Удалёнка: опыт и лайфхаки
Реклама
Комментарии 97
0
Ситуация следующая. КриптоТуннель по сути является связкой OpenSSL + допиленный sTunnel, только используется сертифицированный в ФСБ аналог OpenSSL (МагПро КриптоПакет). OpenSSL, насколько я знаю, портирован на андроид, насчет sTunnel — не знаю, но думаю будет. Таким образом, технологических ограничений нет. Единственное что, для квалифицированной подписи эти портированные версии должны быть сертифицированы в ФСБ.
0
Надеюсь прогресс наступит и в этой области :) Пока же купил себе SONY UX280p специально для интернет банка )))
0
Отнюдь. Всего лишь 200 баксов ))) Если учесть, что я продал нетбук до этого за 7к рублей, то даже в плюсе оказался :)
+4
Решение дорогое и не очень то надежное.
Windows все-таки совсем не доверенная среда.
Возможный вариант: запускать на нем linux с read-only раздела.
Надеюсь прогресс наступит когда банки начнут массово внедрять это.
0
>Компания SafeTech была основана в 2010 году

Я бы не стал использовать девайс с ограниченными возможностями производства неизвестной конторы, возникшей буквально вчера, для защиты своих денег.

-1
Как я посмотрю, у вашей компании нет других аргументов :)

Забавно на это смотреть. Многое говорит о позиции и методах работы.
0
Не видел раньше указанного комментария. Просто это первое, что бросается в глаза — года основания, отсутствие лицензий и сертификатов. Почему вашей поделке, которую никто не проверял, люди должны доверять защиту своих денег?

А метод вашей работы — это троллинг?

Второе что бросается в глаза — девайс отображает не всю подписываемую информацию, а только некоторые куски. Следует понимать, что это уязвимость, которая найдет своего хакера.
0
Уважаемый, покажите, пожалуйста, общественности компанию, которая «родилась» с 10-ти летним стажем, лицензиями и сертификатами (которые, кстати, абсолютно не являются гарантией надежности решения). Залогом успеха является не год создания, а команда. И она у нас очень сильная.

По поводу «никто не проверял» — опять не правда. SafeTouch три месяца назад отдан на тестирование в две лаборатории. Ни одной уязвимости до сих пор не найдено.

Отображать же документ целиком — бред. Это создает избыточную нагрузку на пользователя, заставляя его подтверждать подпись, не вдаваясь в суть. С нашей точки зрения, отображение нескольких ключевых полей (без которых атака на документ будет бессмысленной) — гораздо удобнее.

Кстати, называть «поделкой» продукт, который Вы и в руках то не держали, это как раз и есть троллинг.
0
Разоблачитель, где первая-то неправда? :) Вы нелогичны, на вашем сайте я не нашел ни одного упоминания о тестировании.

Почему-то уверен, что лаборатории не найдут ни одной уязвимости :)

>Отображать же документ целиком — бред

А я вот решил не словами кидаться, а почитать на досуге новый закон об электронной подписи

Статья 12. Средства электронной подписи

2.1 При создании электронной подписи средства электронной подписи должны: показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает.


Прикинь, ни слова про ключевые поля. То есть Safe Touch не отвечает требованиям законодательства? И подпись, сделанная с его помощью, не может считаться квалифицированной?

По поводу уязвимости. Она есть — отрицать это бессмысленно. У взломщика имеется возможность целенаправленно отформатировать входное сообщение таким образом, что ключевые поля будут выглядеть как правильные, а само сообщение будет неправильным.

>Кстати, называть «поделкой» продукт, который Вы и в руках то не держал

А вы мне дадите его подержать?
0
Размещать информацию на сайте до официального окончания процесса тестирования — не совсем корректно. Или Вы считаете иначе?

По поводу уверенности о результатах тестирования, это не к нам, а в лабораторию.

