22 октября, понедельник 11:37
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

«Безопасный электронный банкинг» или «Об авторах «Приват 24.»

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • «Безопасный электронный банкинг» или «Об авторах «Приват 24.»

    В начале 2004 года я предложил Приват Банку (Украина) (контакты осуществлялись через знакомых на уровне начальников управлений и первых лиц) разработанную мною программу «Иллюстратор работы метода повышения системы безопасности в схеме банкомат-банк» (Свидетельство на регистрацию авторских прав №9480 от 25.02.04 Гос. Департамента интеллектуальной собственности Украины). Приват Банк в лице начальника управления от её применения отказался, ссылаясь на сложность для пользователей.
    Через некоторое время появился Приват 24, основу безопасности которого составляет динамический пароль, являющийся частью метода иллюстрированного в моей программе. На мои в т.ч. официальные письменные обращения к руководителям «Приват Банка» с просьбой разрешить сложившеюся ситуацию я никаких ответов не получил.
    Дело в том, что разработанный мною метод значительно более простым путем может практически обезопасить все виды электронных платежей, а как это часто водится у плагиатчиков, работники «Приват Банка» разобрались с методом по своему и «свернули» не в ту сторону.
    Отношение к разработчикам-одиночкам высказал г-н hamster (Мошенничества в интернете не существует ), оно в принципе правильное, но бывают и исключения, а призыв работать с фирмами-разработчиками систем безопасности не правильный в приципе, т.к. этим организациям не нужен простой способ координального решения проблемы безопасности электронных платежей, а нужны дорогостоящие, требующий постоянной замены оборудования и программного обеспечения. Не будут они беречь деньги банков и платежных систем, а потери последних от деятельности хакеров, кардеров и фишеров их только радуют в предвкушении новых заказов.
    На форуме заявляюсь в надежде на помощь в поиске серьёзного потребителя метода защиты электронных платежей, а также рассчитываю на реакцию «Приват Банка» (судя по ответам на вопрос об авторах «Приват 24» представители этой структуры форум посещают).

  • #2
    Дело в том, что разработанный мною метод значительно более простым путем может практически обезопасить все виды электронных платежей
    Уважаемый Дмитрий!

    Не хочу Вас сильно расстраивать, но "практически обезопасить все виды электронных платежей" с использованием динамических паролей теоретически невозможно.

    Всё дело в том, что в соответствии с законодательством и требованиями НБУ все операции по счетам и картам клиента, в том числе и все платежи банк может осуществлять только на основании электронного документа с ЭЦП клиента под данным документом.

    Электронная цифровая подпись - это единственный реальный механизм обеспечения аутентичности (обеспечение авторства и целостности) электронного документа. Всё остальное - таблицы одноразовых паролей, динамические пароли, OTP-аутентификация (One Time Password) - это не более чем инструменты более строгой аутентификации клиента/пользователя.

    Не обижайтесь, Дмитрий, но как изобретателю очередных простых механизмов обеспечения безопасности электронных платежей, прежде всего настоятельно рекомендуя прочитать книгу Брюса Шнайера "Прикладная криптография".

    Для сведения - в IT-департаменте Национального Банка Украины есть Управление информационной безопасности, которое возглавляет Ивченко Ирина Сергеевна. С Вашими рацпредложениями лучше сразу обращаться в НБУ.
    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com

    Комментарий


    • #3
      Уважаемый Дмитрий!
      Большое спасибо за советы и информацию. Хочу, однако, возразить, что используемые сегодня способы и методы, в том числе и Э.Ц.П. не мешают многочисленным, не всегда очень грамотным злодеям совершать очень существенные хищения.
      Перед тем, как что-то предлагать я тщательно изучаю имеющиеся методы. Может быть
      "практически обезопасить все виды электронных платежей" с использованием динамических паролей теоретически невозможно
      , однако практически это сделать можно, исключив все методы и способы, применяемые сегодня злоумышленниками, естественно не отказываясь от отработанных средств защиты в т.ч. конечно, и Э.Ц.П.
      А в Н.Б.У. мои бумаги люди носили, однако то «до выборов ничего не будут решать» то другое, то третье.

      Комментарий


      • #4
        отправил Dmitry
        призыв работать с фирмами-разработчиками систем безопасности не правильный в приципе, т.к. этим организациям не нужен простой способ координального решения проблемы безопасности электронных платежей, а нужны дорогостоящие, требующий постоянной замены оборудования и программного обеспечения.
        Dmitry, Ваши обвинения - IMHO, гебельсовская демагогия, попытка прикрыть некомпетентность Вашего решения обвинениями в сторону разработчиков. Озвученные Вами "аргументы" больше подходят для ушей чайников, читающих журналы типа Cool, чем для уважаемой аудитории Банкира.Ру.

