СКБ Контур
Сайт Контура
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Порочная практика заносить ключи в реестр!!!???
VTB_KLG Offline
#1 Оставлено : 16 декабря 2008 г. 16:08:30(UTC)
Ранг: Новичок

Группы: Участник
Зарегистрирован: 16.12.2008(UTC)
Сообщений: 11

Здравствуйте!
Вопрос больше тех. специалистам и как предупреждение клиентам: Не могли бы вы отойти от практики заносить ключи в реестр?
Являюсь специалистом банка ВТБ обслуживающий систему "клиент-банк".
Дело в том, что мы тоже используем КриптоПро и ключи у клиента находятся на сменном носителе (дискета, флешка), ключи периодически меняются, при генерации нового ключа, КриптоПро спрашивает куда сохранить ключ (реестр, дисковод), клиент естественно не задумывается и приспокойненько отправляет новый ключ в реестр. Клиент спокоен (делает резерв носителя, вставляет вынимает его как порядочный) до поры до времени, пока не наступает час икс, летит операционная система и соответственно ключи. Начинаются звонки и поиск "черной кошки в черной комнате", вообщем большой привет. Генерация новых ключей муторное занятие и никому не нужная работа, не считая того, что клиент просто банально не может работать. Поэтому считаю хранение ключей в реестре не целесообразно (да, это удобно, но все-таки это для опытного пользователя), да и скопировать ключи "врагу" не составляет никакого труда. Когда человек физически чувствует ключ, у него появляется ответственность за его сохранность, а также в случаи чего…, претензии он может адресовать только себе.
Спасибо.
NikosColev Offline
#2 Оставлено : 16 декабря 2008 г. 16:36:34(UTC)
NikosColev

Ранг: Активист

Группы: Интернет-коммуникации, Представитель Спец. Оператора Связи
Зарегистрирован: 14.03.2005(UTC)
Сообщений: 4 799
Откуда: г. Саратов

Сказал «Спасибо»: 30 раз
Поблагодарили: 51 раз в 40 постах
VTB_KLG написал:
Здравствуйте!
...отправляет новый ключ в реестр. Клиент спокоен (делает резерв носителя, вставляет вынимает его как порядочный) до поры до времени, пока не наступает час икс, летит операционная система и соответственно ключи. Начинаются звонки и поиск "черной кошки в черной комнате", вообщем большой привет. Генерация новых ключей муторное занятие...
Здравствуйте! Никак не пойму, а в чём проблема? Накрылась ОС и ключи в реестре, - кошка находится легко: берётся носитель с ключами, - и сертификат привязывается заново, - хотите к реестру, если предварительно скопировать туда ключи или, если хотите, к ключам на носителе.
С уважением, Алексей Колесников.
Support / СОС:58,64 / СЦ:50,63,77
Errare humanum est, stultum est in errore perseverare
"Человек живет и движется среди того, что он видит; но он видит только то, что способен осознать." Поль Валери
"Поиски способов бездействия всегда составляли смысл и содержание моей жизни." Фернандо Пессоа
Богатство без работы; удовольствие без совести; наука без гуманности; знание без характера; политика без принципов; коммерция без морали и поклонение без жертв.
Смертные грехи по Махатма Ганди
VTB_KLG Offline
#3 Оставлено : 16 декабря 2008 г. 16:59:00(UTC)
Ранг: Новичок

Группы: Участник
Зарегистрирован: 16.12.2008(UTC)
Сообщений: 11

NikosColev написал:
VTB_KLG написал:
Здравствуйте!
...отправляет новый ключ в реестр. Клиент спокоен (делает резерв носителя, вставляет вынимает его как порядочный) до поры до времени, пока не наступает час икс, летит операционная система и соответственно ключи. Начинаются звонки и поиск "черной кошки в черной комнате", вообщем большой привет. Генерация новых ключей муторное занятие...
Здравствуйте! Никак не пойму, а в чём проблема? Накрылась ОС и ключи в реестре, - кошка находится легко: берётся носитель с ключами, - и сертификат привязывается заново, - хотите к реестру, если предварительно скопировать туда ключи или, если хотите, к ключам на носителе.


