Комментарии 97
Но, например, на андроид планшете работать не будет?
+1
Ситуация следующая. КриптоТуннель по сути является связкой OpenSSL + допиленный sTunnel, только используется сертифицированный в ФСБ аналог OpenSSL (МагПро КриптоПакет). OpenSSL, насколько я знаю, портирован на андроид, насчет sTunnel — не знаю, но думаю будет. Таким образом, технологических ограничений нет. Единственное что, для квалифицированной подписи эти портированные версии должны быть сертифицированы в ФСБ.
0
Надеюсь прогресс наступит и в этой области :) Пока же купил себе SONY UX280p специально для интернет банка )))
0
Дорогое решение:)
+1
Отнюдь. Всего лишь 200 баксов ))) Если учесть, что я продал нетбук до этого за 7к рублей, то даже в плюсе оказался :)
0
толсто! :)
+1
>Компания SafeTech была основана в 2010 году
Я бы не стал использовать девайс с ограниченными возможностями производства неизвестной конторы, возникшей буквально вчера, для защиты своих денег.
Я бы не стал использовать девайс с ограниченными возможностями производства неизвестной конторы, возникшей буквально вчера, для защиты своих денег.
0
Как я посмотрю, у вашей компании нет других аргументов :)
Забавно на это смотреть. Многое говорит о позиции и методах работы.
Забавно на это смотреть. Многое говорит о позиции и методах работы.
-1
Не видел раньше указанного комментария. Просто это первое, что бросается в глаза — года основания, отсутствие лицензий и сертификатов. Почему вашей поделке, которую никто не проверял, люди должны доверять защиту своих денег?
А метод вашей работы — это троллинг?
Второе что бросается в глаза — девайс отображает не всю подписываемую информацию, а только некоторые куски. Следует понимать, что это уязвимость, которая найдет своего хакера.
А метод вашей работы — это троллинг?
Второе что бросается в глаза — девайс отображает не всю подписываемую информацию, а только некоторые куски. Следует понимать, что это уязвимость, которая найдет своего хакера.
0
Уважаемый, покажите, пожалуйста, общественности компанию, которая «родилась» с 10-ти летним стажем, лицензиями и сертификатами (которые, кстати, абсолютно не являются гарантией надежности решения). Залогом успеха является не год создания, а команда. И она у нас очень сильная.
По поводу «никто не проверял» — опять не правда. SafeTouch три месяца назад отдан на тестирование в две лаборатории. Ни одной уязвимости до сих пор не найдено.
Отображать же документ целиком — бред. Это создает избыточную нагрузку на пользователя, заставляя его подтверждать подпись, не вдаваясь в суть. С нашей точки зрения, отображение нескольких ключевых полей (без которых атака на документ будет бессмысленной) — гораздо удобнее.
Кстати, называть «поделкой» продукт, который Вы и в руках то не держали, это как раз и есть троллинг.
По поводу «никто не проверял» — опять не правда. SafeTouch три месяца назад отдан на тестирование в две лаборатории. Ни одной уязвимости до сих пор не найдено.
Отображать же документ целиком — бред. Это создает избыточную нагрузку на пользователя, заставляя его подтверждать подпись, не вдаваясь в суть. С нашей точки зрения, отображение нескольких ключевых полей (без которых атака на документ будет бессмысленной) — гораздо удобнее.
Кстати, называть «поделкой» продукт, который Вы и в руках то не держали, это как раз и есть троллинг.
0
Разоблачитель, где первая-то неправда? :) Вы нелогичны, на вашем сайте я не нашел ни одного упоминания о тестировании.
Почему-то уверен, что лаборатории не найдут ни одной уязвимости :)
>Отображать же документ целиком — бред
А я вот решил не словами кидаться, а почитать на досуге новый закон об электронной подписи
Статья 12. Средства электронной подписи
2.1 При создании электронной подписи средства электронной подписи должны: показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает.
Прикинь, ни слова про ключевые поля. То есть Safe Touch не отвечает требованиям законодательства? И подпись, сделанная с его помощью, не может считаться квалифицированной?
По поводу уязвимости. Она есть — отрицать это бессмысленно. У взломщика имеется возможность целенаправленно отформатировать входное сообщение таким образом, что ключевые поля будут выглядеть как правильные, а само сообщение будет неправильным.
>Кстати, называть «поделкой» продукт, который Вы и в руках то не держал
А вы мне дадите его подержать?
