18 апреля, воскресенье 05:21
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Ключи ЭЦП

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • BARD
    Участник добавил опрос в Ключи ЭЦП

    Ключи ЭЦП

    34
    Клиент вормирует ключи сам
    85.29%
    29
    Банк формирует и выдает готовые ключи клиенту
    14.71%
    5
    Показать больше ответов
    Показать меньше ответов
    Оформляет ли кто-то договором выдачу новых боевых ключей шифрования и ЭЦП клиенту? Или у всех клиенты сами формируют запросы на сертификаты и ключи?

  • Jene
    Участник ответил
    Сообщение от BARD Посмотреть сообщение
    DmitriyM,
    Вот это правильно

    Только клиент присылает на регистрацию в банкне не открытый ключ, а запрос на сертификат, если конечно банк имеет свой УЦ.
    Если УЦ внешний - тогда пожалуй так и есть.
    Запрос на сертификат - это и есть открытый ключ клиента, только никем еще не подписанный. Сертификат - это открытый ключ клиента, подписанный УЦ (неважно чьим).

    Введение абсолютно излишних понятий, таких, как "запрос на сертификат" и "сертификат" - внесло путаницу в умы людей, слабо знакомых с основами криптографии.

    Прокомментировать:


  • kalenbet
    Участник ответил
    Сообщение от Berckut Посмотреть сообщение
    Знаю. Но, к сожалению, не всегда это возможно
    Согласен, как не упрощай процедуру генерации, а все равно будут клиенты, которые не смогут самостоятельно сгенерировать ключи. И как на зло это будут ВИП-клиенты, знакомые руководства и т.п. По опыту работы в RS помню, что 90% автоматизаторов просили обязательно оставить возможность генерации ключей банком

    Прокомментировать:


  • just.mvv
    Участник ответил
    Сообщение от Sedow Посмотреть сообщение
    Есть вопрос: Ключ ЭЦП в организации оформлен на генерального директора. непосредственную работу с банком ведет бухгалтер. ЭЦП ген.директор по приказу передал бухгалтеру. Является ли это компрометацией ЭЦП?
    Является, конечно. Мне попадалась ситуация, когда в организации клиент-банк работает с 2-мя ключами (ген. директора и главбуха), но на практике оба ключа, разумеется, у главбуха. Такова жизнь.

    Прокомментировать:


  • Berckut
    Участник ответил
    Сообщение от Sedow Посмотреть сообщение
    Есть вопрос: Ключ ЭЦП в организации оформлен на генерального директора. непосредственную работу с банком ведет бухгалтер. ЭЦП ген.директор по приказу передал бухгалтеру. Является ли это компрометацией ЭЦП?
    Является. Было бы АСП, проблем бы не было. А ЭПЦ выдаётся на физическое лицо (см. определение владельца ключа в законе об ЭЦП), а не на организацию.
    Я над этим вопросом у себя тоже голову ломал. Лучше просто закройте глаза на это. Только в договоре напишите, что клиент сам принимает решение о блокировке ключа.
    Если пойдёте дальше, то просто придёте к следующей ситуации: вы предложите выдавать ключи не директору, а реальному пользователю (бухгалтеру) по доверенности. А ваш главбух скажет, что доверенность ему не указ и надо чтобы владелец ключа был в карточке подписей. Но бухгалтера в карточку подписей клиент добавлять не станет. Долго будете доказывать друг другу свою точку зрения, но спор так ничем и не кончится.

    Прокомментировать:


  • Sedow
    Участник ответил
    Есть вопрос: Ключ ЭЦП в организации оформлен на генерального директора. непосредственную работу с банком ведет бухгалтер. ЭЦП ген.директор по приказу передал бухгалтеру. Является ли это компрометацией ЭЦП?

    Прокомментировать:


  • BARD
    Участник ответил
    Сообщение от Berckut Посмотреть сообщение
    А если нет технической возможности? Прикрывать лавочку?
    Оценивать риски и в случае необходимости менять систему

    Прокомментировать:


  • Berckut
    Участник ответил
    Сообщение от BARD Посмотреть сообщение
    Не обязательно - но могут...
    Могу описать ситуации с которыми сталкивался.
    А если нет технической возможности? Прикрывать лавочку?