Ключ у клиента формируется новый и попадает в реестр! Копия на дискете уже не актуальна. Думаете, бухгалтер умеет делать резерв ключей с реестра на дискету (флешку)? Вот в чем проблема!
XaupacT Offline
#4 Оставлено : 16 декабря 2008 г. 17:01:41(UTC)
XaupacT

Ранг: Активист

Группы: Представитель Спец. Оператора Связи
Зарегистрирован: 25.01.2007(UTC)
Сообщений: 1 905
Откуда: Казань

Сказал «Спасибо»: 36 раз
Поблагодарили: 60 раз в 53 постах
другого не понимаю. Почему бухгалтер самостоятельно формирует ключи. А если знали. что так будет, зачем было настраивать реестр.
С уважением, Гарипов Айрат,
СОС ООО "Центр Электронных Услуг"
По Республике Татарстан.

Успеха добивается лишь тот, кто действует


в скайпе
VTB_KLG Offline
#5 Оставлено : 16 декабря 2008 г. 17:15:37(UTC)
Ранг: Новичок

Группы: Участник
Зарегистрирован: 16.12.2008(UTC)
Сообщений: 11

XaupacT написал:
другого не понимаю. Почему бухгалтер самостоятельно формирует ключи. А если знали. что так будет, зачем было настраивать реестр.

В «Клиент-Банке» по безопасности настроена периодическая смена ключей. А реестр настраивают специалисты «Контур-Экстерн», мы так не делаем, только сменный носитель. Читайте внимательно топик.
Уфаныч Offline
#7 Оставлено : 17 декабря 2008 г. 0:21:30(UTC)
Уфаныч

Ранг: Участник

Группы: Участник, Представитель СЦ
Зарегистрирован: 28.01.2007(UTC)
Сообщений: 86
Откуда: Арти

Уважаемый VTB_KLG, в реестр обычно помещаются ключи тех сертификатов, во-первых, срок действия которых уже закончился, во-вторых, если эти ключи располагались на дискетах (чтобы не мусолить дискеты и не путать клиентов).
Всё-таки в нынешней ситуации уже 5 лет как пора забыть дискеты, переходите на ru-token (флэшки тоже не выход, так, полумера) . Там этой проблемы нет, реестр можно не использовать.
Ну и сваливать ответственность за невнимательность бухгалтера (и за его неумение делать проверку содержимого ключевого носителя) на стороннюю организацию - это вообще шикарно, не правда ли?


P.S. тут подумалось, с развитием систем электронного документооборота количество сертификатов будет только увеличиваться. И если токены (не флэшки!) не возрастут в объёме, реестр будет неизбежен - где то же надо будет хранить ключи и подписи с истёкшим сроком, чтобы удобно было работать с "архивными" документами.
//Как аукнется, так и откликнется...

Алексей Коваленко
VTB_KLG Offline
#8 Оставлено : 17 декабря 2008 г. 5:49:11(UTC)
Ранг: Новичок

Группы: Участник
Зарегистрирован: 16.12.2008(UTC)
Сообщений: 11

Уфаныч написал:
Уважаемый VTB_KLG, в реестр обычно помещаются ключи тех сертификатов, во-первых, срок действия которых уже закончился, во-вторых, если эти ключи располагались на дискетах (чтобы не мусолить дискеты и не путать клиентов). ...

