Hello Dimitry,

                                        > Вы можете зайти на сайт https://ibank.isb.ru и попробовать от
                                        > имени БИФИТа отправить денюжку со счета БИФИТа. .....секретный
                                        > ключ ЭЦП я, естественно, Вам не дам. Открытый ключ для
                                        > проверки подписи - пожалуйста.

                                        Просто так ломать ключ никто не будет. Вот если за взлом
                                        дадут 5-10кб тогда желающие вероятно появятся.
                                        WBR
                                        serg

                                        Комментарий


                                        • #21
                                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил Maestro
                                          меня интересовал ... именно техническое решение - т.е., каким образом клиент сам генерирует пару ключей - с помощью софта, или смарт-карты с софтом ... и т.д. - то есть, детальная процедура бизнес-процесса, т.е.:[/quote]

                                          Краткая цитата с нашего сайта:

                                          Регистрация клиента состоит из двух этапов - самостоятельная предварительная регистрация и окончательная регистрация при очном посещении банка.

                                          Для самостоятельной предварительной регистрации клиент, действуя по инструкции, через Web-браузер загружает Java-апплет "Регистратор". Java-апплет оформлен в виде Мастера (Wizard). Отвечая на вопросы, клиент заполняет соответствующие поля в Java-апплете. Далее Java-апплет генерирует пару ключей ЭЦП клиента. Всю введенную клиентом информацию и его открытый ключ ЭЦП Java-апплет "Регистратор" через защищенное соединение отсылает в банк и предварительно регистрирует. Далее клиент вводит два раза пароль, Java-апплет зашифровывает секретный ключ ЭЦП и сохраняет его на дискете клиента. На последнем шаге клиент в Java-апплете распечатывает Сертификат своего открытого ключа ЭЦП. На этом предварительная регистрация окончена.

                                          Для окончательной регистрации клиент должен с распечатанным Сертификатом своего открытого ключа ЭЦП приехать в банк и предъявить Сертификат администратору системы "iBank". Администратор распечатывает Договор с клиентом, по идентификатору ключа в АРМе "Администратор" находит клиента в "Новых", просматривает, правильно ли клиент ввел все свои реквизиты. Если надо - редактирует. Распечатывает Сертификат открытого ключа ЭЦП клиента. Клиент подписывает документы. После этого администратор в АРМе окончательно регистрирует клиента, переводя его из "Новых" в "Зарегистрированные". Далее, при необходимости, добавляет клиенту нужные счета, устанавливает права клиентам на работу с нужными типами документов. На этом регистрация клиента завершается.

                                          К достоинствам описанного подхода следует отнести организационную простоту самой процедуры, минимальную нагрузку на администратора, отсутствие необходимости возить клиенту в банк дискету, что-то получать из банка на дискетах. Требуется всего лишь одно посещение клиентом банка для подписи Договора на обслуживание в системе "iBank".


                                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>По поводу подтверждения целостности подписанного документа - полностью согласен, что ЭЦП на основе ассиметрической криптографии на данный момент такую функцию выполняет намного лучше ТТК[/quote]

                                          Уважаемый Maestro, функцию подтверждения авторства и целостности документа механизм ЭЦП выполняет не "намного лучше ТТК", а качественно по-другому. Главное, качественное отличие ЭЦП от ТТК - документ с ЭЦП может сформировать только клиент. В случае использования ТТК - и клиент, и банк.

                                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>А вот по поводу подтверждения авторства - что же это, если не идентификация? [/quote]

                                          Ну это уже надо к определениям, к классике возвращаться

                                          Идентификация (Identification) - это процесс распознования сущностей при помощи присвоенных им уникальных меток (идентификаторов).

                                          Аутентификация (Authentication) - это проверка подлинности идентификаторов сущностей с помощью различных (преимущественно криптографических) методов.

                                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Это почему же? Тогда пожалуйста, поясните подробно, как Вы предлагаете реализовать механизм ЭЦП?[/quote]

                                          Maestro, как Вы предполагаете использовать установленный в Web-браузер клиентский Сертификат X.509 для подписи полей html-формы, заполняемой клиентом? Что ж, Netscape в свое время начиная с версии 4 ввел подобную функцию в свой браузер. Но к сожалению, она не получила широкого распространения. В MS IE функции подписи под полями html-формы пока не предусмотрено. Что остается? Реализовывать самостоятельно механизм ЭЦП. Делают это по-разному. Кто-то - в виде ProxySSL, кто-то в виде Plug-In'а, кто-то в виде Java-апплета.

