Интересные решения для электронной подписи в браузере

    В одном из комментов к этому топику, отечественный потребитель ЭЦП написал:
    У меня есть мечта… В самом деле — у меня есть мечта, что когда-нибудь в будущем я смогу обойтись без связки «windows + IE» для клиент-банков и прочего софта, который использует крипто-про. СБИС++, например. Блин, я надеюсь, что это когда-нибудь будет.



    Конкретная такая мечта. И сейчас имеются все предпосылки для ее исполнения.

    В топике я немного остановлюсь на решениях Крипто-Про, которые позволяют сделать квалифицированную ЭЦП в браузере действительно удобной.

    А так же опишу одно оригинальное решение от фирмы Криптоком (www.cryptocom.ru), которое позволяет подписывать документы через интернет квалифицированной ЭЦП с помощью практически любого компьютера/браузера без предварительной настройки и без прав сисадмина (для варианта «срочно нужно провести сделку из интернет-кафе турецкого отеля»).


    Плагины от Крипто-Про


    Специалисты Крипто-Про сделали кроссплатформенные плагины к браузерам. При заходе пользователя на web-страницу ЭЦП сервер определяет какой именно требуется плагин в зависимости от браузера, запускается программа установки плагина. Эта программа не требует для установки прав сисадмина. Все достаточно удобно и можно подписывать документы, не слезая с Mozilla FireFox.

    Минусы:
    1. чтобы плагины заработали, требуется предварительно установить КриптоПро CSP и сконфигурировать его на использование ключевого носителя Рутокен (это не всегда просто для неподготовленного человека)
    2. придется повозиться с настройками безопасности браузера, так как плагин для IE является тем же ActiveX


    Первую проблему можно сгладить. У Крипто-Про имеется вариант CSP, который представляет собой one-click installer — программно-аппаратное СКЗИ КриптоПро Рутокен CSP . Этот продукт создан на основе КриптоПро CSP и Рутокен ЭЦП, все моменты сопряжения usb-токена и программной части решены уже на уровне архитектуры продукта. Таким образом, существенно снижается сложность установки и настройки СКЗИ, а благодаря тому, что работа с закрытыми ключами идет на аппаратном уровне, повышается общий уровень безопасности

    В любом случае связка КриптоПро Рутокен CSP + кроссбраузерные плагины это большой шаг вперед с точки зрения облегчения жизни службе техподдержки крупных проектов.

    КриптоТуннель



    Фирма Криптоком выпустила продукт МагПро КриптоТуннель. Он позволяет сделать несколько вещей, в частности, защитить сертифицированным гостовым TLS web-соединение, аутентифицироваться на сайте по сертификату и подписать текстовое сообщение или файл при передаче через web-форму квалифицированной подписью.

    КриптоТуннель сделан на базе open source приложения sTunnel. Работает он по принципу порт- форвардинга. При старте КриптоТуннель начинает слушать произвольный порт на localhost. При этом у него в конфиге прописан удаленный host:port, на которые следует форвардить соединения. Но форвардит он их не просто так, а предварительно установив с удаленным хостом TLS-соединение. Вот по этому TLS-соединению данные и передаются.

    Если запустить КриптоТуннель, указав ему «слушать» на 127.0.0.1:8080:, а затем браузером пойти на 127.0.0.1:8080, то КриптоТуннель установит TLS-соединение с прописанным у него в конфиге удаленным хостом и начнет передавать по нему HTTP-запросы от браузера и HTTP-ответы от web-сервера. Следует отметить, что разработчики встроили автоматический запуск умолчательного для пользователя браузера на нужный url (http://127.0.0.1:8080/куда-то-там).