Судя по тому, что вы тут написали, вы явно меня не поняли! Как еще объяснить популярно? «Контур-Экстерн» хранит ключи в реестре, «Клиент-Банк» на сменном носителе, при периодической смене ключа на «Клиент-Банке», выходит окно КриптоПро «куда сохранить ключ?» пользователь не придает этому значение (по умолчанию выделен реестр), ключ оправляется в реестр, летит Операционная Система (ОС), клиент переустанавливает ОС, звонит, восстанавливаем «Клиент-Банк», дело доходит до ключа, а где ключ?, а нет ключа, так я же делала как вы говорили и ничего мы не удаляли, и на резервной копии которую я делала его тоже нет, куда он делся? У нас платежи (вагоны) стоят, это ваша программа, где наш ключ? А вот после начинаются долгие объяснения, что такое реестр и где их ключ, и т.д. Так кто на кого сваливает ответственность? Даже только исходя из политики безопасности хранение ключа в реестре не правильно. Так что лучше мусольте дискету или кладите реестр в сейф.
Андрей Андреевич Offline
#9 Оставлено : 17 декабря 2008 г. 10:31:33(UTC)
Андрей Андреевич

Ранг: Участник

Группы: Участник
Зарегистрирован: 26.03.2007(UTC)
Сообщений: 131
Откуда: Хабаровск

а дайте линк на ваш форум если такой есть)
я там на ваших спецов пожалуюсь, ибо когда они приходят и видят что уже есть крипто-про какое то) то что они делают? сносят нафиг все, ставят олдскул крипту 2.0 (хотя ваш банк клиент прекрасно работает с третьей криптой) и БЕЗ ТЛС модуля, ваших специалистов не волнует работоспособность других программ, банк клиент ненаглядный работал бы)
Гаврилова Екатерина Offline
#10 Оставлено : 17 декабря 2008 г. 11:37:12(UTC)
Ранг: Эксперт

Группы: Администратор форума, Сотрудник СКБ Контур
Зарегистрирован: 29.04.2005(UTC)
Сообщений: 2 003
Откуда: Екатеринбург

Поблагодарили: 95 раз в 87 постах
VTB_KLG, если проблема только в том, что специалисты «Контур-Экстерн» настроили реестр, который мешает работать, то можно старые ключи из реестра скопировать, к примеру, на флэшку (если нет желания покупать рутокен) и удалить реестр через КриптоПро.
С уважением, Гаврилова Екатерина
spp@support.kontur-extern.ru
XaupacT Offline
#6 Оставлено : 17 декабря 2008 г. 14:37:46(UTC)
XaupacT

Ранг: Активист

Группы: Представитель Спец. Оператора Связи
Зарегистрирован: 25.01.2007(UTC)
Сообщений: 1 905
Откуда: Казань

Сказал «Спасибо»: 36 раз
Поблагодарили: 60 раз в 53 постах
VTB_KLG написал:
XaupacT написал:
другого не понимаю. Почему бухгалтер самостоятельно формирует ключи. А если знали. что так будет, зачем было настраивать реестр.

В «Клиент-Банке» по безопасности настроена периодическая смена ключей. А реестр настраивают специалисты «Контур-Экстерн», мы так не делаем, только сменный носитель. Читайте внимательно топик.

Нет, это вы меня недопоняли
Цитата:
при периодической смене ключа на «Клиент-Банке
Объясните что это такое, какой период? Как это происходит. Ключи таким образом запрошенные сами автоматом прописываются? подробнее можете объяснить вашу работу.

Андрей Андреевич, в яблочко! тоже бы там на спецов банка пожаловался бы. Совершенно не думают о работоспособности другого софта, установленного на машине
С уважением, Гарипов Айрат,
СОС ООО "Центр Электронных Услуг"
По Республике Татарстан.

Успеха добивается лишь тот, кто действует


в скайпе
Zoomer Offline
#11 Оставлено : 17 декабря 2008 г. 14:49:38(UTC)
Zoomer

Ранг: Активист

Группы: Сотрудник СКБ Контур
Зарегистрирован: 11.05.2007(UTC)
Сообщений: 1 026
Откуда: Екатеринбург

Поблагодарили: 3 раз в 2 постах
Вообще-то в каждой фирме есть юзер мануалы и реестр в крипто про придумали не мы. Если в инструкции от клиент банка написано "при генерации тупо жмите далее", то это уже не к нам претензии.
Судаков Евгений
VTB_KLG Offline
#12 Оставлено : 17 декабря 2008 г. 15:32:31(UTC)
Ранг: Новичок

Группы: Участник
Зарегистрирован: 16.12.2008(UTC)
Сообщений: 11

Zoomer написал:
Вообще-то в каждой фирме есть юзер мануалы и реестр в крипто про придумали не мы. Если в инструкции от клиент банка написано "при генерации тупо жмите далее", то это уже не к нам претензии.