        Хочу, однако, возразить, что используемые сегодня способы и методы, в том числе и Э.Ц.П. не мешают многочисленным, не всегда очень грамотным злодеям совершать очень существенные хищения.
        Чушь собачья. Ежедневно все украинские банки получают от своих клиентов десятки и сотни тысяч платежных документов в электронном виде с ЭЦП суммарно на сотни миллионов и миллиарды гривен. И никаких "многочисленных" атак злоумышленников не наблюдается в принципе.

        Возникновение конфликтных ситуаций с электронными документами и ЭЦП - это СОБЫТИЕ с большой буквы для служб информационной безопасности банков. Оные возникают исключительно из-за нарушения клиентами регламента (набора простых правил) использования секретных ключей ЭЦП клиента, а также из-за нарушения целостности среды исполнения клиентских приложений (трояны, кейлогеры и прочие "закладки" на компьютерах клиентов).

        А в Н.Б.У. мои бумаги люди носили, однако то "до выборов ничего не будут решать" то другое, то третье.
        В ИТ-департаменте НБУ, в том числе и на руководиящих должностях, работают исключительно компетентные специалисты. Заявляю это, ибо лично и периодически общаюсь именно по работе.

        Реакция НБУ на Ваше, Dmitry, кулибинское "рационализаторское" предложение с использованием динамических паролей, IMHO, чрезвычайно деликатная и суперкорректная.

        В неформальном разговоре Вас бы просто послали, а сделай Вы публичный доклад-презентацию Ваших способов/методом защиты на банковской конференции или конференции ДСТСЗИ СБУ по информационной безопасности - разнесли бы в пух и прах, устроив ликбез и тыкав Вас как котенка мордочкой в Ваши поделки.

        Дабы дальнейшая дискуссия шла исключитиельно в конструктивной плоскости предлагаю Вам, Dmitry, опубликовать в Форуме полный текс Вашего "рационализаторского" предложения по использованию динамических паролей, от которого мы в дальнейшем и будем отталкиваться в наших обсуждениях.
        С уважением, Репан Димитрий
        Компания "БИФИТ" - www.bifit.com

        Комментарий


        • #5
          OFFTOP

          Сообщение от Димитрий
          В ИТ-департаменте НБУ, в том числе и на руководиящих должностях, работают исключительно компетентные специалисты.
          Повезло им

          Комментарий


          • #6
            Noman, это не прикол и не лесть. Я по нескольку раз в год бываю на банковских конференциях и форумах, проводимых в Украине Национальным Банком и ДСТСЗИ Службы безопасности Украины, и посвященных в том числе вопросам информационной безопасности в банках. Много интересных докладов, выступлений и дискуссий. Много полезного черпаю с тех встреч и общений. И в НБУ, и в ДСТСЗИ ребята работают абсолютно вменяемые и действительно толковые.
            С уважением, Репан Димитрий
            Компания "БИФИТ" - www.bifit.com

            Комментарий


            • #7
              Сообщение от Димитрий
              Noman, это не прикол и не лесть.
              Димитрий, я это конечно понял. Я имел в виду, что ихним банкирам повезло, в отличие от нас.

              Комментарий


              • #8
                Если мы находимся на уважаемом форуме давайте вести себя солидно, тем более что Вы руководитель фирмы специализирующей на интеллектуальном продукте.
                Меня, как интеллигента не в первом поколении, шокирует Ваша манера ведения дискуссии на грани оскорбления, тем более что мы не знакомы (У меня в жизни был случай, который побудил меня ещё более взвешенно относится к словам. Я допустил не совсем корректное замечание по отношению к незнакомому человеку. Человек – вор в законе, год – 1992. А рассказ Чехова «В бане» Вы читали?).
                А что плохого по-Вашему сделал Кулибин – один из величайших изобретателей в истории России, её национальная гордость, если Вы его имя применяете как отрицательно-нарицаттельное.
                По поводу дискуссии.
                Её можно вести, если соблюсти следующие правила:
                1) Мы ведем речь о безопасности пользователей кредитных карт.
                2) Цивилизованное общение.
                3) Признание следующих аксиом (аксиома – утверждение не требующее доказательств)
                • Для кражи денег из банкомата достаточно украсть (или изготовить копию) кредитную карту и узнать ПИН код
                • Для криминальной покупки товара в магазине, ресторане и т.п достаточно украсть (или изготовить копию) кредитную карту.
                • Для криминальной покупки товара в интернет магазине достаточно узнать данные о кредитной карте и владельце.
                • Копии кредитных карт, а также данные по кредитным картам и их владельцам несложно купить, т.к. сложилась международная структура с разделением труда, по хищению средств пользователей кредитных карт.
                Вежливая просьба: т.к. дискуссия публичная, вести её по возможности не на узкоспециальном сленге, а на русском языке.

