Отправлено: 11.02.10 22:06. Заголовок: ЭЦП на флешке

Господа. На одном из форумов я уже обсуждал этот вопрос. Поделитесь и Вы опытом - если нет возможности использовать дискеты - как вы рекомендуете Клиенту генерировать ключи на флешку (ну или на другой носитель)?
Расскажу сначала сам:
Клиент создает на флешке 3 каталога (для случая с ЭЦП бухгалтера) - adm, dir, buh. Генерирует соответствующий ключ, копирует его в нужный каталог и т.д. Дальше делает три bat-файла с таким вот содержанием:
"xcopy /y f:\dir\*.* f:"
и выносит их в панель быстрого запуска или в меню ПУСК (чтобы всегда под рукой были). Таким образом, Клиент щелкая поочередно по этим файлам грузит в корень флешки нужную в данный момент ЭЦП.

Расскажите как делаете Вы - может быть у Вас более удобные способы есть?

 Отправлено: 12.02.10 02:31. Заголовок: Тут, практически, сл..

Тут, практически, сложно что-либо советовать, чтобы не "наступить" на инструкцию 1331-р.
Вопрос с ЭЦП вплотную связан с финансами клиента и любые телодвижения могут вернуться бумерангом техподдержке.

 Отправлено: 12.02.10 10:56. Заголовок: 1) Флэшка через мене..

1) Флэшка через менеджер устройств делается как диск B
2) Создаются два батника "ruk" и "buh" в каталоге c:\SBRF\ClientSB
3) Заходим под оператором в программу и жмем Файл-Программы-Создать. Создаем два поля "ЭЦП руководителя" и "ЭЦП бухгалтера".
Содержимое батников:
copy b:\sbrf\buh b:\*.* /y
copy b:\sbrf\ruk b:\*.* /y

Если ЭЦП одна а фирм много по каждой фирме создается батник который собственно и запускается вместо программы
copy b:\sbrf\название фирмы\ruk b:\*.* /y
wclnt.exe

 Отправлено: 12.02.10 12:53. Заголовок: ЭЦП на 1-ой флешке

проблемы начинаются через год... когда клиенты будут выполнять замену ЭЦП.

 Отправлено: 12.02.10 13:51. Заголовок: @zh пишет: проблемы..

@zh пишет:

цитата:

проблемы начинаются через год... когда клиенты будут выполнять замену ЭЦП.

согласна!
lokkii пишет:

цитата:

1) Флэшка через менеджер устройств делается как диск B 2) Создаются два батника "ruk" и "buh" в каталоге c:\SBRF\ClientSB 3) Заходим под оператором в программу и жмем Файл-Программы-Создать. Создаем два поля "ЭЦП руководителя" и "ЭЦП бухгалтера". Содержимое батников: copy b:\sbrf\buh b:\*.* /y copy b:\sbrf\ruk b:\*.* /y Если ЭЦП одна а фирм много по каждой фирме создается батник который собственно и запускается вместо программы copy b:\sbrf\название фирмы\ruk b:\*.* /y wclnt.exe

все эти действия нарушения безопасности при использовании средств защиты инфрмации, а именно ЭЦП...
Когда у клиента сольют денежные знаки с его расчетного счета неизвестно каким злоумышленником, которому в руки попала флэшка со всеми подписями, обвинят возможно сотрудников банка,которые посоветовали,а возможно и поучаствовали в данном процессе...Искать будут козлов отпущения

ну это так, к слову...лирика...тьфу-тьфу

 Отправлено: 12.02.10 14:16. Заголовок: рекомендация: отдель..

рекомендация: отдельный носитель для каждой ЭЦП... а дальше пусть Клиент сам решает как ему удобнее и лучше...

 Отправлено: 12.02.10 14:22. Заголовок: pusska пишет: @zh п..

pusska пишет:

цитата:

@zh пишет: цитата: проблемы начинаются через год... когда клиенты будут выполнять замену ЭЦП. согласна!

Точно-точно. Плавали - знаем. Мне клиентских двухсот рублей не жалко - пусть купит себе вторую флешку.

 Отправлено: 12.02.10 16:45. Заголовок: Mike666 Согласен на..

