Как стать автором
Обновить

Подключаем Рутокен ЭЦП к OpenSSL

Время прочтения 3 мин
Просмотры 18K
Информационная безопасность *
Из песочницы
UPDATE. Готовое решение для электронной подписи в браузере — Рутокен Плагин

Как известно, OpenSSL версии 1.0.0 и старше поддерживает российские криптоалгоритмы ГОСТ, причем поддержка этих алгоритмов полнофункциональна: реализованы подпись и шифрование в форматах PKCS#7, CMS, S/MIME в соответствии с российскими стандартами и RFC; протокол TLS с поддержкой российских шифрсьютов и т.п.

Таким образом, OpenSSL полностью совместим с проприетарными средствами криптозащиты российских производителей.

Для поддержки ГОСТов в него добавлен специальный «плагин» — engine gost. Вместе с тем существуют криптографические USB-токены с аппартной реализацией российских криптоалгоритмов на «борту». Примером такого токена является Рутокен ЭЦП, который, кстати сказать, сертифицирован как СКЗИ по классу КС2. Рутокен ЭЦП можно подключить к OpenSSL таким образом, что криптографические операции будут делаться на «борту» токена.

Для Рутокен ЭЦП имеется специальный кроссплатформенный плагин к OpenSSL — engine pkcs11_gost, который позволяет использовать аппаратную релизацию ГОСТов через стандартный интерфейс OpenSSL.

Читать дальше →
Всего голосов 23: ↑21 и ↓2 +19
Комментарии 8

Электронная подпись в браузере с помощью OpenSSL и СКЗИ Рутокен ЭЦП

Время прочтения 26 мин
Просмотры 22K
Блог компании «Актив» Информационная безопасность *
UPDATE. Готовое решение для электронной подписи в браузере — Рутокен Плагин

Потребность в решениях, помогающих реализовать электронную подпись в «браузере», возрастает. Главные требования к таким решениям — поддержка российких криптоалгоритмов, обеспечение безопасности ключа и нормальное usability. В данном топике мы напишем браузерный криптографический java-апплет, в который интегрирован OpenSSL ГОСТ c модулем поддержки Рутокен ЭЦП. Этот апплет не требует установки какого-либо клиентского софта (кроме java-машины, конечно) и позволяет подписывать файлы через браузер в формате PKCS#7 с ипользованием аппаратной реализации российских криптографических стандартов на «борту» USB-токена Рутокен ЭЦП. Для демонстрации в топике будет дан пример HTML-страницы, использующей данный апплет. На странице можно сгенерить ключ внутри токена, создать заявку PKCS#10 на сертификат для этого ключа, получить тестовый сертификат, записать его на токен, подписать файл.

Архитектура решения представлена на рисунке:

image
Читать дальше →
Всего голосов 43: ↑36 и ↓7 +29
Комментарии 29

Интересные решения для электронной подписи в браузере

Время прочтения 4 мин
Просмотры 30K
Информационная безопасность *
В одном из комментов к этому топику, отечественный потребитель ЭЦП написал:
У меня есть мечта… В самом деле — у меня есть мечта, что когда-нибудь в будущем я смогу обойтись без связки «windows + IE» для клиент-банков и прочего софта, который использует крипто-про. СБИС++, например. Блин, я надеюсь, что это когда-нибудь будет.



Конкретная такая мечта. И сейчас имеются все предпосылки для ее исполнения.

В топике я немного остановлюсь на решениях Крипто-Про, которые позволяют сделать квалифицированную ЭЦП в браузере действительно удобной.

А так же опишу одно оригинальное решение от фирмы Криптоком (www.cryptocom.ru), которое позволяет подписывать документы через интернет квалифицированной ЭЦП с помощью практически любого компьютера/браузера без предварительной настройки и без прав сисадмина (для варианта «срочно нужно провести сделку из интернет-кафе турецкого отеля»).