Ваши слова на тему 63-ФЗ, это еще одно доказательство того, что Вы абсолютно не разобрались в принципах работы SafeTouch, либо невнимательно прочитали закон. Итак, SafeTouch не является средством электронной подписи. Документ подписывается в смарт-карте, которая и является сертифицированным СКЗИ.

Кстати о сертификации — Если ПинПад является средством электронной подписи (особенно претендующей на квалифицированность), то он подлежит обязательной сертификации. Что-то я нигде упоминания о его сертифицированности не нашел. Может быть Вы нам ссылочку подкинете?

Описанная Вами потенциальная уязвимость убирается элементарно, стоит лишь настроить корректный парсинг документа на стороне сервера. В таком случае подмена полей ничего не даст.

Подержать — не вопрос. Контакты у нас на сайте есть.

0
>Размещать информацию на сайте до официального окончания >процесса тестирования — не совсем корректно. Или Вы считаете иначе?

Тогда писать «опять не правда» в данном контексте — совсем некорректно. Или Вы считаете иначе?

>Ваши слова на тему 63-ФЗ, это еще одно доказательство того, что Вы >абсолютно не разобрались в принципах работы SafeTouch, либо >невнимательно прочитали закон. Итак, SafeTouch не является >средством электронной подписи. Документ подписывается в смарт->карте, которая и является сертифицированным СКЗИ.

Как сертифицированное СКЗИ в виде смарт-карты отобразит сообщение для соответствия закону?

Отображать будет сначала программная часть, а потом еще раз какие-то куски будет отображать Safe Touch?

Это таким способом вы хотите сделать удобно пользователям?

>Описанная Вами потенциальная уязвимость убирается элементарно, >стоит лишь настроить корректный парсинг документа на стороне >сервера. В таком случае подмена полей ничего не даст.

То что вы предлагаете — это не устраняет уязвимости в общем случае. Да, сервер не примет. Но электронная подпись — аналог ручной и имеет юридическую силу. Можно наделать много неприятностей человеку, имея документ с его подписью, полученной обманным способом.
+1
Конечно не правда:) Вы ведь не знаете реальной ситуации, а пишете, что SafeTouch никто не проверял.

Мы решаем конкретную задачу: отображение ключевых полей платежного документа в замкнутой среде. Подмена любого из неконтролируемых полей не приведет к искомому для хакера результату — краже денег. Задача выполнена.

Кстати, Вы не ответили на вопрос о сертификации ПинПада. Я правильно понимаю, что Вам сказать нечего?

0
Реальная ситуация такова, что Safe Touch на данный момент никто не проверил. Слова о «3 месяцах и 2 лабораториях» не заменяют результатов проверки.

>Мы решаем конкретную задачу: отображение ключевых полей >платежного документа в замкнутой среде. Подмена любого из >неконтролируемых полей не приведет к искомому для хакера >результату — краже денег. Задача выполнена.

DenK, даже эту конкретную задачу в реальной прикладной системе можно не решить с помошью вашего девайса. Вы сами написали, что как минимум сервер придется определеннным образом доделывать/переделывать. А если при доделке чего не учтут?

Неполное отображение подписываемой информации — это, как минимум, почва для экпериментов для хакера.

По сертификации PINPad. Я думаю, вы представляете себе сроки сертификации в ФСБ?
+1
Реальная ситуация такова, что на рынке нет ни одного проверенного независимой лабораторией устройства. Мы хотя бы идем по этому пути. Как пройдем — расскажем.

Мы контролируем встраивание SafeTouch в системы ДБО российских (и не только) производителей. Соответствующие методики разработаны и доведены до программистов, так что не волнуйтесь, все будет ОК.

Ну так я к чему, если сами сертификата не получили пока, может не будете стращать нас знанием российского законодательства?:)

+1
Кстати о «подержать».
Если уж мы тут обмениваемся любезностями, может Вы нам тоже дадите подержать вашу поделку?
А то, насколько мне известно, компания, обладающая сверхопытом и всеми возможными сертификатами и лицензиями не очень далеко ушла от прототипа :)
0
Поправка: для того, чтобы подпись считалась квалифицированной, достаточно всего лишь, чтобы сертифицированная версия выдавала положительный результат проверки этой самой подписи.