                Комментарий


                • #9
                  to Dmitry по поводу кулибиных
                  "...
                  - Так значит Вы не любите пролетариат?
                  - Да, я не люблю пролетариат.
                  ..."
                  (c)М.Булгаков, Собачье сердце


                  Dmitry, какой прок в кулибиных, которые не помнят со школьной скамьи базовых фундаментальных законов мироздания, и создают очередной вечный двигатель позабыв Закон сохранения энергии!

                  Мой жёсткий ответ - это реакция на Ваши некомпетентные заявления, смазанные интеллегетной формой изложения, и хамским обвинением Вами всех разработчиков в нежелании эволюционировать свои решения.

                  Как "интеллигент не в первом поколении" избавьте топик в дальнейшем от сопливых нотаций и излогайте Ваше рационализаторское предложение по существу, со всеми техническими деталями и подробностями, в тои числе с использованием узкоспециализированной терминологии.

                  Ждём-с представления в Форуме технического описания Вашего рационализаторского предложения.
                  С уважением, Репан Димитрий
                  Компания "БИФИТ" - www.bifit.com

                  Комментарий


                  • #10
                    [Dmitry]
                    1.
                    Если Вы претендуете на "открытие" в области средств защиты, то по меньшей мере не путайте держателей банковских карт с владельцами банковских карт.

                    [Dmitry] Копии кредитных карт, а также данные по кредитным картам и их владельцам несложно купить, т.к. сложилась международная структура с разделением труда, по хищению средств пользователей кредитных карт.
                    2.
                    [Dmitry]т.к. дискуссия публичная, вести её по возможности не на узкоспециальном сленге, а на русском языке.[/i]
                    Т.к. это дискуссия специалистов, которая ведется на узкозаточенном форуме, то она вполне может производиться на "сленге".

                    3. Пока были только общие слова. Хотелось бы слышать конкретику. Если конкретика сведется к из серии - по вопросам ноу-хау обращаться xxxx@post.xx, то это будет расценено как реклама со всеми вытекающими действиями согласно правилам форума.

                    Димитрий
                    Нежнее. Нежнее.


                    Модератор.
                    Наша жизнь состоит из цитат. Лишь немногим удается написать что-то своё. (с)

                    Комментарий


                    • #11
                      Уважаемый Дмитрий!
                      Я подозреваю, что Вы хотите устроить мне публичную порку, не зависимо от ценности «рационализаторского предложения», поэтому давай пригласим на форум:
                      • Хакера, пусть он расскажет, как преодолеет новую систему защиты.
                      • Потребителя, пусть он выскажет своё мнение, будет ли новая система для него удобна или не удобна.
                      • Банкира, пусть он оценит удобство пользования
                      • Узкого специалиста. Он уже есть – это Вы (для аргументированного выявления ВСЕХ возможных изъянов)
                      • Математика – для оценки метода
                      • Правоохранителя, для оценки возможного снижения или увеличения уровня хищений средств пользователей кредитных карт в связи с применением метода
                      Только в таком случае мы получим объективную оценку.
                      В случае Вашего отказа я попробую проделать это сам.

                      Комментарий


                      • #12
                        Dmitry, публика уже в зале, все - Хакеры, Банкиры, Потребители и пр. - расселись по своим местам в ожидании начала представления. Просим Вас на сцену. Ждем-с описания Вашего рацпредложения с описанием "новой системы защиты".
                        С уважением, Репан Димитрий
                        Компания "БИФИТ" - www.bifit.com

                        Комментарий


                        • #13
                          Dmitry, публика уже в зале, все - Хакеры, Банкиры, Потребители и пр. - расселись по своим местам в ожидании начала

                          Присоединяюсь к предыдущему оратору. Гарантирую наличие в зале:
                          1. Банкира.
                          2. Математика (кандидат наук).
                          3. Потребителя.

