Ваша логика работает, если считать, что ключ хранится у директора в портфеле и достается при необходимости что-то подписать. Но в данном случае ключи хранятся на сервере, а сервер стоит в коммерческом ДЦ (хоть и в закрытой стойке, но без замка). Все таки вероятность украсть сам рутокен, выдернув его из сервера, несколько больше вероятности взломать виртуалку, о которой даже из сотрудников почти никто не знает, где хранятся изъятые из рутокена ключи.
Итальянская забастовка хорошо действует, когда ее поддерживают другие компании тоже. Нам начиная с 5 ноября почти ежедневно стали присылать факсы и звонили голосом из местного Роскомнадзора и тон был все более требовательным. В конце концов была прислана бумага, что мы обязаны либо до 12 часов 15 ноября все настроить и отчитаться об этом, либо написать мотивированный отказ.
Сейчас, возможно, уже поздно бороться с этим со стороны провайдеров (не факт, конечно). Бороться надо было пока закон обсуждался и пока он е вступил в силу. И мы это делали по мере возможностей.
Для ОС семейства Windows приложение командной строки cryptcp требует отдельной лицензии, отличной от лицензии на КриптоПро CSP для Windows. Для приобретения лицензии на приложение командной строки cryptcp для Windows обращайтесь на страницу приобретение.
Для ОС семейства Unix приложение командной строки cryptcp входит в состав КриптоПро CSP версий 3.0 и 3.6 и не требует отдельной лицензии.
Отлично, но в имеющейся у нас версии КриптоПро, поставляемой с Рутокеном, этой утилиты нет. Под винду она покупается отдельно. В линуксе входит в состав серверной КриптоПро, как Вы и написали.
Да, есть. Разумеется мы изначально рассматривали и такой вариант, но, повторюсь:
* Линуксовая версия КриптоПРО требует отдельной лицензии (которую никто из УЦ нам предложить не смог — только Windows)
* У КриптоПРО очень не очевидна схема лицензирования нам нужна лицензия на 1 рабочее место, то ли на 1 сервер (1800 руб. vs 25000 руб.)
* Мы не знаем, насколько у них эта версия работоспособна. А OpenSSL нам хорошо знаком и много где используется
И, в общем, в настоящий момент OpenSSL отлично работает и не требует дополнительного вмешательства, так что спасибо, но нет :-)
Это мы знаем. Вообще, описанная здесь история в реальности заняла больше недели. Изначально опыта работы с Российскими ЭЦП у нас не было. Мы обратились в несколько удостоверяющих центров с вопросом: нам надо чтобы у нас была ЭЦП и чтобы мы могли автоматизированно подписывать ей документы, причем желательно под linux. Выяснилось, что все без исключения УЦ продают Рутокены с установленной на них обрезанной версией КриптоПро под Windows. Хотите подписывать документы — покупайте еще КриптоАРМ, тоже под Windows. Линуксовую версию не продаем. Дальнейшее выяснение свелось к тому, что как-то вроде бы можно из этой Крипто Про под Win выковырять ключ лицензии, у производителей взять версию под Linux и использовать этот ключ с ней (со слов УЦ). К тому моменту сама ЭЦП с РуТокеном была готова, а вопрос с подписыванием документов все еще висел в воздухе. Получив Рутокен мы поначалу попытались через openssl прочитать с него ключи (это не удалось), потом нашли P12FromGostCSP и на этом вопрос у нас закрылся. Как нам все таки получить cryptcp под linux на тот момент нам так никто и не ответил, а позже стало не надо. И именно потому, что квест оказался совершенно нетривиальным (для нас), мы и написали эту статью.
Для тех, кто работал с ЭЦП и ранее, скорее всего никаких проблем не возникло в принципе, это понятно.
Проблема в том, что нам гораздо привычней и удобней Debian и OpenSSL, а заводить отдельный сервер для Windows только для 1 периодической задачи + это решение потом поддерживать — нам оказалось не очень интересно. Хотя, конечно, как запасной вариант — подходит.
Увы, нет.
Запросы принимаются и отдаются исключительно в windows-1251. Все пробы подсунуть юникод приводили к сообщению: «Ошибка! Файл запроса не соответствует требуемому формату».
Вы имеете ввиду «как получить открепленную ЭП в PKCS#7 из Рутокена» или «как получить открепленную ЭП в PKCS#7 из Рутокена с помощью КриптоПро»? Если первое, то ответ на этот вопрос в пункте 1 статьи, там где краткий бриф наших действий.
И в чем, простите, глубокий смысл этой затеи? Описанная методика опробована на нескольких десятках реальных ddos-атак. Она не идеальна, но она работает. Разумеется, завалить защищаемый ею сайт можно, но в большинстве случаев реальным атакующим это не удается.