    Пример конфига с комментариями:

    # проверять сертификат сервера
    verify=2
    # клиент
    client=yes
    # файл с корневым сертификатом УЦ 
    CAFile=..\crypto\ca.crt
    # модуль поддержки ГОСТов
    engine=gost
    # поддерживаем только
    sslVersion=TLSv1
    # отображаться в taskbar
    taskbar=yes
    # уровень ведения лога
    DEBUG=7
    
    
    [https]
    # где слушаем
    accept = 127.0.0.1:80
    # куда коннектимся
    connect = ca.cryptocom.ru:443
    # алгоритмы шифрования
    ciphers = GOST2001-GOST89-GOST89
    TIMEOUTclose = 0
    # сертификат клиента
    cert=..\crypto\client.crt
    # ключ клиента
    key=..\crypto\client.key
    # сертификат подписи клиента
    cert_sign=..\crypto\client.crt
    # ключ подписи клиента
    key_sign=..\crypto\client.key
    sign_only_new=no
    # имя поля html-формы, значение которого следует подписать 
    sign_inputs=ID797C1C735EEB4926925375E1D6907834
    # имя поля html-формы, в котором передается файл, который следует подписать 
    sign_files=IDCBB806E365FB4FBA9490AB20303971F4
    


    С TLS надеюсь все понятно, теперь перейдем к ЭЦП.

    Так как весь траффик прикладного уровня (HTTP) ходит через КриптоТуннель, то некоторые части траффика можно специальным образом пометить. КриптоТуннель, увидев помеченную часть, вытащит ее из POST-запроса, декодирует из url-encoded, подпишет (предварительно спросив у пользователя), аккуратно вложит в POST-запрос подписанное сообщение/файл (или отдельно подпись) и отправит далее на сервер. Учтена главная тонкость — при передаче файлов формируется POST-запрос в виде multi-part.

    Для того, чтобы КриптоТуннель понял, какое поле передаваемой web-формы следует подписывать, ему в конфиге задаются параметры sign_inputs и sign_files. Разработчику сайта при проектировании web-формы ввода пользовательских данных следует поле, которое будет подписываться, назвать соответствующим образом.

    Основной фишкой решения КриптоТуннель является то, что он работает без установки, со всеми браузерами, без сложной настройки политик безопасности браузера. КриптоТуннель можно положить на
    флешку и запускать прямо с нее.

    Желающие могут посмотреть решение на демонстрационной площадке.

    Рутокен КриптоТуннель





    Для надежной защиты ключа КриптоТуннель следует использовать совместно с Рутокен ЭЦП Flash. При этом ключ хранится в защищенной памяти Рутокена, а сам КриптоТуннель на его Flash-памяти, откуда и запускается. Так как Рутокен ЭЦП Flash использует стандартный CCID-драйвер, то для его работы на современных ОС (начиная с Windows Vista и Mac OS X 10.7) не требуется установки какого-либо софта, а модуль поддержки Рутокен ЭЦП Flash уже входит в КриптоТуннель.
    Поделиться публикацией

    Комментарии 98

      +1
      Но, например, на андроид планшете работать не будет?
        0
        Ситуация следующая. КриптоТуннель по сути является связкой OpenSSL + допиленный sTunnel, только используется сертифицированный в ФСБ аналог OpenSSL (МагПро КриптоПакет). OpenSSL, насколько я знаю, портирован на андроид, насчет sTunnel — не знаю, но думаю будет. Таким образом, технологических ограничений нет. Единственное что, для квалифицированной подписи эти портированные версии должны быть сертифицированы в ФСБ.
          0
          Надеюсь прогресс наступит и в этой области :) Пока же купил себе SONY UX280p специально для интернет банка )))
            +1
            Дорогое решение:)
              0
              Отнюдь. Всего лишь 200 баксов ))) Если учесть, что я продал нетбук до этого за 7к рублей, то даже в плюсе оказался :)
                +4
                Решение дорогое и не очень то надежное.
                Windows все-таки совсем не доверенная среда.
                Возможный вариант: запускать на нем linux с read-only раздела.
                Надеюсь прогресс наступит когда банки начнут массово внедрять это.
                  +3
                    –1
                      +1
                      толсто! :)
                        0
                        >Компания SafeTech была основана в 2010 году

                        Я бы не стал использовать девайс с ограниченными возможностями производства неизвестной конторы, возникшей буквально вчера, для защиты своих денег.

                          –1
                          Как я посмотрю, у вашей компании нет других аргументов :)

                          Забавно на это смотреть. Многое говорит о позиции и методах работы.
                            0
                            Не видел раньше указанного комментария. Просто это первое, что бросается в глаза — года основания, отсутствие лицензий и сертификатов. Почему вашей поделке, которую никто не проверял, люди должны доверять защиту своих денег?