                          Итак?

                          Комментарий


                          • #14
                            До звания хакера не дотягиваю, но самостоятельное достижение по взлому имеются.
                            Тоже очень интересно (даже регистрацию на этом форуме пройти согласился),
                            что за революционный метод, который круче ЭЦП!???
                            Мне такие методы без ЭЦП как раз по вкусу!

                            Весь во внимании...

                            Комментарий


                            • #15
                              Я, Чулков Дмитрий Вячеславович, частный предприниматель, г. Севастополь, Украина обязуюсь выплатить 10 000$ тому, кто совершит, виртуальную кражу средств (в виде денег, товара или услуг), пользователя пластиковой кредитной карты, защищенной указанным мною способом.
                              Ограничения:
                              • Слабоумие пользователя кредитной карты.
                              • Жесткий криминал – пытки, похищения и пр. (кражи допускаются).
                              • Экономическая не целесообразность.
                              • Не существующие технологии и оборудование.
                              • Сговор с персоналом банков и платежных систем.
                              Способ очень простой.
                              После совершения трансакции пользователь получает чек в виде SMS сообщения на свой мобильный телефон, где кроме обычных данных указывается динамический пароль, полученный с помощью генератора случайных чисел, который при следующей трансакции используется в видоизмененном виде (с помощью постоянно действующего алгоритма, индивидуального для каждого пользователя). Сложность изменений в зависимости от способностей пользователя.
                              Все применяемые средства защиты сохраняются.

                              Комментарий


                              • #16
                                Ограничения:
                                • Слабоумие пользователя кредитной карты.

                                Собственно это ограничение и ставит крест на всей идее. Любой массовый пользователь по определению слабоумный.
                                И уж тем более, никто и никогда не будет рассчитывать самостоятельно новый пароль на транзакцию по какому-то алгоритму.

                                Комментарий


                                • #17
                                  [Dmitry] При всём уважении к изобретателю и рационализатору.
                                  История, к сожалению, показывает, что многие проекты и решения погибли из-за элементарного человеческого фактора.
                                  Исключите или минимизируйте его воздействие и будет нам счастье.
                                  Из 5 ограничений - 3 - человеческий фактор. Это - много.
                                  Не существующие технологии и оборудование.
                                  - причем это на 50% тож человеческий фактор. Т.е. либо Вы о них не знаете, либо их придумает другой человек. Так что получаем 70% вероятности взлома зависят от человеческого фактора.
                                  Последний раз редактировалось ValentineS; 10.08.2006, 18:22. Причина: очепятка
                                  Наша жизнь состоит из цитат. Лишь немногим удается написать что-то своё. (с)

                                  Комментарий


                                  • #18
                                    К тому же эта схема ничем принципиально не отличается от существующей рассылки TAN-ов через СМС. Обходится довольно просто - троян, который ворует пароли на компьютере пользователя, вдобавок при попытке пользовательской транзакции подменяет в момент отправки данных реквизиты счета получателя на реквизиты счета злоумышленника.

                                    Комментарий


                                    • #19
                                      Насчет 70% умственной неполноценности пользователей – не согласен, т.к. практически все научились пользоваться мобильными телефонами, а использовать не сложный алгоритм не намного труднее.
                                      Например, такой вариант:
                                      Динамический пароль: 60676565
                                      Алгоритм:
                                      • первая или последняя цифры – четвертая цифра динамического пароля +1;
                                      • остальные цифры любые.
                                      • не более 2-х одинаковых цифр.
                                      Пароль для ввода: 81130320
                                      Первоклассник начинает выполнять действия правильно через 2 минуты.
                                      Количество трансакций и вводов динамического пароля, который необходимо проконтролировать для расшифровывания алгоритма делает процесс хищения экономически не целесообразным.

                                      Комментарий


                                      • #20
                                        [Dmitry]
                                        Вы что, всерьёз предлагаете пользователю, стоящему у кассы с полной тележкой продуктов в супермаркете, еще и заниматься подсчётами в уме по какому-то алгоритму?! Лично мне под конец рабочего дня зачастую даже два числа складывать неохота. Как-то раз наорал на охамевшую продавщицу, которая предложила мне самому посчитать сумму покупок вместо того, чтобы назвать сумму к оплате. А Вы тут еще каждый раз вычислениями заниматься предлагаете.. Не забудьте ещё о женщинах, которые с математикой существуют в разных измерениях.