Почему-то уверен, что лаборатории не найдут ни одной уязвимости :)
>Отображать же документ целиком — бред
А я вот решил не словами кидаться, а почитать на досуге новый закон об электронной подписи
Статья 12. Средства электронной подписи
2.1 При создании электронной подписи средства электронной подписи должны: показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает.
Прикинь, ни слова про ключевые поля. То есть Safe Touch не отвечает требованиям законодательства? И подпись, сделанная с его помощью, не может считаться квалифицированной?
По поводу уязвимости. Она есть — отрицать это бессмысленно. У взломщика имеется возможность целенаправленно отформатировать входное сообщение таким образом, что ключевые поля будут выглядеть как правильные, а само сообщение будет неправильным.
>Кстати, называть «поделкой» продукт, который Вы и в руках то не держал
А вы мне дадите его подержать?
0
Размещать информацию на сайте до официального окончания процесса тестирования — не совсем корректно. Или Вы считаете иначе?
По поводу уверенности о результатах тестирования, это не к нам, а в лабораторию.
Ваши слова на тему 63-ФЗ, это еще одно доказательство того, что Вы абсолютно не разобрались в принципах работы SafeTouch, либо невнимательно прочитали закон. Итак, SafeTouch не является средством электронной подписи. Документ подписывается в смарт-карте, которая и является сертифицированным СКЗИ.
Кстати о сертификации — Если ПинПад является средством электронной подписи (особенно претендующей на квалифицированность), то он подлежит обязательной сертификации. Что-то я нигде упоминания о его сертифицированности не нашел. Может быть Вы нам ссылочку подкинете?
Описанная Вами потенциальная уязвимость убирается элементарно, стоит лишь настроить корректный парсинг документа на стороне сервера. В таком случае подмена полей ничего не даст.
Подержать — не вопрос. Контакты у нас на сайте есть.
По поводу уверенности о результатах тестирования, это не к нам, а в лабораторию.
Ваши слова на тему 63-ФЗ, это еще одно доказательство того, что Вы абсолютно не разобрались в принципах работы SafeTouch, либо невнимательно прочитали закон. Итак, SafeTouch не является средством электронной подписи. Документ подписывается в смарт-карте, которая и является сертифицированным СКЗИ.
Кстати о сертификации — Если ПинПад является средством электронной подписи (особенно претендующей на квалифицированность), то он подлежит обязательной сертификации. Что-то я нигде упоминания о его сертифицированности не нашел. Может быть Вы нам ссылочку подкинете?
Описанная Вами потенциальная уязвимость убирается элементарно, стоит лишь настроить корректный парсинг документа на стороне сервера. В таком случае подмена полей ничего не даст.
Подержать — не вопрос. Контакты у нас на сайте есть.
0
>Размещать информацию на сайте до официального окончания >процесса тестирования — не совсем корректно. Или Вы считаете иначе?
Тогда писать «опять не правда» в данном контексте — совсем некорректно. Или Вы считаете иначе?
>Ваши слова на тему 63-ФЗ, это еще одно доказательство того, что Вы >абсолютно не разобрались в принципах работы SafeTouch, либо >невнимательно прочитали закон. Итак, SafeTouch не является >средством электронной подписи. Документ подписывается в смарт->карте, которая и является сертифицированным СКЗИ.
Как сертифицированное СКЗИ в виде смарт-карты отобразит сообщение для соответствия закону?
Отображать будет сначала программная часть, а потом еще раз какие-то куски будет отображать Safe Touch?
Это таким способом вы хотите сделать удобно пользователям?
>Описанная Вами потенциальная уязвимость убирается элементарно, >стоит лишь настроить корректный парсинг документа на стороне >сервера. В таком случае подмена полей ничего не даст.
То что вы предлагаете — это не устраняет уязвимости в общем случае. Да, сервер не примет. Но электронная подпись — аналог ручной и имеет юридическую силу. Можно наделать много неприятностей человеку, имея документ с его подписью, полученной обманным способом.
Тогда писать «опять не правда» в данном контексте — совсем некорректно. Или Вы считаете иначе?
>Ваши слова на тему 63-ФЗ, это еще одно доказательство того, что Вы >абсолютно не разобрались в принципах работы SafeTouch, либо >невнимательно прочитали закон. Итак, SafeTouch не является >средством электронной подписи. Документ подписывается в смарт->карте, которая и является сертифицированным СКЗИ.