Если мне память не изменяет, Крипто-Про сам не рекомендует хранение ключей в реестре, все-таки это больше для людей понимающих, что это такое и серверов. Вы же используете реестр «в хвост и гриву». Обобщу мысль, чтоб не было флуда: РЕЕСТР это зло «медвежья услуга», переубедите меня, почему вы используете реестр!? Кроме того, что это удобно (не мусолится "дискета"Wink, я не услышал.
XaupacT Offline
#13 Оставлено : 17 декабря 2008 г. 15:40:01(UTC)
XaupacT

Ранг: Активист

Группы: Представитель Спец. Оператора Связи
Зарегистрирован: 25.01.2007(UTC)
Сообщений: 1 905
Откуда: Казань

Сказал «Спасибо»: 36 раз
Поблагодарили: 60 раз в 53 постах
Читайте внимательнее топик. Уже написали и варианты, и способы решения существующих у ВАС проблемок. Будьте добры, ответьте на поставленные ВАМ вопросы.
С уважением, Гарипов Айрат,
СОС ООО "Центр Электронных Услуг"
По Республике Татарстан.

Успеха добивается лишь тот, кто действует


в скайпе
VTB_KLG Offline
#14 Оставлено : 17 декабря 2008 г. 17:04:11(UTC)
Ранг: Новичок

Группы: Участник
Зарегистрирован: 16.12.2008(UTC)
Сообщений: 11

XaupacT написал:
Читайте внимательнее топик. Уже написали и варианты, и способы решения существующих у ВАС проблемок. Будьте добры, ответьте на поставленные ВАМ вопросы.

Что вы под этим имели ввиду! Насколько мне известно «топик» - это тема поднятая в первом посте. Вы мне предлагаете отвечать на свой пост? Smile Скорее всего вы хотели, что бы я ответил на ваш пост #6? Так и говорите.
Проблемы не у НАС, а у КЛИЕНТА которые ВЫ создаете своим реестром.
Цитата:
Объясните что это такое, какой период? Как это происходит. Ключи таким образом запрошенные сами автоматом прописываются? подробнее можете объяснить вашу работу.

Период? День или год, какое это имеет для вас значение, подходит определенное время (заканчивается срок действия ключей), и клиенту программа предлагает сгенерировать новый ключ, что собственно клиент и делает, ну а как попадает, я уже писал.
Гаврилова Екатерина Offline
#15 Оставлено : 17 декабря 2008 г. 17:14:13(UTC)
Ранг: Эксперт

Группы: Администратор форума, Сотрудник СКБ Контур
Зарегистрирован: 29.04.2005(UTC)
Сообщений: 2 003
Откуда: Екатеринбург

Поблагодарили: 95 раз в 87 постах
Раньше абоненты работали только с дискетами, на которые записывался только один сертификат и ключ для одной организации, не использовали ни рутокены, ни флэшки и абонентам было очень неудобно для просмотра старых отчетов все время менять дискеты, тем более, когда организаций несколько и обслуживаются они не один год. Тогда предлагалось поставить старые ключи в реестр, при этом безопасность не страдала, так как со старым сертификаом вход в КЭ невозможен.
Сейчас в Вашей ситуации есть альтернатива использования реестра, об этом я писала выше, можно использовать флэшку или рутокен, на которые записать необходимое количество ключей, и удалить настроенный реестр. Если Вы не знаете, как это сделать, напишите, выложим пошаговую инструкцию.
Вопрос ведь, в сущности, решен, для чего столько эмоций?
С уважением, Гаврилова Екатерина
spp@support.kontur-extern.ru
XaupacT Offline
#17 Оставлено : 17 декабря 2008 г. 17:16:41(UTC)
XaupacT

Ранг: Активист

Группы: Представитель Спец. Оператора Связи
Зарегистрирован: 25.01.2007(UTC)
Сообщений: 1 905
Откуда: Казань

Сказал «Спасибо»: 36 раз
Поблагодарили: 60 раз в 53 постах
Топик -- тема, которая обсуждается, включая ответы в обсуждении.

