Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.10.2020(UTC) Сообщений: 58 Сказал(а) «Спасибо»: 10 раз
|
Спасибо. Сказал руководству обратиться к юристу специализирующемуся по данной теме, проконсультироваться. Нам нужно обеспечить требования ФЗ-44, в соотвествии с таким приказом: Приказ Федерального казначейства от 30 декабря 2015 г. N 27н "Об утверждении Порядка регистрации в единой информационной системе в сфере закупок и признании утратившим силу приказа Федерального казначейства от 25 марта 2014 г. N 4н" Пока созрел такой план реализации с использованием Django. Допустим урл страницы для входа по ЭЦП будет /accounts/fz44/. По запросу будет генерироваться уникальная строка и сохраняться в переменной 'state' сессии django. state будет передана вместе со страницей браузеру. js-приложение будет создано с помощью https://github.com/vgoma/crypto-pro.С помощью js приложения и браузерного плагина строка state будет подписана, state с подписью будет отправлен бэкенду по нажатию кнопки на форме. В django-проекте будет создан собственный аутентификационный бэкенд, который будет обращаться к приложению на С, которое будет выполнять верификацию подписи. Здесь же, в этом бэкенде, выполнится сверка переменной state. Если верификация подписи проходит, то пользователь авторизуется. В соответствии с этим приказом нужно будет добавить три группы пользователей: Администратор, Дополнительный администратор, Уполномоченный сотрудник. В django есть возможность создания групп пользователей с определенными правами. Эти группы не должны иметь статус "is staff".
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.01.2017(UTC) Сообщений: 219 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 11 раз Поблагодарили: 41 раз в 40 постах
|
Добрый бесплатный совет. Юрист смотрит со своей поляны. Ты смотри со своей поляны. Он может не знать о приказах ФСТЭК и ФСБ, скорее всего так и есть. Поэтому, смотри сам и думай сам. На юристов в это вопросе надежды нет, они не безопасники. |
Цена свободы - вечная бдительность! |
1 пользователь поблагодарил nikolkas_spb за этот пост.
|
nomhoi оставлено 27.11.2020(UTC)
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.10.2020(UTC) Сообщений: 58 Сказал(а) «Спасибо»: 10 раз
|
Автор: nikolkas_spb Добрый бесплатный совет. Юрист смотрит со своей поляны. Ты смотри со своей поляны. Он может не знать о приказах ФСТЭК и ФСБ, скорее всего так и есть. Спасибо за совет. Имел в виду таких юристов, которые разбираются в данном вопросе. Хотя, возможно, врядли есть юристы, которые хорошо разбираются в таких технических деталях. Цитата: Поэтому, смотри сам и думай сам. На юристов в это вопросе надежды нет, они не безопасники.
Я так понял, у нас будет аппаратный сертифицированный VPN - випнет. И будет выполняться аттестация системы. Отредактировано пользователем 27 ноября 2020 г. 11:39:26(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.10.2020(UTC) Сообщений: 58 Сказал(а) «Спасибо»: 10 раз
|
Автор: two_oceans 5. Сертификат сопоставляется сервером по БД с пользователем конкретной информационной системы (сайта). Это идентификация пользователя. При регистрации/редактировании пользователя должны быть заранее указаны какие-то характерные поля сертификата (отпечаток сертификата - для запрета входа другими сертификатами того же человека - ЕИС не руководитель; ФИО, снилс - госуслуги, ЕИС руководитель; инн, огрн, огрнип - сайты ФНС; дополнительно специальное назначение сертификата - Росреестр; дополнительно должность/логин пользователя - СУФД; дополнительно код организации - старые сертификаты ЕИС). Идентификатор ключа из сертификата использовать не рекомендуется, так как теоретически его можно подделать.