                            А метод вашей работы — это троллинг?

                            Второе что бросается в глаза — девайс отображает не всю подписываемую информацию, а только некоторые куски. Следует понимать, что это уязвимость, которая найдет своего хакера.
                              0
                              Уважаемый, покажите, пожалуйста, общественности компанию, которая «родилась» с 10-ти летним стажем, лицензиями и сертификатами (которые, кстати, абсолютно не являются гарантией надежности решения). Залогом успеха является не год создания, а команда. И она у нас очень сильная.

                              По поводу «никто не проверял» — опять не правда. SafeTouch три месяца назад отдан на тестирование в две лаборатории. Ни одной уязвимости до сих пор не найдено.

                              Отображать же документ целиком — бред. Это создает избыточную нагрузку на пользователя, заставляя его подтверждать подпись, не вдаваясь в суть. С нашей точки зрения, отображение нескольких ключевых полей (без которых атака на документ будет бессмысленной) — гораздо удобнее.

                              Кстати, называть «поделкой» продукт, который Вы и в руках то не держали, это как раз и есть троллинг.
                                0
                                Разоблачитель, где первая-то неправда? :) Вы нелогичны, на вашем сайте я не нашел ни одного упоминания о тестировании.

                                Почему-то уверен, что лаборатории не найдут ни одной уязвимости :)

                                >Отображать же документ целиком — бред

                                А я вот решил не словами кидаться, а почитать на досуге новый закон об электронной подписи

                                Статья 12. Средства электронной подписи

                                2.1 При создании электронной подписи средства электронной подписи должны: показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает.


                                Прикинь, ни слова про ключевые поля. То есть Safe Touch не отвечает требованиям законодательства? И подпись, сделанная с его помощью, не может считаться квалифицированной?

                                По поводу уязвимости. Она есть — отрицать это бессмысленно. У взломщика имеется возможность целенаправленно отформатировать входное сообщение таким образом, что ключевые поля будут выглядеть как правильные, а само сообщение будет неправильным.

                                >Кстати, называть «поделкой» продукт, который Вы и в руках то не держал

                                А вы мне дадите его подержать?
                                  0
                                  Размещать информацию на сайте до официального окончания процесса тестирования — не совсем корректно. Или Вы считаете иначе?

                                  По поводу уверенности о результатах тестирования, это не к нам, а в лабораторию.

                                  Ваши слова на тему 63-ФЗ, это еще одно доказательство того, что Вы абсолютно не разобрались в принципах работы SafeTouch, либо невнимательно прочитали закон. Итак, SafeTouch не является средством электронной подписи. Документ подписывается в смарт-карте, которая и является сертифицированным СКЗИ.

                                  Кстати о сертификации — Если ПинПад является средством электронной подписи (особенно претендующей на квалифицированность), то он подлежит обязательной сертификации. Что-то я нигде упоминания о его сертифицированности не нашел. Может быть Вы нам ссылочку подкинете?

                                  Описанная Вами потенциальная уязвимость убирается элементарно, стоит лишь настроить корректный парсинг документа на стороне сервера. В таком случае подмена полей ничего не даст.

                                  Подержать — не вопрос. Контакты у нас на сайте есть.

                                    0
                                    >Размещать информацию на сайте до официального окончания >процесса тестирования — не совсем корректно. Или Вы считаете иначе?

                                    Тогда писать «опять не правда» в данном контексте — совсем некорректно. Или Вы считаете иначе?

                                    >Ваши слова на тему 63-ФЗ, это еще одно доказательство того, что Вы >абсолютно не разобрались в принципах работы SafeTouch, либо >невнимательно прочитали закон. Итак, SafeTouch не является >средством электронной подписи. Документ подписывается в смарт->карте, которая и является сертифицированным СКЗИ.

                                    Как сертифицированное СКЗИ в виде смарт-карты отобразит сообщение для соответствия закону?

                                    Отображать будет сначала программная часть, а потом еще раз какие-то куски будет отображать Safe Touch?

                                    Это таким способом вы хотите сделать удобно пользователям?

                                    >Описанная Вами потенциальная уязвимость убирается элементарно, >стоит лишь настроить корректный парсинг документа на стороне >сервера. В таком случае подмена полей ничего не даст.