Период имеет значение, чтобы знать как часто в течении года делает данную операцию клиент. Каждый день -- 1-2-3 раза сказали по телефону, что выбирать необходимо Дисковод. Раз в год -- тоже не проблема 1 раз в год (1 раз!!!) сказать что нужно сделать.
Цитата:
Проблемы не у НАС, а у КЛИЕНТА которые ВЫ создаете своим реестром
очень интересна реплика))
Проблема у клиента -- проблема у поставщика услуг, разве нет?
Реестр -- он не наш, смотрите сообщение #11
И в конце концов, что ВАМ мешает в ВАШЕМ мануале прописать "Выбирайте Дисковод А"?

Да, и ответьте на пост #9

UPDСмысла с Вами спорить нет. Вам уже все возможное написали.
С уважением, Гарипов Айрат,
СОС ООО "Центр Электронных Услуг"
По Республике Татарстан.

Успеха добивается лишь тот, кто действует


в скайпе
VTB_KLG Offline
#16 Оставлено : 17 декабря 2008 г. 23:04:33(UTC)
Ранг: Новичок

Группы: Участник
Зарегистрирован: 16.12.2008(UTC)
Сообщений: 11

Гаврилова Екатерина написал:
Раньше абоненты работали только с дискетами, на которые записывался только один сертификат и ключ для одной организации, не использовали ни рутокены, ни флэшки и абонентам было очень неудобно для просмотра старых отчетов все время менять дискеты, тем более, когда организаций несколько и обслуживаются они не один год. Тогда предлагалось поставить старые ключи в реестр, при этом безопасность не страдала, так как со старым сертификаом вход в КЭ невозможен.
Сейчас в Вашей ситуации есть альтернатива использования реестра, об этом я писала выше, можно использовать флэшку или рутокен, на которые записать необходимое количество ключей, и удалить настроенный реестр. Если Вы не знаете, как это сделать, напишите, выложим пошаговую инструкцию.
Вопрос ведь, в сущности, решен, для чего столько эмоций?

Я правильно понял? Вы хотите сказать, что в реестре находятся только старые ключи, а так бухгалтера используют дискету? Только я этого не заметил. Возникают вопросы: зачем тогда держать информацию в зашифрованном виде, если ключи из реестра легко воруются? Если летит реестр, как вы восстанавливаете старые ключи, у бухгалтера хранится кипа дискет? Мы реестр не используем, реестр не я настраивал, и не мне его удалять, писал уже #5.
VTB_KLG Offline
#18 Оставлено : 17 декабря 2008 г. 23:08:43(UTC)
Ранг: Новичок

Группы: Участник
Зарегистрирован: 16.12.2008(UTC)
Сообщений: 11

XaupacT написал:
Топик -- тема, которая обсуждается, включая ответы в обсуждении.

Период имеет значение, чтобы знать как часто в течении года делает данную операцию клиент. Каждый день -- 1-2-3 раза сказали по телефону, что выбирать необходимо Дисковод. Раз в год -- тоже не проблема 1 раз в год (1 раз!!!) сказать что нужно сделать.
Цитата:
Проблемы не у НАС, а у КЛИЕНТА которые ВЫ создаете своим реестром
очень интересна реплика))
Проблема у клиента -- проблема у поставщика услуг, разве нет?
Реестр -- он не наш, смотрите сообщение #11
И в конце концов, что ВАМ мешает в ВАШЕМ мануале прописать "Выбирайте Дисковод А"?

Да, и ответьте на пост #9

UPDСмысла с Вами спорить нет. Вам уже все возможное написали.