Тут мне кажется, что если подписывать только state-код, то подменить можно и сертификат и данные сертификата. Наверное, лучше сделать так: к state-коду присоединить данные сертификата, необходимые для идентификации, или сам сертификат, создать хэш, и потом этот хэш подписать. В бэкенде получить подпись и данные сертификата. Взять state-код из сессии, присоединить к нему полученные данные сертификата, создать хэш и выполнить верификацию по хэшу и подписи. Полагаю, в этом случае можно быть уверенным, что полученные данные сертификата точно соответствуют сертификату, с помощью которого была выполнена подпись. Отредактировано пользователем 27 ноября 2020 г. 11:51:51(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.10.2020(UTC) Сообщений: 58 Сказал(а) «Спасибо»: 10 раз
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.10.2020(UTC) Сообщений: 58 Сказал(а) «Спасибо»: 10 раз
|
Ну и поскольку отпечаток создается по всем данным сертификата, то к state-коду можно присоединять только этот отпечаток. И тогда можно не создавать после присоединения хэш. state+отпечаток и так будет похож на хэш и его можно будет сразу подписывать. Хэш поверх хэша вроде как нехорошо делать. Отредактировано пользователем 27 ноября 2020 г. 12:15:45(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.10.2020(UTC) Сообщений: 58 Сказал(а) «Спасибо»: 10 раз
|
С другой стороны можно и отпечаток подставить другой. Можно ли с помощью браузерного плагина добавить сертфикат в подпись в момент создания подписи?
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
Зачем что-то присоединять, тем более постоянную часть? Другим сертификатом просто не проверится подпись, так как открытые ключи разные в сертификатах. Поэтому подмена сертификата ничего не дает. Вы в курсе как во вторую мировую вскрывали шифр машинки Энигма? Немцы тупо писали в начале каждого шифрованного сообщения что-то типа "Дорогой господин" - фиксированную фразу, что давало возможность подбирать ключ пока не получится эта фраза. Поэтому добавлять постоянную фразу вредно, весь смысл чтобы стейт был целиком неизвестным заранее (случайно сгенерированным, например). Как вариант, может быть хэшем от соединения нескольких меняющихся частей, ведь хэш сложно спрогнозировать, если хотя бы одна часть неизвестна. Однако хэш от одной строки (даже будь она соединением нескольких) одинаков и прогнозируем. Искать отпечатку в БД достаточно и можно, все верно. Вопрос в продлении сертификата через год - если привязаться к отпечатку, то через год к аккаунту надо будет как-то привязывать новый сертификат, специальную страницу, например, процедуру подтверждения администратором. А если к аккаунту прописать снилс, то можно будет автоматом опознать что пользователь продлил сертификат по соответствующим полям нового сертификата. Выбор за Вами, но однозначно удобнее не привязываться к конкретному отпечатку. Цитата:Можно ли с помощью браузерного плагина добавить сертфикат в подпись в момент создания подписи? Да, использовать cades. Скорее тогда не получится сделать без сертификата. Однако объем подписи будет несколько килобайт что неудобно. Обычно используют при аутентификации на странице Raw подпись до пары сотен байт, в ней нет сертификата. Цитата:хэш на хэш - нехорошо Возможно это прочитали про зарубежные алгоритмы? потому что при формировании ключа которым шифруется контейнер из пароля в гост вычисляется 2000 раз хеш на хэш+соль. Главное не забывайте соль добавлять и хэш на хэш не проблема. Отредактировано пользователем 27 ноября 2020 г. 13:33:05(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.10.2020(UTC) Сообщений: 58 Сказал(а) «Спасибо»: 10 раз
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
По идее (плагином) после проверки Verify или CadesVerify должен стать доступен массив Signers подписи из которого можно получить сертификат. Ах, другое API... после CadesVerifyMessage (или другой подходящей, смотрите по смыслу) получается CADES_VERIFICATION_INFO, в которой есть pSignerCert MS API: CryptVerifyMessageSignature ppSignerCert Отредактировано пользователем 27 ноября 2020 г. 13:20:05(UTC)
| Причина: Не указана
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close