                                        Комментарий


                                        • #21
                                          Вы что, всерьёз предлагаете пользователю, стоящему у кассы с полной тележкой продуктов в супермаркете, еще и заниматься подсчётами в уме по какому-то алгоритму?!

                                          Ага, и ещё когда сзади человек 5 дышат в затылок, потому как по вечерам работают только 2 кассы из 10. А что будет, если ошибёшся? Далее - куда вводить то будем? Апгрейдить ПО терминалов? А как быть с кассами со встроенными считывателями, у которых часто даже пин не ввести.
                                          Моё ИМХО - абсолютно нежизненая система, требующая громадных вложений и сильно усложняющая жизнь конечному пользователю.

                                          Комментарий


                                          • #22
                                            [Dmitry] Думаю огорчу Вас, если скажу что внедрение системы Приват 24 началось намного раньше Вашего обращения в банк.....

                                            Комментарий


                                            • #23
                                              Для не очень умных, вообще алгоритм шифрования может отсутствовать.
                                              Всё равно использование двух независимых систем коммуникации на порядки усложняет хищение. Все сегодняшние способы уж точно не применимы.

                                              Комментарий


                                              • #24
                                                Сообщение от Димитрий Посмотреть сообщение
                                                ...Всё дело в том, что в соответствии с законодательством и требованиями НБУ все операции по счетам и картам клиента, в том числе и все платежи банк может осуществлять только на основании электронного документа с ЭЦП клиента под данным документом.
                                                Это - да. Имхо - один из основных тормозов интернет-банкинга для физлиц.

                                                Сообщение от Димитрий Посмотреть сообщение
                                                ...
                                                Электронная цифровая подпись - это единственный реальный механизм обеспечения аутентичности (обеспечение авторства и целостности) электронного документа. Всё остальное - таблицы одноразовых паролей, динамические пароли, OTP-аутентификация (One Time Password) - это не более чем инструменты более строгой аутентификации клиента/пользователя..
                                                А в чём уязвимость, скажем, таблицы одноразовых паролей?

                                                Комментарий


                                                • #25
                                                  А в чём уязвимость, скажем, таблицы одноразовых паролей?
                                                  Таблицы одноразовых паролей хорошо подходят для более строгой аутентификации клиента (в отличие от долговременного пароля), но таблицы одноразовых паролей совершенно никак не обеспечивают аутентичность документов. То есть не обеспечивают гарантию авторства и целостности документа.

                                                  "То, что знает двое - знает свинья"

                                                  Именно так обстоит дело с таблицами одноразовых паролей. Пароли знает банк и знает клиент. И соответственно факт наличия под документом одноразового пароля не гарантирует, что документ создал и "подписал" клиент. С таким же успехом документ мог создать банк (нелояльный сотрудник банка).

                                                  В случае с механизмом ЭЦП банк даже теоретически не может создать корректную ЭЦП.

                                                  Ибо вариант подбора секретного ключа ЭЦП длиной 32 байта теоретически неосуществим (10^78 вариантов - атомов ов Вселенной меньше).

                                                  Взлом же современных ассиметричных криптоалгоритмов на эллиптических кривых, лежащих в основе механизмов ЭЦП (тот же новый российский ГОСТ Р34.10-2001), при правильно выбранных параметрах кривой и генерации секретных компонент, имеет уровень сложности, близкий к подбору секретного ключа ЭЦП.

                                                  В общем злоумышленнику только и остается, что стырить у клиента секретный ключик ЭЦП.

                                                  Ну и самое главное, одноразовые пароли имеют маленькую длину и абсолютно никак не обеспечивают ЦЕЛОСТНОСТЬ документа (распоряжения) клиента.
                                                  С уважением, Репан Димитрий
                                                  Компания "БИФИТ" - www.bifit.com

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Димитрий Посмотреть сообщение
                                                    "То, что знает двое - знает свинья".. факт наличия под документом одноразового пароля не гарантирует, что документ создал и "подписал" клиент. С таким же успехом документ мог создать банк (нелояльный сотрудник банка).
                                                    Носитель с паролем клиент разве не из банка получает? Что мешает нелояльному сотруднику банка сделать себе копию?
                                                    И вообще - у нелояльного сотрудника банка возможности воровать весьма обширны. Недолго, впрочем, при правильной организации доступа к информации.