Mike666
Согласен на все 100 (сто).

 Отправлено: 13.02.10 23:59. Заголовок: Спорно-спорно но каж..

Спорно-спорно но каждому своё :)

 Отправлено: 14.02.10 06:13. Заголовок: lokkii пишет: Спорн..

lokkii пишет:

цитата:

Спорно-спорно но каждому своё :)

я тоже сталкиваюсь с технологией хранения всех подписей на флешке. Потом, когда они звонят и спрашивают как заменить ЭЦП начинается самое интересное. В итоге все равно позаменяют эти файлы так, что потом найти невозможно куда же у них делись подписи. Так что на одном носителе хранить все ЭЦП не вариант.

 Отправлено: 16.02.10 14:45. Заголовок: Ну самый простой вар..

Ну самый простой вариант конечно три флэшки на фирму - админа, бухгалтера и директора.
Что делать клиенту у которого 40 банк клиентов? xD
Так то да я как-то видел клиента которому проще на флэшках хранить. Это выглядело как огромная буханка-связка этих флэшек по 1гб разномастных цветов и сортов. Смотрится забавно но юзабельность нулевая.

В чем ошибка принципиальная хранить в таком порядке?
x:\sbrf\имярекфирмы\ruk
x:\sbrf\имярекфирмы\buh
x:\sbrf\имярекфирмы\adm
?

Усложняем вариант, добавляются папочки:
x:\sbrf\имярекфирмы\ruk new
x:\sbrf\имярекфирмы\buh new
x:\sbrf\имярекфирмы\adm new

А если честно между нами - как все уже надоело. Особенно как решеют в других банках - там выскакивает "хотете продлить ЭЦП?" жамкаешь йЕс, тебе вываливается с принтера бумажка, подписываешь и несешь в банк. Всё. Жалобы клиентов уже устал выслушивать их становится все больеш иб ольше качество падает как связи таак и всего остального.

 Отправлено: 16.02.10 17:55. Заголовок: lokkii пишет: А есл..

lokkii пишет:

цитата:

А если честно между нами - как все уже надоело. Особенно как решеют в других банках - там выскакивает "хотете продлить ЭЦП?" жамкаешь йЕс, тебе вываливается с принтера бумажка, подписываешь и несешь в банк. Всё.

это наше будущее - СПЭД!
Там именно так все и происходит..
Не могу сказать про СПЭД-IBSO, но в СПЭД-город ключи лежат локально в рабочей папке и не нужно никаких носителей...

 Отправлено: 16.02.10 19:01. Заголовок: pusska пишет: но в ..

pusska пишет:

цитата:

но в СПЭД-город ключи лежат локально в рабочей папке и не нужно никаких носителей...

Имел "счастье" устанавливать сие изделие , но ключи я им скинул в локальную папку на флэшку.
И при установке пришлось исполнить танец бразильских индейцев "Алдейас". Требовались некоторые прибамбасы от Microsoft.

Но... в общем, соображения есть. Но, ессно, на свой страх и риск. С HP USB Disk Storage Format Tool я ещё покопаюсь, есть предположение, что с помощью его можно кучу FDD-шных разделов наделать, а в реале есть руссифицированная Virtual Fdd. Создаёт два флоппика, буквы указываются в bat-нике, ну и сама флэха - это третий носитель. Попробую выпросить для неё GUI-оболочку, чтобы любой бабульке понятно было.

 Отправлено: 17.02.10 00:08. Заголовок: Вах-вах ну зачем каж..

Вах-вах ну зачем каждй раз велосипед придумывать.
Virtual Floppy Drive (VFD) спасет отца русской демократии. Поддерживает работы с командной строки кстати.

