Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline greendrake  
#1 Оставлено : 18 января 2022 г. 5:37:36(UTC)
greendrake

Статус: Участник

Группы: Участники
Зарегистрирован: 25.02.2020(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Появилось несколько аладин ключей с не извлекаемой частью. Необходимо для начала пробросить их на виртуальный сервер со службой удаленных рабочих столов на которых крутится 1с. Которой и нужны эти клоючи. Через что это реализуется?

Вопрос номер два.Ключ один.Нужно вести учет доступа .. кто и что подписывал им в разных программах. А это через что реализовать?
Offline Максим Коллегин  
#2 Оставлено : 18 января 2022 г. 10:17:50(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,171
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 20 раз
Поблагодарили: 636 раз в 563 постах
Ключи пробрасываются с клиента на сервер с помощью mstsc стандартно, часто возникает обратная задача, которую пока можно решать так, но мы готовим более удобное решение.
https://support.cryptopr...loklnym-smrt-krtm-po-rdp
Для второй -- воспользоваться возможностями аудита КриптоПро CSP.
Записей в журнале будет много, но извлечь нужные при необходимости несложно.
https://www.cryptopro.ru...%82%D0%B8.%20Windows.pdf
Приложение Б
Управление протоколированием


Начать можно с таких параметров:
Код:
csp = 0x07000000 
Знания в базе знаний, поддержка в техподдержке
Offline greendrake  
#3 Оставлено : 18 января 2022 г. 10:30:13(UTC)
greendrake

Статус: Участник

Группы: Участники
Зарегистрирован: 25.02.2020(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Максим Коллегин Перейти к цитате
Ключи пробрасываются с клиента на сервер с помощью mstsc стандартно, часто возникает обратная задача, которую пока можно решать так, но мы готовим более удобное решение.
https://support.cryptopr...loklnym-smrt-krtm-po-rdp
Для второй -- воспользоваться возможностями аудита КриптоПро CSP.
Записей в журнале будет много, но извлечь нужные при необходимости несложно.
https://www.cryptopro.ru...%82%D0%B8.%20Windows.pdf
Приложение Б
Управление протоколированием


Начать можно с таких параметров:
Код:
csp = 0x07000000 


вы серьезно насчет логов? вы ведущие разработчики ... вы не понимаете что ключ должен быть установлен на одну машину ... и при попытке подписать с другого компа должен прилетать запрос с отображением через гуи ..нажимаем подтвердить или запретить и в гуи же в журнал падает запись (типа комп адрес такой то, под учтной записью такой то на сайте или программе такойто) и ответка улетает обратно на компьютер в сети. это еще что за самодеятельность с вашей стороны? нет индикации использования ключа в реальном времени. да так фирму можно распродать одним ключом. а потом сидеть логи смотреть.
Offline Максим Коллегин  
#4 Оставлено : 18 января 2022 г. 10:55:37(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,171
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 20 раз
Поблагодарили: 636 раз в 563 постах
Спасибо за комплимент.
Вы первый, кто просит подобный функционал, но идею записал.
Вообще ключ доступен только в рамках RDP-сессии и только пользователю терминальной сессии. Зачем тут нужны дополнительные уведомления -- не очень понятно.

А если про режим с токенами в сервере -- то это техническое решение мы только проектируем.
Знания в базе знаний, поддержка в техподдержке
Offline Grey  
#5 Оставлено : 18 января 2022 г. 14:20:44(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 777
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 182 раз в 149 постах
Автор: greendrake Перейти к цитате
вы серьезно насчет логов? вы ведущие разработчики ... вы не понимаете что ключ должен быть установлен на одну машину ... и при попытке подписать с другого компа должен прилетать запрос с отображением через гуи ..нажимаем подтвердить или запретить и в гуи же в журнал падает запись (типа комп адрес такой то, под учтной записью такой то на сайте или программе такойто) и ответка улетает обратно на компьютер в сети. это еще что за самодеятельность с вашей стороны? нет индикации использования ключа в реальном времени. да так фирму можно распродать одним ключом. а потом сидеть логи смотреть.

Добрый день.

Рутинно замечу, что токен является личным ключевым носителем, за который должен нести ответственность конкретный человек. Разделение его между разными пользователями - довольно опасная вещь.

Доступ к токену осуществляется по конкретному протоколу, который не является большим секретом. По сути, если у нарушителя есть задача "распродать всю фирму", ничто не мешаеn ему написать на коленке свой простой клиент, который будет делать те же вызовы, что и CSP.