Как сертифицированное СКЗИ в виде смарт-карты отобразит сообщение для соответствия закону?
Отображать будет сначала программная часть, а потом еще раз какие-то куски будет отображать Safe Touch?
Это таким способом вы хотите сделать удобно пользователям?
>Описанная Вами потенциальная уязвимость убирается элементарно, >стоит лишь настроить корректный парсинг документа на стороне >сервера. В таком случае подмена полей ничего не даст.
То что вы предлагаете — это не устраняет уязвимости в общем случае. Да, сервер не примет. Но электронная подпись — аналог ручной и имеет юридическую силу. Можно наделать много неприятностей человеку, имея документ с его подписью, полученной обманным способом.
0
Конечно не правда:) Вы ведь не знаете реальной ситуации, а пишете, что SafeTouch никто не проверял.
Мы решаем конкретную задачу: отображение ключевых полей платежного документа в замкнутой среде. Подмена любого из неконтролируемых полей не приведет к искомому для хакера результату — краже денег. Задача выполнена.
Кстати, Вы не ответили на вопрос о сертификации ПинПада. Я правильно понимаю, что Вам сказать нечего?
Мы решаем конкретную задачу: отображение ключевых полей платежного документа в замкнутой среде. Подмена любого из неконтролируемых полей не приведет к искомому для хакера результату — краже денег. Задача выполнена.
Кстати, Вы не ответили на вопрос о сертификации ПинПада. Я правильно понимаю, что Вам сказать нечего?
+1
Реальная ситуация такова, что Safe Touch на данный момент никто не проверил. Слова о «3 месяцах и 2 лабораториях» не заменяют результатов проверки.
>Мы решаем конкретную задачу: отображение ключевых полей >платежного документа в замкнутой среде. Подмена любого из >неконтролируемых полей не приведет к искомому для хакера >результату — краже денег. Задача выполнена.
DenK, даже эту конкретную задачу в реальной прикладной системе можно не решить с помошью вашего девайса. Вы сами написали, что как минимум сервер придется определеннным образом доделывать/переделывать. А если при доделке чего не учтут?
Неполное отображение подписываемой информации — это, как минимум, почва для экпериментов для хакера.
По сертификации PINPad. Я думаю, вы представляете себе сроки сертификации в ФСБ?
>Мы решаем конкретную задачу: отображение ключевых полей >платежного документа в замкнутой среде. Подмена любого из >неконтролируемых полей не приведет к искомому для хакера >результату — краже денег. Задача выполнена.
DenK, даже эту конкретную задачу в реальной прикладной системе можно не решить с помошью вашего девайса. Вы сами написали, что как минимум сервер придется определеннным образом доделывать/переделывать. А если при доделке чего не учтут?
Неполное отображение подписываемой информации — это, как минимум, почва для экпериментов для хакера.
По сертификации PINPad. Я думаю, вы представляете себе сроки сертификации в ФСБ?
0
Реальная ситуация такова, что на рынке нет ни одного проверенного независимой лабораторией устройства. Мы хотя бы идем по этому пути. Как пройдем — расскажем.
Мы контролируем встраивание SafeTouch в системы ДБО российских (и не только) производителей. Соответствующие методики разработаны и доведены до программистов, так что не волнуйтесь, все будет ОК.
Ну так я к чему, если сами сертификата не получили пока, может не будете стращать нас знанием российского законодательства?:)
Мы контролируем встраивание SafeTouch в системы ДБО российских (и не только) производителей. Соответствующие методики разработаны и доведены до программистов, так что не волнуйтесь, все будет ОК.
Ну так я к чему, если сами сертификата не получили пока, может не будете стращать нас знанием российского законодательства?:)
+1
Кстати о «подержать».
Если уж мы тут обмениваемся любезностями, может Вы нам тоже дадите подержать вашу поделку?
А то, насколько мне известно, компания, обладающая сверхопытом и всеми возможными сертификатами и лицензиями не очень далеко ушла от прототипа :)
Если уж мы тут обмениваемся любезностями, может Вы нам тоже дадите подержать вашу поделку?
А то, насколько мне известно, компания, обладающая сверхопытом и всеми возможными сертификатами и лицензиями не очень далеко ушла от прототипа :)
+1
Поправка: для того, чтобы подпись считалась квалифицированной, достаточно всего лишь, чтобы сертифицированная версия выдавала положительный результат проверки этой самой подписи.