 Отправлено: 17.02.10 04:38. Заголовок: lokkii пишет: спасе..

lokkii пишет:

цитата:

спасет отца русской демократии

Не-а, не спасёт. Я про него и говорю. Но! Он устанавливает драйвер виртуального устройства vfd.sys, а для этого нужны права администратора системы, как минимум. При попытке запустить программулину на Windows Vista SP2 (сам плюнул на эту ОС ещё при появлении SP1) столкнулся с непонятным поведением - отрабатывает... и пипец... Отключаю, соглашается, подписи растаскивает по папкам, а при повторном запуске создаёт оба "вирта" и выдаёт "Файл не найден". Виртуальные дисководы пустые. Перегрузил. Запустил. Сработало. Выгружаю - всё прекрасно. Запускаю вновь - те же "грабли". Но так как девчонка сидит в отдельном кабинете, кабинет закрывается на ключ, директор находится в здании за два квартала, а админ - за 400 вёрст, то вкрадце объяснил как пользоваться ключом от кабинета, когда куда-нибудь выходит.
Так что "не всё безоблачно в подлунном мире".

 Отправлено: 12.04.10 17:55. Заголовок: Представте .... 2003..

Представте .... 2003 терминальный сервер

Хранение всех ключей на 1 флэшке - это актуально!

Всего-то, нужно добавить настройки для админа в параметрах. (может в 13 версии? )
Для ключей с 1 подписью строку со вводом папки(ок) [имярекфирмы\ruk]
Для ключей со 2-ой подписью строку со вводом папки(ок) [имярекфирмы\buh]
Для админа [имярекфирмы\adm]
В итоге, при подписании, будем иметь, выбор пользователем носителя x:\ + настройки из параметров
x:\имярекфирмы\ruk
x:\имярекфирмы\buh
x:\имярекфирмы\adm

Если это клиенту не нужно, администратор не будет активировать такую структуру чтения ЭЦП

ЗЫ Вариант с содержимым батников и copy не совсем хорош, ибо в сессиях, в которых работают бухгалтера, возникает момент, когда бух работала с СБ минут 20, хотела подписать, а нет, другой бухгалтер её "опередил" и перенёс уже свои ключи в корень

 Отправлено: 12.04.10 18:30. Заголовок: а мы купили 24 флехи..

а мы купили 24 флехи и ни жужжжим

 Отправлено: 12.04.10 19:36. Заголовок: это 4 usb хаба 7 пор..

это 4 usb хаба 7 портового в сервер... лучше же 1 флэшка, до сервера и так не доберешься)
а выбор брелков как происходит при соединение через АМИКОН ? Бухгалтер знает нужный ей серийный номер из 24 приведенных?

 Отправлено: 12.04.10 21:58. Заголовок: Есть еще вариант - р..

Есть еще вариант - разбиение флэхи на разделы, при этом винда и КБ видит разделы как разные диски. Столкнулся с необходимостью разбиения флэхи на разделы не из-за клиент-банка, а просто нужен был загрузочный раздел и раздел для данных. Сам разбивал свою A-Data PD2 16Gb (VID_1307&PID_0165) на два раздела: загрузочный раздел (NTFS) и для данных (FAT32). Думаю можно и на три раздела разбить (сам не пробовал). Бьется спец утилитами, н-р, FORMAT_v3060A.EXE или Acronis Disk Director Suite v10.0.2161...и т.п. Одна флэха с разделами - лучше чем три флэшки!

 Отправлено: 12.04.10 23:42. Заголовок: logdog пишет: это 4..

logdog пишет:

цитата:

это 4 usb хаба 7 портового в сервер... лучше же 1 флэшка, до сервера и так не доберешься)

у нас все проще 4 буха и у каждого свой комп и свое рабочее место - какую надо флеху = такую и втыкают в свой комп

 Отправлено: 13.04.10 21:42. Заголовок: А что, я один подпис..

А что, я один подписи на CD-R балванки записывал ? :D

 Отправлено: 14.04.10 12:08. Заголовок: U1tra пишет: А что,..

U1tra пишет:

цитата:

А что, я один подписи на CD-R балванки записывал ? :D

вот блин. мне такая идея и в голову не пришла. а ведь так просто. сердито и дешево.

 Отправлено: 14.04.10 12:43. Заголовок: U1tra пишет: А что..

U1tra пишет:

цитата:

А что, я один подписи на CD-R балванки записывал ? :D

В какой версии КБ видин CD-rom как носитель?

 Отправлено: 14.04.10 14:09. Заголовок: Дык уже и не упомнит..

Дык уже и не упомнить. С 07.006.01 вроде.

 Отправлено: 14.04.10 17:00. Заголовок: Mike666 пишет: С 07..

