Как стать автором
Обновить

Защищённый удалённый терминал

Информационная безопасность *
В связи принятием 152 закона о защите персональных данных, на рынке периодически появляются решения, которые позволяют построить информационную систему предприятия, готовую к аттестации.
В этом посте я опишу одно из таких решений, которое было разработано сотрудниками компаний Aladdin, Сitrix, S-Terra и TONK.
Читать дальше →
Всего голосов 9: ↑7 и ↓2 +5
Просмотры 7.9K
Комментарии 7

Интересные решения для электронной подписи в браузере

Информационная безопасность *
В одном из комментов к этому топику, отечественный потребитель ЭЦП написал:
У меня есть мечта… В самом деле — у меня есть мечта, что когда-нибудь в будущем я смогу обойтись без связки «windows + IE» для клиент-банков и прочего софта, который использует крипто-про. СБИС++, например. Блин, я надеюсь, что это когда-нибудь будет.



Конкретная такая мечта. И сейчас имеются все предпосылки для ее исполнения.

В топике я немного остановлюсь на решениях Крипто-Про, которые позволяют сделать квалифицированную ЭЦП в браузере действительно удобной.

А так же опишу одно оригинальное решение от фирмы Криптоком (www.cryptocom.ru), которое позволяет подписывать документы через интернет квалифицированной ЭЦП с помощью практически любого компьютера/браузера без предварительной настройки и без прав сисадмина (для варианта «срочно нужно провести сделку из интернет-кафе турецкого отеля»).

Читать дальше →
Всего голосов 32: ↑26 и ↓6 +20
Просмотры 30K
Комментарии 98

Переносим неэкспортируемые контейнеры Крипто-ПРО

Криптография *
Иногда случается так что необходимо перенести клиент-банк или другое разнообразное бухгалтерское и не очень ПО с одного компьютера на другой. В том случае когда в качестве криптопровайдера выступает СКЗИ Крипто-ПРО обычно проблем не возникает — СКЗИ имеет штатные средства копирования ключей. Но не всегда все гладко — в том случае, когда ключевой контейнер находится в реестре Windows, и при генерации ключа не была выставлена галочка «Пометить ключ как экспортируемый» то при попытке скопировать куда-либо этот ключ Крипто-ПРО будет ругаться и не скопирует ключ.
Из этой ситуации есть очень простой выход — выгружаем ветку реестра HKLM\SOFTWARE\CryptoPro\Settings\Users\{SID}\Keys\(в x64 операционках контейнеры лежат в HKLM\SOFTWARE\Wow6432Node\CryptoPro\Settings\Users\{SID}\Keys\), а на том ПК куда необходимо импортировать смотрим разрядность ОС\SID пользователя, блокнотом правим .reg файл(меняем SID и, если необходимо, путь к конечной ветке), и импортируем его в реестр.
Читать дальше →
Всего голосов 20: ↑12 и ↓8 +4
Просмотры 208K
Комментарии 16

Электронная подпись на УЭК, что даёт и нужна ли вообще? Часть 4

Законодательство в IT
Это 4-ый пост, который посвящён описанию возможностей УЭК. Предыдущие части:
1) Опыт получения универсальной электронной карты. Розовая теория против суровой реальности. Часть 1
2) Как я получил универсальную электронную карту после 3-х месяцев ожидания. Часть 2
3) Практическое применение универсальной электронной карты (УЭК) в городе и интернете. Часть 3



Поначалу, я хотел лишь оформить отдельным комментарием к своему топику то, как я наконец-то записал электронную подпись (ЭП) на Универсальную электронную карту (УЭК). Однако информации для одного комментария слишком много, а до отдельного топика она ещё была скудноватой. И вот теперь, спустя чуть ли не месяц после того, как я достал Сбербанк, и записал ЭП на УЭК, я могу с полной уверенностью говорить, что УЭК с ЭП действительно чего-то, да стоит. Без ЭП — кусок красивого и пока редкого пластика, хоть и более крутого, чем тот, который используется для изготовления обычных карт. Но обо всём по порядку.
Читать дальше →
Всего голосов 33: ↑29 и ↓4 +25
Просмотры 138K
Комментарии 68

Перенос толстого банк-клиента BSS в т.ч. на Windows 7 x64

Платежные системы *
Туториал
Добрый день, сегодня я потратил много времени на перенос банк-клиента одного из банков, «идущего на острие прогресса» — называть его не буду. Использует этот банк очень распостраненный «толстый» BSS банк-клиент., написанный на Delphi в незапамятные времена. Сотрудник техподдержки услышав от меня слова Windows 7 x64 сказал что перенос осуществить невозможно. Однако меня это получилось, и я готов поделиться краткой инструкцией по переносу. К сожалению без скриншотов.
Читать дальше →
Всего голосов 16: ↑8 и ↓8 0
Просмотры 15K
Комментарии 17

Дружим Check Point и ГОСТовое шифрование

Блог компании АйТи Информационная безопасность *
Туториал
Привет, Хабровчане!

