Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

5 Страницы<1234>»
Опции
К последнему сообщению К первому непрочитанному
Offline nomhoi  
#11 Оставлено : 5 ноября 2020 г. 11:38:01(UTC)
nomhoi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2020(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Спасибо. Сказал руководству обратиться к юристу специализирующемуся по данной теме, проконсультироваться.

Нам нужно обеспечить требования ФЗ-44, в соотвествии с таким приказом: Приказ Федерального казначейства от 30 декабря 2015 г. N 27н "Об утверждении Порядка регистрации в единой информационной системе в сфере закупок и признании утратившим силу приказа Федерального казначейства от 25 марта 2014 г. N 4н"

Пока созрел такой план реализации с использованием Django.

Допустим урл страницы для входа по ЭЦП будет /accounts/fz44/.
По запросу будет генерироваться уникальная строка и сохраняться в переменной 'state' сессии django. state будет передана вместе со страницей браузеру. js-приложение будет создано с помощью
https://github.com/vgoma/crypto-pro.
С помощью js приложения и браузерного плагина строка state будет подписана, state с подписью будет отправлен бэкенду по нажатию кнопки на форме.
В django-проекте будет создан собственный аутентификационный бэкенд, который будет обращаться к приложению на С, которое будет выполнять верификацию подписи. Здесь же, в этом бэкенде, выполнится сверка переменной state. Если верификация подписи проходит, то пользователь авторизуется.

В соответствии с этим приказом нужно будет добавить три группы пользователей: Администратор, Дополнительный администратор, Уполномоченный сотрудник. В django есть возможность создания групп пользователей с определенными правами. Эти группы не должны иметь статус "is staff".
Offline nikolkas_spb  
#12 Оставлено : 6 ноября 2020 г. 8:58:30(UTC)
nikolkas_spb

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.01.2017(UTC)
Сообщений: 219
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
Добрый бесплатный совет.
Юрист смотрит со своей поляны. Ты смотри со своей поляны. Он может не знать о приказах ФСТЭК и ФСБ, скорее всего так и есть.
Поэтому, смотри сам и думай сам. На юристов в это вопросе надежды нет, они не безопасники.
Цена свободы - вечная бдительность!
thanks 1 пользователь поблагодарил nikolkas_spb за этот пост.
nomhoi оставлено 27.11.2020(UTC)
Offline nomhoi  
#13 Оставлено : 27 ноября 2020 г. 11:37:13(UTC)
nomhoi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2020(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Автор: nikolkas_spb Перейти к цитате
Добрый бесплатный совет.
Юрист смотрит со своей поляны. Ты смотри со своей поляны. Он может не знать о приказах ФСТЭК и ФСБ, скорее всего так и есть.

Спасибо за совет. Имел в виду таких юристов, которые разбираются в данном вопросе. Хотя, возможно, врядли есть юристы, которые хорошо разбираются в таких технических деталях.
Цитата:

Поэтому, смотри сам и думай сам. На юристов в это вопросе надежды нет, они не безопасники.

Я так понял, у нас будет аппаратный сертифицированный VPN - випнет. И будет выполняться аттестация системы.

Отредактировано пользователем 27 ноября 2020 г. 11:39:26(UTC)  | Причина: Не указана

Offline nomhoi  
#14 Оставлено : 27 ноября 2020 г. 11:49:39(UTC)
nomhoi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2020(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Автор: two_oceans Перейти к цитате

5. Сертификат сопоставляется сервером по БД с пользователем конкретной информационной системы (сайта). Это идентификация пользователя. При регистрации/редактировании пользователя должны быть заранее указаны какие-то характерные поля сертификата (отпечаток сертификата - для запрета входа другими сертификатами того же человека - ЕИС не руководитель; ФИО, снилс - госуслуги, ЕИС руководитель; инн, огрн, огрнип - сайты ФНС; дополнительно специальное назначение сертификата - Росреестр; дополнительно должность/логин пользователя - СУФД; дополнительно код организации - старые сертификаты ЕИС). Идентификатор ключа из сертификата использовать не рекомендуется, так как теоретически его можно подделать.


Тут мне кажется, что если подписывать только state-код, то подменить можно и сертификат и данные сертификата.

Наверное, лучше сделать так: к state-коду присоединить данные сертификата, необходимые для идентификации, или сам сертификат, создать хэш, и потом этот хэш подписать. В бэкенде получить подпись и данные сертификата. Взять state-код из сессии, присоединить к нему полученные данные сертификата, создать хэш и выполнить верификацию по хэшу и подписи.

