Ага, аж 2 раза видел. Именно в те 10 секунд которые прошли от момента оплаты до момента появления полиса в почте. Вроде взрослые люди, в сказки верить поздно уже.
Подавляющее большинство (если не все) российских УЦ не способны csr подписать. А вы от них космических технологий хотите.
Спроектировать можно все. Только делать так не надо. Вылазит куча проблем и несовместимостей. Часть из которых вообще нерешаемы. Виртуалки гвоздями прибивать к железкам очень плохо. И конский прайс за все будет.
При этом плюсов ее видно. Злоумышленник получивший рут и так и так сможет все подписывать, а при обнаружении и так и так сертификат отзывается и перевыпускается. Одни минусы от железок.
Сертификаты разные. Пользователь запрашивает 2 одинаковые выписки и получает подписи с разными сертификатами. Пользователь негодует и начинает писать в техподдержку. Мол какой из них настоящий?
Hcm не взлетит. Он не совместим с виртуализацией, докерами и прочими автодеплоями нод.
Увы в российских реалиях это не так работает.
Чтобы далеко за примером не ходить: У меня на полисе Е-ОСАГО написано что его выдал менеджер Иванов И.И. и транзакция в РСА наверняка была заверена его ЭЦП.
Возьмем для примера простенький сервис. Он крутится на виртуалках в 3 разных ЦОДах. Цоды географически расположены в разных регионах. Сервис работает в рид онли режиме и формирует выписки из абстрактного реестра. Онлайн. Человек оплатил услугу, ему тут же упала выписка. Обновление реестра с задержкой в сутки нас устраивает, синхронизация тривиальна.
Как будем подписывать неизвлекаемым ключом? Сертификат, естественно, должен быть везде одинаковым.
Пользователь вообще не в курсе что там куча нод стоит. Не надо его нагружать лишней информацией.
Из КриптоПро CSP можно экспортировать ключ в .pfx файл. И он получается не совместимым ни с чем. Претензия именно к этому. Раз делаете стандартное расширение используйте стандартный формат.
Подписи получаются технически абсолютно валидные. Остальное к юристам. Я, как уже и говорил, не специалист в юридических вопросах.
VipNet не менее платный и не менее проприетарный чем КриптоПро. Соответственно с теми же проблемами. Как лицензировать и да и вообще как оно будет себя вести при автодеплое кучи инстансов непонятно. Да и платить за каждый сервер не очень идея.
Деньги
BouncyCastle:
3к в год на организацию. И все.
На любом количестве виртуалок или докеров будет работать любое количество ЭЦП.
КриптоПро:
Лицензия на право использования СКЗИ «КриптоПро CSP» версии 5.0 на одном рабочем месте
Лицензия на рабочее место не позволит использовать КриптоПро CSP в среде серверных операционных систем 2700 Без НДС.
Лицензия на право использования СКЗИ «КриптоПро CSP» версии 5.0 на сервере 37500 Без НДС.
Разница по деньгам более чем на порядок.
Удобство
Разница в удобстве просто несравнима.
Один раз экспортнули и дальше везде типовой софт VS платная проприетарщина на каждом сервере.
Я очень надеюсь что вы разобрали «моторизованные шаровые вентили» и убедились что там непробиваемый изолятор стоит между 220 и трубой. И заодно установили так что в случае поломки вентиля и потопа на трубу 220 в принципе попасть не может.
В таком вопросе верить китайцам нельзя ни в коем случае.
Космические ЦОДы появятся сразу после развертывания первого общедоступного спутникового интернета. OneWeb, StarLink или еще чьего.
Просто по экономическим причинам. Пинг и скорость для пользователей спутникового канала и возможность отдавать данные не нагружая канал земля->космос перевесят все проблемы с ремонтом, охлаждением и утилизацией.
Заиметь представительства это вообще не проблема. Можно юрлиц открыть любых и любое количество. Это совсем недорого. Нанять хороших юристов и разбирательства что там за этими юрлицами на самом деле займет десятилетия.
Сейчас они могут «посылать» почти все правительства. Еще немного и смогут вообще все. Телеграмм очень яркий пример. Он свободно доступен и в аппсторе и гуглплее. Это и есть «посылание» правительства далеко не последней страны.
А что помешает Гуглу юридически переехать в какую-нибудь Монголию?
Где за скромное, но регулярное, вознаграждение (в размере годового бюджета этой Монголии) от них не будут требовать никакой дичи.