В данной статье мы расскажем вам о процессе настройки IPSec VPN на шлюзах Check Point R75.40VS с применением Российских криптоалгоритмов. Данная статья будет интересна в первую очередь инженерам, осуществляющим настройку и поддержку продуктов компании Check Point.

Когда у меня возникла задача настроить на шлюзах Check Point IPSec VPN с использованием российской криптографии, я столкнулся с проблемой нехватки информации, описывающей данный процесс. По данной теме можно найти официальные гайды, описывающие процесс в общих чертах, и немного разрозненной информации в интернете. Лично у меня после их изучения осталось множество вопросов, которые мы постарались осветить в данной статье.

Много картинок
Всего голосов 14: ↑11 и ↓3 +8
Просмотры 29K
Комментарии 10

Применение ЭЦП в web-шаблонах SAP NetWeaver

ERP-системы *
Статья посвящена выполненной мной достаточно нетривиальной задаче по интеграции электронной цифровой подписи в веб-шаблоны SAP (Business Explorer Web Application), работающие в SAP NetWeaver.
Заранее извиняюсь, если в статье будут допущены ошибки в терминологии или в логике.
Читать дальше →
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 5.8K
Комментарии 1

Аккредитация на ЭТП — для тех, кому надо

Блог компании Инновационные поисковые технологии Информационная безопасность *Криптография *
То там ithappens.ru/story/6697, то тут ithappens.ru/story/6076, то здесь ithappens.ru/story/12126 происходят похожие вещи — аккредитацией на электронных площадках занимаются спецы IT-отделов (тыжпрограммисты), инженеры и другой технический люд.

Вот и этот пост предназначен для тех, кто уже давно в IT, но самому лень вникать; для молодых специалистов и, вообще, для всех, кому эта информация может быть полезна. Так как основной контингент здесь — люди технически подкованные, мы решили обойтись без скринов, только хардкор текст, если они (картинки) будут нужны — добавим по заявкам читателей :)

Стоит заметить, что предлагаемые шаги аккредитации не единственные правильные в своем роде (существует, как минимум, несколько рабочих вариантов), но многократно проверенные, в том числе и на личном опыте автора.

Аккредитоваться на площадках просто. Это не требует особого вдохновения или творческого размаха. К нам в IST-Budget регулярно обращаются, и платят за помощь в аккредитации, хотя, человек вполне может это сделать сам. Но таки некоторые нюансы все же есть, способные отнять время и попить кровь, особенно, если нет времени и желания с этим подробно разбираться. Вот об этих нюансах речь и пойдет.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 27K
Комментарии 6

Читаем контейнер закрытого ключа КриптоПро средствами OpenSSL

Криптография *
Речь пойдет о файлах primary.key, masks.key и header.key, которые лежат в директории ххххх.000 на флешке. Данные файлы входят в состав криптоконтейнера закрытого ключа электронной подписи криптопровайдера КриптоПро, формат которого нигде не опубликован. Целью данной статьи является чтение контейнера и преобразование закрытого ключа в формат, который может быть прочитан в библиотеке OpenSSL. Долгое время было распространено ошибочное суждение, что достаточно сделать нечто вида (primary_key XOR masks_key) и мы получим закрытый ключ в чистом (raw) виде, однако забегая вперед, можно утверждать, что в КриптоПро было применено более сложное преобразование, в худшем случае состоящее из более чем 2000 (двух тысяч) операций хеширования.

Стоит упомянуть о существовании утилиты P12FromGostCSP которая позволяет конвертировать ключ в формат P12, доступный для работы с OpenSSL, но утилита имеет следующие существенные недостатки:
  • Читает контейнер не напрямую, а через криптопровайдер, поэтому там, где кроме OpenSSL ничего нет, не работает.
  • Если в свойствах ключа не отмечено, что ключ «экспортируемый», то конвертировать его невозможно.
  • В демо версии не формирует файл с ключом, эта возможность присутствует только в платной версии.