Полагаю, в этом случае можно быть уверенным, что полученные данные сертификата точно соответствуют сертификату, с помощью которого была выполнена подпись.

Отредактировано пользователем 27 ноября 2020 г. 11:51:51(UTC)  | Причина: Не указана

Offline nomhoi  
#15 Оставлено : 27 ноября 2020 г. 12:08:54(UTC)
nomhoi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2020(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Судя по этой теме: https://www.cryptopro.ru...aspx?g=posts&t=14636
можно однозначно идентифицировать пользователя по отпечатку сертификата, т.е. выполнять поиск по БД по этому отпечатку. Поле SHA1 Hash в сертификате.
Offline nomhoi  
#16 Оставлено : 27 ноября 2020 г. 12:12:19(UTC)
nomhoi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2020(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Ну и поскольку отпечаток создается по всем данным сертификата, то к state-коду можно присоединять только этот отпечаток.
И тогда можно не создавать после присоединения хэш. state+отпечаток и так будет похож на хэш и его можно будет сразу подписывать.
Хэш поверх хэша вроде как нехорошо делать.

Отредактировано пользователем 27 ноября 2020 г. 12:15:45(UTC)  | Причина: Не указана

Offline nomhoi  
#17 Оставлено : 27 ноября 2020 г. 12:39:05(UTC)
nomhoi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2020(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
С другой стороны можно и отпечаток подставить другой.
Можно ли с помощью браузерного плагина добавить сертфикат в подпись в момент создания подписи?
Offline two_oceans  
#18 Оставлено : 27 ноября 2020 г. 12:42:53(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Зачем что-то присоединять, тем более постоянную часть? Другим сертификатом просто не проверится подпись, так как открытые ключи разные в сертификатах. Поэтому подмена сертификата ничего не дает. Вы в курсе как во вторую мировую вскрывали шифр машинки Энигма? Немцы тупо писали в начале каждого шифрованного сообщения что-то типа "Дорогой господин" - фиксированную фразу, что давало возможность подбирать ключ пока не получится эта фраза.

Поэтому добавлять постоянную фразу вредно, весь смысл чтобы стейт был целиком неизвестным заранее (случайно сгенерированным, например). Как вариант, может быть хэшем от соединения нескольких меняющихся частей, ведь хэш сложно спрогнозировать, если хотя бы одна часть неизвестна. Однако хэш от одной строки (даже будь она соединением нескольких) одинаков и прогнозируем.

Искать отпечатку в БД достаточно и можно, все верно. Вопрос в продлении сертификата через год - если привязаться к отпечатку, то через год к аккаунту надо будет как-то привязывать новый сертификат, специальную страницу, например, процедуру подтверждения администратором. А если к аккаунту прописать снилс, то можно будет автоматом опознать что пользователь продлил сертификат по соответствующим полям нового сертификата. Выбор за Вами, но однозначно удобнее не привязываться к конкретному отпечатку.
Цитата:
Можно ли с помощью браузерного плагина добавить сертфикат в подпись в момент создания подписи?
Да, использовать cades. Скорее тогда не получится сделать без сертификата. Однако объем подписи будет несколько килобайт что неудобно. Обычно используют при аутентификации на странице Raw подпись до пары сотен байт, в ней нет сертификата.
Цитата:
хэш на хэш - нехорошо
Возможно это прочитали про зарубежные алгоритмы? потому что при формировании ключа которым шифруется контейнер из пароля в гост вычисляется 2000 раз хеш на хэш+соль. Главное не забывайте соль добавлять и хэш на хэш не проблема.

Отредактировано пользователем 27 ноября 2020 г. 13:33:05(UTC)  | Причина: Не указана

Offline nomhoi  
#19 Оставлено : 27 ноября 2020 г. 13:03:40(UTC)
nomhoi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2020(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
С помощью C API https://docs.cryptopro.ru/cades/reference/cadesc можно получить информацию о сертификате из подписи? Как это можно сделать?
Offline two_oceans  
#20 Оставлено : 27 ноября 2020 г. 13:13:15(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
По идее (плагином) после проверки Verify или CadesVerify должен стать доступен массив Signers подписи из которого можно получить сертификат.

Ах, другое API... после CadesVerifyMessage (или другой подходящей, смотрите по смыслу) получается CADES_VERIFICATION_INFO, в которой есть pSignerCert

MS API: CryptVerifyMessageSignature ppSignerCert

Отредактировано пользователем 27 ноября 2020 г. 13:20:05(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
5 Страницы<1234>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.