                                          С уважением, Репан Димитрий
                                          Компания "БИФИТ"
                                          С уважением, Репан Димитрий
                                          Компания "БИФИТ" - www.bifit.com

                                          Комментарий


                                          • #22
                                            BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил Sandyman
                                            Я Вас правильно понял, Дмитрий, что солидным банкам (мы, конечно, не Bank of America и даже где-то не Citibank , но ведь и Беларусь - не Америка!) связываться с платежами по ИБ не следует?[/quote]

                                            У Вас, sandyman, как бы это помягче выразится ... что-то с понималкой не в порядке, раз такую глупость несёте.

                                            Специально для Вас, sandyman, поясняю, что пример предоставления оффшорными банками услуг Интернет-Банкинга я привел исключительно из образовательных целей, что бы Вы могли посмотреть, как реально работают другие, пусть и мелкие (хотя ихним оборотам многие не то что беларусские, российские банки позавидует), но более проворные, более поворотливые банки. И работают вовсю.

                                            С уважением, Репан Димитрий
                                            Комапния "БИФИТ"
                                            С уважением, Репан Димитрий
                                            Компания "БИФИТ" - www.bifit.com

                                            Комментарий


                                            • #23
                                              BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил sharpcat
                                              Просто так ломать ключ никто не будет. Вот если за взлом
                                              дадут 5-10кб тогда желающие вероятно появятся.[/quote]

                                              Серега, в том то и кайф, что взломав, можно всё взять самому
                                              С уважением, Репан Димитрий
                                              Компания "БИФИТ" - www.bifit.com

                                              Комментарий


                                              • #24
                                                Дима,

                                                >> Серега, в том то и кайф, что взломав, можно всё взять самому

                                                Зачем же людей заведомо ставить вне закона. Насколько я нонимаю
                                                такой взлом будет считаться мошенничеством(?).
                                                Поэтому сурьезные люди не будут ломать.

                                                Публикуй ключи, назначай премию, уверен - желающие найдуться.

                                                WBR
                                                serg

                                                Комментарий


                                                • #25
                                                  BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>╘ Димитрий
                                                  ...клиент, действуя по инструкции, через Web-браузер загружает Java-апплет "Регистратор". Java-апплет оформлен в виде Мастера (Wizard). Отвечая на вопросы, клиент заполняет соответствующие поля в Java-апплете. Далее Java-апплет генерирует пару ключей ЭЦП клиента. Всю введенную клиентом информацию и его открытый ключ ЭЦП Java-апплет "Регистратор" через защищенное соединение отсылает в банк и предварительно регистрирует. Далее клиент вводит два раза пароль, Java-апплет зашифровывает секретный ключ ЭЦП и сохраняет его на дискете клиента. [/quote]
                                                  Отлично, согласен, принцип неплохой. Sorry, что сразу не догадался на Вашем сайте посмотреть.

                                                  Теперь по существу - получается, что единственным гарантом создания ЭЦП в данном случае является БИФИТ. Кстати, с чьего сервера клиент загружает апплет - с Вашего или банковского? Сразу оговорюсь - давайте без обид, лично БИФИТу я ничего не инкриминирую, однако если клиенту, по Вашему, следует не до конца доверять банку, так как при использовании ТТК банк может от имени клиента формировать финансовые документы, однако в то же время этому же гипотетическому клиенту следует во всех смыслах принять на веру продукт софт-разработчиков для создания во всех смыслах надежной ЭЦП??? Если рассматривать данную ситуацию с точки зрения чистой теории, не вдаваясь в персоналии и не принимая во внимание надежность и респектабельность конкретных банков, IT-development компаний, систем И-Б и т.д., то ситуация представляется довольно абсурдной. К тому же, кто выступает гарантом ЭЦП в данном случае, т.е. несет материальную в т.ч. ответственность за ущерб, причиненный компромитацией ЭЦП, происшедшей не по вине клиента???
                                                  BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>...функцию подтверждения авторства и целостности документа механизм ЭЦП выполняет не "намного лучше ТТК", а качественно по-другому.[/quote]Опять-таки - по поводу целостности - полностью согласен! По поводу авторства - чем ограничен доступ к ЭЦП на дискете? Правильно, паролем. А ТТК - динамические коды + константа (довольно распространенный вариант). Давайте рассмотрим теоретическую сиутацию - у Вас, предположу, для входа в И-Б есть логин, пароль, возможно - "желтая карта", и - хранящяяся в сейфе дискета с приватным ключом ЭЦП, защищенной паролем. У меня - логин, пароль, "желтая карта", и хранящаяся в сейфе таблица тест-кодов, к которой имеется константа, известная только мне.