                                                    Сообщение от Димитрий
                                                    Ну и самое главное, одноразовые пароли имеют маленькую длину и абсолютно никак не обеспечивают ЦЕЛОСТНОСТЬ документа (распоряжения) клиента.
                                                    Это разве не обеспечивается протоколом https?
                                                    В конце концов от ошибок никто не застрахован. Может человек и в здравом уме лишний ноль ввести - что ж его убивать за это. Всё решается, сторнируется и т.п.
                                                    Имхо - банк теряет больше на простом снижении числа клиентов, не желающих иметь дела с эелктронными ключами.

                                                    В конце концов весь Запад так работает. _к примеру Демо_.
                                                    Не думаю, что они занимались бы этим, если бы имели серьёзные проблемы с безопасностью.

                                                    Комментарий


                                                    • #27
                                                      Даже объяснять не хочется, что в https ключи действуют слишком маленький промежуток времени, по прошествии которого данные уже неактуальны...

                                                      Учите матчасть.

                                                      Комментарий


                                                      • #28
                                                        Носитель с паролем клиент разве не из банка получает? Что мешает нелояльному сотруднику банка сделать себе копию?
                                                        Уважаемые ESN!
                                                        Вы сами себе противоречите. Сначала утверждаете, что таблицы одноразовых паролей - отличное решение, и чуть позже - говорите о возможности доступа банка (нелояльного сотрудника банка) с таблице одноразовых паролей клиента.

                                                        Мое мнение следующее: Таблицы одноразовых паролей генерируются банком (банковским сотрудникам), соответственно банк ЗНАЕТ одноразовые пароли и может создать электронный платежный документ/распоряжение ОТ ИМЕНИ клиента.

                                                        Другими словами таблица одноразовых паролей НЕ ОБЕСПЕЧИВАЕТ гарантию единственности авторства документа - документ может создать клиент и банк, которые ЗНАЮТ одноразовые пароли.

                                                        Разрешиние конфликтной ситуации В СУДЕ с привлечением независимых квалифицированных экспертов, и уж тем более государевых экспертов, будет в пользу пострадавшей стороны - то есть в пользу клиента, со счета которого были переведены деньги на основании электронного платежа, заверенного одноразовым паролем.

                                                        И вообще - у нелояльного сотрудника банка возможности воровать весьма обширны. Недолго, впрочем, при правильной организации доступа к информации.
                                                        Я интерпретирую Ваш пассаж, как экстраполяцию неуверенности в отношении таблиц одноразовых паролей на механизм ЭЦП

                                                        Уважаемый ESN, в целях повышения Вашей общей эрудиции в вопросах электронного банкинга, рекомендую потратить время и прочитать книгу Брюса Шнайера "Прикладная криптография", которая переведена на русский язык и уже выпущена большим тиражом.

                                                        В данной книге довольно доступно (для студентов технических ВУЗов) без действительно сложной математики рассмотрены все механизмы криптографической защиты информации. В том числе механизмы ЭЦП, и лежащие в их основе идеи и криптоалгоритмы. После прочтения у Вас отпадут все вопросы и домыслы, и Вы станете понимать чем механизм ЭЦП принципиально отличается от механизмов аутентификации сторон.

                                                        Если совсем вкратце, то в механизме ЭЦП:

                                                        - секретный ключ для формирования ЭЦП генерирует владелец секертного ключа (в случае Интернет-Банкинга - клиент генерирует свой секертный ключ ЭЦП)

                                                        - открытый ключ ЭЦП клиента для проверки подписи также формирует клиент (ПО клиента вычисляет по простой формуле) и передает оный в банк

                                                        - банк использует открытый ключ ЭЦП клиента для проверки ЭЦП клиента под электронными платежными документами/распоряжениями клиента

                                                        - банк не может ни вычислить, ни подобрать секретный ключ ЭЦП клиента, зная только открытый ключ ЭЦП клиента и владея сколь угодно большим количеством документов с ЭЦП клиента

                                                        - ни банк, ни какая либо другая сторона не может сформировать документ с корректной ЭЦП клиента без знания секретного ключа ЭЦП клиента

                                                        - ЭЦП клиента под электронным платежным документом/распоряжением подтверждает, что данный документ мог создать только владелец секретного ключа ЭЦП клиента (только сам клиент)

                                                        - ЭЦП под документом обеспечивает целостность документа (упрощено говоря ЭЦП является математической функцией от секретного ключа и содержания документа)


                                                        Это - азы.

                                                        Это разве не обеспечивается протоколом https?
                                                        В суде основанием для разбора конфликтной ситуации по несанкционированному переводу денег со счета клиента является электронный платежный документ/распоряжение клиента с ЭЦП клиента.