С помощью чего ключ и сама подпись генерируется — никого не интересует.
С помощью чего ключ и сама подпись генерируется — никого не интересует.
0
Можно цитату из закона об электронной подписи, где это написано?
0
Я тоже так думал, но меня переубедили, что этого недостаточо в общем случае. Несертифицированная программа может показать один документ, а отправить подписанным другой.
+1
Например я могу подавать в инстанции отчетность подрписанную open ssl? Или мне надо покупать сертифицированную версию open ssl?
0
Дорогое решение:)
0
«Основной фишкой решения КриптоТуннель является то, что он работает без установки»
Угу. Появляется у пользователя, зашедшего на сайт, горним чудом.
Скажите, я правильно понимаю, что простое https соединение туда фиг завернешь без нарушения политики безопасности?
Угу. Появляется у пользователя, зашедшего на сайт, горним чудом.
Скажите, я правильно понимаю, что простое https соединение туда фиг завернешь без нарушения политики безопасности?
0
>«Основной фишкой решения КриптоТуннель является то, что он работает без установки»
>Угу. Появляется у пользователя, зашедшего на сайт, горним чудом.
Пользователю нужно скачать (или принести на флешке) и запустить программу. Это сильно отличается от «установить с правами администратораb и настроить». Посмотрите как просто это сделано на сайте Росимущества.
Без нарушения каких политик безопасности? Если браузерных, то с этим все хорошо.
>Угу. Появляется у пользователя, зашедшего на сайт, горним чудом.
Пользователю нужно скачать (или принести на флешке) и запустить программу. Это сильно отличается от «установить с правами администратораb и настроить». Посмотрите как просто это сделано на сайте Росимущества.
Без нарушения каких политик безопасности? Если браузерных, то с этим все хорошо.
0
«Пользователю нужно скачать (или принести на флешке) и запустить программу.»
Это лишнее действие, которое делать в общем случае не надо, и пользователь тут не при чем.
«Без нарушения каких политик безопасности? Если браузерных, то с этим все хорошо. „
А как? Типа, браузер примет сертификат, выданный сайту blah.blah.com, но отдаваемый 127.0.0.1:8080?
Это лишнее действие, которое делать в общем случае не надо, и пользователь тут не при чем.
«Без нарушения каких политик безопасности? Если браузерных, то с этим все хорошо. „
А как? Типа, браузер примет сертификат, выданный сайту blah.blah.com, но отдаваемый 127.0.0.1:8080?
0
Браузер пользователя работает по HTTP.
sTunnel, получая запросы по HTTP, перенаправляет их на нужный сервер (указанный в его настройках) по TLS-соединению. Он тут работает как прокси.
Так что конечный браузер даже не знает, что его защищают
sTunnel, получая запросы по HTTP, перенаправляет их на нужный сервер (указанный в его настройках) по TLS-соединению. Он тут работает как прокси.
Так что конечный браузер даже не знает, что его защищают
0
«Так что конечный браузер даже не знает, что его защищают»
Вот смотрит. У меня есть сайт blahblah.com. Я хочу, чтобы вся работа с ним была через https (стандартный, из любого места). Я покупаю сертификат, устанавливаю, все хорошо.
Теперь в _одном_ месте этого сайта мне нужна сертифицированная подпись. Как мне сделать так, чтобы и люди с криптотуннелем, и люди без него могли ходить по https-серверу (потому что так написано в инструкции пользователя, «проверьте, что https и иконка зелененькая»), но те, которые с криптотуннелем могли еще и подписывать?
Вот смотрит. У меня есть сайт blahblah.com. Я хочу, чтобы вся работа с ним была через https (стандартный, из любого места). Я покупаю сертификат, устанавливаю, все хорошо.
Теперь в _одном_ месте этого сайта мне нужна сертифицированная подпись. Как мне сделать так, чтобы и люди с криптотуннелем, и люди без него могли ходить по https-серверу (потому что так написано в инструкции пользователя, «проверьте, что https и иконка зелененькая»), но те, которые с криптотуннелем могли еще и подписывать?
0
Те, которые с КриптоТуннелем, будут ходить на страницу подписи, запустив КриптоТуннель, а остальные, зайдя на страницу подписи ничего не смогут подписать. Для этого сервер должен уметь на 443 порту TLS по ГОСТ и по RSA.
