drdaeman Опубликовано 7 ноября, 2012 · Жалоба Тут такое дело, мелкий провайдинг или живет, или дохнет. Не доверять своим сотрудникам - себе дороже. А всё идет к тому, чтобы мелкий провайдинг сдох. Такой вот капитализьм, такая вот конкурренция. А рутокены, ну немного достали, скажем так, от всяких там ...банков, под них приходится ставить поделия БГ в виде ОС. Речь не о том, чтобы не доверять своим, а о том, что ЭЦП организации слишком крутая штука, чтобы держать ее вот так вот просто. Не нужно никаких злонастроенных сотрудников, достаточно где-то сглупить (что бывает даже с умными людьми). Поломают сервер, или просто кто-то на социальную инженерию поведется, или еще что... Мне вот, лично, страшновато. При этом я: а) сам обычный сотрудник, а не какой-то начальник; б) не злонамеренный, а наоборот, вроде, довольно лояльный; в) вроде как немного соображаю в безопасности и не сказал бы, что у нас где-то что-то голым задом торчит куда-то или где-то что-то крутится не по уму. Но «а вдруг что — пес ведь знает что на этот сертификат завяжут еще» меня несколько нервирует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 7 ноября, 2012 · Жалоба В смысле? А что ему должно помешать продержаться сколь угодно долго? А вдруг они проснутся завтра рано утром :) И заблочат всю память о том что может быть ? Я однажды некий способ работы с банком опубликовал, с тех пор - меня там заблочили... Видимо ищут, и возможно прибъют :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
drdaeman Опубликовано 7 ноября, 2012 (изменено) · Жалоба Агащааззз!.. Всё время, пока он туда воткнут, - сервер может подписывать всё, что пожелает. Соответственно, осталось найти, где токен, и ломануть хост-машину. О компрометации токена узнаешь пост-фактум, от службы безопасности... возможно... Я о другом различии. Если поломали сервер — хоть знаешь как защищаться (выдернул токен, проанализировал атаку, переставил все начисто с устраненной дырой) — т.е., хоть, понятно, что после обнаружения можно устранить проблему. Если же упери файл с ключом — не знаешь вообще что делать (есть ли CRL — я, вот, не знаю). То, что, по-уму, надо разделять привелегии и от мастер-ключа организации плодить дальше дерево я выше писал. Это, в наших условиях, видимо, совсем утопия. Изменено 7 ноября, 2012 пользователем drdaeman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 7 ноября, 2012 (изменено) · Жалоба В смысле? А что ему должно помешать продержаться сколь угодно долго? А вдруг они проснутся завтра рано утром :) И заблочат всю память о том что может быть ? Я однажды некий способ работы с банком опубликовал, с тех пор - меня там заблочили... Видимо ищут, и возможно прибъют :) Эм. Я использую сугубо их собственный вебсервис, работа с которым описана у них же на сайте в публичной pdfке. Использовать мой питоновый скрипт все равно получится только с валидной подписью. ЗЫ Не, ну если у кого-то стальные яйца, можете написать простенький сервис, который бы данные из файлика публиковал в открытом доступе где-нибудь, там класс готовый есть, мне не жалко =) Изменено 7 ноября, 2012 пользователем yegorov-p Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 7 ноября, 2012 · Жалоба Речь не о том, чтобы не доверять своим, а о том, что ЭЦП организации слишком крутая штука, чтобы держать ее вот так вот просто. Не болтайте ерундой. Кому положено грабить контору - это главбухи или соучредители, не поделившие бизнес. Здесь общаются вообще-то не директоры... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 7 ноября, 2012 · Жалоба Э-э-э, а у нас, что, есть ассиметричный алгоритм, чтобы это сделать? Я знаю только про ГОСТ 34.10, но он для подписей, и его применение для шифрования несколько непонятно. У буржуев (помимо RSA) есть схема Эль-Гамаля, где описано как подпись, так и шифрование. У нас ГОСТ 34.10 регламентирует, насколько я знаю, только второе. Или я тут ошибаюсь и неправ? Понятия не имею. Но банк-клиенты как-то сертифицируются и работают. Без ассиметричной криптографии это было бы затруднительно. И вообще, если gosuslugi.ru могут RSA использовать, то, наверное, и тут можно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