    Прокомментировать:


  • S_nick
    Участник ответил
    Сообщение от BARD Посмотреть сообщение
    Ну не так чтобы совсем не будет, но их вероятность будет сильно ниже...
    У нас года полтора назад был случай, когда прошла платёжка подписанная клиентом от которой он потом отказался. После разбора выяснилось, что ключевой носитель был в свободном доступе, на обоих компах - рассадник вирусов. Но самое главное, что клиент сам генерил себе ключ и в банке его быть просто не могло.

    Прокомментировать:


  • BARD
    Участник ответил
    Сообщение от DmitriyM Посмотреть сообщение
    В договоре русским по белому написать, что генерирует клиент.
    И никакого акта приема-передачи. Только регистрация полученного ключа (открытого) от клиента. Так хотя-бы юридически все чисто будет.
    А вообще нужно стремиться к полному запрещению генерации ключей клиентам сотрудниками и программно-аппаратными комплексами банка.
    DmitriyM,
    Вот это правильно

    Только клиент присылает на регистрацию в банкне не открытый ключ, а запрос на сертификат, если конечно банк имеет свой УЦ.
    Если УЦ внешний - тогда пожалуй так и есть.

    Прокомментировать:


  • BARD
    Участник ответил
    Сообщение от S_nick Посмотреть сообщение
    Всё-таки "более правильно" чтобы клиенты сами себе ключи генерили. В будующем проблем меньше будет. Если у клиента украдут (скопируют) ключи, то к банку претензий не будет.
    Ну не так чтобы совсем не будет, но их вероятность будет сильно ниже...

    Прокомментировать:


  • BARD
    Участник ответил
    Сообщение от Berckut Посмотреть сообщение
    А должны?
    Не обязательно - но могут...
    Могу описать ситуации с которыми сталкивался.

    Прокомментировать:


  • DmitriyM
    Участник ответил
    В договоре русским по белому написать, что генерирует клиент.
    И никакого акта приема-передачи. Только регистрация полученного ключа (открытого) от клиента. Так хотя-бы юридически все чисто будет.
    А вообще нужно стремиться к полному запрещению генерации ключей клиентам сотрудниками и программно-аппаратными комплексами банка.

    Прокомментировать:


  • Berckut
    Участник ответил
    Сообщение от S_nick Посмотреть сообщение
    Всё-таки "более правильно" чтобы клиенты сами себе ключи генерили. В будующем проблем меньше будет. Если у клиента украдут (скопируют) ключи, то к банку претензий не будет.
    Знаю. Но, к сожалению, не всегда это возможно

    Прокомментировать:


  • S_nick
    Участник ответил
    Всё-таки "более правильно" чтобы клиенты сами себе ключи генерили. В будующем проблем меньше будет. Если у клиента украдут (скопируют) ключи, то к банку претензий не будет.

    Прокомментировать:


  • Berckut
    Участник ответил
    Сообщение от BARD Посмотреть сообщение
    А разборы были через суд?
    А должны?

    Прокомментировать:


  • BARD
    Участник ответил
    Сообщение от Berckut Посмотреть сообщение
    У нас в договоре написано, что банк изготавливает ключи для клиента. Получает по акту. Законом об ЭЦП это не возбраняется, хотя и не рекомендуется.
    А разборы были через суд?

    Прокомментировать:


  • DmitriyM
    Участник ответил
    - каждая из Сторон самостоятельно вырабатывает свои закрытые и открытые ключи подписи.
    Т.е. клиент на своих программно-аппаратных комплексах.

    Прокомментировать:


  • Berckut
    Участник ответил
    У нас в договоре написано, что банк изготавливает ключи для клиента. Получает по акту. Законом об ЭЦП это не возбраняется, хотя и не рекомендуется.

    Прокомментировать:

Обработка...
X