0
«Те, которые с КриптоТуннелем, будут ходить на страницу подписи, запустив КриптоТуннель»
И как это сделать прозрачно для пользователя? Вот он ходит-ходит по сайту, и на одной из страниц — раз, и подпись. На сайт он зашел из поисковика.
И как это сделать прозрачно для пользователя? Вот он ходит-ходит по сайту, и на одной из страниц — раз, и подпись. На сайт он зашел из поисковика.
-1
«Раз и подпись» — это конечно круто:)
Самое простое решение — если юзер примел по RSA, вывалить ему страницу — запустите КриптоТуннель.
Самое простое решение — если юзер примел по RSA, вывалить ему страницу — запустите КриптоТуннель.
0
Ну то есть, прощай прозрачность.
Надо запустить туннель, пойти по другой ссылке, потом вернуться обратно.
Оч-чень круто.
Надо запустить туннель, пойти по другой ссылке, потом вернуться обратно.
Оч-чень круто.
-1
Просто запустить КриптоТуннель. А он сам пройдет по нужной ссылке. Эт конечно не супер прозрачно, но достаточно просто.
0
А вернуться как? Обратно в защищенное соединение?
0
перейти по абсолютной ссылке, которая будет на странице
0
Т.е., в развертываемый сайт надо еще и зашить его абсолютную ссылку?
(Кстати, я правильно понимаю, что в этот момент _браузер_ пользователя думает, что соединение не защищено?)
Собственно, вот это все и описывает мое мнение по поводу геморроя (в том числе — пользователя) при использовании (любого, у меня был интерпро) туннеля для подписи чего бы то ни было.
(Кстати, я правильно понимаю, что в этот момент _браузер_ пользователя думает, что соединение не защищено?)
Собственно, вот это все и описывает мое мнение по поводу геморроя (в том числе — пользователя) при использовании (любого, у меня был интерпро) туннеля для подписи чего бы то ни было.
0
На станице подписи можно (если нужно) дать ссылку для перехода.
>(Кстати, я правильно понимаю, что в этот момент _браузер_ >пользователя думает, что соединение не защищено?)
Да.
>Собственно, вот это все и описывает мое мнение по поводу геморроя (в >том числе — пользователя) при использовании (любого, у меня был >интерпро) туннеля для подписи чего бы то ни было.
lair, у каждого решения для эцп и TLS по ГОСТам есть свои достоинтсва, недостатки. КриптоТуннель в этом ряду — не исключение.
>(Кстати, я правильно понимаю, что в этот момент _браузер_ >пользователя думает, что соединение не защищено?)
Да.
>Собственно, вот это все и описывает мое мнение по поводу геморроя (в >том числе — пользователя) при использовании (любого, у меня был >интерпро) туннеля для подписи чего бы то ни было.
lair, у каждого решения для эцп и TLS по ГОСТам есть свои достоинтсва, недостатки. КриптоТуннель в этом ряду — не исключение.
0
Это просто к тому, что все не так тривиально как «положите на флешку и запускайте» и «никаких проблем с безопасностью».
0
Если вам в банке выдали флешку или рутокен flash с КриптоТуннелем, ключом и сертификатом и сказали — для захода в интернет-банк запустите КриптоТуннель, то это реально тривиально.
В других случаях — да — немного непрозрачно.
В других случаях — да — немного непрозрачно.
+1
В этом случае было бы круто, если бы мне в банке выдали готовое приложение со словами «для входа в удаленный банкинг запустите его».
0
Если вам выдадут КриптоТуннель и вы его запустите, то остальное все он см сделает — Найдет браузер, который вы сделали умолчательным и запустит его таким образом, что вы попадете в интернет-банк через туннель. Чем это отличается от готового приложения?
Как вариант можно взять Mozilla FireFox Portable Edition, положить его рядом с КриптоТуннелем и указать КриптоТуннелю запускать именно его. Чего мы этим добъемся — непонятно.
Как вариант можно взять Mozilla FireFox Portable Edition, положить его рядом с КриптоТуннелем и указать КриптоТуннелю запускать именно его. Чего мы этим добъемся — непонятно.
0
Тем, что это требует наличия у меня на компьютере браузера, совместимого с сайтом, как минимум.
Но на самом деле, большее здесь зло — иллюзия «интернет-банкинга», который на самом деле не интернет, а пропьетарный.
Но на самом деле, большее здесь зло — иллюзия «интернет-банкинга», который на самом деле не интернет, а пропьетарный.