Mike666 пишет:

цитата:

С 07.006.01 вроде.

вроде с 5, но только ЭЦП, а вот с какой ГК не помню...

 Отправлено: 22.04.10 13:05. Заголовок: Можно bat-ник сделат..

Можно bat-ник сделать с командой subst, который подрубает виртуальный диск, а потом запускает К-Б. На флешке делаете папки с подписями, какие Вам надо.
примерно так
subst X: F:\dir\ - Создаем виртуальный диск X
c:\clientsb\wclnt.exe - Запускаем К-Б
subst X: /d - После закрытия К-Б отключаем виртуальный диск

 Отправлено: 22.04.10 17:29. Заголовок: Не проверял, но пред..

Не проверял, но предыдущие версии К-Б очень чётко различали Subst и на неё не покупались.

 Отправлено: 22.04.10 17:44. Заголовок: Mike666 Давно не про..

Mike666
Давно не проверял, но на 7.3, 7.4 SUBST прокатывал. Главное - чтобы виртуальный диск создавался на съёмном носителе.
А на жёстком диске, естессно - не сработает

 Отправлено: 29.04.10 15:03. Заголовок: Извиняюсь, что влеза..

Извиняюсь, что влезаю в эту умную беседу, но может быть кто-нибудь доведет до сведения разработчиков, что на улице 2010 год. Держать подписи на дискетках/флешках это даже не позавчерашний день, тем более, что надежность сохранности оставляет желать лучшего. Существуют специальные средства для хранения закрытых контейнеров типа etoken|rutoken. Существуют нормально разработанные и сертифицированные средства крипто-защиты (Крипто-Про как пример). Связки получаются всегда работающими, с минимальными затратами морально/временных ресурсов. А главное - всегда все работает.

p.s.
Столкнулся с проблемой, ФПСУ клиент блокирует доступ к ТМ считывателю (RS232|USB), что делать - ума не приложу.

 Отправлено: 29.04.10 15:48. Заголовок: Larden пишет: p.s. ..

Larden пишет:

цитата:

p.s. Столкнулся с проблемой, ФПСУ клиент блокирует доступ к ТМ считывателю (RS232|USB), что делать - ума не приложу.

какая версия амикона????

что-то писалось на форуме по этому поводу, но это было слишком давно...
на сайте amicon.ru задавали подобный вопрос?

 Отправлено: 29.04.10 17:43. Заголовок: Larden пишет: Столк..

Larden пишет:

цитата:

Столкнулся с проблемой, ФПСУ клиент блокирует доступ к ТМ считывателю (RS232|USB), что делать - ума не приложу.

Поставить версию Амикона 4.1, но не ставить менеджер ключей. По умолчанию он,кстати, и не ставиться.
Если выйдет сообщение, что менеджер ключей установлен и может быть удален, согласиться с удалением.

 Отправлено: 29.04.10 20:16. Заголовок: Larden пишет: Держа..

Larden пишет:

цитата:

Держать подписи на дискетках/флешках это даже не позавчерашний день

Да уж бывает как то не по себе, когда начинаешь объяснять клиенту про дискеты, флэхи, да еще чтобы активировать ЭЦП Админа надо тыркнуть туда то (если флэха).
Многие, у кого есть счет в другом банке и использующие токены, так и говорят мол... ну ребят, вроде солидный банк а до сих пор с дискетами играетесь

 Отправлено: 29.04.10 21:46. Заголовок: ser43 пишет: ну реб..

ser43 пишет:

цитата:

ну ребят, вроде солидный банк а до сих пор с дискетами играетесь

Ну так ведь у нас же есть возможность использовать ТМ, чем не дань "солидности"? :) Вопрос только в оплате, сколько там у нас по тарифам за одну таблетку и ТМ-считыватель с клиента берут?

 Отправлено: 29.04.10 21:52. Заголовок: Zarin пишет: скольк..

Zarin пишет:

цитата:

сколько там у нас по тарифам за одну таблетку и ТМ-считыватель с клиента берут?