Очень похоже, что вы пытаетесь решить свою задачу немного не тем средством. Если вам нужен механизм, в котором будет гарантированное подтверждение подписи конкретным человеком, а доступ к ключу при этом будет журналироваться и может быть в теории организован с удаленных систем, рассмотрите "КриптоПро DSS": http://dss.cryptopro.ru/
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Grey за этот пост.
nickm оставлено 18.01.2022(UTC)
Offline MDeGa32  
#6 Оставлено : 20 января 2022 г. 12:37:30(UTC)
MDeGa32

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2022(UTC)
Сообщений: 2
Российская Федерация
Откуда: Санкт-Петербург

Автор: Максим Коллегин Перейти к цитате
Ключи пробрасываются с клиента на сервер с помощью mstsc стандартно, часто возникает обратная задача, которую пока можно решать так, но мы готовим более удобное решение.
https://support.cryptopr...loklnym-smrt-krtm-po-rdp
Для второй -- воспользоваться возможностями аудита КриптоПро CSP.
Записей в журнале будет много, но извлечь нужные при необходимости несложно.
https://www.cryptopro.ru...%82%D0%B8.%20Windows.pdf
Приложение Б
Управление протоколированием


Начать можно с таких параметров:
Код:
csp = 0x07000000 


Добрый день. Подскажите, статья в базе знаний [КриптоПро CSP c доступом к локальным смарт-картам по RDP],
там есть фраза
Цитата:
"Учётная запись, которая обращается к локальным смарткартам, должна входить в локальную группу администраторов или «Привилегированные пользователи КриптоПро CSP» (CryptoPro CSP Power Users), которую можно создать при необходимости."

а как создать эту группу????? Какие права выдавать? Выдававать "локального администратора" вообще не хочется.

ЗЫ Проброс физических ключей на сервера отлично решается через [USB Redirector], тем более, что существует и прекрасно работает как для Win, так и для *nix систем.
Offline Максим Коллегин  
#7 Оставлено : 20 января 2022 г. 12:51:24(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,171
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 20 раз
Поблагодарили: 636 раз в 563 постах
Группу создавать стандартными средствами ОС:
Control Panel > Administrative Tools > Computer Management. Navigate to Local Users and Groups under Computer Management on the left panel. Click on Groups. Right-click on the middle panel and click on New Group… when the right-click menu appears.
Или net localgroup
Знания в базе знаний, поддержка в техподдержке
Offline MDeGa32  
#8 Оставлено : 20 января 2022 г. 14:52:00(UTC)
MDeGa32

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2022(UTC)
Сообщений: 2
Российская Федерация
Откуда: Санкт-Петербург

Автор: Максим Коллегин Перейти к цитате
Группу создавать стандартными средствами ОС:
Control Panel > Administrative Tools > Computer Management. Navigate to Local Users and Groups under Computer Management on the left panel. Click on Groups. Right-click on the middle panel and click on New Group… when the right-click menu appears.
Или net localgroup


Спасибо за развернутый ответ, можете уточнить, вы группу "ловите" только по названию?
Offline Максим Коллегин  
#9 Оставлено : 20 января 2022 г. 15:30:37(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,171
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 20 раз
Поблагодарили: 636 раз в 563 постах
Да.
Знания в базе знаний, поддержка в техподдержке
Offline greendrake  
#10 Оставлено : 21 января 2022 г. 2:02:55(UTC)
greendrake

Статус: Участник

Группы: Участники
Зарегистрирован: 25.02.2020(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Grey Перейти к цитате
Автор: greendrake Перейти к цитате
вы серьезно насчет логов? вы ведущие разработчики ... вы не понимаете что ключ должен быть установлен на одну машину ... и при попытке подписать с другого компа должен прилетать запрос с отображением через гуи ..нажимаем подтвердить или запретить и в гуи же в журнал падает запись (типа комп адрес такой то, под учтной записью такой то на сайте или программе такойто) и ответка улетает обратно на компьютер в сети. это еще что за самодеятельность с вашей стороны? нет индикации использования ключа в реальном времени. да так фирму можно распродать одним ключом. а потом сидеть логи смотреть.

Добрый день.

Рутинно замечу, что токен является личным ключевым носителем, за который должен нести ответственность конкретный человек. Разделение его между разными пользователями - довольно опасная вещь.

Доступ к токену осуществляется по конкретному протоколу, который не является большим секретом. По сути, если у нарушителя есть задача "распродать всю фирму", ничто не мешаеn ему написать на коленке свой простой клиент, который будет делать те же вызовы, что и CSP.

