Ключи в решении с облачной подписью должны храниться на HSM. Никто, даже сам сервер подписи, не получает сами закрытые ключи.
Во всей этой «облачной» архитектуре устройство HSM — единственное, чему я могу доверять. Гораздо больше вопросов возникает с механизмами аутентификации (как облачный сервис решает, что именно я владелец закрытого ключа), с передачей документов третьему лицу и т.д. Все эти «лишние» шаги способствуют дополнительным проблемам. И уж коли Вы так любите транспортные аналогии, то мне подобные сервисы видятся не как пилот-профессионал за штурвалом боинга, а как таксист-гастарбайтер за рулем ушатанной шестерки. Если кого-то устраивает такой сервис — пожалуйста.
Вопрос доверия — дело личное.
Вот тут Вы правы. И я такой системе довериться не могу.
Я не считаю себя конченным параноиком и не испытываю дискомфорта от того, что мой закрытый ключ хранится на токене. Хотя, по понятным причинам, и это устройство нельзя считать абсолютно безопасным. Однако согласитесь, персональное устройство, подключаемое по требованию, вызывает бОльшее доверие, чем общедоступный сервис (пусть даже в рамках доверенной сети) с хранилищем всех закрытых ключей пользователей, к которому в любой момент времени может получить доступ любой пользователь.
И знаете, я вполне доверяю и автоматам, и роботам и бесступенчатым трансмиссиям. Более того, я предпочитаю автоматы. Но переключение скоростей и передача стороннему сервису права подписи документов — для меня совершенно разные вещи.
Если же Вы не видите разницы, то что ж… Имеете на то право.
То есть Вы предлагаете передавать свой персональный закрытый ключ, который используется для подписи в юридически значимом документообороте какой-то третьей, пусть и доверенной (условно), стороне? Вы действительно считаете, что сервер с какой-то многофакторной аутентификацией надежнее клиентских персональное устройств?
Если у пользователя возникают проблемы с наипросторнейшей процедурой подключения токена или смарт-карты, вводом PINа и непосредственно подписью, то стоит ли вообще его наделять правом подписи?
Да, использование ЭП требует от пользователя соблюдения определенных правил, но это не повод добровольно отказаться от своего закрытого ключа в угоду кажущегося удобства.
Использовать шифрсьюты на основе ГОСТов имеет смысл ради экспериментов разве что, или когда сверху сказали (законодательно), что надо. Иные варианты использования даже в голову не приходят. :)
Поправьте, если не прав.
Спасибо, но я не могу сказать, что добавилось понимания явления.
На мой вкус, в книге С. Хокинга «Краткая история времени. От большого взрыва до наших дней» объяснено получше.
Во всей этой «облачной» архитектуре устройство HSM — единственное, чему я могу доверять. Гораздо больше вопросов возникает с механизмами аутентификации (как облачный сервис решает, что именно я владелец закрытого ключа), с передачей документов третьему лицу и т.д. Все эти «лишние» шаги способствуют дополнительным проблемам. И уж коли Вы так любите транспортные аналогии, то мне подобные сервисы видятся не как пилот-профессионал за штурвалом боинга, а как таксист-гастарбайтер за рулем ушатанной шестерки. Если кого-то устраивает такой сервис — пожалуйста.
Вот тут Вы правы. И я такой системе довериться не могу.
И знаете, я вполне доверяю и автоматам, и роботам и бесступенчатым трансмиссиям. Более того, я предпочитаю автоматы. Но переключение скоростей и передача стороннему сервису права подписи документов — для меня совершенно разные вещи.
Если же Вы не видите разницы, то что ж… Имеете на то право.
Если у пользователя возникают проблемы с наипросторнейшей процедурой подключения токена или смарт-карты, вводом PINа и непосредственно подписью, то стоит ли вообще его наделять правом подписи?
Да, использование ЭП требует от пользователя соблюдения определенных правил, но это не повод добровольно отказаться от своего закрытого ключа в угоду кажущегося удобства.
Поправьте, если не прав.
Мне одному кажется, что после слова «Bull» не хватает слова «shit»?
В докладе Касперского, в разделе «Unusual modules and artifacts»:
Finally, the word ‘shit’ appears in many places throughout the code and modules.
На мой вкус, в книге С. Хокинга «Краткая история времени. От большого взрыва до наших дней» объяснено получше.
<sarcasm> </sarcasm>? Не расстраивайте нас так. Или…?