0
На мой взгляд, не браузер должен быть совместимым с сайтом, а сайт с браузером. То есть сайт должен тестироваться в различных браузерах.
А интернет-банк обычно стоит денег сам по себе. А то что вам предложат сертифицированное средство защиты — это скорее плюс.
А интернет-банк обычно стоит денег сам по себе. А то что вам предложат сертифицированное средство защиты — это скорее плюс.
0
«А интернет-банк обычно стоит денег сам по себе. А то что вам предложат сертифицированное средство защиты — это скорее плюс. „
Я ни разу не видел, чтобы это так работало.
В реальности либо работа с ЭЦП по ГОСТу, и тогда всякий нелепый софт, либо нормальный интернет-банк без ЭЦП.
Я очень редко вижу места, где ЭЦП по ГОСТУ была бы добровольной, и при этом кто-то продолжал бы ее применять.
Я ни разу не видел, чтобы это так работало.
В реальности либо работа с ЭЦП по ГОСТу, и тогда всякий нелепый софт, либо нормальный интернет-банк без ЭЦП.
Я очень редко вижу места, где ЭЦП по ГОСТУ была бы добровольной, и при этом кто-то продолжал бы ее применять.
0
Если вам в банке выдали флешку или рутокен flash с КриптоТуннелем, ключом и сертификатом и сказали — для захода в интернет-банк запустите КриптоТуннель, то это реально тривиально.
В других случаях — да — немного непрозрачно.
В других случаях — да — немного непрозрачно.
0
Решение «доверенный/недоверенный сайт» принимает КриптоТуннель на основе корневых сертификатов, которым он доверяет. Для браузера все прозрачно.
0
То есть человек без КриптоТуннеля не может работать с тем же сайтом по защищенному соединению даже если ему не нужна ЭЦП?
(полный пример: habrahabr.ru/blogs/infosecurity/136572/?reply_to=4546812#comment_4546839)
(полный пример: habrahabr.ru/blogs/infosecurity/136572/?reply_to=4546812#comment_4546839)
0
Решение «доверенный/недоверенный сайт» принимает КриптоТуннель на основе корневых сертификатов, которым он доверяет. Для браузера все прозрачно.
0
При использовании sTunnel есть ложка дегтя, о которой Вы не рассказали.
Дело в том, что эта программа самостоятельно открывает TLS-соединение с нужным сервером. При широкой распространенности этого решения неизбежно возникают ситуации, когда корпоративная сетевая политика предписывает работать нестандартными способами (прокси, VPN, ограничения портов, веб-фильтры и т. д.). И часто возникают ситуации, когда sTunnel просто не работает.
По этой причине очень ограниченно используются похожие продукты. Например, InterPro от Сигнал-Ком.
Дело в том, что эта программа самостоятельно открывает TLS-соединение с нужным сервером. При широкой распространенности этого решения неизбежно возникают ситуации, когда корпоративная сетевая политика предписывает работать нестандартными способами (прокси, VPN, ограничения портов, веб-фильтры и т. д.). И часто возникают ситуации, когда sTunnel просто не работает.
По этой причине очень ограниченно используются похожие продукты. Например, InterPro от Сигнал-Ком.
0
sTunnel умеет работать через прокси. C VPN тоже не должно возникнуть проблем, так как VPN обычно работает на сетевом уровне или ниже, а sTunnel на транспортном. Ограничения портов нет, так как sTunnel реализует TLS/SSL на том же стандартном 443 порту. Там проблема в другом — в абсолютных URL-ах. Но и ее можно обойти, если правильно сделать сайт.
0
Если честно очень смутно понял как это работает, а в Linux оно будет работать?
0
то есть по идеи сначала придется поставить sTunnel?
0
sTunnel в Linux вообще-то предустановлен
-1
Хм… сейчас проверил в репозитариях конечно есть, но по умолчанию не стоит(ubuntu\debian).
0
Значит на Linux все не так круто, как я думал:) Возможно разработчики и доведут до такого же состояния, как на виндах.
0
Конечно установить не проблема, просто очень не хватает реально подписи которую можно было бы очень быстро использовать без лишнего гемороя. В реальность хотелось бы возможность подписания тех же счет фактур полностью в электроном виде, но тут насколько я понимаю как раз не хватает законодательных норм!