Читать дальше →
Всего голосов 32: ↑26 и ↓6 +20
Комментарии 98

Использование MS CRYPTO API в Caché

Время прочтения 10 мин
Просмотры 3.7K
Блог компании InterSystems Криптография *
Говоря о базах данных, как об источниках знаний, мы всегда подразумеваем, что это не только большой склад разнообразной упорядоченной (или не очень) информации, но и место ее безопасного хранения. Под безопасностью, как правило, понимается защита цифровых данных от несанкционированного доступа при передаче через каналы связи, но не стоит забывать и о физической защите носителей данных. Тем не менее, я не буду рассуждать, какие бронированные двери лучше ставить в вашу серверную и сколько охранников должно дежурить на проходной, а расскажу о криптографии.
Читать дальше →
Всего голосов 14: ↑10 и ↓4 +6
Комментарии 0

Криптографические решения. От криптопровайдеров до браузерных плагинов

Время прочтения 11 мин
Просмотры 50K
Блог компании «Актив» Информационная безопасность *Криптография *
Производители средств криптографической защиты информации (СКЗИ) предлагают различные механизмы для интеграции криптосредств в информационные системы. Существуют решения, ориентированные на поддержку систем с Web-интерфейсом, мобильных и десктопных приложений, серверных компонентов. СКЗИ интегрируются в приложения Microsoft и в продукты Open Source, обеспечивают поддержку различных прикладных протоколов и форматов электронной подписи.

С учетом растущего количества проектов с применением ЭЦП и появления массовых проектов для физических лиц, разработчикам подобных проектов требуется хорошо ориентироваться в предлагаемых производителями решениях по ЭЦП для того, чтобы сделать систему удобной в эксплуатации и недорогой в плане техподдержки. Таким образом, если еще лет 5 назад главным фактором выбора криптосредства являлось его полное соответствие требованиям регуляторов, то при сегодняшнем разнообразии важными критериями могут выступать охват поддерживаемых платформ, возможность интеграции с браузером, поддержка мобильных пользователей, возможность установки без прав системного администратора и т.п.

В данном материале сделана попытка классифицировать средства криптографической защиты информации.
  • Рассмотрены в основном СКЗИ, использующиеся на клиентских местах для защиты клиент-серверных соединений по протоколу TLS, для организации ЭЦП, шифрования передаваемых данных;
  • Не рассматриваются СКЗИ, применяемые для создания VPN и шифрования файловой системы, хранимых данных, а так же УЦ;
  • Отдельно выделены аппаратные криптографические устройства.

Классификация построена на основе:
  • технологий интеграции (CryptoAPI, Active-X, NPAPI и др.), которые поддерживают СКЗИ для встраивания в приложения и прикладные системы;
  • интерфейсов, которые предоставляют СКЗИ для встраивания в приложения и прикладные системы.

Кроме того, показаны способы интеграции СКЗИ с Web-приложениями и возможность его использования на мобильных платформах

Общая схема классификации приведена в таблице:
Криптопровайдеры Нативные библиотеки (openssl-style, PKCS#11, NSS, собственные интерфейсы) Локальные прокси Браузерные плагины Облачная подпись Браузеры с российской криптографией
Почтовые клиенты с российской криптографией Российская криптография в фреймворках, платформах, интерпретаторах Настольные криптографические приложения Криптография в BIOS UEFI Сервис-провайдеры ЭЦП Эмуляторы доверенной среды
Аппаратные средства

В первой статье рассмотрим решения, начиная с криптопровайдеров по браузерные плагины включительно. В последующих статьях будут рассмотрены остальные средства.

Читать дальше →
Всего голосов 21: ↑16 и ↓5 +11
Комментарии 18

Как и где нужно применять СКЗИ — точка зрения ФСБ

Время прочтения 5 мин
Просмотры 59K
Информационная безопасность *
8-й Центр ФСБ выложил достаточно неожиданный документ. Документ описывает рекомендации в области разработки нормативно-правовых актов в области защиты ПДн. Но этим же документом рекомендуется пользоваться операторам ИСПДн при разработке частных моделей угроз.

Что же думает ФСБ о том, как и где нужно применять СКЗИ?
Читать дальше →
Всего голосов 27: ↑22 и ↓5 +17
Комментарии 4

Аудит СКЗИ и криптоключей

Время прочтения 15 мин
Просмотры 71K
Информационная безопасность *Криптография *
Из песочницы
image

С точки зрения информационной безопасности криптографические ключи являются критически важными данными. Если раньше, чтобы обокрасть компанию, злоумышленникам приходилось проникать на ее территорию, вскрывать помещения и сейфы, то теперь достаточно похитить токен с криптографическим ключом и сделать перевод через систему Интернет Клиент-Банк. Фундаментом обеспечения безопасности с помощью систем криптографической защиты информации (СКЗИ) является поддержание конфиденциальности криптографических ключей.