С помощью чего ключ и сама подпись генерируется — никого не интересует.
0
Можно цитату из закона об электронной подписи, где это написано?
+1
Я тоже так думал, но меня переубедили, что этого недостаточо в общем случае. Несертифицированная программа может показать один документ, а отправить подписанным другой.
0
Например я могу подавать в инстанции отчетность подрписанную open ssl? Или мне надо покупать сертифицированную версию open ssl?
0
«Основной фишкой решения КриптоТуннель является то, что он работает без установки»
Угу. Появляется у пользователя, зашедшего на сайт, горним чудом.

Скажите, я правильно понимаю, что простое https соединение туда фиг завернешь без нарушения политики безопасности?
0
>«Основной фишкой решения КриптоТуннель является то, что он работает без установки»
>Угу. Появляется у пользователя, зашедшего на сайт, горним чудом.

Пользователю нужно скачать (или принести на флешке) и запустить программу. Это сильно отличается от «установить с правами администратораb и настроить». Посмотрите как просто это сделано на сайте Росимущества.

Без нарушения каких политик безопасности? Если браузерных, то с этим все хорошо.
0
«Пользователю нужно скачать (или принести на флешке) и запустить программу.»
Это лишнее действие, которое делать в общем случае не надо, и пользователь тут не при чем.

«Без нарушения каких политик безопасности? Если браузерных, то с этим все хорошо. „
А как? Типа, браузер примет сертификат, выданный сайту blah.blah.com, но отдаваемый 127.0.0.1:8080?
0
Браузер пользователя работает по HTTP.
sTunnel, получая запросы по HTTP, перенаправляет их на нужный сервер (указанный в его настройках) по TLS-соединению. Он тут работает как прокси.
Так что конечный браузер даже не знает, что его защищают
0
«Так что конечный браузер даже не знает, что его защищают»
Вот смотрит. У меня есть сайт blahblah.com. Я хочу, чтобы вся работа с ним была через https (стандартный, из любого места). Я покупаю сертификат, устанавливаю, все хорошо.

Теперь в _одном_ месте этого сайта мне нужна сертифицированная подпись. Как мне сделать так, чтобы и люди с криптотуннелем, и люди без него могли ходить по https-серверу (потому что так написано в инструкции пользователя, «проверьте, что https и иконка зелененькая»), но те, которые с криптотуннелем могли еще и подписывать?
0
Те, которые с КриптоТуннелем, будут ходить на страницу подписи, запустив КриптоТуннель, а остальные, зайдя на страницу подписи ничего не смогут подписать. Для этого сервер должен уметь на 443 порту TLS по ГОСТ и по RSA.
-1
«Те, которые с КриптоТуннелем, будут ходить на страницу подписи, запустив КриптоТуннель»
И как это сделать прозрачно для пользователя? Вот он ходит-ходит по сайту, и на одной из страниц — раз, и подпись. На сайт он зашел из поисковика.
0
«Раз и подпись» — это конечно круто:)
Самое простое решение — если юзер примел по RSA, вывалить ему страницу — запустите КриптоТуннель.
-1
Ну то есть, прощай прозрачность.

Надо запустить туннель, пойти по другой ссылке, потом вернуться обратно.

Оч-чень круто.
0
Просто запустить КриптоТуннель. А он сам пройдет по нужной ссылке. Эт конечно не супер прозрачно, но достаточно просто.
0
А вернуться как? Обратно в защищенное соединение?
0
перейти по абсолютной ссылке, которая будет на странице
0
Т.е., в развертываемый сайт надо еще и зашить его абсолютную ссылку?

(Кстати, я правильно понимаю, что в этот момент _браузер_ пользователя думает, что соединение не защищено?)

