Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Очень наболевший вопрос по работе ключей в сети
Статус: Участник
Группы: Участники
Зарегистрирован: 25.02.2020(UTC) Сообщений: 28  Сказал(а) «Спасибо»: 2 раз
|
Появилось несколько аладин ключей с не извлекаемой частью. Необходимо для начала пробросить их на виртуальный сервер со службой удаленных рабочих столов на которых крутится 1с. Которой и нужны эти клоючи. Через что это реализуется?
Вопрос номер два.Ключ один.Нужно вести учет доступа .. кто и что подписывал им в разных программах. А это через что реализовать?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,171  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 20 раз
Поблагодарили: 636 раз в 563 постах
|
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.02.2020(UTC) Сообщений: 28 Сказал(а) «Спасибо»: 2 раз
|
Автор: Максим Коллегин  вы серьезно насчет логов? вы ведущие разработчики ... вы не понимаете что ключ должен быть установлен на одну машину ... и при попытке подписать с другого компа должен прилетать запрос с отображением через гуи ..нажимаем подтвердить или запретить и в гуи же в журнал падает запись (типа комп адрес такой то, под учтной записью такой то на сайте или программе такойто) и ответка улетает обратно на компьютер в сети. это еще что за самодеятельность с вашей стороны? нет индикации использования ключа в реальном времени. да так фирму можно распродать одним ключом. а потом сидеть логи смотреть.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,171 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 20 раз
Поблагодарили: 636 раз в 563 постах
|
Спасибо за комплимент.
Вы первый, кто просит подобный функционал, но идею записал.
Вообще ключ доступен только в рамках RDP-сессии и только пользователю терминальной сессии. Зачем тут нужны дополнительные уведомления -- не очень понятно.
А если про режим с токенами в сервере -- то это техническое решение мы только проектируем. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 777 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 182 раз в 149 постах
|
Автор: greendrake вы серьезно насчет логов? вы ведущие разработчики ... вы не понимаете что ключ должен быть установлен на одну машину ... и при попытке подписать с другого компа должен прилетать запрос с отображением через гуи ..нажимаем подтвердить или запретить и в гуи же в журнал падает запись (типа комп адрес такой то, под учтной записью такой то на сайте или программе такойто) и ответка улетает обратно на компьютер в сети. это еще что за самодеятельность с вашей стороны? нет индикации использования ключа в реальном времени. да так фирму можно распродать одним ключом. а потом сидеть логи смотреть. Добрый день. Рутинно замечу, что токен является личным ключевым носителем, за который должен нести ответственность конкретный человек. Разделение его между разными пользователями - довольно опасная вещь. Доступ к токену осуществляется по конкретному протоколу, который не является большим секретом. По сути, если у нарушителя есть задача "распродать всю фирму", ничто не мешаеn ему написать на коленке свой простой клиент, который будет делать те же вызовы, что и CSP. Очень похоже, что вы пытаетесь решить свою задачу немного не тем средством. Если вам нужен механизм, в котором будет гарантированное подтверждение подписи конкретным человеком, а доступ к ключу при этом будет журналироваться и может быть в теории организован с удаленных систем, рассмотрите "КриптоПро DSS": http://dss.cryptopro.ru/ |
С уважением, Сергей Агафьин, Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь. Наша база знаний.
|
 1 пользователь поблагодарил Grey за этот пост.
|
nickm оставлено 18.01.2022(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.01.2022(UTC) Сообщений: 2 Откуда: Санкт-Петербург
|
Автор: Максим Коллегин Добрый день. Подскажите, статья в базе знаний [КриптоПро CSP c доступом к локальным смарт-картам по RDP], там есть фраза Цитата:"Учётная запись, которая обращается к локальным смарткартам, должна входить в локальную группу администраторов или «Привилегированные пользователи КриптоПро CSP» (CryptoPro CSP Power Users), которую можно создать при необходимости." а как создать эту группу????? Какие права выдавать? Выдававать "локального администратора" вообще не хочется. ЗЫ Проброс физических ключей на сервера отлично решается через [USB Redirector], тем более, что существует и прекрасно работает как для Win, так и для *nix систем.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,171 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 20 раз
Поблагодарили: 636 раз в 563 постах
|
Группу создавать стандартными средствами ОС:
Control Panel > Administrative Tools > Computer Management. Navigate to Local Users and Groups under Computer Management on the left panel. Click on Groups. Right-click on the middle panel and click on New Group… when the right-click menu appears.
Или net localgroup |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.01.2022(UTC) Сообщений: 2 Откуда: Санкт-Петербург
|
Автор: Максим Коллегин Группу создавать стандартными средствами ОС:
Control Panel > Administrative Tools > Computer Management. Navigate to Local Users and Groups under Computer Management on the left panel. Click on Groups. Right-click on the middle panel and click on New Group… when the right-click menu appears.
