Отправлено: 11.02.10 22:06. Заголовок: ЭЦП на флешке

Господа. На одном из форумов я уже обсуждал этот вопрос. Поделитесь и Вы опытом - если нет возможности использовать дискеты - как вы рекомендуете Клиенту генерировать ключи на флешку (ну или на другой носитель)?
Расскажу сначала сам:
Клиент создает на флешке 3 каталога (для случая с ЭЦП бухгалтера) - adm, dir, buh. Генерирует соответствующий ключ, копирует его в нужный каталог и т.д. Дальше делает три bat-файла с таким вот содержанием:
"xcopy /y f:\dir\*.* f:"
и выносит их в панель быстрого запуска или в меню ПУСК (чтобы всегда под рукой были). Таким образом, Клиент щелкая поочередно по этим файлам грузит в корень флешки нужную в данный момент ЭЦП.

Расскажите как делаете Вы - может быть у Вас более удобные способы есть?

 Отправлено: 04.05.10 20:28. Заголовок: Larden пишет: Тот ж..

Larden пишет:

цитата:

Тот же убогий Ситибанк делает на флешке два закрытых хранилища, и в зависимости от того, какой подписью он подписывает (1-й или 2-й) считывается тот или иной сертификат и соответствующий ему закрытый ключ из хранилища. В итоге, флешка 1, подписей две. Все хорошо и удобно.

В таком случае зачем вообще ЭЦП нужны? Как быть с безопасностью, если все в одной корзине?

 Отправлено: 05.05.10 03:31. Заголовок: ggg1415 пишет: Как ..

ggg1415 пишет:

цитата:

Как быть с безопасностью, если все в одной корзине?

Вот тут бы я не согласился. В 12-х версиях реализован дополнительный метод создания ключей на пароле (как в Sbersign), правда пока "криво". Тогда смысл создания ЭЦП с неуникальным именем и только в корне носителя теряется - нужно знать пароль.
Есть, правда, по опыту ещё один "косяк" - при подписании пачки документов (более 20-ти), обычно первая 20-ка уходит в банк, с остальными начинается возня. Потому клиентам советую подписывать пачки по 10-ть документов - это точно гарантированно, что уйдут.

 Отправлено: 05.05.10 07:52. Заголовок: А кто мне объяснит т..

А кто мне объяснит ту самую пресловутую безопасность в нонешнем ее варианте? Человек входит в кл-б с использование таблетки, этой же таблеткой подписывает документы. Если таблетка утеряна, то любой нашедший ее может ей воспользоваться. То же самое касается дискет, флешек. Можно сказать, делайте вход по паролю, но пароль точно так же можно перехватить примитивным кейлогером, и где эта безопасность? Миф, да и только. А вот проблемы со случайным форматирование дискеты/флешки остаются. Да и перестать читаться могут запросто. Закрытый контейнер, он и есть закрытый контейнер, чтобы воспользоваться им, нужно точно так же набрать пароль контейнера, плюс к тому, нужно еще иметь установленный сертификат, причем именно на машине клиента и именно для этого контейнера и именно под этой учетной записью. Хранить же контейнеры можно на специальных, защищенных носителях типа ruToken|eToken или опять же на пресловутых флешках, если нет возможности приобрести токены. Отформатировать токен на порядок сложнее чем флешку, так что уровень сохранности данных повышается. А излишнее количество носителей ЭЦП в ряде случаев только повышает риск остаться с неработающим вариантом кл-б.
1. Мастер ключ
2. Главный ключ
3. ЭЦП администратора
4. ЭЦП руководителя (1 как минимум)
5. ЭЦП бухгалтера (1 как минимум)
6. ЭЦП оператора (1 как минимум в крупных организациях)
7. Транспортный ключ
8. VPN флеха


Не многовато ли для одного кл-б? Хотя, по большому счету, можно было бы спокойно ограничиться только пунктами 3-6.

 Отправлено: 05.05.10 11:04. Заголовок: Larden пишет: Если ..