Собственно, вот это все и описывает мое мнение по поводу геморроя (в том числе — пользователя) при использовании (любого, у меня был интерпро) туннеля для подписи чего бы то ни было.
0
На станице подписи можно (если нужно) дать ссылку для перехода.

>(Кстати, я правильно понимаю, что в этот момент _браузер_ >пользователя думает, что соединение не защищено?)

Да.

>Собственно, вот это все и описывает мое мнение по поводу геморроя (в >том числе — пользователя) при использовании (любого, у меня был >интерпро) туннеля для подписи чего бы то ни было.

lair, у каждого решения для эцп и TLS по ГОСТам есть свои достоинтсва, недостатки. КриптоТуннель в этом ряду — не исключение.
0
Это просто к тому, что все не так тривиально как «положите на флешку и запускайте» и «никаких проблем с безопасностью».
+1
Если вам в банке выдали флешку или рутокен flash с КриптоТуннелем, ключом и сертификатом и сказали — для захода в интернет-банк запустите КриптоТуннель, то это реально тривиально.

В других случаях — да — немного непрозрачно.
0
В этом случае было бы круто, если бы мне в банке выдали готовое приложение со словами «для входа в удаленный банкинг запустите его».
0
Если вам выдадут КриптоТуннель и вы его запустите, то остальное все он см сделает — Найдет браузер, который вы сделали умолчательным и запустит его таким образом, что вы попадете в интернет-банк через туннель. Чем это отличается от готового приложения?

Как вариант можно взять Mozilla FireFox Portable Edition, положить его рядом с КриптоТуннелем и указать КриптоТуннелю запускать именно его. Чего мы этим добъемся — непонятно.
0
Тем, что это требует наличия у меня на компьютере браузера, совместимого с сайтом, как минимум.

Но на самом деле, большее здесь зло — иллюзия «интернет-банкинга», который на самом деле не интернет, а пропьетарный.
0
На мой взгляд, не браузер должен быть совместимым с сайтом, а сайт с браузером. То есть сайт должен тестироваться в различных браузерах.

А интернет-банк обычно стоит денег сам по себе. А то что вам предложат сертифицированное средство защиты — это скорее плюс.
0
«А интернет-банк обычно стоит денег сам по себе. А то что вам предложат сертифицированное средство защиты — это скорее плюс. „
Я ни разу не видел, чтобы это так работало.

В реальности либо работа с ЭЦП по ГОСТу, и тогда всякий нелепый софт, либо нормальный интернет-банк без ЭЦП.

Я очень редко вижу места, где ЭЦП по ГОСТУ была бы добровольной, и при этом кто-то продолжал бы ее применять.
0
Если вам в банке выдали флешку или рутокен flash с КриптоТуннелем, ключом и сертификатом и сказали — для захода в интернет-банк запустите КриптоТуннель, то это реально тривиально.

В других случаях — да — немного непрозрачно.
0
Решение «доверенный/недоверенный сайт» принимает КриптоТуннель на основе корневых сертификатов, которым он доверяет. Для браузера все прозрачно.
0
Если соединение защищено ГОСТАми, то не может, так как по умолчанию в ОС нет ГОСТов. А если RSA, то может.
0
Решение «доверенный/недоверенный сайт» принимает КриптоТуннель на основе корневых сертификатов, которым он доверяет. Для браузера все прозрачно.
0
При использовании sTunnel есть ложка дегтя, о которой Вы не рассказали.

Дело в том, что эта программа самостоятельно открывает TLS-соединение с нужным сервером. При широкой распространенности этого решения неизбежно возникают ситуации, когда корпоративная сетевая политика предписывает работать нестандартными способами (прокси, VPN, ограничения портов, веб-фильтры и т. д.). И часто возникают ситуации, когда sTunnel просто не работает.