drdaeman Опубликовано 7 ноября, 2012 (изменено) · Жалоба Речь не о том, чтобы не доверять своим, а о том, что ЭЦП организации слишком крутая штука, чтобы держать ее вот так вот просто. Не болтайте ерундой. Кому положено грабить контору - это главбухи или соучредители, не поделившие бизнес. Здесь общаются вообще-то не директоры... А зачем обязательно грабить? Завтра шутник какой just for lulz поломает сервер хостера-и-провайдера-одновременно, упрет ключи, и напишет в тот же Роскомнадзор, что абузы надо теперь слать в devnull@example.org. И хостер после первой абузы (которую он пропустит по очевидной причине) — бдыщщ — и через сутки забанен по IP у половины провайдеров, включая самого себя. Шум, веселье, радость троллей — массивная победа вышла. И никакого злого соучередителя не надо. Или послезавтра возмут, да придумают этим ключам еще какое применение. Мало ли чего. И если с токеном это если и возможно, то более-менее одноразово, то с упертым ключом это вообще будет не остановить. Хотя, еще раз подчеркну — мне оно ни в какой форме не нравится. Ни одноразово, никак. Я, сравнивая токен и файл, уже чисто о выборе из двух зол. Изменено 7 ноября, 2012 пользователем drdaeman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 7 ноября, 2012 · Жалоба Здесь общаются вообще-то не директоры... Ну почему...и они тоже ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
drdaeman Опубликовано 7 ноября, 2012 · Жалоба Понятия не имею. Но банк-клиенты как-то сертифицируются и работают. Без ассиметричной криптографии это было бы затруднительно. И вообще, если gosuslugi.ru могут RSA использовать, то, наверное, и тут можно. Как я понимаю, они используют ту или иную аутентифицированную вариацию алгоритма Диффи-Хеллмана (какой-нибудь вариант MQV с ГОСТовыми подписями), а дальше, после установления ключа, гонят симметричный шифр. Ассиметричное шифрование, в общем-то, им и не нужно. Хотя пес знает, что они там творят, я не криптограф, да и в банках никогда не работал. А вот Госуслуги и RSA — да, аргумент. Правда, этот документ, пошифрованный «на всех» будет, как мне кажется, многовато весить (по сути, это симметрично пошифрованный список, плюс по ассиметрично зашифрованному ключу расшифровки, для каждого провайдера). Ну и шифровать придется довольно долго. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Justas Опубликовано 7 ноября, 2012 · Жалоба Мы получали сертификат для налоговой в "Тензоре". Сейчас проверили - в сертификате есть наш ИНН, но нет ОГРН. Позвонил в "Тензор", там мне ответили что если хотите ОГРН, покупайте новый сертификат. Я сказал "ага, щаз" и пошел в интернет. Интернет мне сказал, что ОГРН они обязаны включать, после чего состряпал претензию к "Тензору". Не захотят решить вопрос по телефону - буду бодаться, потому что Роскомнадзор сказал, что сертификаты, используемые для сдачи отчетности, подойдут. А я дядям из Роскомнадзора привык всецело верить. Тензор бесплатно заменил сертификат. "Наконец-то!" - подумал я. "Хрен тебе" - ответил Роскомнадзор. С новым квалифицированным сертификатом, содержащим ИНН и ОГРН компании, авторизоваться не получается. Завтра буду звонить в Роскомнадзор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 7 ноября, 2012 · Жалоба У меня в сертификате нет огрн Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 ноября, 2012 · Жалоба Ну что ж, проверим двойные стандарты составителей реестра _ttp://niceboy.buckshost.com/mike/015/P1012696.jpg Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 7 ноября, 2012 · Жалоба Я сформировал xmlку, один раз ее подписал и с тех пор использую. т.е. можно демкой крипто-арма сделать валидные ключи, запросив демо-лицензию, и потом этими ключами все время подписывать? PS. сорри, если глупость сказал. для меня все эти ключи, сертификаты, квалификации в новинку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
drdaeman Опубликовано 7 ноября, 2012 · Жалоба т.е. можно демкой крипто-арма сделать валидные ключи, запросив демо-лицензию, и потом этими ключами все время подписывать? Оп-па, что за демо-лицензия и ключи такие? Поподробнее расскажите, пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 7 ноября, 2012 · Жалоба Я сформировал xmlку, один раз ее подписал и с тех пор использую. т.е. можно демкой крипто-арма сделать валидные ключи, запросив демо-лицензию, и потом этими ключами все время подписывать? я так и сделал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 7 ноября, 2012 · Жалоба Нет бы сделать по-уму. У конторы есть ключи («мастер-ключи»), они подписаны крутым ЦА, хранятся в сейфе у дирекции. Программисты, когда им спустили задачу цензурить интернеты, генерят свои ключи, дирекция подписывает их «мастер-ключом» (т.е. является для отделов SubCA/intermediate CA), «программистские» ключи регистрируются в Роскомнадзоре (они же подписаны директорским) как авторизованные для задачи и все получается красиво и правильно, с цивилизованным разделением привелегий. Все это, разумеется, не за два дня до сроков, а за пол-года, и сопровождая комиксом с картинками «основы криптографии и информационной безопасности для клинических дебилов.» Так ведь нет, устроили цирк. Причем техническая сторона делается почти даром: достаточно файлик раздавать по https с требованием клиентского сертификата и проверкой его trust chain на стороне сервера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 7 ноября, 2012 · Жалоба Ну что ж, проверим двойные стандарты составителей реестра _ttp://niceboy.buckshost.com/mike/015/P1012696.jpg будет ржачно, если тут не найдут ничего запретного Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
