Вы сказали, что мы жульничаем и все операции делает крипто-про. Я спросил сможете ли сделать это «просто установив крипто-про». Далее понятно… Вы выборочно читаете что я пишу.
Я уже решил не отвечать, но смотрю как мой ответ минусуют, думаю все-так задам вопрос:
Просто установив Крипто-Про
Не только пробовал, но и делал.
Расскажите, как просто установив Крипто-Про Вы создали ключи, подписали файл, то есть то, что указано в данной статье. Только прошу не говорить, что Вы сделали это с помощью другого приложения. Вы ответили на мой вопрос, что делали это на голом крипто-про.
Подписывает. Как и машина Киа и машина Хендэ довезут вас до точки А от точки Б. Непонятно, мы описываем один возможных вариантов. Или если есть криптоарм всем остальным нужно благоговейно молчать? Или где-то в статье мы претендовали на исключительность, как президент Обама?
А Вы без нашей программы попробуйте -) честный Вы наш. Просто установив Крипто-Про. Крипто-Про работает только как криптопровайдер, каждый вендор встраивает его в свое решение. Если бы наша программа работала с ключами, то есть генерировала их на токенах и мы бы выдавали это за «сертифицированный криптопровайдер» это было бы жульничество. То есть, наша программа позволяет использовать функции Крипто-Про по хранению ключей на токенах. Так пойдет?
Это уже обсуждалось нами неоднократно. Хотел бы я увидеть фирму где доступа к ключам или зашифрованным данным нет у руководителей ни через админа ни через СБ.
Кроме того, в следующей части где мы будем обсуждать токены как раз реализован принцип где админ создает ключи сразу и только на токене и поэтому не имеет к ним физического доступа.
Все регулируется внутренними документами. Если админ злоумышленник, то… особой сложности получить доступ даже если развернуто AD CA и выдача идет через генерирование CR у клиента нет.
Ставить софт надо не только на Windows, но и на MAC, linux, IOS. Да и Windows бывает домашняя…
Да. На рынке нет нормальных решений по автоматизации шифрования почты. Все только плагины туда или сюда. Поэтому мы приняли решение не изобретать велосипед, а дать возможность создать сертификат и настроить любой почтовый клиент под него. Но вообще статья не об этом :-) А про ЭЦП файлов. При этом используется только КиберСейф и без него соответственно на другом ПК ни проверить подпись ни расшифровать нельзя.
Стоит отметить, что настоящая версия CyberSafe не является полноценной корпоративной версией, поскольку на данный момент пока нет централизованной выдачи и распределения ключей. Поэтому в этой версии администратор шифрования может сам формировать ключи и сертификаты и записывать пользователям на токены (будут рассмотрены во второй части статьи). Полноценная корпоративная версия ожидается к середине 2015 года.
Есть бесшовная интеграция вашей ЭП с Outlook/Exchange
Да, понятен ваш вопрос. В общем, принцип такой. Файл cybersafe.cloud.conf включает в себя:
— цифровой конверт — содержит n-е количество копий симметричного ключа, при помощи которого зашифрованы файлы в папке; каждая из копий зашифрована открытыми ключами n допущенных пользователей. Подробнее об этом здесь: habrahabr.ru/company/cybersafe/blog/211012/
— служебная информация киберсейф в незашифрованном виде.
После того, как пользователь добавляет папку в киберсейф у себя на пк информация из cybersafe.cloud.conf записывается к нему в ADS.
Далее. Про ключ админа я вам не совсем корректно ответил — изменить служебную информацию по большому счету можно. Но что это даст? Даже если там и написать, что к зашифрованным файлам допущены другие пользователи и админом также является другой — это приведет лишь к тому, что файлы открыть не сможет никто — ни ранее допущенные пользователи, ни те, которые якобы допущены теперь, так как для шифрования файлов их открытые ключи на самом деле не использовались.
Это создаст путаницу — все, в том числе настоящий админ, увидят новый список сертификатов и подмена сразу будет обнаружена. Но все файлы останутся зашифрованными.
В следующей статье напишем об этом более детально со всеми техническими подробностями.
Спасибо вам за интересный вопрос, надеюсь, что сейчас ответил на него.
В статье ведь обо всем не напишешь, а комментарии, наверное, как раз для деталей и предусмотрены.
Поддержку разностной синхронизации не тестировали еще. Про распространение ключей шифрования было написано и в видео об этом говорится — они содержатся в файле cybersafe.cloud.conf, который после синхронизации попадает в аккаунты пользователей на сервере, а оттуда, после добавления папки в CyberSafe, вся информация из него записывается в ADS на ПК.
Про смену ключей шифрования также написано вроде: «В дальнейшем администратор безопасности всегда может переназначить ключи, удалив какого-либо пользователя из группы либо добавить ключ нового» — все изменения обновляются в cybersafe.cloud.conf. В видео это показано более наглядно.
Однако думаю что ваша правда тоже есть — про технические детали. В дальнейшем учтем это, благодарю за комментарий.
Внести изменения в файл cybersafe.cloud.conf можно только расшифровав его при помощи закрытого ключа админа. Если файл будет поврежден, заменен на другой или полностью удален с сервера — да, пользователи временно не смогут получить доступ к папке — до тех пор, пока админ снова его не восстановит.
