Ну потенциальных проблем немало. Самая очевидная - это количество операций и количество энергии, которые вы затрачиваете на каждый байт информации. И представьте при этом, что вы работаете от батарейки CR2032. Насколько сократится жизненный цикл устройства от применения тяжелого алгоритма? И насколько такой подход увеличит время ответа? (тоже может быть важно)
ЦРП это графологические данные, по которым можно провести экспертизу. А так же она должна сопровождаться технической ЭП, которая защитит документ от изменений.
См. ГК РФ — публичную оферту и акцепт. Самый простой и безрисковый способ — подписать клочок бумаги размером A5, в котором одновременно будет присоединение к оферте и СОПД. Если ЦРП зарегулируют законодательно, бумажки не понадобится.
Слабо представляю себе заключение договоров с помощью ЦРП. А вот скажем цифровое оформление квитанций штрафов «прямо в поле», вполне может быть.
Как раз для заключения договоров такая форма вполне согласуется с ГК РФ. См. главу 28, в частности ст. 434
Так договор получается непосредственно подписан сторонами/стороной в той форме, в которой стороны договорились, в частности, в форме электронного документа.
А почему вы думаете, что связь со свифтом идет просто так через интернет? Есть же аппаратные VPN. Интернет — это просто среда для передачи данных, но свифтовые сообщения всегда передаются по специально организованным каналам, я уверен. И операторы для этого не нужны.
От такого DoS относительно легко защититься. Можно ограничить глубину поиска вменяемым диапазоном, ограничить количество ресинхронизаций в минуту, заставить пройти предварительную аутентификацию по статическому паролю, отправив email со спец URL для подтверждения… способов много разных.
Да и операция не самая тяжелая сама по себе.
Простите, но я совершенно не понял вашу мысль. Пользователь счетчик не знает, его знает токен и его знает сервер. Кейз с рассинхронизацией — если кто-то понажимал кнопку токена много раз, решается процедурой синхронизации, когда сервер получает 2 новых OTP сгенерированных подряд и находит, насколько далеко ушел счетчик.
Злоумышленник же ничего сделать не может, так как чтобы на сервере счетчик пошел вперед, необходимо успешно аутентифицироваться с использованием OTP.
Тоесть счетчик на самом токене всегда на шаг или много шагов опережает счетчик на сервере. Это нормально. А вот дважды использовать один и тот же OTP нельзя по определению, так что одноразовым никто не перестанет быть.
Это означает еще одну важную вещь, что в идеале токенов может быть только 1шт, в противном случае будут возникать события, когда счетчик на клоне токена ушел как бы назад, что по сути повод признать его скомпрометированным.
С TOTP клонов может быть сколько угодно и все они одновременно будут действующими. Небольшие флуктуации списываются на неточность часов и не говорят о компрометации.
TOTP — это эволюция HOTP.
А как синхрить счетчик? Вот в банке глюканул компьютер и он потерял запомненный счетчик. Если ему прилетит номер счетчика от SWIFT, тогда это уже ничем не будет отличаться от TOTP (алгоритм то тот-же самый). А если не прилетит и придется заказывать его по другим каналам — то это уже простой в работе.
TOTP и HOTP это вариации одного по сути алгоритма, разница в основном в источнике счетчика. Если счетчик слетел, то его синхронизируют вводом двух последовательных OTP.
Если все совсем сломалось, то надо просто заново персонализировать мобильный токен (по сути создать новый), благо это делается при наличии правильного софта — за считанные минуты. Ниоткуда ничего прилететь не может, это не так работает.
Спасибо, буду знать.
Но опять таки, точное время это далеко не все, что стоило бы поправить.
В принципе QR код тоже можно по почте получать курьером, хотя это менее надежно крипто-туннеля.
Вся беда в том, что если QR с секретом показать на скомпрометированной машине — то пиши пропало. Это решено в основной массе промышленных серверах аутентификации, хотя и требует установки «родных моб. приложений», зато секрет передается в приложение напрямую.