А как обеспечить конфиденциальность того, о существования чего вы не догадываетесь? Чтобы убрать токен с ключом в сейф, надо знать о существовании токена и сейфа. Как это не парадоксально звучит, очень мало компаний обладают представлением о точном количестве ключевых документов, которыми они пользуются. Это может происходить по целому ряду причин, например, недооценка угроз информационной безопасности, отсутствие налаженных бизнес-процессов, недостаточная квалификация персонала в вопросах безопасности и т.д. Вспоминают про данную задачу обычно уже после инцидентов, таких как например этот.

В данной статье будет описан первый шаг на пути совершенствования защиты информации с помощью криптосредств, а если точнее, то рассмотрим один из подходов к проведению аудита СКЗИ и криптоключей. Повествование будет вестись от лица специалиста по информационной безопасности, при этом будем считать, что работы проводятся с нуля.
Читать дальше →
Всего голосов 11: ↑9 и ↓2 +7
Комментарии 2

Почему традиционная защита от кражи денежных средств в системах ДБО уязвима

Время прочтения 13 мин
Просмотры 8.8K
Блог компании Аладдин Р.Д. Информационная безопасность *Криптография *Платежные системы *Программирование *

Банковские электронные сервисы напрямую или опосредованно оперируют деньгами. А там, где есть деньги, всегда найдутся те, кто захочет их украсть. Особый интерес у киберпреступников вызывают системы дистанционного банковского обслуживания для юридических лиц, так как на счетах последних аккумулируются значительные суммы денежных средств.


Для защиты от кражи денежных средств в таких системах, как правило, требуется решить следующие основные задачи: проверить подлинность пользователя, а также подлинность и целостность электронного документа, выражающего намерение пользователя. На практике, таким документом является платёжное поручение, в числе реквизитов которого задаются сумма денежных средств и счёт получателя.


Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Комментарии 5

Есть ли альтернатива MS Windows, IE и CSP при доступе в личные кабинеты порталов Госзакупок, ФНС России и Госуслуг

Время прочтения 4 мин
Просмотры 19K
Информационная безопасность *Криптография *Анализ и проектирование систем *IT-стандарты *Браузеры
image

И сразу дадим ответ – да, можно и нужно, только не отказаться, а дать гражданам и организациям возможность использовать и другие операционные системы, браузеры и средства криптографической защиты информации (СКЗИ). Ответим на вопрос и как – соблюдать стандарты и технологии. Почему бы для доступа в личные кабинеты не использовать авторизованный доступ по протоколу https? И тогда нет необходимости в использования только CSP а ля Микрософт с поддержкой российской криптографии. Тогда автоматом станут востребованы и токены PKCS#11 и как международный стандарт, так и стандарт, поддерживаемый ТК-26, стандарты PKCS#12 (тем же ТК-26), может что-то другое, но стандартное. В этом случае речь уже будет идти не об MS Windows, Interner Explorer и CSP, а о браузерах или других программ с поддержкой https с российскими шифрсьютами. Это может быть и Internet Explorer, и модификации того же Mozilla Firefox, наконец Google Chrome или прокси типа stunnel.
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Комментарии 84

МЕТРО ИБ

Время прочтения 8 мин
Просмотры 11K
Информационная безопасность *
Из песочницы
Сегодня невозможно представить большой город без метрополитена с его линиями, правилами и станциями, достопримечательностями и своей историей, иногда даже известными во всем мире и привлекающими к себе особое внимание. Метро функционирует как отдельный организм, но вместе с тем является неотъемлемой частью города. Так и средства информационной безопасности в нашей стране уже невозможно представить без решений отечественных производителей (станции метро) различных классов систем (линии метро).

Предлагаем прокатиться вместе с нами по нашему метро под названием «Информационная безопасность» и подробно, при желании, остановится на известных или не очень, а, может, просто любимых станциях….

P.S. Карта метро ИБ является лишь информативным инструментом, не несет ответственности за работоспособность станций метро и является актуальной на конец 2017 года. Функциональность и качество работоспособности станций не зависит от их месторасположения на карте, внутри кольца или за пределами, аналогии с отчетами мировых аналитических агентств нет, мы же в столице России! График работы и иные детали функционирования уточняйте в самостоятельном порядке.