                                    То что вы предлагаете — это не устраняет уязвимости в общем случае. Да, сервер не примет. Но электронная подпись — аналог ручной и имеет юридическую силу. Можно наделать много неприятностей человеку, имея документ с его подписью, полученной обманным способом.
                                      +1
                                      Конечно не правда:) Вы ведь не знаете реальной ситуации, а пишете, что SafeTouch никто не проверял.

                                      Мы решаем конкретную задачу: отображение ключевых полей платежного документа в замкнутой среде. Подмена любого из неконтролируемых полей не приведет к искомому для хакера результату — краже денег. Задача выполнена.

                                      Кстати, Вы не ответили на вопрос о сертификации ПинПада. Я правильно понимаю, что Вам сказать нечего?

                                        0
                                        Реальная ситуация такова, что Safe Touch на данный момент никто не проверил. Слова о «3 месяцах и 2 лабораториях» не заменяют результатов проверки.

                                        >Мы решаем конкретную задачу: отображение ключевых полей >платежного документа в замкнутой среде. Подмена любого из >неконтролируемых полей не приведет к искомому для хакера >результату — краже денег. Задача выполнена.

                                        DenK, даже эту конкретную задачу в реальной прикладной системе можно не решить с помошью вашего девайса. Вы сами написали, что как минимум сервер придется определеннным образом доделывать/переделывать. А если при доделке чего не учтут?

                                        Неполное отображение подписываемой информации — это, как минимум, почва для экпериментов для хакера.

                                        По сертификации PINPad. Я думаю, вы представляете себе сроки сертификации в ФСБ?
                                          +1
                                          Реальная ситуация такова, что на рынке нет ни одного проверенного независимой лабораторией устройства. Мы хотя бы идем по этому пути. Как пройдем — расскажем.

                                          Мы контролируем встраивание SafeTouch в системы ДБО российских (и не только) производителей. Соответствующие методики разработаны и доведены до программистов, так что не волнуйтесь, все будет ОК.

                                          Ну так я к чему, если сами сертификата не получили пока, может не будете стращать нас знанием российского законодательства?:)

                                    +1
                                    Кстати о «подержать».
                                    Если уж мы тут обмениваемся любезностями, может Вы нам тоже дадите подержать вашу поделку?
                                    А то, насколько мне известно, компания, обладающая сверхопытом и всеми возможными сертификатами и лицензиями не очень далеко ушла от прототипа :)
                0
                Поправка: для того, чтобы подпись считалась квалифицированной, достаточно всего лишь, чтобы сертифицированная версия выдавала положительный результат проверки этой самой подписи.

                С помощью чего ключ и сама подпись генерируется — никого не интересует.
                  0
                  Можно цитату из закона об электронной подписи, где это написано?
                    +1
                    Я тоже так думал, но меня переубедили, что этого недостаточо в общем случае. Несертифицированная программа может показать один документ, а отправить подписанным другой.
                      0
                      Например я могу подавать в инстанции отчетность подрписанную open ssl? Или мне надо покупать сертифицированную версию open ssl?
                  0
                  Дорогое решение:)
                    0
                    «Основной фишкой решения КриптоТуннель является то, что он работает без установки»
                    Угу. Появляется у пользователя, зашедшего на сайт, горним чудом.

                    Скажите, я правильно понимаю, что простое https соединение туда фиг завернешь без нарушения политики безопасности?
                      0
                      >«Основной фишкой решения КриптоТуннель является то, что он работает без установки»
                      >Угу. Появляется у пользователя, зашедшего на сайт, горним чудом.

                      Пользователю нужно скачать (или принести на флешке) и запустить программу. Это сильно отличается от «установить с правами администратораb и настроить». Посмотрите как просто это сделано на сайте Росимущества.

                      Без нарушения каких политик безопасности? Если браузерных, то с этим все хорошо.
                        0
                        «Пользователю нужно скачать (или принести на флешке) и запустить программу.»
                        Это лишнее действие, которое делать в общем случае не надо, и пользователь тут не при чем.