Очень похоже, что вы пытаетесь решить свою задачу немного не тем средством. Если вам нужен механизм, в котором будет гарантированное подтверждение подписи конкретным человеком, а доступ к ключу при этом будет журналироваться и может быть в теории организован с удаленных систем, рассмотрите "КриптоПро DSS": http://dss.cryptopro.ru/


Хочу заметить что сдача отчетности на разных площадках и в разных программах ведется от имени директора. Половина известных мне порталов .. тоже директор. Подписант на торговые площадки .. тоже директор. И вообще у нас в России только директор имеет право подписывать документы от лица фирмы. Поэтому директор должен решать кому и где дать подпись, а кому запретить.
Offline two_oceans  
#11 Оставлено : 21 января 2022 г. 4:56:08(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,536
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 105 раз
Поблагодарили: 375 раз в 354 постах
Цитата:
Поэтому директор должен решать кому и где дать подпись, а кому запретить.
В идеале директор должен сам подписывать. Еще вариант - завести заместителя. Не понимаю - на бумаге значит сам подписывает, а электронно подписать "не начальническое дело"?

Если уж доверяет кому-то право подписи, то это и документально должно быть оформлено. Ничего не мешает на половине порталов (в том числе для отчетности Контур-Экстерне, приемки на госзакупках и торговых площадках) назначить ответственным другого и сделать на него отдельную подпись. Много случаев, где обязателен руководитель только для первого входа. Однако настроив первый вход перенастраивать уже часто становится лень. Из настаивающих на руководителе могу назвать только Росреестр (но там можно еще заместителя) и ФНС (с ними кое-где проходит и сертификат без ФИО, лишь бы был ОГРН).
Offline greendrake  
#12 Оставлено : 21 января 2022 г. 7:31:56(UTC)
greendrake

Статус: Участник

Группы: Участники
Зарегистрирован: 25.02.2020(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: two_oceans Перейти к цитате
Цитата:
Поэтому директор должен решать кому и где дать подпись, а кому запретить.
В идеале директор должен сам подписывать. Еще вариант - завести заместителя. Не понимаю - на бумаге значит сам подписывает, а электронно подписать "не начальническое дело"?

Если уж доверяет кому-то право подписи, то это и документально должно быть оформлено. Ничего не мешает на половине порталов (в том числе для отчетности Контур-Экстерне, приемки на госзакупках и торговых площадках) назначить ответственным другого и сделать на него отдельную подпись. Много случаев, где обязателен руководитель только для первого входа. Однако настроив первый вход перенастраивать уже часто становится лень. Из настаивающих на руководителе могу назвать только Росреестр (но там можно еще заместителя) и ФНС (с ними кое-где проходит и сертификат без ФИО, лишь бы был ОГРН).


завести заместителя это раз в месяц платить зп. оформить доверенности это не только трата денег в том числе и на дополнительные ключи, но и ежегодные "у меня все пропало нужно срочно оформлять новое". так что любой вариант из выше предложенного несет лишние затраты и опять таки потерю контроля за подписантами. в то время когда у директора стоит утилита с гуи .. ему прилетает запрос .. он видит от кого, куда ... и подписывает ... там же в утилите ведется журнал согласия или отказа ... офигенно элегантное решение которое уже давно должно быть сделано. причем и телодвижений много не понадобится зная функционал того что есть. но видимо удобство пользователей тут не главное. видимо есть какие-то другие заинтересованные лица чтоб такого не было.
Online nickm  
#13 Оставлено : 21 января 2022 г. 7:44:27(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 342

Сказал(а) «Спасибо»: 134 раз
Поблагодарили: 56 раз в 51 постах
Автор: greendrake Перейти к цитате
в то время когда у директора стоит утилита с гуи .. ему прилетает запрос .. он видит от кого, куда ... и подписывает ... там же в утилите ведется журнал согласия или отказа ... офигенно элегантное решение которое уже давно должно быть сделано.


Разве этим, всем перечисленным, должно заниматься СКЗИ?

Этим занимается прикладное программное обеспечение, например, вышесказанное реализовано в различных СЭДО, например, в том же "СБИС-онлайн".

Offline two_oceans  
#14 Оставлено : 21 января 2022 г. 8:10:16(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,536
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 105 раз
Поблагодарили: 375 раз в 354 постах
Автор: nickm Перейти к цитате
Разве этим, всем перечисленным, должно заниматься СКЗИ?
Ну может и не само СКЗИ, а, например, плагины.
Заметьте, что про подписание документов по удаленной схеме я не особо идею поддерживаю - директор может и прогуляться к рабочему месту, скажем, бухгалтера. Не так много документов в день подписывается у малой или средней организации, а крупные наверняка назначат ответственных на каждый участок. Другое дело вход на порталы, с ними реально не набегаешься, некоторые выкидывают минут через 15. С порталами, возможно как раз бы пригодилось на уровне плагина.