Однако к утечке данных это не приведет, поскольку расшифровать файлы в папке по-прежнему может лишь та группа пользователей, которую изначально определил админ при помощи своих закрытых ключей и никто другой.
А хостера, в таком случае, наверное, придется сменить)
Считаете, это не правильно что мы в своем блоге рассказали о возможностях нашей программы и как с ней работать? -)
Файлы шифруются драйвером на библиотеке Crypto++. Алгоритм AES-256. Ключи на OpenSSL — RSA. Обмен данными зависит от клиент-сервера, но в данном случае это не имеет большого значения, т.к. файлы туда уже зашифрованными отправляются.
CVE один из путей. Другой — репутация. Можно сколько угодно подозревать соседа в связях с соседкой, но только доказанный факт может изменить репутацию. В данном случае нет ни ОДНОГО известного мне случая проблем с российской криптографией, практических. А вот насчет западной — сколько угодно. Конкретно, продукт Крипто-Про используется в десятках тысяч предприятий, государственного, военного, гражданского, банковского, коммерческого сектора. На протяжении более 20 лет. Это называется репутация.
наша криптография для внутреннего пользования
Я имел ввиду наша — российская.
Но Вы правы. Насчет CyberSafe. И благодарны, примем на вооружение и действительно нужно выходить на CVE.
Соглашусь. Но наша криптография для внутреннего пользования. Как у евреев для своего. Непонятно почему столько нападок на нашу? Вы читали статью? Там говорится о Крипто-Про. Сертифицированная криптография отличается от математического ГОСТА закрытыми технологиями, с грифами. Я говорю, потому что мы этим занимаемся. Именно поэтому и судить о ней (технологии) и ее слабостях могут люди ее внедрявшие. А таковых в этой ветке нет, это факт.
Вы сказали, что мы жульничаем и все операции делает крипто-про. Я спросил сможете ли сделать это «просто установив крипто-про». Далее понятно… Вы выборочно читаете что я пишу.
Расскажите, как просто установив Крипто-Про Вы создали ключи, подписали файл, то есть то, что указано в данной статье. Только прошу не говорить, что Вы сделали это с помощью другого приложения. Вы ответили на мой вопрос, что делали это на голом крипто-про.
Кроме того, в следующей части где мы будем обсуждать токены как раз реализован принцип где админ создает ключи сразу и только на токене и поэтому не имеет к ним физического доступа.
Все регулируется внутренними документами. Если админ злоумышленник, то… особой сложности получить доступ даже если развернуто AD CA и выдача идет через генерирование CR у клиента нет.
Это непонятно к чему.
Да.
Есть. habrahabr.ru/company/cybersafe/blog/209642/
— цифровой конверт — содержит n-е количество копий симметричного ключа, при помощи которого зашифрованы файлы в папке; каждая из копий зашифрована открытыми ключами n допущенных пользователей. Подробнее об этом здесь: habrahabr.ru/company/cybersafe/blog/211012/
— служебная информация киберсейф в незашифрованном виде.
После того, как пользователь добавляет папку в киберсейф у себя на пк информация из cybersafe.cloud.conf записывается к нему в ADS.
Далее. Про ключ админа я вам не совсем корректно ответил — изменить служебную информацию по большому счету можно. Но что это даст? Даже если там и написать, что к зашифрованным файлам допущены другие пользователи и админом также является другой — это приведет лишь к тому, что файлы открыть не сможет никто — ни ранее допущенные пользователи, ни те, которые якобы допущены теперь, так как для шифрования файлов их открытые ключи на самом деле не использовались.
Это создаст путаницу — все, в том числе настоящий админ, увидят новый список сертификатов и подмена сразу будет обнаружена. Но все файлы останутся зашифрованными.
В следующей статье напишем об этом более детально со всеми техническими подробностями.
Спасибо вам за интересный вопрос, надеюсь, что сейчас ответил на него.
Поддержку разностной синхронизации не тестировали еще. Про распространение ключей шифрования было написано и в видео об этом говорится — они содержатся в файле cybersafe.cloud.conf, который после синхронизации попадает в аккаунты пользователей на сервере, а оттуда, после добавления папки в CyberSafe, вся информация из него записывается в ADS на ПК.
Про смену ключей шифрования также написано вроде: «В дальнейшем администратор безопасности всегда может переназначить ключи, удалив какого-либо пользователя из группы либо добавить ключ нового» — все изменения обновляются в cybersafe.cloud.conf. В видео это показано более наглядно.
Однако думаю что ваша правда тоже есть — про технические детали. В дальнейшем учтем это, благодарю за комментарий.
Однако к утечке данных это не приведет, поскольку расшифровать файлы в папке по-прежнему может лишь та группа пользователей, которую изначально определил админ при помощи своих закрытых ключей и никто другой.
А хостера, в таком случае, наверное, придется сменить)
Файлы шифруются драйвером на библиотеке Crypto++. Алгоритм AES-256. Ключи на OpenSSL — RSA. Обмен данными зависит от клиент-сервера, но в данном случае это не имеет большого значения, т.к. файлы туда уже зашифрованными отправляются.
Я имел ввиду наша — российская.
Но Вы правы. Насчет CyberSafe. И благодарны, примем на вооружение и действительно нужно выходить на CVE.