Любые предложения по реставрации станций, их закрытию или пожелания по внесению неучтенных станций приветствуются! Ведь линии метро продлеваются, а МЦК строится быстрыми темпами…

До встречи в 2018 году!
Читать дальше →
Всего голосов 24: ↑14 и ↓10 +4
Комментарии 9

Информационная безопасность банковских безналичных платежей. Часть 2 — Типовая IT-инфраструктура банка

Время прочтения 13 мин
Просмотры 69K
Информационная безопасность *Криптография *Платежные системы *Анализ и проектирование систем *IT-инфраструктура *


Рис. 1.

О чем исследование
Ссылки на другие части исследования


В первой части нашего исследования мы рассмотрели работу системы банковских безналичных платежей c экономической точки зрения. Теперь настало время посмотреть на внутреннее устройство ИТ-инфраструктуры банка, с помощью которой эти платежи реализуются.

Disclaimer
Статья не содержит конфиденциальной информации. Все использованные материалы публично доступны в Интернете, в том числе на сайте Банка России.
Читать дальше →
Всего голосов 20: ↑19 и ↓1 +18
Комментарии 41

Информационная безопасность банковских безналичных платежей. Часть 7 — Базовая модель угроз

Время прочтения 16 мин
Просмотры 20K
Информационная безопасность *Криптография *Платежные системы *Анализ и проектирование систем *IT-инфраструктура *
Туториал


О чем исследование
Ссылки на другие части исследования


В данной статье представлена базовая модель угроз информационной безопасности банковских безналичных переводов, осуществляемых через платежную систему Банка России.

Угрозы, представленные здесь, справедливы практически для любого банка в Российской Федерации, а также для любых других организаций, использующих для осуществления расчетов толстые клиенты с криптографическим подтверждением платежей.

Настоящая модель угроз предназначена для обеспечения практической безопасности и формирования внутренней документации банков в соответствии с требованиями Положений Банка России № 552-П от 24 августа 2016 г. и № 382-П от 9 июня 2012 г.
Применение сведений из статьи в противоправных целях преследуется по закону.

Читать дальше →
Всего голосов 19: ↑10 и ↓9 +1
Комментарии 20

Информационная безопасность банковских безналичных платежей. Часть 8 — Типовые модели угроз

Время прочтения 34 мин
Просмотры 15K
Информационная безопасность *Криптография *Платежные системы *Анализ и проектирование систем *IT-инфраструктура *
Туториал

О чем исследование

Ссылки на другие части исследования


Данная статья завершает цикл публикаций, посвященных обеспечению информационной безопасности банковских безналичных платежей. Здесь мы рассмотрим типовые модели угроз, на которые ссылались в базовой модели:


ХАБРО-WARNING !!! Уважаемые хабровчане, это не развлекательный пост.
Спрятанные под катом 40+ страниц материалов призваны помочь в работе или учебе людям, специализирующимся на банковском деле или обеспечении информационной безопасности. Данные материалы являются конечным продуктом исследования и написаны в сухом официальном тоне. По сути это заготовки для внутренних документов по ИБ.

Ну и традиционное — «применение сведений из статьи в противоправных целях преследуется по закону». Продуктивного чтения!
Читать дальше →
Всего голосов 15: ↑13 и ↓2 +11
Комментарии 4

Справочник законодательства РФ в области информационной безопасности (версия 13.01.2023)

Время прочтения 108 мин
Просмотры 115K
Информационная безопасность *Криптография *Антивирусная защита *Законодательство в IT
Обзор

© Яндекс.Картинки

Перечень изменений.