0
>Конечно установить не проблема, просто очень не хватает реально подписи которую можно >было бы очень быстро использовать без лишнего гемороя
На виндах КриптоТуннель должен вас удовлетворить:)
> В реальность хотелось бы возможность подписания тех же счет фактур полностью в >электроном виде, но тут насколько я понимаю как раз не хватает законодательных норм!
Если я правильно ошибаюсь, недавно были эти нормы определены. Скоро какой-нибудь Контур наверно сделает сервис.
На виндах КриптоТуннель должен вас удовлетворить:)
> В реальность хотелось бы возможность подписания тех же счет фактур полностью в >электроном виде, но тут насколько я понимаю как раз не хватает законодательных норм!
Если я правильно ошибаюсь, недавно были эти нормы определены. Скоро какой-нибудь Контур наверно сделает сервис.
0
Сколько не читал эти законопроекты так не описывается такая возможность! Так как получается документы должны быть доступны проверяющим органам и гарантированно хранится до 10 лет!
0
уже сделал www.diadoc.ru/
+1
sTunnel в Linux вообще-то предустановлен.
-1
В нашем сервисе по сдаче электронных отчетов онлайн мы используем html5 (file-api для приема drag'n'drop файлов ключа и сертификата) + java апплет (осуществляет все необходимые криптопреобразования). Все отлично работает в любом современном браузере. Могло бы даже работать, например, в Android'е, если реализовать скидывание файлов не через перетаскивание.
0
Почему бы просто не воспользоваться OpenPGP стандартом?
-1
В посте речь идет о квалифицированной подписи, вряд ли ее можно реализовать на OpenPGP
0
Это почему еще нельзя? Банк будет подписывать ключи клиентов, тем самым создавая сеть доверия. Думаю что в любой софтине, можно настроить, что бы без 2-3 достоверных подписей ни чего не заводилось.
Банк может собрать свою версию утилиты (той же GnuPG) в которую будут включены все необходимые подписи. При этом должна быть возможность пользоваться чем нравится, т.е. необходимые ключи выложить в публичный доступ. Подпись осуществляется только в отделениях банка.
Банк может собрать свою версию утилиты (той же GnuPG) в которую будут включены все необходимые подписи. При этом должна быть возможность пользоваться чем нравится, т.е. необходимые ключи выложить в публичный доступ. Подпись осуществляется только в отделениях банка.
0
Долго судорожно пытался понять про плагины ко всем браузерам в свете браузеров в айфоне и N9.
0
В пост приглашаются представители компании «Ридус». Для ответа на вопрос «доколе ваше ПО будет работать исключительно на windows + IE, когда тут уже таких вещей наизобретали?»
А вообще, мне кажется, что можно сделать следующим образом. На эту флэшку, что содержит в себе рутокен и криптотуннель, запаковать еще и браузер, уже настроенный для использования. Три браузера, для трех платформ. В результате получится совершенно готовый к употреблению продукт, которым воспользуется любой, самый далекий от IT, бухгалтер.
Нет, правда. Держать в сети терминальный сервер (и платить за лицензии) только для того, чтобы в нем работал клиент-банк и СБИС++ – как то неправильно, вы не находите?
А вообще, мне кажется, что можно сделать следующим образом. На эту флэшку, что содержит в себе рутокен и криптотуннель, запаковать еще и браузер, уже настроенный для использования. Три браузера, для трех платформ. В результате получится совершенно готовый к употреблению продукт, которым воспользуется любой, самый далекий от IT, бухгалтер.
Нет, правда. Держать в сети терминальный сервер (и платить за лицензии) только для того, чтобы в нем работал клиент-банк и СБИС++ – как то неправильно, вы не находите?
+1
Тфу, не «Ридус», конечно! «Тензор» же, голова дырявая!
+1
>А вообще, мне кажется, что можно сделать следующим образом. На эту флэшку, что содержит в себе рутокен и >криптотуннель, запаковать еще и браузер, уже настроенный для использования. Три браузера, для трех >платформ. В результате получится совершенно готовый к употреблению продукт, которым воспользуется >любой, самый далекий от IT, бухгалтер.