Я уже озвучивал как то. Хотя не сложно. Некоторые уже ощутили прелести таких устройств, кстати сами поинтересовались - а нет ли у вас чего нибудь этакого. Но все равно не то - надо каждый раз прикладывать нужную таблетку, да и с ноутом к примеру неудобственно.

 Отправлено: 30.04.10 06:47. Заголовок: Да версия Амикон 4.1..

Да версия Амикон 4.1 помогла отчасти решить проблему. Кстати, если вдруг кому нужны драйвера для USB TM-Reader, то могу поделиться версией IButton USB to Com driver сборки компании Аладдин.
По поводу ТМ - носитель такой же ненадежный как и флеха/дискета. Причем трабл может вылезти с любой стороны, от невозможности прочтения самой таблетки до отказа того самого ридера, или, как в моем случае, программного обеспечения. Скажу больше, у меня все эти ридеры нормально работали с Амикон 3.1.2 вплоть до последних обновлений мелкомягкого. Лично мне приходилось видеть, как таблетки записанные на одном считывателе, выдавали ошибку контрольной суммы на других считывателях или вообще отказывались читаться.
Стоимость комплекта из считывателя с интерфейсом RS232 и 3 таблеток составляет по ценам www.aladdin.ru:
1. 284 руб. - считыватель
2. 284 руб. х3 - iButton D1993
3. 7 руб. х3- держатель таблетки
итого: 1157 руб. с НДС.

P.S. Спасибо за помощь и это... я клиент СБРФ, а не из службы тех. поддержки. Пытаюсь решать проблемы с этим "венцом" программистского искусства с 1999 года своими силами, бо понимаю, что тех. поддержка - люди подневольные, им что сверху спустили с тем они и е...ся. Извиняюсь за допущенную грубость.

 Отправлено: 30.04.10 15:48. Заголовок: Larden пишет: с тем..

Larden пишет:

цитата:

с тем они и е...ся

Боюсь, что это не грубость... это в слово, наверное, даже еще не в полной мере описывает то, как мы работаем с этим "венцом"

 Отправлено: 30.04.10 22:59. Заголовок: Larden пишет: Стоим..

Larden пишет:

цитата:

Стоимость комплекта из считывателя с интерфейсом RS232 и 3 таблеток составляет по ценам www.aladdin.ru: 1. 284 руб. - считыватель 2. 284 руб. х3 - iButton D1993 3. 7 руб. х3- держатель таблетки

Надо же, мы продаем дешевле

 Отправлено: 04.05.10 08:16. Заголовок: ser43 пишет: Надо ж..

ser43 пишет:

цитата:

Надо же, мы продаем дешевле

Это розничные цены, при закупке даже мелким оптом, получается существенно дешевле. Но в данном случае, вопрос не в том - что, по чем и сколько стоит, а в том, что людям крайне неудобно держать свои ЭЦП в том виде, в котором предлагается. Представим себе часто встречающуюся ситуацию - руководитель, он же главный бухгалтер. Спрашивается, а зачем человеку ДВА носителя ЭЦП? Тот же убогий Ситибанк делает на флешке два закрытых хранилища, и в зависимости от того, какой подписью он подписывает (1-й или 2-й) считывается тот или иной сертификат и соответствующий ему закрытый ключ из хранилища. В итоге, флешка 1, подписей две. Все хорошо и удобно.

 Отправлено: 04.05.10 08:48. Заголовок: Larden пишет: В ито..

Larden пишет:

цитата:

В итоге, флешка 1, подписей две. Все хорошо и удобно.

Ну-к остаётся только в этом убедить разработчиков. Москва от нас далеко.

 Отправлено: 04.05.10 09:46. Заголовок: У меня Москва близко..

У меня Москва близко, а точнее в ней и сижу, вот только до разработчиков не пускают, да и до ребят в тех. поддержке банка теперь тоже. У них ввели АУТ!!!!!сорсинг .

 Отправлено: 04.05.10 18:14. Заголовок: Larden пишет: Предс..

Larden пишет:

цитата:

Представим себе часто встречающуюся ситуацию - руководитель, он же главный бухгалтер. Спрашивается, а зачем человеку ДВА носителя ЭЦП?