m0xf Опубликовано 7 ноября, 2012 · Жалоба Эта картинка скоро станет знаменитой, и будет рассована по всему интернету. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dm1try Опубликовано 7 ноября, 2012 · Жалоба drdaeman подскажите пожалуйста как Вам удалось получить сертификат в PKCS#12? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 ноября, 2012 · Жалоба Кстати, https://tineye.com/ - удобно для поиска картинок, а то гугл порнуху у себя не хранит(ну или не показывает) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
m0xf Опубликовано 7 ноября, 2012 · Жалоба гугл порнуху у себя не хранит(ну или не показывает) Всё он хранит и показывает. Нужно отключить безопасный поиск. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 ноября, 2012 · Жалоба И в самом деле, посмотрим что скажут на жалобу на _ttps://encrypted-tbn1.gstatic.com/images?q=tbn:ANd9GcRHuLTiQROLnbTvzhwS7eHrYIaJJzh8b2igLJexLpbWFEW9lBN4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 7 ноября, 2012 · Жалоба т.е. можно демкой крипто-арма сделать валидные ключи, запросив демо-лицензию, и потом этими ключами все время подписывать? Оп-па, что за демо-лицензия и ключи такие? Поподробнее расскажите, пожалуйста. Демка тут - http://www.trusted.ru/support/downloads/?product=133 Запрос триальной лицензии тут - http://www.trusted.ru/support/license/ У меня встречные вопросы по вашему посту http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=769646 p# openssl version OpenSSL 0.9.7e 25 Oct 2004 Не проканает? # openssl ciphers DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA:DES-CBC3-MD5:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:AES128-SHA:RC2-CBC-MD5:DHE-DSS-RC4-SHA:RC4-SHA:RC4-MD5:RC4-MD5:RC4-64-MD5:EXP1024-DHE-DSS-DES-CBC-SHA:EXP1024-DES-CBC-SHA:EXP1024-RC2-CBC-MD5:EDH-RSA-DES-CBC-SHA:EDH-DSS-DES-CBC-SHA:DES-CBC-SHA:DES-CBC-MD5:EXP1024-DHE-DSS-RC4-SHA:EXP1024-RC4-SHA:EXP1024-RC4-MD5:EXP-EDH-RSA-DES-CBC-SHA:EXP-EDH-DSS-DES-CBC-SHA:EXP-DES-CBC-SHA:EXP-RC2-CBC-MD5:EXP-RC2-CBC-MD5:EXP-RC4-MD5:EXP-RC4-MD5 Ну и соответственно openssl ciphers | grep -Fq GOST && echo "OK" пусто :( Старая версия openssl ? openssl smime -sign -in request.xml -out request.bin -signer index-situm-prohibitorum.pem -outform DER -nodetach pem-файл вы откуда_взяли/как_сделали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
drdaeman Опубликовано 7 ноября, 2012 (изменено) · Жалоба У меня встречные вопросы по вашему посту http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=769646 p# openssl version OpenSSL 0.9.7e 25 Oct 2004 Не проканает? Увы, нет. Поддержка ГОСТовых алгоритмов появилась в 1.0. Для 0.9.7 есть какие-то патчи, но проще 1.0 собрать (или взять собранный, если конкретный дистрибутив позволяет) openssl smime -sign -in request.xml -out request.bin -signer index-situm-prohibitorum.pem -outform DER -nodetach pem-файл вы откуда_взяли/как_сделали? Делал, увы, не я, а коллега-другой-провайдер, с которым обсуждали дело по телефону. Коллега был быстрее, а у нас ключ еще не получен, увы. Экспортировали из КриптоПро (или КриптоАрм, вот не скажу сейчас точно), лицензия на который шла вместе с ключом. В какой именно менюшке делается, увы, с ходу не знаю, но экспорт в PKCS#12 там точно должен быть. Завтра, пожалуй, смогу узнать подробности, что, где, куда, какой точно софт и версии. Изменено 7 ноября, 2012 пользователем drdaeman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 7 ноября, 2012 · Жалоба У меня встречные вопросы по вашему посту http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=769646 p# openssl version OpenSSL 0.9.7e 25 Oct 2004 Не проканает? Увы, нет. Поддержка ГОСТовых алгоритмов появилась в 1.0. Для 0.9.7 есть какие-то патчи, но проще 1.0 собрать (или взять собранный, если конкретный дистрибутив позволяет) # apt-get install openssl Чтение списков пакетов... Готово Построение дерева зависимостей... Готово Уже установлена самая новая версия openssl. обновлено 0, установлено 0 новых пакетов, для удаления отмечено 0 пакетов, и 4 пакетов не обновлено. Пичалька. Завтра, пожалуй, смогу узнать подробности, что, где, куда, какой точно софт и версии. отпишитесь потом - ОК? Я сформировал xmlку, один раз ее подписал и с тех пор использую. т.е. можно демкой крипто-арма сделать валидные ключи, запросив демо-лицензию, и потом этими ключами все время подписывать? я так и сделал. А ключ не прокиснет? Кто его знает - какой он получается с демо-лицензией... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...