                        «Без нарушения каких политик безопасности? Если браузерных, то с этим все хорошо. „
                        А как? Типа, браузер примет сертификат, выданный сайту blah.blah.com, но отдаваемый 127.0.0.1:8080?
                          0
                          Браузер пользователя работает по HTTP.
                          sTunnel, получая запросы по HTTP, перенаправляет их на нужный сервер (указанный в его настройках) по TLS-соединению. Он тут работает как прокси.
                          Так что конечный браузер даже не знает, что его защищают
                            0
                            «Так что конечный браузер даже не знает, что его защищают»
                            Вот смотрит. У меня есть сайт blahblah.com. Я хочу, чтобы вся работа с ним была через https (стандартный, из любого места). Я покупаю сертификат, устанавливаю, все хорошо.

                            Теперь в _одном_ месте этого сайта мне нужна сертифицированная подпись. Как мне сделать так, чтобы и люди с криптотуннелем, и люди без него могли ходить по https-серверу (потому что так написано в инструкции пользователя, «проверьте, что https и иконка зелененькая»), но те, которые с криптотуннелем могли еще и подписывать?
                              0
                              Те, которые с КриптоТуннелем, будут ходить на страницу подписи, запустив КриптоТуннель, а остальные, зайдя на страницу подписи ничего не смогут подписать. Для этого сервер должен уметь на 443 порту TLS по ГОСТ и по RSA.
                                –1
                                «Те, которые с КриптоТуннелем, будут ходить на страницу подписи, запустив КриптоТуннель»
                                И как это сделать прозрачно для пользователя? Вот он ходит-ходит по сайту, и на одной из страниц — раз, и подпись. На сайт он зашел из поисковика.
                                  0
                                  «Раз и подпись» — это конечно круто:)
                                  Самое простое решение — если юзер примел по RSA, вывалить ему страницу — запустите КриптоТуннель.
                                    –1
                                    Ну то есть, прощай прозрачность.

                                    Надо запустить туннель, пойти по другой ссылке, потом вернуться обратно.

                                    Оч-чень круто.
                                      0
                                      Просто запустить КриптоТуннель. А он сам пройдет по нужной ссылке. Эт конечно не супер прозрачно, но достаточно просто.
                                        0
                                        А вернуться как? Обратно в защищенное соединение?
                                          0
                                          перейти по абсолютной ссылке, которая будет на странице
                                            0
                                            Т.е., в развертываемый сайт надо еще и зашить его абсолютную ссылку?

                                            (Кстати, я правильно понимаю, что в этот момент _браузер_ пользователя думает, что соединение не защищено?)

                                            Собственно, вот это все и описывает мое мнение по поводу геморроя (в том числе — пользователя) при использовании (любого, у меня был интерпро) туннеля для подписи чего бы то ни было.
                                              0
                                              На станице подписи можно (если нужно) дать ссылку для перехода.

                                              >(Кстати, я правильно понимаю, что в этот момент _браузер_ >пользователя думает, что соединение не защищено?)

                                              Да.

                                              >Собственно, вот это все и описывает мое мнение по поводу геморроя (в >том числе — пользователя) при использовании (любого, у меня был >интерпро) туннеля для подписи чего бы то ни было.

                                              lair, у каждого решения для эцп и TLS по ГОСТам есть свои достоинтсва, недостатки. КриптоТуннель в этом ряду — не исключение.
                                                0
                                                Это просто к тому, что все не так тривиально как «положите на флешку и запускайте» и «никаких проблем с безопасностью».
                                                  +1
                                                  Если вам в банке выдали флешку или рутокен flash с КриптоТуннелем, ключом и сертификатом и сказали — для захода в интернет-банк запустите КриптоТуннель, то это реально тривиально.

                                                  В других случаях — да — немного непрозрачно.
                                                    0
                                                    В этом случае было бы круто, если бы мне в банке выдали готовое приложение со словами «для входа в удаленный банкинг запустите его».
                                                      0
                                                      Если вам выдадут КриптоТуннель и вы его запустите, то остальное все он см сделает — Найдет браузер, который вы сделали умолчательным и запустит его таким образом, что вы попадете в интернет-банк через туннель. Чем это отличается от готового приложения?