По этой причине очень ограниченно используются похожие продукты. Например, InterPro от Сигнал-Ком.
0
sTunnel умеет работать через прокси. C VPN тоже не должно возникнуть проблем, так как VPN обычно работает на сетевом уровне или ниже, а sTunnel на транспортном. Ограничения портов нет, так как sTunnel реализует TLS/SSL на том же стандартном 443 порту. Там проблема в другом — в абсолютных URL-ах. Но и ее можно обойти, если правильно сделать сайт.
0
Если честно очень смутно понял как это работает, а в Linux оно будет работать?
0
Вообще говоря решение не завязано на специфику платформы. sTunnel имеется по linux, mac, винду.
0
Хм… сейчас проверил в репозитариях конечно есть, но по умолчанию не стоит(ubuntu\debian).
0
Значит на Linux все не так круто, как я думал:) Возможно разработчики и доведут до такого же состояния, как на виндах.
0
Конечно установить не проблема, просто очень не хватает реально подписи которую можно было бы очень быстро использовать без лишнего гемороя. В реальность хотелось бы возможность подписания тех же счет фактур полностью в электроном виде, но тут насколько я понимаю как раз не хватает законодательных норм!
0
>Конечно установить не проблема, просто очень не хватает реально подписи которую можно >было бы очень быстро использовать без лишнего гемороя

На виндах КриптоТуннель должен вас удовлетворить:)

> В реальность хотелось бы возможность подписания тех же счет фактур полностью в >электроном виде, но тут насколько я понимаю как раз не хватает законодательных норм!

Если я правильно ошибаюсь, недавно были эти нормы определены. Скоро какой-нибудь Контур наверно сделает сервис.
0
Сколько не читал эти законопроекты так не описывается такая возможность! Так как получается документы должны быть доступны проверяющим органам и гарантированно хранится до 10 лет!
0
В нашем сервисе по сдаче электронных отчетов онлайн мы используем html5 (file-api для приема drag'n'drop файлов ключа и сертификата) + java апплет (осуществляет все необходимые криптопреобразования). Все отлично работает в любом современном браузере. Могло бы даже работать, например, в Android'е, если реализовать скидывание файлов не через перетаскивание.
0
Это актуально только для Украины. Если что, сайт есть в моем профиле, но все страницы, работающие с ЭЦП, спрятаны за регистрацию. Посмотреть пример можно после регистрации в разделе «Настройки» личного кабинета
0
У вас там как с законодательством по эцп? Проще дела обстоят?
0
Не знаю, как в России, поэтому сложно сравнить. С технической стороны или юридической? Техническую сторону мы, очевидно, решили. С юридической стороны все требования законодательства соблюдены
0
В посте речь идет о квалифицированной подписи, вряд ли ее можно реализовать на OpenPGP
0
Это почему еще нельзя? Банк будет подписывать ключи клиентов, тем самым создавая сеть доверия. Думаю что в любой софтине, можно настроить, что бы без 2-3 достоверных подписей ни чего не заводилось.
Банк может собрать свою версию утилиты (той же GnuPG) в которую будут включены все необходимые подписи. При этом должна быть возможность пользоваться чем нравится, т.е. необходимые ключи выложить в публичный доступ. Подпись осуществляется только в отделениях банка.
0
Долго судорожно пытался понять про плагины ко всем браузерам в свете браузеров в айфоне и N9.
+1
В пост приглашаются представители компании «Ридус». Для ответа на вопрос «доколе ваше ПО будет работать исключительно на windows + IE, когда тут уже таких вещей наизобретали?»
А вообще, мне кажется, что можно сделать следующим образом. На эту флэшку, что содержит в себе рутокен и криптотуннель, запаковать еще и браузер, уже настроенный для использования. Три браузера, для трех платформ. В результате получится совершенно готовый к употреблению продукт, которым воспользуется любой, самый далекий от IT, бухгалтер.
Нет, правда. Держать в сети терминальный сервер (и платить за лицензии) только для того, чтобы в нем работал клиент-банк и СБИС++ – как то неправильно, вы не находите?
+1
>А вообще, мне кажется, что можно сделать следующим образом. На эту флэшку, что содержит в себе рутокен и >криптотуннель, запаковать еще и браузер, уже настроенный для использования. Три браузера, для трех >платформ. В результате получится совершенно готовый к употреблению продукт, которым воспользуется >любой, самый далекий от IT, бухгалтер.