Larden пишет:

цитата:

Если таблетка утеряна, то любой нашедший ее может ей воспользоваться. То же самое касается дискет, флешек

разве? каким образом если клиент требует привязки к компу, плюс привязка клиента есть во внутренней базе сбера. сдругой машины даже с ключами - ничего не прокатит. это проверено много раз - когда приходилось менять желехо на компе с клиентом.

Larden пишет:

цитата:

Хотя, по большому счету, можно было бы спокойно ограничиться только пунктами 3-6.

щаще всего так и есть - две дискеты (флехи) одна опера другая админа.

 Отправлено: 05.05.10 11:19. Заголовок: впрочем было бы не п..

впрочем было бы не плохо етокен ввести - свисток - прцепить его на связку ключей конкретного человека и им все и подписывать (даже если в трех-пяти орг он - хватило бы одного персонального ключа, привязанного к одному компу, и запароленного)

иначе сколько не обьясняй все равно ведь дискеты пачкой лежат в одном месте и порой совсем не в сейфе

 Отправлено: 05.05.10 12:04. Заголовок: Larden пишет: 1. Ма..

Larden пишет:

цитата:

1. Мастер ключ 2. Главный ключ 3. ЭЦП администратора 4. ЭЦП руководителя (1 как минимум) 5. ЭЦП бухгалтера (1 как минимум) 6. ЭЦП оператора (1 как минимум в крупных организациях) 7. Транспортный ключ 8. VPN флеха

давайте немного упростим... берем версию 07.006.01 для примера... итак...
п. 1 и п.2 записываем на все носители с финансовой ЭЦП Руководителя и Гл.Буха.
п.3 - нам она не нужна - смысла в ней нет - пересоздать сможем в любой момент...
п. 4 и п. 5 - финансовые - самые нужные - их может быть много, но кто заставляет организацию это делать??? У нас есть уникумы с 5 ЭЦП руководителя на разных людей, но по факту работает доверенное лицо и всегда с одной и той же ЭЦП...
п.6 на кой фиг она нужна - если только как для запроса выписки... но опять же... "каждый с ума сходит, как он хочет" (извините за мой французский), если руководитель такой принципиальный, как и гл.бух организации, то нет вопросов - пусть есчё с 10 ЭЦП сделают и с веером дискеток ходят, ну а ежели доверяют сотруднику, то просто передают свои носители с ЭЦП бухгалтеру и пусть работает, а потом требуют выписку ежедневно, для проверки и сверки (ежели сомнения всякие есть)
п.7. нет необходимости в наличии
п. 8. воткнул сзади компа и бух даже не узнает, что он там есть... :)

подведем итог: условия - версия 07.006.01, руководитель доверяет своему персоналу, есть подпись Дира и Буха на карточке Банка. Результат: используется для постоянной работы два сменных носителя (дискета, флэшка и т.п.) с ЭЦП Буха и с ЭЦП Дира, на которых записаны также главный и мастер ключ...

З.Ы. при большом желании запишите вы ГК на VPN, а так же любую ЭЦП при желании...

З.Ы.Ы. и есчё раз говорю, изначально как вы распишите Клиенту работу, так он и будет работать, а при "тяжелых" случаях давать такой вариант с огромным числом ЭЦП, как вы и предложили, при замене или дальнейшей работе придут к описанному мною варианту, а если нет, то... ну вы меня поняли :)

З.Ы.Ы.Ы. тем кто правит мои посты - хоть красным цветов выделяйте правку... но все равно спасибо...

 Отправлено: 05.05.10 17:25. Заголовок: admin пишет: надеюс..

admin пишет:

цитата:

надеюсь не запудрил мозг никому? :)

Зря надеетесь

 Отправлено: 05.05.10 18:29. Заголовок: u14was пишет: Зря н..

u14was пишет:

цитата:

Зря надеетесь

поулыбал... спасибо!!!

 Отправлено: 05.05.10 21:28. Заголовок: Larden пишет: 1. Ма..

Larden пишет:

цитата:

1. Мастер ключ

Да зачем(Админ) он ваще нужен? В работе программа его не требует... Я так понимаю если под Мастер ключем понимается файл MASTER.KEY, то он нужен лишь для восстановления мастер-ключа ЭЦП MASTER.DAT в папке BASE. Сам честно никогда не пользовался процедурой восстановления мастер-ключа ЭЦП - если уж дошло до искажения базы, то её проще убить и создать новую...

