Pull to refresh

Comments 21

Один маленький нюанс - Digi официально сертифицирована Aladdin. Я с ней работал лет 10 назад, под 1с, очень надежная штука. Мы их прикупили в конечном итоге чуть ли не с десяток - часть ушло для виртуалок клиент-банков для бухов. У буха стояла только коробка digi, а виртуалка получала ключики нужные.

Тестировал разные решения лет 5-7 назад что бы ключи в OpenStack облако прокидывать на виртуалки.
Собственно основная проблема была в том что контейнер может в кластере подняться где угодно Хоть в другой стойке хоть в другом цоде. А ключ ей нужен.


В целом жить можно. Но все равно считаю что токены это пережиток прошлого уже. И смысла от них в при таком использовании нет совсем. Это уже имитация безопасности от которой вреда больше чем пользы.


Так что в идеале нужно смотреть как организовать работу без них. Например переходя на TOTP

UFO landed and left these words here

Ну счёт тут скорее как обобщенный пример.

Не у всех сбер, не у всех отделение есть в шаговой доступности. Довольно кропное ООО по нашим меркам, наличии у них не бывает, счёт открыт в банке у которого ближайшее отделение в 250км от нас (выгодные условия по кредитованию, и обслуживание самое дешёвое) и довеском там довольно прилично стоит провести операцию операционистом. Там и фиксированная ставка за набор платёжки и прочего + процент за подтверждение операции. Как итог официальный токен в обращении буха и копия контейнера в сейфе.

Не проще с точки зрения админа УКЭП перенести с USB токенов в реестр/папку и не париться?
Один хрен 99% что КриптоПро (1% что VipNet)
С одной стороны — да. Тем более что контейнеры для ЭДО создаются экспортируемые(в отличии от ЭД2, которые не экспортируемые, плюс требуют сертифицированный носитель), и их можно(технически) откопировать везде где они требуются.

С другой стороны, с 1 июля(Электронная подпись: что изменится с 1 июля 2021 года и позже) подпись должна будет выпускаться на физическое лицо(а не на сотрудника):
С 1 января 2022 года сотрудники организаций и уполномоченные лица должны использовать свою личную подпись и для рабочих, и для личных документов (пп. 2 п.1 ст. 17.2 и п. 2 ст. 17.3 476-ФЗ).


Т.о. с точки зрения сотрудника с ЭЦП(если он не дурак), такая подпись должна быть защищена, т.е. выпущена на токене(пароль только у владельца ЭЦП) и неэкспортируема, ибо может использоваться не только для подписания документов от имени организации(по электронной доверенности подписанной гендиром), но и для личного имущества(привет продажам квартир?). По крайней мере я бы свою ЭЦП отпускать в относительно неконтролируемый доступ не стал.

Как быть в такой ситуации, если непосредственно документооборот выполняется не через вэбморду Диадока, на через API сервисом на сервере(интеграция с корпоративной системой)? Вот если честно, пока без понятия :(.

Большинство банковских(платежных) токенов не копируемые, в реестр или в папку на обычной или виртуальной флешке не засунуть

Путем перевыпуска все копируемые как выяснилось

У меня некоторые банки либо не дают выбирать контейнер средствами криптопро, имеют свои системы шифрования, либо в этом выборе реестр отсутствует, либо сохранить возможно только туда, где был прошлый сертификат. Это именно при перевыпуске.

Так что банк банку рознь. Часто средний бизнес работает с банками, которые по техническому оснащению и удобству максимум где-то в середине-конце нулевых еще живут, но дают выгодные условия.

Именно, не понятно зачем в маленьких компаниях мудрить usb over ip. Проходили это знаем, схема не стабильная, с точки зрения отказоустойчевости не подходит для аутсорса, требует внимания из за частых сбоев. В моем понимание сбой раз в месяц уже ни куда не годиться.

А для hasp использую, hasp License Manager. Поселить его можно на компьютере бухгалтера или на сервере. Довольно точно можно настроить каким машинам давать каким нет. Или транслировать на всю подсеть. Стабильно работает. Была проблема с зависшими лицензиями но она тоже легко решается.

Итог: Автор потратил несколько месяцев на решение проблемы, которую можно решить за пару дней, другим способом.

поскольку в небольших организациях все ключи по сути являются общими

Если это утверждение верно, не проще ли бы было скопировать ключи с токена в реестр и на этом закончить решение проблемы?

Не все ключи одинаково экспортируемые в реестр :) Есть такие которые кроме как с ЭЦП больше ни как не работаю.

текст неприятно напоминает статью с рекламой курсов devops'ов
тот же копирайтер писал? или правда есть методичка для написания этих правдоподобных (для заказчика, принимающего задание у копирайтера) success stories?

Согласен. Автор явно не в теме. Не умаляя достоинств описываемого отечественного продукта, проблемы описаны явно надуманные. ЭЦП для отчетности сейчас редко пишутся на носители, чаще сразу в реестр.

Пример про отчетность у автора зря приведен. Насколько я понял из статьи - проблема в оплатах, а токены для оплаты почти всегда не копируемые и их нельзя закинуть в реестр. У многих банков даже контейнер не просматривается через криптопро.

За концентратор на 4 порта мой мелкий клиент заплатит 26 тыс. рублей

Была похожая задача. Удивился, что специализированные решения на порядок дороже стандартного raspberry pi. Пара часов настроить загрузку по сети (зажмотился на sd) и поднятие сервисов.
Те же 4 usb за 40$, да ещё и по wifi можно гнать.

а что использовали в качестве софта?
ЕМНИП писали, что имеющееся опенсорсное «не фонтан»

В linux>=3.17 usbip включён в mainline, что говорит о достаточном качестве. Под винду — мб есть подводные камни, не проверял. github.com/cezanne/usbip-win выглядит не production-ready, но и не покинутым.

так обычно именно винде и нужно отдавать устройства

Пробовал еще до того, как usbip в мейнлайн зашел. Ключи нужны клиентской винде, с этим есть трудности. Не было стабильности работы и некоторые виды ключей не прокидывались.

Железка из статьи тоже не идеальна, у нее случаются уходы некоторых портов в защиту, которые лечатся только обесточиванием оной. Но из альтернатив эта штука лучшая по цене/качеству/удобству.

Imho для мелкого бизнеса проще выпустить N ключей для банков (а чаще ВТОРОЙ ) и M ключей экспортировать в реестр.

А с 1 июля 2021 просто сходить в налоговую и бесплатно выпустить ЭЦП.

Only those users with full accounts are able to leave comments. Log in, please.