Это уже сделано. Товарищи добавили ГОСТы в Mozilla FireFox Portable Edition и интегрировали с Рутокен ЭЦП Flash (аппаратная подпись). Втыкаете Рутокен, запускаете с него браузер.

www.lissi-crypto.ru/about/news/2011/09/26/
+1
>А вообще, мне кажется, что можно сделать следующим образом. На эту флэшку, что содержит в себе рутокен и >криптотуннель, запаковать еще и браузер, уже настроенный для использования. Три браузера, для трех >платформ. В результате получится совершенно готовый к употреблению продукт, которым воспользуется >любой, самый далекий от IT, бухгалтер.

Это уже сделано. Товарищи добавили ГОСТы в Mozilla FireFox Portable Edition и интегрировали с Рутокен ЭЦП Flash (аппаратная подпись). Втыкаете Рутокен, запускаете с него браузер.

www.lissi-crypto.ru/about/news/2011/09/26/
0
А нельзя на эту флешку еще дисплей и клавиатура добавить :)

Зачем выдумывать если все давно придумано, есть же дигипас. Нарисуйте такой же по госту, выпускать можно на микроне. И можно больше не выносить людям мозг.
0
>А нельзя на эту флешку еще дисплей и клавиатура добавить :)

Уже добавили pinpad.rutoken.ru/ :)

Не совсем понятно, как дигипас обеспечит юридическую значимость согласно законодательству РФ

0
Дигипас не обеспечит, кто мешает сделать аналог с генератором подписи
0
Java — это не костыль?:)

Технически возможность подписывать через кроссплатформенный/мультибраузерный java-апплет с помощью сертифицированного токена (Рутокен ЭЦП) по ГОСТам у нас тоже есть habrahabr.ru/blogs/infosecurity/134890/
0
Любая фигня, котороя просит установки чего-либо на ОС клиента — это костыль.
0
Я посмотрел вашу ссылку www.eparaksts.lv/ru/,
мне предложили для подписи документа с помощью смарт-карты установить java
0
Подпись с помощью смарт-карты — эта первая версия е-подписи, образца 1999 года. Оставлено для совместимости. Сейчас все подписывается через броузер, сертификаты лежат в их облаке. Подписываю с макбука без java постоянно.
0
Подпись с помощью смарт-карты — эта первая версия е-подписи, образца 1999 года. Оставлено для совместимости. Сейчас все подписывается через броузер, сертификаты лежат в их облаке. Подписываю с макбука без java постоянно.
0
А каков механизм аутентификации в облаке для доступа к ключу/сертификату?
0
Существует два уровня авторизации. Первый через интернет-банк. В моем случае это digipass. После первой авторизации и создания аккаунта, надо было явится на очную ставку в библиотеку, что-бы аккаунт сверили с твоим паспортом. После авторизации через интернет банк, для подписания документа необходимо так же ввести уникальный пин-код.
0
Не было случаев взлома аккаунта и подписи от имени другого человека? Все-таки аутентификация не строгая.
0
Нет, не было. Если бы были — система была бы другая.
По моему — двухуровневая авторизация — от разных провайдеров — вполне достаточная защита. Да и если — кто-то сломает мой интернет банк — будет ли он еще и с подписью заморачиваться.
0
Боевые ключи и сертификаты, в большинстве случаев, люди получают в УЦ (организации). Поэтому на момент использования плагина этот сертификат на токене уже есть и его не надо получать в тестовом центре.

Но даже в тестовом УЦ можно получить сертификат не через IE www.cryptopro.ru/certsrv/certrqxt.asp
0
Запуск приложения КриптоТуннеля, например, с флешки — это не установка с правами сисадмина. Не происходит изменения файлов, реестра ОС.
Только полноправные пользователи могут оставлять комментарии.  , пожалуйста.