Это уже сделано. Товарищи добавили ГОСТы в Mozilla FireFox Portable Edition и интегрировали с Рутокен ЭЦП Flash (аппаратная подпись). Втыкаете Рутокен, запускаете с него браузер.
www.lissi-crypto.ru/about/news/2011/09/26/
Это уже сделано. Товарищи добавили ГОСТы в Mozilla FireFox Portable Edition и интегрировали с Рутокен ЭЦП Flash (аппаратная подпись). Втыкаете Рутокен, запускаете с него браузер.
www.lissi-crypto.ru/about/news/2011/09/26/
+1
>А вообще, мне кажется, что можно сделать следующим образом. На эту флэшку, что содержит в себе рутокен и >криптотуннель, запаковать еще и браузер, уже настроенный для использования. Три браузера, для трех >платформ. В результате получится совершенно готовый к употреблению продукт, которым воспользуется >любой, самый далекий от IT, бухгалтер.
Это уже сделано. Товарищи добавили ГОСТы в Mozilla FireFox Portable Edition и интегрировали с Рутокен ЭЦП Flash (аппаратная подпись). Втыкаете Рутокен, запускаете с него браузер.
www.lissi-crypto.ru/about/news/2011/09/26/
Это уже сделано. Товарищи добавили ГОСТы в Mozilla FireFox Portable Edition и интегрировали с Рутокен ЭЦП Flash (аппаратная подпись). Втыкаете Рутокен, запускаете с него браузер.
www.lissi-crypto.ru/about/news/2011/09/26/
+1
А нельзя на эту флешку еще дисплей и клавиатура добавить :)
Зачем выдумывать если все давно придумано, есть же дигипас. Нарисуйте такой же по госту, выпускать можно на микроне. И можно больше не выносить людям мозг.
Зачем выдумывать если все давно придумано, есть же дигипас. Нарисуйте такой же по госту, выпускать можно на микроне. И можно больше не выносить людям мозг.
0
>А нельзя на эту флешку еще дисплей и клавиатура добавить :)
Уже добавили pinpad.rutoken.ru/ :)
Не совсем понятно, как дигипас обеспечит юридическую значимость согласно законодательству РФ
Уже добавили pinpad.rutoken.ru/ :)
Не совсем понятно, как дигипас обеспечит юридическую значимость согласно законодательству РФ
0
Хм — в Латвии мы через браузер подписываем документы без костылей:)
www.eparaksts.lv/ru/
www.eparaksts.lv/ru/
0
Java — это не костыль?:)
Технически возможность подписывать через кроссплатформенный/мультибраузерный java-апплет с помощью сертифицированного токена (Рутокен ЭЦП) по ГОСТам у нас тоже есть habrahabr.ru/blogs/infosecurity/134890/
Технически возможность подписывать через кроссплатформенный/мультибраузерный java-апплет с помощью сертифицированного токена (Рутокен ЭЦП) по ГОСТам у нас тоже есть habrahabr.ru/blogs/infosecurity/134890/
0
Любая фигня, котороя просит установки чего-либо на ОС клиента — это костыль.
0
Я посмотрел вашу ссылку www.eparaksts.lv/ru/,
мне предложили для подписи документа с помощью смарт-карты установить java
мне предложили для подписи документа с помощью смарт-карты установить java
0
Подпись с помощью смарт-карты — эта первая версия е-подписи, образца 1999 года. Оставлено для совместимости. Сейчас все подписывается через броузер, сертификаты лежат в их облаке. Подписываю с макбука без java постоянно.
0
А каков механизм аутентификации в облаке для доступа к ключу/сертификату?
0
Существует два уровня авторизации. Первый через интернет-банк. В моем случае это digipass. После первой авторизации и создания аккаунта, надо было явится на очную ставку в библиотеку, что-бы аккаунт сверили с твоим паспортом. После авторизации через интернет банк, для подписания документа необходимо так же ввести уникальный пин-код.
0
Не было случаев взлома аккаунта и подписи от имени другого человека? Все-таки аутентификация не строгая.
0
Обратите внимание! Для пробной работы с плагином вам необходимо иметь:
Cертификат ключа подписи, который можно получить на странице тестового центра (на данный момент, только через Internet Explorer)
Это провал.
0
Боевые ключи и сертификаты, в большинстве случаев, люди получают в УЦ (организации). Поэтому на момент использования плагина этот сертификат на токене уже есть и его не надо получать в тестовом центре.
Но даже в тестовом УЦ можно получить сертификат не через IE www.cryptopro.ru/certsrv/certrqxt.asp
Но даже в тестовом УЦ можно получить сертификат не через IE www.cryptopro.ru/certsrv/certrqxt.asp
0
0
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
Интересные решения для электронной подписи в браузере