Рубрика «эцп» - 5

image
Многие современные системы ДБО предоставляют для обслуживания клиентов Web-интерфейс. Преимущества «тонкого клиента» перед «толстым клиентом» очевидны. В то же время существуют федеральные законы, приказы регуляторов и требования к системам ДБО от Банка России, многие из которых касаются именно защиты информации в системах ДБО. Как-то их нужно исполнять и обычно применяются криптосредства, реализующие российские криптоалгоритмы (ГОСТы). Эти криптосредства закрывают часть «дыр», но при их внедрении может существенно возрасти сложность пользования системой ДБО для клиента.

В данной статье мы из «кирпичиков» соберем и испытаем на демонстрационном интернет-банке комплексное решение — по сути специальный переносной защищенный браузер, хранящийся на flash-памяти — в котором будут реализованы закрытие канала (TLS), строгая двухфакторная аутентификация на WEB-ресурсе и электронная подпись платежных поручений посредством USB-токена Рутокен ЭЦП или trustscreen-устройства Рутокен PINPad. Фишка решения в том, что оно абсолютно необременительно для конечного пользователя — подключил токен, запустил браузер и сразу же можно начинать тратить деньги.

TLS, аутентификация и подпись реализуются с использованием российской криптографии.

Дальше пойдет мануал с пояснениями.
Читать полностью »

Это 4-ый пост, который посвящён описанию возможностей УЭК. Предыдущие части:
1) Опыт получения универсальной электронной карты. Розовая теория против суровой реальности. Часть 1
2) Как я получил универсальную электронную карту после 3-х месяцев ожидания. Часть 2
3) Практическое применение универсальной электронной карты (УЭК) в городе и интернете. Часть 3

Электронная подпись на УЭК, что даёт и нужна ли вообще? Часть 4

Поначалу, я хотел лишь оформить отдельным комментарием к своему топику то, как я наконец-то записал электронную подпись (ЭП) на Универсальную электронную карту (УЭК). Однако информации для одного комментария слишком много, а до отдельного топика она ещё была скудноватой. И вот теперь, спустя чуть ли не месяц после того, как я достал Сбербанк, и записал ЭП на УЭК, я могу с полной уверенностью говорить, что УЭК с ЭП действительно чего-то, да стоит. Без ЭП — кусок красивого и пока редкого пластика, хоть и более крутого, чем тот, который используется для изготовления обычных карт. Но обо всём по порядку.
Читать полностью »

Механизмы аутентификации и подтверждения платежа посредством электронной подписи широко применяются в системах ДБО. Эволюция технических средств электронной подписи наглядно показана в статье Щит и меч в системах ДБО. Кратко линейку можно можно представить в виде — токены, токены с криптографией на борту, touchscreen с криптографией на борту.

Обычно устройства с криптографией на борту реализуют базовые криптографические алгоритмы — ЭП, хэш-функцию, шифрование. Но в ряде случаев в системах ДБО для аутентификации и ЭП применяются цифровые сертификаты. Для интеграции криптографических возможностей устройств и инфраструктуры PKI мы выпустили решение Рутокен WEB PKI Edition, мультиплатформенный и мультибраузерный плагин для систем с web-интерфейсом.

Новая версия плагина поддерживает наш touchscreen с криптографией на борту — устройство Рутокен PINPad. Теперь можно проверить, что подписывается действительно платежка, отображаемая в браузере.

Таким образом, мы предлагаем разработчикам систем ДБО универсальное решение, которое по ряду показателей безопасности, возможностей и удобства использования не имеет аналогов.

На картинке показана интегральность решения — объединение возможностей различных устройств, интеграция с PKI — и все это работает в браузере.

Щит и меч в системах ДБО. Прикладное решение

Читать полностью »

Алгоритм анонимной коллективной подписиОдним из способов протеста является подача и коллективное подписание разного рода петиций. Но поскольку список подписавших петицию открыт, нередко возникают ситуации, когда несогласные с «курсом партии» подвергаются угрозам и репрессиям со стороны администрации.

А можно ли сделать систему, позволяющую осуществить анонимный сбор подписей, но в то же время дающую возможность верифицировать каждый голос? Предлагаю вашему вниманию свое решение данной задачи.

Постановка задачи

Имеется ограниченный круг лиц, например, студенты института, сотрудники организации или граждане страны. Часть из них подписывают некоторое сообщение (петицию, коллективное обращение и т.п.). Предлагаемый алгоритм подписания обладает следующими свойствами:

  1. Есть возможность удостовериться, что каждый подписант принадлежит к указанному кругу лиц.
  2. Есть возможность проверить, что большинство подписей принадлежат разным лицам.
  3. Нет возможности определить, кому именно принадлежит та или иная подпись.
  4. Нет возможности определить, оставляло ли данное конкретное лицо свою подпись или нет.
  5. Любой подписант может по своему желанию поставить вместо анонимной подписи персонализованную.
  6. Любой анонимный подписант может впоследствии по своему желанию предоставить доказательства того, что именно он поставил подпись.