Представьте топик из 1000 постов, а вижу, уже исправились.
Вы часто встречали бухгалтеров читающие юзер мануалы? Реестр говорите не ваш, а что он сам там прописался? Так вот вы его поставили, вы и поставщик! Надеюсь в вашем мануале для клиента понятно написано, что это такое, и как легко воруется ключик из него. А пост #9, расцениваю как чистой воды флуд. Про ваших сотрудников я могу рассказать точно такие же истории. А ссылку на этот форум разве вы мне дали? Поиск рулит.
Evgeniy Ponomarev Offline
#19 Оставлено : 17 декабря 2008 г. 23:24:02(UTC)
Ранг: Участник

Группы: Представитель Спец. Оператора Связи, Участник
Зарегистрирован: 03.10.2006(UTC)
Сообщений: 53
Откуда: г. Ижевск

2ALL: Давайте на пару секунд отвлечемся от системы Конткр-Экстерн, Клиент-Банка и т.д.
Ситуация идеальная - ставится КриптоПро CSP версия 3 с желанием в дальнейшем хранить криптоключи в реестре Windows
Формуляр ЖТЯИ.00015-01 30 01 на СКЗИ КриптоПро CSP версии 3 написал:
...
Примечание. Допускается хранение закрытых ключей на HDD ПЭВМ для вариантов исполнения СКЗИ класса КС2 при условии распространения на ПЭВМ требований по обращению с ключевыми носителями.
...

Цитата:
Исполнение 6 - СКЗИ класса КС2, функционирующее под управлением ОС Windows 2000/XP/2003 (платформа IA32)

Цитата:
Вариант исполнения 6:
КриптоПро CSP. Базовые модули. ЖТЯИ.00015-01 99 01
Средство защиты от несанкционированного доступа.

Цитата:
В качестве средства защиты от несанкционированного доступа должен использоваться Программно-аппаратный комплекс с физическим датчиком случайных чисел "Соболь" версии 2.1 (УВАЛ.00300-58-01 ТУ, Сертификат соответствия СФ/027-0887 от 04.05.2006, действителен до 01.04.2010). Поставка - по согласованию с пользователем

Таким образом, чтобы хранить контейнер закрытого ключа в HDD ПЭВМ (в данном случае - реестр Windows) ЭВМ необходимо оборудовать ЭЗ Соболь. Других ограничений на использование реестра нет, за исключением локальных политик безопасности отдельных организаций.
И еще есть один замечательный документ (из многих), называемый "Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" в котором сказано:
Цитата:
45. Ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия).

Но в этом случае бухгалтерам не удастся через N лет расшифровать документы на сервере, потому и оставляют их на будущее. Минусы дискет думаю никому объяснять не нужно, eToken/ruToken далеко не каждый купит, остаются флешки/реестр/iButton/смарт-карты. Наиболее дешевым и простым является реестр, несмотря на ограничение Формуляра, поэтому туда и рекомендуют скопировать старые ключи. Кто хочет - покупает простейшую флешку за 300 руб. и хранит на ней. Минус флешки тоже думаю многим известен - Windows может присвоить ей разную букву и КриптоПро не найдет её. Таблетки и смарт-карты это для энтузиастов у которых как правило есть СКУД (Система контроля и управления доступом), т.е также не затрагивает бОльшую часть клиентов.

2VTB_KLG То, что ваши инструкции для пользователей не содержат пункта про выбор Ключевого носителя, это ваши проблемы. То, что советуем хранить ключи в реестре без должного контроля за СЗИ от НСД, это наша проблема. После объяснения этих нюансов клиенту и его согласия хранить в реестре, это его проблемы.
Пономарев Евгений Олегович
Научно-производственное предприятие "Ижинформпроект", Ижевск
VTB_KLG Offline
#20 Оставлено : 18 декабря 2008 г. 1:58:36(UTC)
Ранг: Новичок

Группы: Участник
Зарегистрирован: 16.12.2008(UTC)
Сообщений: 11

Вот это я понимаю, ответ! Пять баллов!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Гость
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Форум YAF | YAF © 2003-2011, Yet Another Forum.NET
Страница сгенерирована за 0,462 секунды.