Оффлайновые коды имеют минус в их количестве. Т.е. возможно придеться часто их передавать, а это возможность утечки.
Передача OTPшек вряд ли поможет вскрыть секрет.
Что же до сравнения HOTP/TOTP, то по моему мнению HOTP сильнее, так как текущий счетчик неизвестен злоумышленнику.
Не так. У нас есть по сути 2 варианта:
1) счетчик, который зависит только от количества событий генерации OTP.
2) счетчик, значение которого соответствует текущему времени, разделенному на фиксированный какой-то период (обычно 30 сек)
Оба варианта замешиваются, но если счетчик доподлинно не известен злоумышленнику, то время он знает. Таким образом TOTP выходит слабее, так как неизвестных стало меньше.
Gps-ntp подвержен атакам извне, все слышали, как у кремля навигатор показывает, что он находится во Внуково? Что же до атомного источника времени, это из пушки по воробьям, вроде это довольно дорогое удовольствие, но это не точно. Помимо прочего, использование такого локального NTP не решает других проблем, озвученных в статье. Как я понимаю, там отсутствует нормальная дистрибуция секрета, как минимум, а безопасность — это сугубо комплексная штука.
В дополнение, я считаю, что использование времени в качестве части вектора инициализации само по себе ослабляет метод.
Извиняюсь, а checkinstall сделать религия не позволяет? Все таки ставить что-то в обход пакетного менеджера, или собрать свой пакет — две большие разницы, как говорят сами знаете где.
На 100% согласен с Дмитрием! Если занимаешься популяризацией Linux, работай в нем. Будешь знать систему, ее сильные стороны и ее проблемы лучше, будет мотив воздействовать на разработчиков к улучшению качества продуктов и так далее. Тем более когда сам же и объявляешь год Linux на десктопах.
Есть куча инструментов, которые позволят сделать качественную презентацию на Linux. Поэтому отговорки про Keynote — это как расписаться в полной недееспособности кампании.
Перечень того, что можно — размыт по статьям 173-ФЗ, вот только некоторые из них:
часть 2-6, 4, 5, 5.1 статьи 12
пп. «ж, з» п. 9. ч. 1 ст. 1
п. 11,17 ч.1 ст. 9
п. 2 ч. 3 ст. 14
и др.
Закона о валютном контроле 173-ФЗ
Все иные расчеты физических лиц — резидентов (то есть те, о которых в Законе о валютном контроле прямо не указано, что суммы по ним могут зачисляться на их иностранные счета) должны проводиться через банковские счета в уполномоченных банках (то есть российских банках, имеющих право на основании лицензий ЦБ РФ осуществлять банковские операции со средствами в иностранной валюте).
Я, вероятно, не прав относительно оплаты по трудовому договору, это, вероятно, можно получать.
Дивиденды только на банки стран членов ОЭСР или ФАТФ и то там есть какие-то ограничения. Я советую вам немного этот вопрос изучить, чтобы от наших госорганов потом нежданчик не прилетел.
У меня есть опыт, когда казалось бы в совершенно стандартных процессах ВЭД оказывались неожиданные грабли со штрафами в 50 тыс рублей.
Я бы поостерегся работать так, как работает автор.
Согласно действующему законодательству РФ, если автор резидент, то он имеет право иметь счета за границей, но обязан о них уведомить налоговую. Владение компанией так же нужно уведомить, а так же уведомить об открытых счетах компании и сдавать отчеты ежегодно в нашу ФНС.