Система основана на асимметричной криптографии, алгоритмах цифровой подписи и сертификации ключей.
Читать полностью »

Про третейский суд, ЭЦП и международную подсудность

Отказ от ответственности.

Статья написана не юристом для не юристов. Некоторые формулировки и понятия упрощены и неточны, однако, от этого не являются ложными. Статья содержит некоторое количество юридической информации, терминов и нюансов, вследствие чего, может быть тяжела для прочтения. Если у вас аллергия на продукты, содержащие юриспруденцию – употребляйте статью осторожно, на свой страх и риск.

Добрый день!

Сейчас мы плотно работаем над внедрением ЭЦП для участников нашего сервиса. Планируем привлечение иностранных фирм. В ходе работы с «юридической составляющей» пришли в ужас от картины, когда два представителя сторон приходят в суд с флэшкой, протягивают её судье и говорят — «тут все документы, а теперь судите нас, ваша честь». А затем мы столкнулись с, ни много ни мало, альтернативой государственной судебной системы. Этом чудным открытием мы безотлагательно делимся с вами. Итак…

Что такое третейский суд?

Читать полностью »

Всё нижеописанное относится к физлицам Российской Федерации.

Зачем это надо?

Как вы, возможно, знаете — авторизация на портале госуслуг возможна тремя способами — при помощи логина и пароля (где роль логина играет номер СНИЛС), при помощи USB-ключа ЭЦП (криптографического токена), и при помощи CSP.
Мне проще помнить небольшой ПИН к токену, чем каждый раз держать перед глазами карточку СНИЛС с цифрами номера, и вспоминать пароль (а требования к паролю у ЕПГУ серьезные).Поэтому я решил получить аппаратный токен с ключом ЭЦП.
До кучи — квалифицированую подпись токеном можно использовать и помимо портала госуслуг.
Читать полностью »

image
В конце октября в Госдуму поступит проект закона «О почтовой связи», в котором говорится о создании «Единой Электронной Почтовой Системы», благодаря которой граждане и предприятия получат официальные электронные почтовые ящики.Читать полностью »

Вступление

Внедрение электронной отчетности в Украине на данном этапе все еще носит достаточно противоречивый характер. С одной стороны на рынок вывели новое, пока еще сыроватое программное обеспечение, а с другой стороны — начали отказывать в приеме отчетности на бумажных носителях, тем самым отрезая пути для отсупления.

Планы по выдаче бесплатных электронных цифровых подписей впервые были озвучены в феврале, но все более и более настойчиво звучали к середине-конце мая. На одном из заседаний правительства была озвучено, что сама процедура получения ключа будет занимать не более 25 минут и будет бесплатной. И вот, 30 мая система была запущена.

Оформление ключей

Время оформления самого ключа варьируется в зависимости от места, где вы зарегистрированы. В этом посте детально расписано что нужно для получения ЕЦП; единственное, что уже не требуют — это копию и оригинал свидетельства о гос. регистрации (выписки из гос. реестра). В Киеве, к примеру, процедура получения ключа занимает 15 минут, а в периферийных городах — до 3х часов. К слову, само оформление ключа и вправду занимает 15-20 минут, — но до этого момента нужно еще дожить в очереди. После оформления ключа требуется скачать и установить программное обеспечение, ДПС Захист Звітності (ГНС Защита Отчетности). Об ньюансах этой программы я и хотел бы рассказать. Читать полностью »

Предисловие

О себе

Учусь в колледже, познакомился с программированием около года назад, на работу не берут в таком возрасте в офисы — всем нужны дипломы, квалификации и опыт работы (на стажировки в крутые компании тоже берут только с 3-5 курса университета), поэтому решил подзаработать на фрилансе.
Читать полностью »

Получение бесплатных ключей ЭЦП в Украине Разумная идея по выдаче бесплатных ключей ЭЦП для сдачи электронных отчетов добралась и до Украины. Налоговая инспекция, как орган наиболее заинтересованный в сокращении бумажного документооборота, выступила с инициативой по выдаче ключей ЭЦП на бесплатной основе. Для этого по всей стране были открыты специальные центры сертификации ключей. 30-го мая первые такие центры заработали в Киеве, несколькими днями позже бесплатные ключи стали давать в регионах. Я прошел процедуру получения новенькой ЭЦП одним из первых. Представляю украинским предпринимателям-хабровчанам инструкцию к действиям. Сразу успокою тех, кто имеет патологический страх перед посещением налоговой: центр сертификации ключей хоть и приписан к налоговой инспекции, но находится с ней в разных зданиях, иногда даже в разных частях города.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js