Comments 18
NCALayer пришёл когда все браузеры начали массово стряхивать плагины. Разрабам захотелось абстрагироваться от браузера в целом, получив при этом совместимость во всех сразу. Я помню, как в до NCALAyer'а надо было устанавливать RSA_AUTH в FF потому что у него своё хранилище. Это хорошее решение, но оно, конечно, не защищено от подмены NCALayer. Поэтому, системам, по идее, надо ещё как-то проверять валидность этого самого NCALayer'а. Это так, мысли обывателя.
PS Изначально у пользователя было 2 сертификата: RSA для авторизации и GOST для подписи запросов. Таким образом, утечка RSA из браузера позволяла авторизироваться, но не позволяла что-либо сделать деструктивного, кроме утечки самой информации, доступной при авторизации. С некоторых пор в этом году сертификат стал один общий. И хотя теперь никакие сертификаты устанавливать куда-либо не надо, лично мне это не нравится. Я бы предпочёл чтобы сертификатов было 2, с разными ролями, как было раньше.
надо ещё как-то проверять валидность этого самого NCALayer'а
не надо.
достаточно проверять валидность подписи, и валидность сертификата(-ов), включая полномочия.
не надо.
Надо. Вы в программу суёте серт и вводите пароль. Желательно предупреждать пользователя, что "NCALayer" скомпрометировал ваш ключ.
вы сейчас про работу приложения на устройстве пользователя, к аутентификации на удаленном сервисе это никакого отношения не имеет.
в общем случае, да, было бы хорошо контролировать целостность софта на устройстве пользователя. но задача, опять же в общем случае, нерешаема, т.к. устройство контролирует только сам пользователь. нет никаких надежных способов ограничивать доступ к устройству. sony ps и iphone ломают несмотря на серьезные усилия производителей.
Я это всё прекрасно понимаю. Но тут есть один нюанс, который и ведёт к моей претензии: NCALayer от НУЦ РК пришёл на смену плагинам и висит на самом pki.gov.kz, который и занимается выдачей ЭЦП. А значит в сознании пользователя он пользуется повышенным доверием. Чем всенепременно, могут воспользоваться кто угодно, т.к. это отличный вектор атаки. А последствия для пользователя могут быть катастрофическими, потому что pki.gov.kz выдаёт ЭЦП не только физическим лицам, но и юридическим. А ЭЦП используются для доступа к разным системам государственного аппарата.
нет никаких надежных способов ограничивать доступ к устройству
Достаточно минимально контролировать целостность и докладывать об этом на сайт, на котором происходит авторизация. Я, с обывательской точки зрения, полагаю, что раз сайт использует NCALayer (+ иногда и один из его модулей) для авторизации, значит использует часть программного обеспечения, куда входит и сам NCALayer. А модулей в нём всё больше и больше, кстати...
Я так понимаю репозитории с fcalayer на гитхаб доступен не будет?
и могу лишь предполагать о причинах таких проблем с реализацией работы с ЭЦП
причина
Зачем нужен прибитый гвоздями к определенной ОС ASN.1 Editor, когда сто лет есть https://lapo.it/asn1js/
Это что.... ;)))
Встречал реализации, где для аутентификации вместо подписи отправлялся сертификат.
Т.е. аутентификация осуществлялась по предъявлению сертификата ;)))
зы
еще встречал реализации подписи файла, где подписывалось уникальное имя файла, а не содержимое файла. и авторы такого подхода утверждали, что все ок, т.к. имя файла уникально и секретно, а-ля хеш файла ;))
Мне вообще не нравится идея использовать эти сертификаты. Их записывают на флешку, которую используют дома, на работе, в общественных терминалах. На сами сертификаты ставят банальные пароли в стиле 123 или просто кладут пароль в текстовый файл. Все что остаётся злоумышленнику скопировать файлы и та дааа) Жертва догадываться не будет, т.к. портал не будет предупреждать о сессии с другого устройства или геолокации
ЭЦП в Казахстане — общее благо или находка для хакера?