Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 25
> Первое устройство весьма дорогое и интересное (в интернете полно обзоров), но есть очень большой минус — нет никаких систем авторизации для подключения USB устройств.
А можеть стоило попробовать облачный токен с поддержкой отечественной криптографии?
А можеть стоило попробовать облачный токен с поддержкой отечественной криптографии?
Первое устройство весьма дорогое и интересное (в интернете полно обзоров), но есть очень большой минус — нет никаких систем авторизации для подключения USB устройствAnywhereUSB/14
У нас сейчас используется AnywhereUSB. У нас железка показала себя не очень надёжной. Может работать долгое время, но если вдруг она глюканула и сервер потерял ключи (подключены ключи 1С: серверные и клиентские подключения) — помогает только перезагрузка хоста сервера. Попытки перезапустить приложение, переподключиться к устройству — не дают никакого результата.
Использую AnywhereUSB/14 с пачкой ключей. Нареканий нет. По моему уже сильно больше года аптайма у самой железки и сервера из-за ключей перезагружать не приходилось.
Какие версии прошивки и драйвера используете?
ПС: Использовать удаленный USB с ЭЦП кажется мне не очень правильной идеей. Токен с ЭЦП на мой взгляд должен полностью контролироваться человеком которому эта ЭЦП принадлежит.
Какие версии прошивки и драйвера используете?
ПС: Использовать удаленный USB с ЭЦП кажется мне не очень правильной идеей. Токен с ЭЦП на мой взгляд должен полностью контролироваться человеком которому эта ЭЦП принадлежит.
У меня их 4. Одна глючит, и по ощущению из-за какого то ключа. Глюк заключается в периодическом зависании раз в 4-5 месяцев без видимой причины. Сброс только по питанию.
У одной аптайм уже годы. Остальные обновлял, включая ту которая глючит.
А в общем хорошая железяка. Мне нравится. Авторизации на доступ к группе ключей, к сожалению нет, но если сервер захватил ключ, то к нему более никто уже подключиться не может.
У одной аптайм уже годы. Остальные обновлял, включая ту которая глючит.
А в общем хорошая железяка. Мне нравится. Авторизации на доступ к группе ключей, к сожалению нет, но если сервер захватил ключ, то к нему более никто уже подключиться не может.
А можно в личку отечественного производителя закинуть? Тоже есть потребность
С юридической стороны, насколько допустимо использование ЭЦП в таком хабе? Когда работал в бюджете и вычитывал регламент использования ЭЦП выданных Федеральным Казначейством там было сказано, что ЭЦП должна быть либо при пользователе, либо в сейфе, и она не должна быть подключена к устройству в том время, когда она не используется по прямому назначению.
Подозреваю, что в статье разговор идет об оборудовании фирмы Distkontrol. Судя по описанию данного оборудования, они используют програмный комплекс VirtualHere со своим Web-конфигуратором.
Вроде что-то написали а по сути инфы ноль. Всё зарубежное дорогое и плохое а всё отечественное дешевое и хорошее, и ведь не проверишь.
Начали за здравие, закончили за упокой…
Ни используемых ключей, ни производителей
Ни используемых ключей, ни производителей
А разве сама идея централизованного использования ключей ЭП не противоречит в корне 378 приказу ФСБ?
С технической точки зрения USBoverIP — норм вещь.
С точки зрения практической ИБ тут полно вопросов:
1. Перехват ключей во время передачи. (качество «шифрования» передаваемых данных подобными железками порой вызывает большие вопросы).
2. Несанкционированное использование ключей во время их «хранения в USB хабе» (case: админ вытащил ключ ЭП и подписал платежку в банк).
и многое другое… если интересно угрозы ИБ подобной системы можно посмотреть в публикации.
Единственным более менее безопасным вариантом эксплуатации подобного решения — использования токенов с неизвлекаемым ключом в режиме неизвлекаемого ключа (более подробно тут).
С юридической точки зрения тут вопросов очень много. В некоторых случаях подобное решение вообще не допустимо (внимательно читать договоры об ЭДО).
Единственным правильным вариантом с точки зрения ИБ/юридизма будет использование HSM, о чем писали выше. От себя еще раз добавлю — не размещайте ключи ЭП от клиент-банка в подобной системе.
С точки зрения практической ИБ тут полно вопросов:
1. Перехват ключей во время передачи. (качество «шифрования» передаваемых данных подобными железками порой вызывает большие вопросы).
2. Несанкционированное использование ключей во время их «хранения в USB хабе» (case: админ вытащил ключ ЭП и подписал платежку в банк).
и многое другое… если интересно угрозы ИБ подобной системы можно посмотреть в публикации.
Единственным более менее безопасным вариантом эксплуатации подобного решения — использования токенов с неизвлекаемым ключом в режиме неизвлекаемого ключа (более подробно тут).
С юридической точки зрения тут вопросов очень много. В некоторых случаях подобное решение вообще не допустимо (внимательно читать договоры об ЭДО).
Единственным правильным вариантом с точки зрения ИБ/юридизма будет использование HSM, о чем писали выше. От себя еще раз добавлю — не размещайте ключи ЭП от клиент-банка в подобной системе.
А можно в личку названия отечественного решения и примеры ключей, с которыми всё завелось? Я даже могу в комментах это выложить, и вроде не реклама и аналогичных вопросов вам больше не будет.
Брали управляемый USB over IP концентратор на 64 USB порта (DistKontrolUSB-64)
Используем ключи:
JaCarta-2 SE
JaCarta LT
eToken PRO
RuToken S
RuToken Lite
ESMART Token USB 64K
AMICON VPNLDR 1.5
HWDSSL DEVICE
Guardant Stealth
HASP4, HASP HL
Sentinel HL
Флешки, диски и камеры (не буду перечислять типы)
Еще ряд ключей и смарт-карт сейчас не подключены, типы не переписывал, но проблем не возникло. Для теста подключал один модем и WiFi карточку ASUS, работали.
Используем ключи:
JaCarta-2 SE
JaCarta LT
eToken PRO
RuToken S
RuToken Lite
ESMART Token USB 64K
AMICON VPNLDR 1.5
HWDSSL DEVICE
Guardant Stealth
HASP4, HASP HL
Sentinel HL
Флешки, диски и камеры (не буду перечислять типы)
Еще ряд ключей и смарт-карт сейчас не подключены, типы не переписывал, но проблем не возникло. Для теста подключал один модем и WiFi карточку ASUS, работали.
Есть еще аналогичное отечественное решение NIO-USB, только оно есть с дублированием контроллеров и БП
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Централизованный доступ к ЭЦП и прочим ключам электронной защиты с помощью аппаратных USB over IP