Файл primary.key


Содержит 32 байта ключа в формате Asn1. Это только половина ключа, полный ключ получается при делении этого числа по модулю Q на маску. Поле, хранящее модуль Q в библиотеке OpenSSL имеет название order. Маска лежит в файле masks.key:

primary.key
Читать дальше →
Всего голосов 58: ↑56 и ↓2 +54
Просмотры 74K
Комментарии 44

Итератор генератора в промисе или интеграция КриптоПро browser plugin

Криптография *JavaScript *
Recovery mode
Хочу поделиться опытом интеграции КриптоПро browser plugin в свой велосипед. Кому интересно добро пожаловать по кат. Прошу заранее простить за тяжелый слог
Читать дальше →
Всего голосов 10: ↑3 и ↓7 -4
Просмотры 4.6K
Комментарии 3

Взаимодействие с ГИС ЖКХ с помощью stunnel и openssl по ГОСТу

Криптография *Open source *


Встала перед нами в полный рост задача наладить взаимодействие с ГИС ЖКХ. Согласно документации, предполагается использование небезызвестного отечественного ПО для шифрования туннеля и формирования ЭЦП по ГОСТу, но это не наш метод. Вооружившись гуглом и консолью, я и slavam реализовали необходимый функционал подручными средствами.
Всё необходимое ПО есть как на Linux, так и на Windows платформах, потому методику можно назвать мультиплатформенной.

Читать дальше →
Всего голосов 14: ↑12 и ↓2 +10
Просмотры 35K
Комментарии 16

Извлечение ключа из токена с неизвлекаемым ключом

Информационная безопасность *Криптография *Системное программирование *


Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них СКЗИ КриптоПРО CSP и токен с неизвлекаемым ключом (Рутокен ЭЦП или JaCarta ГОСТ), мы получим сертифицированные СКЗИ, обеспечивающие 100%-ную защиту от кражи ключей с токена. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент…
Читать дальше →
Всего голосов 34: ↑31 и ↓3 +28
Просмотры 202K
Комментарии 132

Как я настраивал новые утилиты по работе с электронной подписью в Linux

Блог компании «Актив» Информационная безопасность *Криптография *
Туториал


Поговорим немного про средства электронной подписи (ЭП) с использованием отечественных ГОСТ-алгоритмов в Linux. Несмотря на то, что различные средства и интерфейсы по работе с ЭП в Linux развиты даже лучше, чем в Windows, использовать их не так просто.

Такое положение вещей сохранялось последние несколько лет. Но с конца 2016 года ситуация изменилась в лучшую сторону. Появилось сразу два продукта, которые позволяют работать с электронной подписью по стандарту ГОСТ и шифрованием без использования консоли – это Rosa Crypto Tool и Trusted eSign. Оба эти продукта для работы с криптографией используют «КриптоПро CSP» для Linux. Поэтому, перед тем как обратиться к описанию самих продуктов, поговорим немного про «КриптоПро CSP».
Читать дальше →
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 72K
Комментарии 19

Настройка резервного копирования информации в облако Microsoft Azure Backup

Блог компании Аладдин Р.Д. Информационная безопасность *Криптография *Системное программирование *
Настоящая статья содержит инструкцию по настройке резервного копирования информации в облако Microsoft Azure Backup, зашифрованной при помощи КриптоПро EFS, и доступа к этой информации по USB-токенам и смарт-картам, например, JaCarta производства компании «Аладдин Р.Д.».
Читать дальше →
Всего голосов 12: ↑8 и ↓4 +4
Просмотры 3.8K
Комментарии 0

Заходим в личный кабинет на zakupki.gov.ru без Internet Explorer и другие полезные советы при работе с КриптоПро

Системное администрирование *

В этой заметке я постараюсь обобщить опыт использования криптопровайдера КриптоПро для доступа к закрытой части официального сайта единой информационной системы в сфере закупок (zakupki.gov.ru) и сайта госуслуг (gosuslugi.ru). Сам криптопровайтер стал уже стандартом де-факто для госучреждений, в его формате выдает ЭЦП, например, удостоверяющий центр (УЦ) Федерального казначейства или УЦ Минздрава.