у вас действительно у Клиентов такое или это выдумка... у такого Клиента на карточке Банка есть и первая, и вторая подпись + это одно лицо??? Т.е. он в ручную когда платежку в банк несет две подписи ставит лично или вы все таки имеете ввиду, что одному челу в организации дали две дискетки с ЭЦП руководителя (другое лицо) и ЭЦП буха (третье лицо) - прошу заметить что первое лицо может совпадать либо со вторым, либо с третьим, но все три лица не могут быть одним и тем же человеком, зачем тогда ему на карточке банка нужны и первая и вторая подпись???

И как следствие, если это одно лицо - тогда одна ЭЦП, а если уж есть бух и дир - тогда два разных лица и у каждого должна быть своя ЭЦП... :) надеюсь не запудрил мозг никому? :)

 Отправлено: 04.05.10 20:28. Заголовок: Larden пишет: Тот ж..

Larden пишет:

цитата:

Тот же убогий Ситибанк делает на флешке два закрытых хранилища, и в зависимости от того, какой подписью он подписывает (1-й или 2-й) считывается тот или иной сертификат и соответствующий ему закрытый ключ из хранилища. В итоге, флешка 1, подписей две. Все хорошо и удобно.

В таком случае зачем вообще ЭЦП нужны? Как быть с безопасностью, если все в одной корзине?

 Отправлено: 05.05.10 03:31. Заголовок: ggg1415 пишет: Как ..

ggg1415 пишет:

цитата:

Как быть с безопасностью, если все в одной корзине?

Вот тут бы я не согласился. В 12-х версиях реализован дополнительный метод создания ключей на пароле (как в Sbersign), правда пока "криво". Тогда смысл создания ЭЦП с неуникальным именем и только в корне носителя теряется - нужно знать пароль.
Есть, правда, по опыту ещё один "косяк" - при подписании пачки документов (более 20-ти), обычно первая 20-ка уходит в банк, с остальными начинается возня. Потому клиентам советую подписывать пачки по 10-ть документов - это точно гарантированно, что уйдут.

 Отправлено: 05.05.10 07:52. Заголовок: А кто мне объяснит т..

А кто мне объяснит ту самую пресловутую безопасность в нонешнем ее варианте? Человек входит в кл-б с использование таблетки, этой же таблеткой подписывает документы. Если таблетка утеряна, то любой нашедший ее может ей воспользоваться. То же самое касается дискет, флешек. Можно сказать, делайте вход по паролю, но пароль точно так же можно перехватить примитивным кейлогером, и где эта безопасность? Миф, да и только. А вот проблемы со случайным форматирование дискеты/флешки остаются. Да и перестать читаться могут запросто. Закрытый контейнер, он и есть закрытый контейнер, чтобы воспользоваться им, нужно точно так же набрать пароль контейнера, плюс к тому, нужно еще иметь установленный сертификат, причем именно на машине клиента и именно для этого контейнера и именно под этой учетной записью. Хранить же контейнеры можно на специальных, защищенных носителях типа ruToken|eToken или опять же на пресловутых флешках, если нет возможности приобрести токены. Отформатировать токен на порядок сложнее чем флешку, так что уровень сохранности данных повышается. А излишнее количество носителей ЭЦП в ряде случаев только повышает риск остаться с неработающим вариантом кл-б.
1. Мастер ключ
2. Главный ключ
3. ЭЦП администратора
4. ЭЦП руководителя (1 как минимум)
5. ЭЦП бухгалтера (1 как минимум)
6. ЭЦП оператора (1 как минимум в крупных организациях)
7. Транспортный ключ
8. VPN флеха


Не многовато ли для одного кл-б? Хотя, по большому счету, можно было бы спокойно ограничиться только пунктами 3-6.

 Отправлено: 05.05.10 11:04. Заголовок: Larden пишет: Если ..

Larden пишет:

цитата:

Если таблетка утеряна, то любой нашедший ее может ей воспользоваться. То же самое касается дискет, флешек

разве? каким образом если клиент требует привязки к компу, плюс привязка клиента есть во внутренней базе сбера. сдругой машины даже с ключами - ничего не прокатит. это проверено много раз - когда приходилось менять желехо на компе с клиентом.

Larden пишет:

цитата:

Хотя, по большому счету, можно было бы спокойно ограничиться только пунктами 3-6.