Резидент не имеет право получать прибыль на счета в зарубежных банках (за это могут штрафануть на приличный % от полученной суммы), поэтому мне странно было видеть комментарий про личную карту в том же Rietumu. Он обязан перечислять себе на личную карту в России, пройдя валютный контроль и оплатив НДФЛ (а потом еще и заполнив 3НДФЛ и отнеся в ФНС), а потом уже отправлять на карту за рубеж, опять таки доказывая, что не верблюд, нашим банкам. При регулярности таких операций — привет 115-ФЗ и ПОД/ФТ, которые могут морозить карты на примерно месяц запрашивая доказательства, которые уже предоставлялись валютному контролю (но это ведь другой отдел!), а так же отвечая на вопросы, мол а зачем вам деньги на зарубежном счету, а на что вы их тратите? Причем ваши ответы, даже при полной их правдивости и логичности могут их не устроить и вас попросят на выход. У этой грани банковского рынка все совсем плохо, закон дает размытые требования, ЦБ размывает еще больше, при этом грозясь отзывом лицензии и прочими санкциями, в банках разрабатывают свои (секретные!) инструкции и применяют их, не объясняя ничего, просто ссылаясь на ст.7 115-ФЗ, к которой вы, казалось бы, отношения особого не имеете. А еще могут вас в список финмониторинга занести при каких-то не очень ясных обстоятельствах.
Хороший совет я увидел по поводу перевода на ИП. Но тут начнутся истории с трансфертным ценообразованием, а так же мнимостью сделки для нашего или латвийского банка. Но это, вероятно, не актуально для небольших сумм.
ИП может платить 6% с выручки и это деньги ИП, то есть не надо в этом случае платить 13%.
Еще одна грабля, вероятно не актуальная для автора, но все же, если у вас остаток к отчетному периоду на счету в зарубежном банке больше 9 млн. рублей, извольте заплатить 13% даже если дивиденды вы не получали. Порог суммы с каждым годом уменьшается.
Короче вместе с ОООшкой в латвии проще перестать быть резидентом в этой стране, иначе рутинные операции, а так же подводные грабли вас доканают.
Ну потенциальных проблем немало. Самая очевидная - это количество операций и количество энергии, которые вы затрачиваете на каждый байт информации. И представьте при этом, что вы работаете от батарейки CR2032. Насколько сократится жизненный цикл устройства от применения тяжелого алгоритма? И насколько такой подход увеличит время ответа? (тоже может быть важно)
Понятно, что это не всегда критично...
Как раз для заключения договоров такая форма вполне согласуется с ГК РФ. См. главу 28, в частности ст. 434
Так договор получается непосредственно подписан сторонами/стороной в той форме, в которой стороны договорились, в частности, в форме электронного документа.
Да и операция не самая тяжелая сама по себе.
Злоумышленник же ничего сделать не может, так как чтобы на сервере счетчик пошел вперед, необходимо успешно аутентифицироваться с использованием OTP.
Тоесть счетчик на самом токене всегда на шаг или много шагов опережает счетчик на сервере. Это нормально. А вот дважды использовать один и тот же OTP нельзя по определению, так что одноразовым никто не перестанет быть.
Это означает еще одну важную вещь, что в идеале токенов может быть только 1шт, в противном случае будут возникать события, когда счетчик на клоне токена ушел как бы назад, что по сути повод признать его скомпрометированным.
С TOTP клонов может быть сколько угодно и все они одновременно будут действующими. Небольшие флуктуации списываются на неточность часов и не говорят о компрометации.
TOTP и HOTP это вариации одного по сути алгоритма, разница в основном в источнике счетчика. Если счетчик слетел, то его синхронизируют вводом двух последовательных OTP.
Если все совсем сломалось, то надо просто заново персонализировать мобильный токен (по сути создать новый), благо это делается при наличии правильного софта — за считанные минуты. Ниоткуда ничего прилететь не может, это не так работает.
Спасибо, буду знать.
Но опять таки, точное время это далеко не все, что стоило бы поправить.
Вся беда в том, что если QR с секретом показать на скомпрометированной машине — то пиши пропало. Это решено в основной массе промышленных серверах аутентификации, хотя и требует установки «родных моб. приложений», зато секрет передается в приложение напрямую.
Передача OTPшек вряд ли поможет вскрыть секрет.
Что же до сравнения HOTP/TOTP, то по моему мнению HOTP сильнее, так как текущий счетчик неизвестен злоумышленнику.
1) счетчик, который зависит только от количества событий генерации OTP.