В первую очередь речь пойдет о сайте zakupki.gov.ru. Личный кабинет этого сайта доступен только через HTTPS с использованием ГОСТ-алгоритмов шифрования. Долгое время HTTPS через ГОСТ работал только в Internet Explorer, который целиком полагался на криптопровайдер. Развязка наступила не так давно, когда на сайте zakupki.gov.ru была прекращена поддержка старых версий IE, в том числе — IE8. Беда в том, что IE8 — последняя версия этого браузера, поддерживаемая в Windows XP, а государственные учреждения, как правило, очень консервативны в плане лицензирования. Таким образом, довольно большая часть пользователей в одночасье оказалась “за бортом”.
Читать дальше →
Всего голосов 19: ↑18 и ↓1 +17
Просмотры 154K
Комментарии 23

Электронная подпись в Битрикс24. Теория и опыт внедрения

1С-Битрикс *
Из песочницы

Хорошо отлаженный механизм быстрого реагирования на изменяющуюся реальность — одно из правил успешного бизнеса. Тенденции современности говорят быть мобильнее, быстрее, удобнее для клиента, для самих себя. Но мы тратим множество часов на подписание документов, требующих участия не одной и не двух сторон. Еще дольше, когда работники за сотни километров. Путь к мобильности может лежать через ЭЦП — Электронную Цифровую Подпись.

В этой статье поговорим о видах, плюсах, минусах ЭЦП, возможностях интеграции и как на практике происходит внедрение ЭЦП на корпоративный портал Битрикс24.

Читать дальше →
Всего голосов 25: ↑16 и ↓9 +7
Просмотры 19K
Комментарии 11

Как на Java c помощью КриптоПро подписать документ PDF

Блог компании Альфа-Банк Информационная безопасность *Криптография *Java *PDF


Привет! Я сотрудник Альфа-Банка и занимаюсь разработкой программного обеспечения со встроенными средствами криптографической защиты информации.

В данной статье хочу рассказать о следующих вещах:

  • преимуществах формата PDF в качестве документа с электронной подписью;
  • платформе Java, библиотеке itextpdf и СКЗИ КриптоПро CSP, как инструментах подписи;
  • о том, с какими трудностями пришлось столкнуться, о доработке itextpdf;
  • привести пример кода, выполняющего несколько подписей;
  • поговорить о целесообразности использования формата PDF в качестве документа с подписью.
Читать дальше →
Всего голосов 14: ↑13 и ↓1 +12
Просмотры 32K
Комментарии 25

Настройка двусторонней RSA и GOST аутентификации в приложении на JBoss EAP 7

Блог компании Альфа-Банк Информационная безопасность *Криптография *Open source *Java *


Здравствуйте!

Безопасности в современной деловой информационной среде отводится одна из первостепенных ролей. Нужно ли говорить, что в Банке, где большая часть продуктов строится на Digital-технологиях, а на кону доверие, спокойствие и благосостояние клиентов, информационная безопасность ставится в авангард.

В этой статье расскажу, как мы в своей деятельности применяем один из инструментов обеспечения информационной безопасности.
Читать дальше →
Всего голосов 18: ↑18 и ↓0 +18
Просмотры 16K
Комментарии 3

Защищаем мобильное приложение с помощью «КриптоПро»: пошаговая инструкция

Блог компании AGIMA Информационная безопасность *Разработка мобильных приложений *
Из песочницы
Статья описывает работу с одним из крупнейших российских поставщиков средств криптографической защиты информации и электронной цифровой подписи — компанией «КриптоПро», занимающей лидирующие позиции в России. Рассмотрено импортирование фреймворка для iOS и подводные камни при импортировании, его использование для создания и проверки электронных цифровых подписей, а также авторизации с использованием приватного ключа.

Читать дальше →
Всего голосов 20: ↑12 и ↓8 +4
Просмотры 14K
Комментарии 15

Не ждем, а готовимся к переходу на новые стандарты криптографической защиты информации

Блог компании Альфа-Банк Информационная безопасность *Криптография *Open source *Java *
В информационном мире и Digital-Банке само собой разумеется – Digital Security и Digital Signature.

Криптография позволяет нам защитить информацию от подмены и однозначно установить ее правообладателя посредством усиленной электронной подписи.

Криптография дает возможность закрыть для посторонних глаз информацию конфиденциального характера с помощью шифрования.

Как применять криптографию в соответствии с законодательством и ладу с регуляторами?

Речь пойдет о правовых аспектах и об организационно-технических мероприятиях в рамках официального перехода на национальные стандарты в области криптографической защиты информации ГОСТ Р 34.11-2012 «Функция хэширования» и ГОСТ Р 34.10-2012 «Процессы формирования и проверки электронной цифровой подписи».

Переход осуществляется в средствах электронной подписи, применяемых для информации, не содержащей сведений, составляющих государственную тайну, в случаях, подлежащих регулированию со стороны ФСБ России в соответствии с действующей нормативной правовой базой.
Читать дальше →
Всего голосов 19: ↑19 и ↓0 +19
Просмотры 37K
Комментарии 10
1