                                                      Как вариант можно взять Mozilla FireFox Portable Edition, положить его рядом с КриптоТуннелем и указать КриптоТуннелю запускать именно его. Чего мы этим добъемся — непонятно.
                                                        0
                                                        Тем, что это требует наличия у меня на компьютере браузера, совместимого с сайтом, как минимум.

                                                        Но на самом деле, большее здесь зло — иллюзия «интернет-банкинга», который на самом деле не интернет, а пропьетарный.
                                                          0
                                                          На мой взгляд, не браузер должен быть совместимым с сайтом, а сайт с браузером. То есть сайт должен тестироваться в различных браузерах.

                                                          А интернет-банк обычно стоит денег сам по себе. А то что вам предложат сертифицированное средство защиты — это скорее плюс.
                                                            0
                                                            «А интернет-банк обычно стоит денег сам по себе. А то что вам предложат сертифицированное средство защиты — это скорее плюс. „
                                                            Я ни разу не видел, чтобы это так работало.

                                                            В реальности либо работа с ЭЦП по ГОСТу, и тогда всякий нелепый софт, либо нормальный интернет-банк без ЭЦП.

                                                            Я очень редко вижу места, где ЭЦП по ГОСТУ была бы добровольной, и при этом кто-то продолжал бы ее применять.
                                                    0
                                                    Если вам в банке выдали флешку или рутокен flash с КриптоТуннелем, ключом и сертификатом и сказали — для захода в интернет-банк запустите КриптоТуннель, то это реально тривиально.

                                                    В других случаях — да — немного непрозрачно.
                              0
                              Решение «доверенный/недоверенный сайт» принимает КриптоТуннель на основе корневых сертификатов, которым он доверяет. Для браузера все прозрачно.
                                0
                                То есть человек без КриптоТуннеля не может работать с тем же сайтом по защищенному соединению даже если ему не нужна ЭЦП?

                                (полный пример: habrahabr.ru/blogs/infosecurity/136572/?reply_to=4546812#comment_4546839)
                                  0
                                  Если соединение защищено ГОСТАми, то не может, так как по умолчанию в ОС нет ГОСТов. А если RSA, то может.
                          0
                          Решение «доверенный/недоверенный сайт» принимает КриптоТуннель на основе корневых сертификатов, которым он доверяет. Для браузера все прозрачно.
                            0
                            При использовании sTunnel есть ложка дегтя, о которой Вы не рассказали.

                            Дело в том, что эта программа самостоятельно открывает TLS-соединение с нужным сервером. При широкой распространенности этого решения неизбежно возникают ситуации, когда корпоративная сетевая политика предписывает работать нестандартными способами (прокси, VPN, ограничения портов, веб-фильтры и т. д.). И часто возникают ситуации, когда sTunnel просто не работает.

                            По этой причине очень ограниченно используются похожие продукты. Например, InterPro от Сигнал-Ком.
                              0
                              sTunnel умеет работать через прокси. C VPN тоже не должно возникнуть проблем, так как VPN обычно работает на сетевом уровне или ниже, а sTunnel на транспортном. Ограничения портов нет, так как sTunnel реализует TLS/SSL на том же стандартном 443 порту. Там проблема в другом — в абсолютных URL-ах. Но и ее можно обойти, если правильно сделать сайт.
                              0
                              Если честно очень смутно понял как это работает, а в Linux оно будет работать?
                                0
                                Вообще говоря решение не завязано на специфику платформы. sTunnel имеется по linux, mac, винду.
                                0
                                то есть по идеи сначала придется поставить sTunnel?
                                  –1
                                  sTunnel в Linux вообще-то предустановлен
                                    0
                                    Хм… сейчас проверил в репозитариях конечно есть, но по умолчанию не стоит(ubuntu\debian).
                                      0
                                      Значит на Linux все не так круто, как я думал:) Возможно разработчики и доведут до такого же состояния, как на виндах.
                                        0
                                        Конечно установить не проблема, просто очень не хватает реально подписи которую можно было бы очень быстро использовать без лишнего гемороя. В реальность хотелось бы возможность подписания тех же счет фактур полностью в электроном виде, но тут насколько я понимаю как раз не хватает законодательных норм!
                                          0
                                          >Конечно установить не проблема, просто очень не хватает реально подписи которую можно >было бы очень быстро использовать без лишнего гемороя

                                          На виндах КриптоТуннель должен вас удовлетворить:)

                                          > В реальность хотелось бы возможность подписания тех же счет фактур полностью в >электроном виде, но тут насколько я понимаю как раз не хватает законодательных норм!