Все специалисты по информационной безопасности рано или поздно сталкиваются с вопросами законодательного регулирования своей деятельности. Первой проблемой при этом обычно является поиск документов, где прописаны те или иные требования. Данный справочник призван помочь в этой беде и содержит подборку ссылок на основные законодательные и нормативно-правовые акты, регламентирующие применение информационных технологий и обеспечение информационной безопасности в Российской Федерации.
Читать дальше →
Всего голосов 34: ↑33 и ↓1 +32
Комментарии 23

Привет из прошлого: кто, что и зачем пишет в журнале учета СКЗИ

Время прочтения 5 мин
Просмотры 22K
Блог компании Ростелеком-Солар Информационная безопасность *

Современное законодательство (а часто и здравый смысл) требуют шифровать практически все данные, которые организация передает и получает. Но установить криптошлюз и наладить его работу – это только полдела. Самое «интересное» начинается дальше: учет СКЗИ. Этот занимательный процесс регламентируется инструкцией, которая была написана 20 лет назад и уже не отвечает современным реалиям, а некоторые ее пункты вообще ставят в тупик. Вспоминая собственные ошибки, мы решили поговорить о том, кто, что и как должен записывать у журнал учета СКЗИ.

Пошелестеть бумажками
Всего голосов 30: ↑29 и ↓1 +28
Комментарии 19

Защитить информацию и ничего не нарушить: какие вопросы мы задаем при работе с СКЗИ

Время прочтения 5 мин
Просмотры 7.4K
Блог компании Ростелеком-Солар Информационная безопасность *Криптография *Законодательство в IT

Согласитесь, в теме криптографической защиты информации больше вопросов, чем ответов. Как учитывать СКЗИ, как их хранить и перевозить? А если защиту надо установить на мобильное приложение, а сколько человек должны подписывать акт, надо ли создавать у себя в компании ОКЗИ, можно ли это сделать? И главное, все ли миллион лицензий вы получили или что-то забыли.

В этом посте мы собрали самые больные частые вопросы, которыми задаемся мы в «Ростелеком-Солар» и которые задают наши коллеги по цеху. Мы постарались найти на них ответы. Надеемся, будет интересно и, главное, полезно.

Внимание, материал не является истиной в последней инстанции. Ответить точно на конкретный запрос может только регулятор.

What the FAQ
Всего голосов 8: ↑8 и ↓0 +8
Комментарии 2

Полный compliance: на что обратить внимание при предоставлении СКЗИ по сервисной модели

Время прочтения 5 мин
Просмотры 1.9K
Блог компании Ростелеком-Солар Информационная безопасность *Криптография *

Соблюдение нормативных требований в области криптографии – вечная тема. Давно не менявшаяся нормативная база и возможность различной интерпретации формулировок порождают только споры и сомнения. С появлением сервисной модели в ИБ вопросов стало еще больше. Можно ли в принципе передать часть обязанностей по обслуживанию средств криптографической защиты информации (СКЗИ) сервис-провайдеру? Как это правильно оформить и чем потом подтвердить комплаенс? Попробуем разобраться в этом посте.  

Все, что описано ниже, затрагивает только защиту конфиденциальной информации. Защита государственной тайны отдельная тема и в статье не рассматривается.

compliance or not compliance
Всего голосов 11: ↑11 и ↓0 +11
Комментарии 4

Как мудрый царь электронные подписи вводил

Время прочтения 3 мин
Просмотры 4K
Блог компании СИГМА Информационная безопасность *IT-стандарты *
✏️ Технотекст 2022

Всем привет, решили затронуть столь любимый жанр сказок о безопасности и в этот вечер поведать историю о преодолении, отрицании и смирении… ну то есть о внедрении средств криптографической защиты. Возможно, и вы сталкивались с подобным, но не на страницах книг, а в реальной жизни. Как говорится, все совпадения случайны.

Итак...

В двоичном царстве, в восьмибитном государстве жил-был мудрый царь Айтидон.

Читать сказку
Всего голосов 14: ↑9 и ↓5 +4
Комментарии 9

Compliance-дайджест: что изменилось в ИБ-законодательстве в ноябре

Время прочтения 7 мин
Просмотры 842
Блог компании Ростелеком-Солар Информационная безопасность *

В новом выпуске дайджеста вас ждет подборка основных изменений законодательства в области кибербезопасности, произошедших в ноябре. Какие сведения Роскомнадзор требует указывать в Акте об уничтожении персональных данных? Как нужно выбирать средства криптографической защиты для обеспечения безопасности ГИС по новым требованиям ФСБ России? Что должны знать и уметь руководители проектов, администраторы баз данных, системные аналитики и специалисты по информационным системам согласно проектам профстандартов? Об этом и многом другом расскажу в посте.

Узнать, что нового
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 0