щаще всего так и есть - две дискеты (флехи) одна опера другая админа.

 Отправлено: 05.05.10 11:19. Заголовок: впрочем было бы не п..

впрочем было бы не плохо етокен ввести - свисток - прцепить его на связку ключей конкретного человека и им все и подписывать (даже если в трех-пяти орг он - хватило бы одного персонального ключа, привязанного к одному компу, и запароленного)

иначе сколько не обьясняй все равно ведь дискеты пачкой лежат в одном месте и порой совсем не в сейфе

 Отправлено: 05.05.10 12:04. Заголовок: Larden пишет: 1. Ма..

Larden пишет:

цитата:

1. Мастер ключ 2. Главный ключ 3. ЭЦП администратора 4. ЭЦП руководителя (1 как минимум) 5. ЭЦП бухгалтера (1 как минимум) 6. ЭЦП оператора (1 как минимум в крупных организациях) 7. Транспортный ключ 8. VPN флеха

давайте немного упростим... берем версию 07.006.01 для примера... итак...
п. 1 и п.2 записываем на все носители с финансовой ЭЦП Руководителя и Гл.Буха.
п.3 - нам она не нужна - смысла в ней нет - пересоздать сможем в любой момент...
п. 4 и п. 5 - финансовые - самые нужные - их может быть много, но кто заставляет организацию это делать??? У нас есть уникумы с 5 ЭЦП руководителя на разных людей, но по факту работает доверенное лицо и всегда с одной и той же ЭЦП...
п.6 на кой фиг она нужна - если только как для запроса выписки... но опять же... "каждый с ума сходит, как он хочет" (извините за мой французский), если руководитель такой принципиальный, как и гл.бух организации, то нет вопросов - пусть есчё с 10 ЭЦП сделают и с веером дискеток ходят, ну а ежели доверяют сотруднику, то просто передают свои носители с ЭЦП бухгалтеру и пусть работает, а потом требуют выписку ежедневно, для проверки и сверки (ежели сомнения всякие есть)
п.7. нет необходимости в наличии
п. 8. воткнул сзади компа и бух даже не узнает, что он там есть... :)

подведем итог: условия - версия 07.006.01, руководитель доверяет своему персоналу, есть подпись Дира и Буха на карточке Банка. Результат: используется для постоянной работы два сменных носителя (дискета, флэшка и т.п.) с ЭЦП Буха и с ЭЦП Дира, на которых записаны также главный и мастер ключ...

З.Ы. при большом желании запишите вы ГК на VPN, а так же любую ЭЦП при желании...

З.Ы.Ы. и есчё раз говорю, изначально как вы распишите Клиенту работу, так он и будет работать, а при "тяжелых" случаях давать такой вариант с огромным числом ЭЦП, как вы и предложили, при замене или дальнейшей работе придут к описанному мною варианту, а если нет, то... ну вы меня поняли :)

З.Ы.Ы.Ы. тем кто правит мои посты - хоть красным цветов выделяйте правку... но все равно спасибо...

 Отправлено: 05.05.10 17:25. Заголовок: admin пишет: надеюс..

admin пишет:

цитата:

надеюсь не запудрил мозг никому? :)

Зря надеетесь

 Отправлено: 05.05.10 18:29. Заголовок: u14was пишет: Зря н..

u14was пишет:

цитата:

Зря надеетесь

поулыбал... спасибо!!!

 Отправлено: 05.05.10 21:28. Заголовок: Larden пишет: 1. Ма..

Larden пишет:

цитата:

1. Мастер ключ

Да зачем(Админ) он ваще нужен? В работе программа его не требует... Я так понимаю если под Мастер ключем понимается файл MASTER.KEY, то он нужен лишь для восстановления мастер-ключа ЭЦП MASTER.DAT в папке BASE. Сам честно никогда не пользовался процедурой восстановления мастер-ключа ЭЦП - если уж дошло до искажения базы, то её проще убить и создать новую...

 Отправлено: 05.05.10 22:05. Заголовок: rdf пишет: Да зачем о..

rdf пишет:

цитата:

Да зачем он ваще нужен?