                                          Если я правильно ошибаюсь, недавно были эти нормы определены. Скоро какой-нибудь Контур наверно сделает сервис.
                                            0
                                            Сколько не читал эти законопроекты так не описывается такая возможность! Так как получается документы должны быть доступны проверяющим органам и гарантированно хранится до 10 лет!
                                              +1
                                              уже сделал www.diadoc.ru/
                                                0
                                                Там то же «Windows + IE»
                                    –1
                                    sTunnel в Linux вообще-то предустановлен.

                                      0
                                      В нашем сервисе по сдаче электронных отчетов онлайн мы используем html5 (file-api для приема drag'n'drop файлов ключа и сертификата) + java апплет (осуществляет все необходимые криптопреобразования). Все отлично работает в любом современном браузере. Могло бы даже работать, например, в Android'е, если реализовать скидывание файлов не через перетаскивание.
                                        0
                                        ссылочку не дадите? очень интересно посмотреть
                                          0
                                          Это актуально только для Украины. Если что, сайт есть в моем профиле, но все страницы, работающие с ЭЦП, спрятаны за регистрацию. Посмотреть пример можно после регистрации в разделе «Настройки» личного кабинета
                                            0
                                            У вас там как с законодательством по эцп? Проще дела обстоят?
                                              0
                                              Не знаю, как в России, поэтому сложно сравнить. С технической стороны или юридической? Техническую сторону мы, очевидно, решили. С юридической стороны все требования законодательства соблюдены
                                        –1
                                        Почему бы просто не воспользоваться OpenPGP стандартом?
                                          0
                                          В посте речь идет о квалифицированной подписи, вряд ли ее можно реализовать на OpenPGP
                                            0
                                            Это почему еще нельзя? Банк будет подписывать ключи клиентов, тем самым создавая сеть доверия. Думаю что в любой софтине, можно настроить, что бы без 2-3 достоверных подписей ни чего не заводилось.
                                            Банк может собрать свою версию утилиты (той же GnuPG) в которую будут включены все необходимые подписи. При этом должна быть возможность пользоваться чем нравится, т.е. необходимые ключи выложить в публичный доступ. Подпись осуществляется только в отделениях банка.
                                          0
                                          Долго судорожно пытался понять про плагины ко всем браузерам в свете браузеров в айфоне и N9.
                                            +1
                                            В пост приглашаются представители компании «Ридус». Для ответа на вопрос «доколе ваше ПО будет работать исключительно на windows + IE, когда тут уже таких вещей наизобретали?»
                                            А вообще, мне кажется, что можно сделать следующим образом. На эту флэшку, что содержит в себе рутокен и криптотуннель, запаковать еще и браузер, уже настроенный для использования. Три браузера, для трех платформ. В результате получится совершенно готовый к употреблению продукт, которым воспользуется любой, самый далекий от IT, бухгалтер.
                                            Нет, правда. Держать в сети терминальный сервер (и платить за лицензии) только для того, чтобы в нем работал клиент-банк и СБИС++ – как то неправильно, вы не находите?
                                              +1
                                              Тфу, не «Ридус», конечно! «Тензор» же, голова дырявая!
                                                +1
                                                >А вообще, мне кажется, что можно сделать следующим образом. На эту флэшку, что содержит в себе рутокен и >криптотуннель, запаковать еще и браузер, уже настроенный для использования. Три браузера, для трех >платформ. В результате получится совершенно готовый к употреблению продукт, которым воспользуется >любой, самый далекий от IT, бухгалтер.

                                                Это уже сделано. Товарищи добавили ГОСТы в Mozilla FireFox Portable Edition и интегрировали с Рутокен ЭЦП Flash (аппаратная подпись). Втыкаете Рутокен, запускаете с него браузер.

                                                www.lissi-crypto.ru/about/news/2011/09/26/
                                                +1
                                                >А вообще, мне кажется, что можно сделать следующим образом. На эту флэшку, что содержит в себе рутокен и >криптотуннель, запаковать еще и браузер, уже настроенный для использования. Три браузера, для трех >платформ. В результате получится совершенно готовый к употреблению продукт, которым воспользуется >любой, самый далекий от IT, бухгалтер.