Или net localgroup Спасибо за развернутый ответ, можете уточнить, вы группу "ловите" только по названию?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,171 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 20 раз
Поблагодарили: 636 раз в 563 постах
|
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.02.2020(UTC) Сообщений: 28 Сказал(а) «Спасибо»: 2 раз
|
Автор: Grey Автор: greendrake вы серьезно насчет логов? вы ведущие разработчики ... вы не понимаете что ключ должен быть установлен на одну машину ... и при попытке подписать с другого компа должен прилетать запрос с отображением через гуи ..нажимаем подтвердить или запретить и в гуи же в журнал падает запись (типа комп адрес такой то, под учтной записью такой то на сайте или программе такойто) и ответка улетает обратно на компьютер в сети. это еще что за самодеятельность с вашей стороны? нет индикации использования ключа в реальном времени. да так фирму можно распродать одним ключом. а потом сидеть логи смотреть. Добрый день. Рутинно замечу, что токен является личным ключевым носителем, за который должен нести ответственность конкретный человек. Разделение его между разными пользователями - довольно опасная вещь. Доступ к токену осуществляется по конкретному протоколу, который не является большим секретом. По сути, если у нарушителя есть задача "распродать всю фирму", ничто не мешаеn ему написать на коленке свой простой клиент, который будет делать те же вызовы, что и CSP. Очень похоже, что вы пытаетесь решить свою задачу немного не тем средством. Если вам нужен механизм, в котором будет гарантированное подтверждение подписи конкретным человеком, а доступ к ключу при этом будет журналироваться и может быть в теории организован с удаленных систем, рассмотрите "КриптоПро DSS": http://dss.cryptopro.ru/ Хочу заметить что сдача отчетности на разных площадках и в разных программах ведется от имени директора. Половина известных мне порталов .. тоже директор. Подписант на торговые площадки .. тоже директор. И вообще у нас в России только директор имеет право подписывать документы от лица фирмы. Поэтому директор должен решать кому и где дать подпись, а кому запретить.
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,536 Откуда: Иркутская область Сказал(а) «Спасибо»: 105 раз
Поблагодарили: 375 раз в 354 постах
|
Цитата:Поэтому директор должен решать кому и где дать подпись, а кому запретить. В идеале директор должен сам подписывать. Еще вариант - завести заместителя. Не понимаю - на бумаге значит сам подписывает, а электронно подписать "не начальническое дело"? Если уж доверяет кому-то право подписи, то это и документально должно быть оформлено. Ничего не мешает на половине порталов (в том числе для отчетности Контур-Экстерне, приемки на госзакупках и торговых площадках) назначить ответственным другого и сделать на него отдельную подпись. Много случаев, где обязателен руководитель только для первого входа. Однако настроив первый вход перенастраивать уже часто становится лень. Из настаивающих на руководителе могу назвать только Росреестр (но там можно еще заместителя) и ФНС (с ними кое-где проходит и сертификат без ФИО, лишь бы был ОГРН).
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.02.2020(UTC) Сообщений: 28 Сказал(а) «Спасибо»: 2 раз
|
Автор: two_oceans Цитата:Поэтому директор должен решать кому и где дать подпись, а кому запретить. В идеале директор должен сам подписывать. Еще вариант - завести заместителя. Не понимаю - на бумаге значит сам подписывает, а электронно подписать "не начальническое дело"? Если уж доверяет кому-то право подписи, то это и документально должно быть оформлено. Ничего не мешает на половине порталов (в том числе для отчетности Контур-Экстерне, приемки на госзакупках и торговых площадках) назначить ответственным другого и сделать на него отдельную подпись. Много случаев, где обязателен руководитель только для первого входа. Однако настроив первый вход перенастраивать уже часто становится лень. Из настаивающих на руководителе могу назвать только Росреестр (но там можно еще заместителя) и ФНС (с ними кое-где проходит и сертификат без ФИО, лишь бы был ОГРН). завести заместителя это раз в месяц платить зп. оформить доверенности это не только трата денег в том числе и на дополнительные ключи, но и ежегодные "у меня все пропало нужно срочно оформлять новое". так что любой вариант из выше предложенного несет лишние затраты и опять таки потерю контроля за подписантами. в то время когда у директора стоит утилита с гуи .. ему прилетает запрос .. он видит от кого, куда ... и подписывает ... там же в утилите ведется журнал согласия или отказа ... офигенно элегантное решение которое уже давно должно быть сделано. причем и телодвижений много не понадобится зная функционал того что есть. но видимо удобство пользователей тут не главное. видимо есть какие-то другие заинтересованные лица чтоб такого не было.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 342
Сказал(а) «Спасибо»: 134 раз
Поблагодарили: 56 раз в 51 постах
|
Автор: greendrake в то время когда у директора стоит утилита с гуи .. ему прилетает запрос .. он видит от кого, куда ... и подписывает ... там же в утилите ведется журнал согласия или отказа ... офигенно элегантное решение которое уже давно должно быть сделано. Разве этим, всем перечисленным, должно заниматься СКЗИ? Этим занимается прикладное программное обеспечение, например, вышесказанное реализовано в различных СЭДО, например, в том же "СБИС-онлайн".