                                                        Указанный Вами HTTPS - является привычным протоколом HTTP, передаваемым поверх стандартного криптографического протокола SSL.

                                                        В случае использования HTTPS криптографический протокол SSL обеспечивает защиту HTTP трафика - HTTP-запроса от Web-браузера клиента и HTTP-ответа от Web-сервера банка.

                                                        В общем случае криптографический протокол SSL может решать четыре задачи:
                                                        - обеспечивать аутентификацию Web-сервера
                                                        - обеспечивать целостность трафика
                                                        - обеспечивать конфиденциальность трафика
                                                        - опционально обеспечивать аутентификацию пользователя (при использовании клиентского сертификата)

                                                        Но даже при использовании клиентского сертификата для строгой аутентификации клиента и при сохранении в логах TCP-дампа HTTPS-сессии, банк не будет иметь на руках доказательного материала для разрешения конфликтной ситуации. Ибо зная MasterKey из SSL-хендшекинга банку не составляет никакого труда подделать данные в TCP-дампе HTTPS-сессии.

                                                        Имхо - банк теряет больше на простом снижении числа клиентов, не желающих иметь дела с электронными ключами.
                                                        Вы слишком категоричны, ESN.

                                                        На самом деле всё зависит от используемых технологий и качества реализации решения с использованием механизма ЭЦП, помноженные на финансовые риски клиента и банка.

                                                        К примеру, в России все организации и частные предприниматели пользуются услугами электронного банкинга (Банк-Клиент, Интернет-Банкинг) исключительно с использованием механизма ЭЦП под электронными документами.

                                                        Та же ситуация и с частными клиентами - подавляющее число российских банков предоставляет частным клиентам услуги электронного банкинга также с механизмом ЭЦП под электронными документами.

                                                        Хотя в последнее время несколько "прогрессивных" российских банков, без оглядки копирующих опыт зарубежных коллег, решили возложить риски по убыткам на свои плечи и предлагают клиентам упрощенные механизмы защиты информации под красивым термином "Аналог собственноручной подписи". На практике используются:

                                                        - долговременный длинный пароль для подтверждения платежных операций

                                                        - таблицы одноразовых паролей для подтверждения платежных операций

                                                        - OTP-токены (Vasco Go3, NG-OTP Aladdin и пр.), генерирующие одноразовые пароли как функции на базе семмитричных криптоалгоритмов от времени/состояния и секреного ключа

                                                        - "калькуляторы подписей" в виде отдельных девайсов (см. решения Vasco) и Java-мидлетов для мобильных телефонов

                                                        В прицнипе, ИМХО, ограничивая суммы и типы совершаемых через Интернет-Банкинг платежных операций при соответствующем учете рисков и возложении всех убытков на плечи банков вполне допустимо использование вышеописанных "сурогатов" по аналогии с зарубежными банками.

                                                        В конце концов весь Запад так работает...
                                                        У зарубежных соседей безусловно надо перенимать опыт и лучшие идеи, но безоглядно наступать на все грабли, набивать шишки и брать на вооружение явные рудименты - глупо.
                                                        С уважением, Репан Димитрий
                                                        Компания "БИФИТ" - www.bifit.com

                                                        Комментарий


                                                        • #29
                                                          В дополнение к реплике ДИМИТРИЯ, а также применительно к международной практике.

                                                          Есть рекомендации Базельского комитета по управлению рисками в системах электронного банкинга. Базельский комитет по банковскому надзору при Банке международных расчетов сформулировал 14 принципов управления рисками в сфере электронных банковских услуг.

                                                          Привожу дословно пп.5.
                                                          5. Недопущение отказа от обязательств по онлайновым транзакциям и строгая ответственность за их проведение.
                                                          В настоящее время наиболее надежным способом избежать недобросовестного сторнирования электронных сделок является использование сертификатов цифровой подписи на базе инфраструктуры открытого ключа, в рамках которой каждый контрагент имеет свою пару ключей (шифров). Посредством секретного ключа генерируется цифровая подпись и зашифровывается текст, а с помощью открытого ключа (парного к секретному) осуществляется расшифровка и проверка подлинности документа. Банк может сам стать удостоверяющим центром по выпуску сертификатов или прибегнуть к услугам независимых центров (в последнем случае необходимо выбирать такие организации, которые обеспечивают тот же уровень аутентификации, что и банк).