 Отправлено: 05.05.10 22:05. Заголовок: rdf пишет: Да зачем о..

rdf пишет:

цитата:

Да зачем он ваще нужен?

У нас щас начинается работа, точнее подготовка к работе, по передаче базы в ТБ, так вот мастер.кей, оказывается пипец как нужен - принять новый сетевой ключ и подменить главный ключ БЕЗ ПЕРЕГЕНЕРАЦИИ ЭЦП, можно тока с живым мастер.кеем... убедились на опыте, процедура описана в Базе знаний, и запрос в СервисДеске есть... Раньше тоже думали - rdf пишет:

цитата:

Да зачем он ваще нужен?

 Отправлено: 05.05.10 22:22. Заголовок: Zarin пишет: принят..

Zarin пишет:

цитата:

принять новый сетевой ключ

Не проблема - примется любой.
Zarin пишет:

цитата:

и подменить главный ключ БЕЗ ПЕРЕГЕНЕРАЦИИ ЭЦП

С вас требуют замены ГК? Не понимаю зачем?
Zarin пишет:

цитата:

можно тока с живым мастер.кеем...

Вот тут есть проблема - живой он есть в большинстве лишь у клиентов, установших АРМ "Клиент" не более года назад, все остальные (у нас 70%) работают более 2-3 лет и мастер.кей у них давно утерян и т.п.
Zarin пишет:

цитата:

процедура описана в Базе знаний, и запрос в СервисДеске есть...

Еще описана в файле "АС Клиент-Сбербанк (АРМ Клиент). Руководство администратора.doc" в п.п. "8.1 Восстановление работоспособности АРМ в случае искажений баз открытых ключей или замене главного ключа" - сам не проверял, но думаю то же самое.

 Отправлено: 06.05.10 10:49. Заголовок: Zarin пишет: процед..

Zarin пишет:

цитата:

процедура описана в Базе знаний

А это где?

 Отправлено: 06.05.10 12:04. Заголовок: u14was пишет: А это..

u14was пишет:

цитата:

А это где?

это в сервис деске, насколько я понимаю...

 Отправлено: 06.05.10 15:59. Заголовок: rdf пишет: С вас тр..

rdf пишет:

цитата:

С вас требуют замены ГК? Не понимаю зачем?

Чувствуется, что вся централизация по всей России опять пройдет по схеме "здесь так, здесь вот так, тут вообще этого не будет". Да, нам предъявили требования по централизации баз, среди них будет и смена главного ключа...
admin пишет:

цитата:

это в сервис деске, насколько я понимаю...

Да, это там. Много полезных вещей можно подглядеть... на первое время...

 Отправлено: 06.05.10 17:11. Заголовок: Zarin пишет: Да, эт..

Zarin пишет:

цитата:

Да, это там. Много полезных вещей можно подглядеть... на первое время...

честно, даже желания заглядывать не было...

З.Ы. а можно требования в личку или в теме АРМ Банк расписать?

 Отправлено: 06.05.10 17:56. Заголовок: Мы тут вроде и так в..

Мы тут вроде и так все "косточки" разобрали. Остались непонятыми лишь "авторские заготовки", которые раньше не работали, а теперь уже не работают.

 Отправлено: 17.03.11 10:40. Заголовок: Larden Скин плз драй..

Larden Скин плз драйвера tm-reader aladdin m0id0dir

 Отправлено: 25.03.11 16:43. Заголовок: здравствуйте,помогит..

здравствуйте,помогите мне восстановить ЭЦП администратора и ЭЦП подписи на флешь.случилось ужасное хотела почистить личную флешь,а почистила флешь с ЭЦП.иначе уволят.......

 Отправлено: 25.03.11 18:36. Заголовок: Анастасия 1.Как и ч..

Анастасия
1.Как и чем чистили flash?
2.Какие восстанавливающие программы у вас есть?

 Отправлено: 26.04.11 02:18. Заголовок: Анастасия, я думаю в..

Анастасия, я думаю вам проще новые создать, для этого нужен главный ключ и чистка папки Base.