                                                Это уже сделано. Товарищи добавили ГОСТы в Mozilla FireFox Portable Edition и интегрировали с Рутокен ЭЦП Flash (аппаратная подпись). Втыкаете Рутокен, запускаете с него браузер.

                                                www.lissi-crypto.ru/about/news/2011/09/26/
                                                  0
                                                  А нельзя на эту флешку еще дисплей и клавиатура добавить :)

                                                  Зачем выдумывать если все давно придумано, есть же дигипас. Нарисуйте такой же по госту, выпускать можно на микроне. И можно больше не выносить людям мозг.
                                                    0
                                                    >А нельзя на эту флешку еще дисплей и клавиатура добавить :)

                                                    Уже добавили pinpad.rutoken.ru/ :)

                                                    Не совсем понятно, как дигипас обеспечит юридическую значимость согласно законодательству РФ

                                                      0
                                                      Дигипас не обеспечит, кто мешает сделать аналог с генератором подписи
                                                    0
                                                    Хм — в Латвии мы через браузер подписываем документы без костылей:)
                                                    www.eparaksts.lv/ru/
                                                      0
                                                      Java — это не костыль?:)

                                                      Технически возможность подписывать через кроссплатформенный/мультибраузерный java-апплет с помощью сертифицированного токена (Рутокен ЭЦП) по ГОСТам у нас тоже есть habrahabr.ru/blogs/infosecurity/134890/
                                                      0
                                                      Любая фигня, котороя просит установки чего-либо на ОС клиента — это костыль.
                                                        0
                                                        Я посмотрел вашу ссылку www.eparaksts.lv/ru/,
                                                        мне предложили для подписи документа с помощью смарт-карты установить java
                                                          0
                                                          Подпись с помощью смарт-карты — эта первая версия е-подписи, образца 1999 года. Оставлено для совместимости. Сейчас все подписывается через броузер, сертификаты лежат в их облаке. Подписываю с макбука без java постоянно.
                                                        0
                                                        Подпись с помощью смарт-карты — эта первая версия е-подписи, образца 1999 года. Оставлено для совместимости. Сейчас все подписывается через броузер, сертификаты лежат в их облаке. Подписываю с макбука без java постоянно.
                                                          0
                                                          А каков механизм аутентификации в облаке для доступа к ключу/сертификату?
                                                            0
                                                            Существует два уровня авторизации. Первый через интернет-банк. В моем случае это digipass. После первой авторизации и создания аккаунта, надо было явится на очную ставку в библиотеку, что-бы аккаунт сверили с твоим паспортом. После авторизации через интернет банк, для подписания документа необходимо так же ввести уникальный пин-код.
                                                              0
                                                              Не было случаев взлома аккаунта и подписи от имени другого человека? Все-таки аутентификация не строгая.
                                                                0
                                                                Нет, не было. Если бы были — система была бы другая.
                                                                По моему — двухуровневая авторизация — от разных провайдеров — вполне достаточная защита. Да и если — кто-то сломает мой интернет банк — будет ли он еще и с подписью заморачиваться.
                                                          0
                                                          Обратите внимание! Для пробной работы с плагином вам необходимо иметь:
                                                          Cертификат ключа подписи, который можно получить на странице тестового центра (на данный момент, только через Internet Explorer)

                                                          Это провал.
                                                            0
                                                            Боевые ключи и сертификаты, в большинстве случаев, люди получают в УЦ (организации). Поэтому на момент использования плагина этот сертификат на токене уже есть и его не надо получать в тестовом центре.

                                                            Но даже в тестовом УЦ можно получить сертификат не через IE www.cryptopro.ru/certsrv/certrqxt.asp
                                                            0
                                                              0
                                                              Запуск приложения КриптоТуннеля, например, с флешки — это не установка с правами сисадмина. Не происходит изменения файлов, реестра ОС.
                                                                0
                                                                Предлагаете использовать Wine под Linux?
                                                                  0
                                                                  Можно Wine, КриптоТуннель под ним работает.

                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                            Самое читаемое