                                                          Это и есть передовой международный опыт, к которому вы, ESN, аппелируете.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Jene Посмотреть сообщение
                                                            ..в https ключи действуют слишком маленький промежуток времени, по прошествии которого данные уже неактуальны...
                                                            Так и требуется актуальность длительностью лишь в один запрос. В ответ на который банк высылает типа квитанцию, которую клиент контролирует визуально. После чего подтверждает платёж ТАН-кодом.

                                                            2Димитрий - спасибо за исчерпывающий ответ.
                                                            Я не спорю, что при межбанковских и вообще массовых/пакетных платежах система с ЭЦП необходима.

                                                            Сообщение от Димитрий Посмотреть сообщение
                                                            Другими словами таблица одноразовых паролей НЕ ОБЕСПЕЧИВАЕТ гарантию единственности авторства документа - документ может создать клиент и банк, которые ЗНАЮТ одноразовые пароли.
                                                            .....
                                                            - банк не может ни вычислить, ни подобрать секретный ключ ЭЦП клиента, зная только открытый ключ ЭЦП клиента и владея сколь угодно большим количеством документов с ЭЦП клиента
                                                            Этого, вообще говоря, не обеспечивает ни одна система защиты.

                                                            Что мешает "недобросовестному работнику" выслать клиенту вместе с системой генерации ключей маленького трояна, который передаст "куда следует" все сгенерированные клиентом коды.
                                                            Либо этот троян попадёт к клиенту другим способом - в этом случае да - банк невиноват и пострадает лишь клиент. Лично меня как клиента - это не очень успокаивает

                                                            Сообщение от Димитрий Посмотреть сообщение
                                                            Хотя в последнее время несколько "прогрессивных" российских банков, без оглядки копирующих опыт зарубежных коллег, решили возложить риски по убыткам на свои плечи..
                                                            Т.е. это возможно всё-таки? Тады ой. Я думал, что это (необходимость ЭЦП) требование ( ЦБ/НБУ ) к сертфикации систем онлайнбанкинга.

                                                            Сообщение от Димитрий Посмотреть сообщение
                                                            В прицнипе, ИМХО, ограничивая суммы и типы совершаемых через Интернет-Банкинг платежных операций при соответствующем учете рисков и возложении всех убытков на плечи банков вполне допустимо использование вышеописанных "сурогатов" по аналогии с зарубежными банками.
                                                            Я о том же. Можно ограничить суммы таких платежей в конце-концов разумным пределом , который одновременно устроит большинство приватных клиентов, исключит стимул краж у "недобросовестных работников банка" (кому охота сесть за пару-тройку тысяч) и не приведёт к значимым для банка убыткам, если проколы всё же случатся.

                                                            И в конце концов можно, наверное, найти какую-то статистику махинаций для того, чтобы принять решение об организации онлайн-банкинга в конкретном банке по конкретному типу клиентов.

                                                            Насколько я знаю - все реальные проколы случаются из-за того, что клиент сам даёт свои секретные реквизиты мошенникам. Иногда просто до смешного - по емейлу клиент получает письмо якобы от банка с просьбой выслать "для сверки" TAN-лист
                                                            Думаю, что секретные ключи он вышлет с неменьшим энтузиазмом.

                                                            Кстати - широкое применение пластиковых карт обуславлено именно простотой и удобством пользавания. Безопасность там вообще минимальна.
                                                            Сделайте там обязательным применение ЭЦП на каждую операцию или хотя бы одноразовые пароли - и они (карты) умрут, ИМХО.


                                                            Сообщение от Impar Посмотреть сообщение
                                                            Привожу дословно пп.5.
                                                            5. Недопущение отказа от обязательств по онлайновым транзакциям и строгая ответственность за их проведение.

                                                            В настоящее время наиболее надежным способом избежать недобросовестного сторнирования электронных сделок является использование сертификатов цифровой подписи на базе инфраструктуры открытого ключа
                                                            Оттуда же:
                                                            ..To address these heightened concerns, banks need to make reasonable efforts, commensurate with the materiality and type of the e-banking transaction
                                                            т.е. меры должны быть адекватны важности операции.
                                                            http://www.oenb.at/de/img/pr_ebanking_tcm14-15501.pdf

                                                            А с учетом, что ".. издержки проведения финансовых операций составляют: в офисе - 1, 07 долл., по почте - 0, 73 долл., по телефону - 0, 35 долл., через банкомат - 0, 27 долл., через глобальную сеть -0, 10 долл..", выгоды от расширения онлайн-сети наверняка покроют гипотетические убытки.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X