Основная идея сводится к тому, чтобы в достаточно короткое время выделить ботнет и зафильтровать его. Понятно что при этом будут какие-то потери для нормальных посетителей. Но если речь о том, что они не допустимы, то лучше сразу идти договариваться с профильными компаниями о защите.
> И количеством статей не меряюсь (кстати, качественный показатель важнее, IMHO)…
конечно, Вы правы. Только когда показатель, любой причем, умножается на ноль, он все равно равен нулю. Что такое «ноль»? Ноль — это количество Ваших статей.
Смотрите, вот несколько цитат из последней статьи highloadlab:
> Преступники отдают предпочтение высокоуровневым атакам транспортного и прикладного уровня (82%)
> Не менее 50% атак Layer 7 – это «долбежка» в один URI
Думаю процент чисто http flood атак Вы сможете посчитать сами. Отсюда Ваше высказывание «А потом только представьте себе, что все те адреса, которые вы «успешно» забанили, чихать хотели на все ваши -j DROP и входящий канал будут забивать аж по самое не балуйся ;)» уже под боооольшим вопросом, точнее его актуальность. Причем HLL считают статистику по атакам, с которыми обращаются к ним, а у нас есть статистика по атакам, с которыми обращаются к нам. У нас расклад иной и еще больше не в пользу Вашей точки зрения. Из последних 4 десятков атак кроме http flood другой трафик мы наблюдали только в одном (!) случае.
Теперь прикиньте каков реальный процент атак, против которых эта методика будет эффективна и Вам поплохеет.
Вот и вся аргументация: только представьте что на Землю упадет Луна… В статье явно написано что это борьба с http flood. Откуда возьмется то, что Вы предлагаете представлять? Почему обычно не берется? Может потому что Вы сами реально с атаками только на картинках знакомы?
Сейчас, возможно, уже поздно бороться с этим со стороны провайдеров (не факт, конечно). Бороться надо было пока закон обсуждался и пока он е вступил в силу. И мы это делали по мере возможностей.
Лицензирование
Для ОС семейства Windows приложение командной строки cryptcp требует отдельной лицензии, отличной от лицензии на КриптоПро CSP для Windows. Для приобретения лицензии на приложение командной строки cryptcp для Windows обращайтесь на страницу приобретение.
Для ОС семейства Unix приложение командной строки cryptcp входит в состав КриптоПро CSP версий 3.0 и 3.6 и не требует отдельной лицензии.
* Линуксовая версия КриптоПРО требует отдельной лицензии (которую никто из УЦ нам предложить не смог — только Windows)
* У КриптоПРО очень не очевидна схема лицензирования нам нужна лицензия на 1 рабочее место, то ли на 1 сервер (1800 руб. vs 25000 руб.)
* Мы не знаем, насколько у них эта версия работоспособна. А OpenSSL нам хорошо знаком и много где используется
И, в общем, в настоящий момент OpenSSL отлично работает и не требует дополнительного вмешательства, так что спасибо, но нет :-)
Для тех, кто работал с ЭЦП и ранее, скорее всего никаких проблем не возникло в принципе, это понятно.
Запросы принимаются и отдаются исключительно в windows-1251. Все пробы подсунуть юникод приводили к сообщению: «Ошибка! Файл запроса не соответствует требуемому формату».
конечно, Вы правы. Только когда показатель, любой причем, умножается на ноль, он все равно равен нулю. Что такое «ноль»? Ноль — это количество Ваших статей.
> Преступники отдают предпочтение высокоуровневым атакам транспортного и прикладного уровня (82%)
> Не менее 50% атак Layer 7 – это «долбежка» в один URI
Думаю процент чисто http flood атак Вы сможете посчитать сами. Отсюда Ваше высказывание «А потом только представьте себе, что все те адреса, которые вы «успешно» забанили, чихать хотели на все ваши -j DROP и входящий канал будут забивать аж по самое не балуйся ;)» уже под боооольшим вопросом, точнее его актуальность. Причем HLL считают статистику по атакам, с которыми обращаются к ним, а у нас есть статистика по атакам, с которыми обращаются к нам. У нас расклад иной и еще больше не в пользу Вашей точки зрения. Из последних 4 десятков атак кроме http flood другой трафик мы наблюдали только в одном (!) случае.
Теперь прикиньте каков реальный процент атак, против которых эта методика будет эффективна и Вам поплохеет.
Вот и вся аргументация: только представьте что на Землю упадет Луна… В статье явно написано что это борьба с http flood. Откуда возьмется то, что Вы предлагаете представлять? Почему обычно не берется? Может потому что Вы сами реально с атаками только на картинках знакомы?