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,536 Откуда: Иркутская область Сказал(а) «Спасибо»: 105 раз
Поблагодарили: 375 раз в 354 постах
|
Автор: nickm Разве этим, всем перечисленным, должно заниматься СКЗИ? Ну может и не само СКЗИ, а, например, плагины. Заметьте, что про подписание документов по удаленной схеме я не особо идею поддерживаю - директор может и прогуляться к рабочему месту, скажем, бухгалтера. Не так много документов в день подписывается у малой или средней организации, а крупные наверняка назначат ответственных на каждый участок. Другое дело вход на порталы, с ними реально не набегаешься, некоторые выкидывают минут через 15. С порталами, возможно как раз бы пригодилось на уровне плагина. Подскажите мне - ведь в теории плагин и расширение браузера не обязательно должны быть на одном компьютере? Если бы можно было, скажем, установить соединение расширения с плагином на другом компьютере, на стороне плагина - отображение подписываемых данных и подтверждение (и сам контейнер там же), это было бы весьма интересное решение. Хотя... это уже на 90% смахивает на токен в активном режиме с кнопкой. Отредактировано пользователем 21 января 2022 г. 8:12:50(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 342
Сказал(а) «Спасибо»: 134 раз
Поблагодарили: 56 раз в 51 постах
|
Автор: two_oceans Подскажите мне - ведь в теории плагин и расширение браузера не обязательно должны быть на одном компьютере? Если бы можно было, скажем, установить соединение расширения с плагином на другом компьютере, на стороне плагина - отображение подписываемых данных и подтверждение (и сам контейнер там же), это было бы весьма интересное решение. Именно так и работает функционал вышеупомянутого Мною СБИС'а. На одном из АРМ плагин и носитель подписи - пусть будет АРМ начальника, все настройки в системе СБИС - например, отложенная подпись по доверенности, а отправлять документы на подпись можно с любого АРМ с доступом к сети "Интернет".
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.02.2020(UTC) Сообщений: 28 Сказал(а) «Спасибо»: 2 раз
|
Автор: nickm Автор: greendrake в то время когда у директора стоит утилита с гуи .. ему прилетает запрос .. он видит от кого, куда ... и подписывает ... там же в утилите ведется журнал согласия или отказа ... офигенно элегантное решение которое уже давно должно быть сделано. Разве этим, всем перечисленным, должно заниматься СКЗИ? Этим занимается прикладное программное обеспечение, например, вышесказанное реализовано в различных СЭДО, например, в том же "СБИС-онлайн". я рад что в вашем мире пони какают радугой. а в моем мире 13 .. и еще 4 на согласовании разнородных платформ для подписи. часть из них прикрываются "вы должны купить наш ключ для подписи в футляре от порше иначе вы не сможете тут ничего сделать". на опрос почему мы это так должны .. получаем ответ "что так есть гарантия что подписывает только тот у кого есть физический ключ". и сбис с порталами это еще цветочки. самописные программы от госорганов, банки, торговые площадки ... мы уже в год вываливаем больше 100 тысяч за весь этот разовый шлак. Для того чтоб четко понимать что было не сделано в сбисе - отсутствует считыватель "сетевое хранилище с запросом на подпись" - отсутствует протокол передачи данных к этому хранилищу - отсуствует гуи надстройка для подписанта в сети у которого и находится сетевое хранилище на компьютере ... о Боже! да тут любой студент такое за неделю накатает.
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,536 Откуда: Иркутская область Сказал(а) «Спасибо»: 105 раз
Поблагодарили: 375 раз в 354 постах
|
Автор: greendrake о Боже! да тут любой студент такое за неделю накатает. Особенно за 100 тысяч. Вперед!
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 342
Сказал(а) «Спасибо»: 134 раз
Поблагодарили: 56 раз в 51 постах
|
Автор: greendrake о Боже! Т.е. Вам хочется видеть универсальный софт для "удалённой"/ многопользовательской работы со СКЗИ с которым умели бы работать все возможные программы/ системы? Возможно такое и можно реализовать, только если это будет гос.заказ.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.02.2020(UTC) Сообщений: 28 Сказал(а) «Спасибо»: 2 раз
|
А что это тут у людей начинает подгорать?) Вроде должны радоваться что идея нужная. Все начать требовать чтоб ее реализовали. Это ж какая экноомия и удобство по работе с ключами у пользователя. Ан нет ... бомбит люд. Причину бомбежа услышать можно?)
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 318
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 35 раз в 32 постах
|
Автор: greendrake о Боже! да тут любой студент такое за неделю накатает. Автор: two_oceans Особенно за 100 тысяч. Вперед!  sad-cat-1.png (148kb) загружен 5 раз(а). |
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Очень наболевший вопрос по работе ключей в сети
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