2) счетчик, значение которого соответствует текущему времени, разделенному на фиксированный какой-то период (обычно 30 сек)
Оба варианта замешиваются, но если счетчик доподлинно не известен злоумышленнику, то время он знает. Таким образом TOTP выходит слабее, так как неизвестных стало меньше.
В дополнение, я считаю, что использование времени в качестве части вектора инициализации само по себе ослабляет метод.
Есть куча инструментов, которые позволят сделать качественную презентацию на Linux. Поэтому отговорки про Keynote — это как расписаться в полной недееспособности кампании.
часть 2-6, 4, 5, 5.1 статьи 12
пп. «ж, з» п. 9. ч. 1 ст. 1
п. 11,17 ч.1 ст. 9
п. 2 ч. 3 ст. 14
и др.
Закона о валютном контроле 173-ФЗ
Все иные расчеты физических лиц — резидентов (то есть те, о которых в Законе о валютном контроле прямо не указано, что суммы по ним могут зачисляться на их иностранные счета) должны проводиться через банковские счета в уполномоченных банках (то есть российских банках, имеющих право на основании лицензий ЦБ РФ осуществлять банковские операции со средствами в иностранной валюте).
Я, вероятно, не прав относительно оплаты по трудовому договору, это, вероятно, можно получать.
Дивиденды только на банки стран членов ОЭСР или ФАТФ и то там есть какие-то ограничения. Я советую вам немного этот вопрос изучить, чтобы от наших госорганов потом нежданчик не прилетел.
У меня есть опыт, когда казалось бы в совершенно стандартных процессах ВЭД оказывались неожиданные грабли со штрафами в 50 тыс рублей.
Согласно действующему законодательству РФ, если автор резидент, то он имеет право иметь счета за границей, но обязан о них уведомить налоговую. Владение компанией так же нужно уведомить, а так же уведомить об открытых счетах компании и сдавать отчеты ежегодно в нашу ФНС.
Резидент не имеет право получать прибыль на счета в зарубежных банках (за это могут штрафануть на приличный % от полученной суммы), поэтому мне странно было видеть комментарий про личную карту в том же Rietumu. Он обязан перечислять себе на личную карту в России, пройдя валютный контроль и оплатив НДФЛ (а потом еще и заполнив 3НДФЛ и отнеся в ФНС), а потом уже отправлять на карту за рубеж, опять таки доказывая, что не верблюд, нашим банкам. При регулярности таких операций — привет 115-ФЗ и ПОД/ФТ, которые могут морозить карты на примерно месяц запрашивая доказательства, которые уже предоставлялись валютному контролю (но это ведь другой отдел!), а так же отвечая на вопросы, мол а зачем вам деньги на зарубежном счету, а на что вы их тратите? Причем ваши ответы, даже при полной их правдивости и логичности могут их не устроить и вас попросят на выход. У этой грани банковского рынка все совсем плохо, закон дает размытые требования, ЦБ размывает еще больше, при этом грозясь отзывом лицензии и прочими санкциями, в банках разрабатывают свои (секретные!) инструкции и применяют их, не объясняя ничего, просто ссылаясь на ст.7 115-ФЗ, к которой вы, казалось бы, отношения особого не имеете. А еще могут вас в список финмониторинга занести при каких-то не очень ясных обстоятельствах.
Хороший совет я увидел по поводу перевода на ИП. Но тут начнутся истории с трансфертным ценообразованием, а так же мнимостью сделки для нашего или латвийского банка. Но это, вероятно, не актуально для небольших сумм.
ИП может платить 6% с выручки и это деньги ИП, то есть не надо в этом случае платить 13%.
Еще одна грабля, вероятно не актуальная для автора, но все же, если у вас остаток к отчетному периоду на счету в зарубежном банке больше 9 млн. рублей, извольте заплатить 13% даже если дивиденды вы не получали. Порог суммы с каждым годом уменьшается.
Короче вместе с ОООшкой в латвии проще перестать быть резидентом в этой стране, иначе рутинные операции, а так же подводные грабли вас доканают.
Но автору за ликбез и большую работу — спасибо!