Или вообще купить архипелаг островов по вкусу и сделать там свое государство. Вступить в ООН, все дела.
Проблема только с приватными ключами.
Спроектировать можно все. Только делать так не надо. Вылазит куча проблем и несовместимостей. Часть из которых вообще нерешаемы. Виртуалки гвоздями прибивать к железкам очень плохо. И конский прайс за все будет.
При этом плюсов ее видно. Злоумышленник получивший рут и так и так сможет все подписывать, а при обнаружении и так и так сертификат отзывается и перевыпускается. Одни минусы от железок.
Сертификаты без проблем экспортируются в нормальные открытые форматы. Я не понимаю в чем проблема? openssl справится.
Сертификаты разные. Пользователь запрашивает 2 одинаковые выписки и получает подписи с разными сертификатами. Пользователь негодует и начинает писать в техподдержку. Мол какой из них настоящий?
Hcm не взлетит. Он не совместим с виртуализацией, докерами и прочими автодеплоями нод.
Увы в российских реалиях это не так работает.
Чтобы далеко за примером не ходить: У меня на полисе Е-ОСАГО написано что его выдал менеджер Иванов И.И. и транзакция в РСА наверняка была заверена его ЭЦП.
Возьмем для примера простенький сервис. Он крутится на виртуалках в 3 разных ЦОДах. Цоды географически расположены в разных регионах. Сервис работает в рид онли режиме и формирует выписки из абстрактного реестра. Онлайн. Человек оплатил услугу, ему тут же упала выписка. Обновление реестра с задержкой в сутки нас устраивает, синхронизация тривиальна.
Как будем подписывать неизвлекаемым ключом? Сертификат, естественно, должен быть везде одинаковым.
Пользователь вообще не в курсе что там куча нод стоит. Не надо его нагружать лишней информацией.
Может быть неизвлекаемым — да. Обязан — нет. Есть море вариантов когда документы надо подписывать на сервере без участия человека.
Например, выписки из любых гос реестров. Они должны быть подписаны, но участие человека в этом процессе не нужно.
Подписи получаются технически абсолютно валидные. Остальное к юристам. Я, как уже и говорил, не специалист в юридических вопросах.
VipNet не менее платный и не менее проприетарный чем КриптоПро. Соответственно с теми же проблемами. Как лицензировать и да и вообще как оно будет себя вести при автодеплое кучи инстансов непонятно. Да и платить за каждый сервер не очень идея.
BouncyCastle:
3к в год на организацию. И все.
На любом количестве виртуалок или докеров будет работать любое количество ЭЦП.
КриптоПро:
Лицензия на право использования СКЗИ «КриптоПро CSP» версии 5.0 на одном рабочем месте
Лицензия на рабочее место не позволит использовать КриптоПро CSP в среде серверных операционных систем 2700 Без НДС.
Лицензия на право использования СКЗИ «КриптоПро CSP» версии 5.0 на сервере 37500 Без НДС.
Разница по деньгам более чем на порядок.
Удобство
Разница в удобстве просто несравнима.
Один раз экспортнули и дальше везде типовой софт VS платная проприетарщина на каждом сервере.
В таком вопросе верить китайцам нельзя ни в коем случае.
Изменение с 262 до 269, то есть примерно на 2%.
А как сильно выглядит.
Крыш бываем много, крыши бывает вообще нет, а бывает на крыше что-то лежит. И это все разрешено ПДД.
Стандартная проверка крайних случаев.
Навскидку они точно есть в: String, ArrayList, HashMap. Хватит?
Просто по экономическим причинам. Пинг и скорость для пользователей спутникового канала и возможность отдавать данные не нагружая канал земля->космос перевесят все проблемы с ремонтом, охлаждением и утилизацией.
Для начала можно почитать про shuffle array и брать элементы в порядке сортировки.
Почитать тут
Сейчас они могут «посылать» почти все правительства. Еще немного и смогут вообще все. Телеграмм очень яркий пример. Он свободно доступен и в аппсторе и гуглплее. Это и есть «посылание» правительства далеко не последней страны.
Где за скромное, но регулярное, вознаграждение (в размере годового бюджета этой Монголии) от них не будут требовать никакой дичи.
Или вообще купить архипелаг островов по вкусу и сделать там свое государство. Вступить в ООН, все дела.
Вы лично готовы гарантировать что спутник не выйдет из строя и будет все время работать для транзитного трафика и абонентов вне России?