                                                  Теперь рассмотрим данную ситуацию с точки зрения злоумышленника, делающего создать фальшивый платежный документ от Вашего или моего имени. Скажите, сильно ли различается список "преград", стоящий на его пути???
                                                  BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>...использовать установленный в Web-браузер клиентский Сертификат X.509 для подписи полей html-формы, заполняемой клиентом? Что ж, Netscape в свое время начиная с версии 4 ввел подобную функцию в свой браузер. Но к сожалению, она не получила широкого распространения. В MS IE функции подписи под полями html-формы пока не предусмотрено.[/quote]HTML-формы - да. Я не настолько знаком с тонкостями www-программирования, однако один из банков, входящих в группу с нашим, в своем решении BankWorld от CR2 использует именно клиентский сертификат + Private Key Container технологию (встроенную в Windows и IE) + 128-bit SSL. Они, однако, открывают отельное окно, где еще раз показывается вся введенная информация, которая собственно и подписывается ЭЦП. Однако и у них есть свой недостаток с точки зрения доверия - Certificate Authority у них, естественно, свой

                                                  P.S. Так что с точки зрения целостности документа - почти готов с Вами согласиться насчет неоспоримых преимуществ ЭЦП перед ТТК. Однако целостность - вопрос второстепенной важности, когда речь заходит об авторстве. А здесь - все сводится к примитивным вещам - те же пароли, пароли, пароли... И никаких существенных преимуществ ЭЦП (либо на основе Java-апплета, либо сертификата, либо plug-in) перед ТТК не имеет и пока что, к сожалению, иметь не может, так как сама технология - да, надежна, а ограничение доступа к ней сводит все кажущиеся преимущества на нет, если только я чего-то не упускаю.
                                                  Praemonitus, Praemunitus... Другими словами, Знание - Сила.

                                                  Комментарий


                                                  • #26
                                                    to Димитрий

                                                    Уважаемый Дмитрий!
                                                    Единственное, что я хотел услышать от Вас, понятливый Вы наш,
                                                    это объяснение тому факту, что солидные банки не только в отсталой России, но и на передовом Западе не торопятся предоставлять по ИБ возможность осуществления внешних платежей, хотя внутренние - пожалуйста. Это скорее неразворовливость , чем неразворотливость.

                                                    Комментарий


                                                    • #27
                                                      sandyman

                                                      Это как??? Что, до сих пор???
                                                      В прибалтике внешние платежи давно, так сказать, норма в И-Б... Значит, либо мы всех перегнали, либо бежим куда-то в другую сторону
                                                      Praemonitus, Praemunitus... Другими словами, Знание - Сила.

                                                      Комментарий


                                                      • #28
                                                        To Maestro

                                                        Я говорил о приличных банках, а не о банках для отмывания денег. Не примите на свой счет .

                                                        PS Как же Вы в передовой Латвии вместо цивилизованной ЭЦП продолжаете уповать на доисторические ТТК ?
                                                        Каким образом Вы передаете клиентам ТТК? По почте? И это секретную информацию? Как часто Вы меняете ТТК у клиентов?
                                                        При ассиметричных ключах клиентами передается несекретный открытый ключ.
                                                        ТТК скорее следует сравнивать с симметричными ключами. И стойкость защиты будет явно не в пользу ТТК.

                                                        Комментарий


                                                        • #29
                                                          2 sandyman

                                                          Да, все мы здесь, в маленькой, гордо-продажной Латвии, деньги отмываем... жить-то надо на что-то... сейчас аж расплачусь горькими слезами, предварительно покраснев от стыда...

                                                          По поводу PS - как я уже долго пытаюсь доказать, больших и принципиальных, реально действующих и приносящих прибыль либо снижающих риск преимуществ пока что технологии ЭЦП в существующем виде перед ТТК не имеют. А системы стоят денег, а деньги на деревьях не растут и в кармане, пусть даже банковском, сам не плодятся.

                                                          К тому же у нас ЭЦП уже многие банки используют, однако вложить около 200К долл. США в проет И-Б только ради тяжелой и неудобной в использовании, зато, по утверждению разработчиков, "самой надежной в мире" системы ЭЦП для И-Б - все равно что заплатить деньги за АБС + круиз-контроль + кондишн для "жигулей", которые и без наворотов неплохо бегают и на работу исправно возят

                                                          А так все вопросы по надежности, как и раньше, можно решать только по одному принципу - доверять/не доверять банку, и никакая ЭЦП в данном случае не поможет...
                                                          Praemonitus, Praemunitus... Другими словами, Знание - Сила.

                                                          Комментарий


                                                          • #30
                                                            Уважаемый sandyman,

                                                            давайте не будем по 3 раза один постинг редактировать! А то я за Вами не успеваю - отвечаю на одно, отправил - уже другое на том же месте
                                                            Praemonitus, Praemunitus... Другими словами, Знание - Сила.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X