У нас щас начинается работа, точнее подготовка к работе, по передаче базы в ТБ, так вот мастер.кей, оказывается пипец как нужен - принять новый сетевой ключ и подменить главный ключ БЕЗ ПЕРЕГЕНЕРАЦИИ ЭЦП, можно тока с живым мастер.кеем... убедились на опыте, процедура описана в Базе знаний, и запрос в СервисДеске есть... Раньше тоже думали - rdf пишет:

цитата:

Да зачем он ваще нужен?

 Отправлено: 05.05.10 22:22. Заголовок: Zarin пишет: принят..

Zarin пишет:

цитата:

принять новый сетевой ключ

Не проблема - примется любой.
Zarin пишет:

цитата:

и подменить главный ключ БЕЗ ПЕРЕГЕНЕРАЦИИ ЭЦП

С вас требуют замены ГК? Не понимаю зачем?
Zarin пишет:

цитата:

можно тока с живым мастер.кеем...

Вот тут есть проблема - живой он есть в большинстве лишь у клиентов, установших АРМ "Клиент" не более года назад, все остальные (у нас 70%) работают более 2-3 лет и мастер.кей у них давно утерян и т.п.
Zarin пишет:

цитата:

процедура описана в Базе знаний, и запрос в СервисДеске есть...

Еще описана в файле "АС Клиент-Сбербанк (АРМ Клиент). Руководство администратора.doc" в п.п. "8.1 Восстановление работоспособности АРМ в случае искажений баз открытых ключей или замене главного ключа" - сам не проверял, но думаю то же самое.

 Отправлено: 06.05.10 10:49. Заголовок: Zarin пишет: процед..

Zarin пишет:

цитата:

процедура описана в Базе знаний

А это где?

 Отправлено: 06.05.10 12:04. Заголовок: u14was пишет: А это..

u14was пишет:

цитата:

А это где?

это в сервис деске, насколько я понимаю...

 Отправлено: 06.05.10 15:59. Заголовок: rdf пишет: С вас тр..

rdf пишет:

цитата:

С вас требуют замены ГК? Не понимаю зачем?

Чувствуется, что вся централизация по всей России опять пройдет по схеме "здесь так, здесь вот так, тут вообще этого не будет". Да, нам предъявили требования по централизации баз, среди них будет и смена главного ключа...
admin пишет:

цитата:

это в сервис деске, насколько я понимаю...

Да, это там. Много полезных вещей можно подглядеть... на первое время...

 Отправлено: 06.05.10 17:11. Заголовок: Zarin пишет: Да, эт..

Zarin пишет:

цитата:

Да, это там. Много полезных вещей можно подглядеть... на первое время...

честно, даже желания заглядывать не было...

З.Ы. а можно требования в личку или в теме АРМ Банк расписать?

 Отправлено: 06.05.10 17:56. Заголовок: Мы тут вроде и так в..

Мы тут вроде и так все "косточки" разобрали. Остались непонятыми лишь "авторские заготовки", которые раньше не работали, а теперь уже не работают.

 Отправлено: 17.03.11 10:40. Заголовок: Larden Скин плз драй..

Larden Скин плз драйвера tm-reader aladdin m0id0dir

 Отправлено: 25.03.11 16:43. Заголовок: здравствуйте,помогит..

здравствуйте,помогите мне восстановить ЭЦП администратора и ЭЦП подписи на флешь.случилось ужасное хотела почистить личную флешь,а почистила флешь с ЭЦП.иначе уволят.......

 Отправлено: 25.03.11 18:36. Заголовок: Анастасия 1.Как и ч..

Анастасия
1.Как и чем чистили flash?
2.Какие восстанавливающие программы у вас есть?

 Отправлено: 26.04.11 02:18. Заголовок: Анастасия, я думаю в..

Анастасия, я думаю вам проще новые создать, для этого нужен главный ключ и чистка папки Base.

 Отправлено: 26.04.11 04:17. Заголовок: Анастасия пишет: по..

Анастасия пишет:

цитата:

помогите мне восстановить ЭЦП

Есть замечательнейшая программа - Portable_FileRecovery 4.0 Rus, посмотрите в инете. Выручит в 95% случаев.