Подскажите мне - ведь в теории плагин и расширение браузера не обязательно должны быть на одном компьютере? Если бы можно было, скажем, установить соединение расширения с плагином на другом компьютере, на стороне плагина - отображение подписываемых данных и подтверждение (и сам контейнер там же), это было бы весьма интересное решение. Хотя... это уже на 90% смахивает на токен в активном режиме с кнопкой.

Отредактировано пользователем 21 января 2022 г. 8:12:50(UTC)  | Причина: Не указана

Online nickm  
#15 Оставлено : 21 января 2022 г. 8:31:10(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 342

Сказал(а) «Спасибо»: 134 раз
Поблагодарили: 56 раз в 51 постах
Автор: two_oceans Перейти к цитате
Подскажите мне - ведь в теории плагин и расширение браузера не обязательно должны быть на одном компьютере? Если бы можно было, скажем, установить соединение расширения с плагином на другом компьютере, на стороне плагина - отображение подписываемых данных и подтверждение (и сам контейнер там же), это было бы весьма интересное решение.


Именно так и работает функционал вышеупомянутого Мною СБИС'а.

На одном из АРМ плагин и носитель подписи - пусть будет АРМ начальника, все настройки в системе СБИС - например, отложенная подпись по доверенности, а отправлять документы на подпись можно с любого АРМ с доступом к сети "Интернет".

Offline greendrake  
#16 Оставлено : 21 января 2022 г. 9:52:51(UTC)
greendrake

Статус: Участник

Группы: Участники
Зарегистрирован: 25.02.2020(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: nickm Перейти к цитате
Автор: greendrake Перейти к цитате
в то время когда у директора стоит утилита с гуи .. ему прилетает запрос .. он видит от кого, куда ... и подписывает ... там же в утилите ведется журнал согласия или отказа ... офигенно элегантное решение которое уже давно должно быть сделано.


Разве этим, всем перечисленным, должно заниматься СКЗИ?

Этим занимается прикладное программное обеспечение, например, вышесказанное реализовано в различных СЭДО, например, в том же "СБИС-онлайн".



я рад что в вашем мире пони какают радугой. а в моем мире 13 .. и еще 4 на согласовании разнородных платформ для подписи. часть из них прикрываются "вы должны купить наш ключ для подписи в футляре от порше иначе вы не сможете тут ничего сделать". на опрос почему мы это так должны .. получаем ответ "что так есть гарантия что подписывает только тот у кого есть физический ключ". и сбис с порталами это еще цветочки. самописные программы от госорганов, банки, торговые площадки ... мы уже в год вываливаем больше 100 тысяч за весь этот разовый шлак.

Для того чтоб четко понимать что было не сделано в сбисе
- отсутствует считыватель "сетевое хранилище с запросом на подпись"
- отсутствует протокол передачи данных к этому хранилищу
- отсуствует гуи надстройка для подписанта в сети у которого и находится сетевое хранилище на компьютере ... о Боже! да тут любой студент такое за неделю накатает.
Offline two_oceans  
#17 Оставлено : 21 января 2022 г. 9:58:38(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,536
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 105 раз
Поблагодарили: 375 раз в 354 постах
Автор: greendrake Перейти к цитате
о Боже! да тут любой студент такое за неделю накатает.
Особенно за 100 тысяч. Вперед!

Online nickm  
#18 Оставлено : 21 января 2022 г. 10:38:46(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 342

Сказал(а) «Спасибо»: 134 раз
Поблагодарили: 56 раз в 51 постах
Автор: greendrake Перейти к цитате
о Боже!


Т.е. Вам хочется видеть универсальный софт для "удалённой"/ многопользовательской работы со СКЗИ с которым умели бы работать все возможные программы/ системы?

Возможно такое и можно реализовать, только если это будет гос.заказ.

Offline greendrake  
#19 Оставлено : 21 января 2022 г. 10:45:02(UTC)
greendrake

Статус: Участник

Группы: Участники
Зарегистрирован: 25.02.2020(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
А что это тут у людей начинает подгорать?) Вроде должны радоваться что идея нужная. Все начать требовать чтоб ее реализовали. Это ж какая экноомия и удобство по работе с ключами у пользователя. Ан нет ... бомбит люд. Причину бомбежа услышать можно?)
Offline TolikTipaTut1  
#20 Оставлено : 21 января 2022 г. 12:19:23(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 318

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 35 раз в 32 постах
Автор: greendrake Перейти к цитате
о Боже! да тут любой студент такое за неделю накатает.

Автор: two_oceans Перейти к цитате
Особенно за 100 тысяч. Вперед!

sad-cat-1.png (148kb) загружен 5 раз(а).
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.