Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline te4min  
#1 Оставлено : 27 ноября 2014 г. 15:07:25(UTC)
te4min

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.11.2014(UTC)
Сообщений: 1
Российская Федерация
Откуда: СПб

Добрый день!
Какой на данный момент список поддерживаемых ридеров для уэк?
И есть ли возможность использовать ввод пароля с pin-pad (не через крипто про уэк), например с ACS acr89u-a1?
Offline Агафьин Сергей  
#2 Оставлено : 2 декабря 2014 г. 13:20:56(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Добрый день.
Список считывателей, работа которых проверена с УЭК: https://support.cryptopr...iderov-dlja-rboty-s-uehk

Возможность ввода ПИН через pin-pad не поддерживается.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline IvanovSV76  
#3 Оставлено : 11 декабря 2014 г. 6:33:17(UTC)
IvanovSV76

Статус: Участник

Группы: Участники
Зарегистрирован: 24.03.2014(UTC)
Сообщений: 12

Поблагодарили: 1 раз в 1 постах
По правилам УЭК должен обеспечиваться защищенный канал связи между ридером и ПИН-клавиатурой. Вывод - простой ридер, в котором пин мы заносим через обычную клавиатуру - какбе мало безопасен.
Ридеров с поддержкой пин-пада на рынке хватает. А вот профильных спецов у Криптопро похоже, что нет.
Хотя за чем они монополисту)))
Offline Агафьин Сергей  
#4 Оставлено : 11 декабря 2014 г. 13:25:22(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: IvanovSV76 Перейти к цитате
По правилам УЭК должен обеспечиваться защищенный канал связи между ридером и ПИН-клавиатурой.

Ридер в случае типичного использования УЭК является прозрачным каналом для передачи команд. Карта работает по защищенному каналу (ЗОС), который устанавливается после взаимной аутентификации карты и терминала, что в целом позволяет исключить MITM в обе стороны.
Автор: IvanovSV76 Перейти к цитате
Вывод - простой ридер, в котором пин мы заносим через обычную клавиатуру - какбе мало безопасен.

ПИН передается по ЗОС. До уровня ридера доходит открытая информация либо зашифрованные команды.
Автор: IvanovSV76 Перейти к цитате
Ридеров с поддержкой пин-пада на рынке хватает. А вот профильных спецов у Криптопро похоже, что нет.
Хотя за чем они монополисту)))

Было бы интересно послушать варианты использования ПИН-пад для повышения защищенности существующей схемы. Пока видится два:
1) ПИН вводится на ПИН-пад, передается по незащищенному каналу на сторону криптопровайдера, который устаналивается защищенный канал с картой через ПИН-пад.
2) Провайдер устанавливает защищенный канал с ПИН-падом. ПИН-пад устанавливает защищенный канал с картой (для этого, разумеется, сам ПИН-пад должен уметь выполнять подпись по ГОСТ Р 34.10-2001 и шифрование команд по ГОСТ 28147-89).

Первый пункт можно смело отбросить в силу незащищенности канала между ПИН и провайдером.
Для второго требуются устройства для ввода ПИН с реализованной криптографией и SDK, позволяющем реализовать ЗОС по спецификациям УЭК. К сожалению, избытка таких устройств на рынке что-то не наблюдается.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline IvanovSV76  
#5 Оставлено : 11 декабря 2014 г. 14:21:25(UTC)
IvanovSV76

Статус: Участник

Группы: Участники
Зарегистрирован: 24.03.2014(UTC)
Сообщений: 12

Поблагодарили: 1 раз в 1 постах
Автор: Grey Перейти к цитате

Автор: IvanovSV76 Перейти к цитате
Вывод - простой ридер, в котором пин мы заносим через обычную клавиатуру - какбе мало безопасен.

ПИН передается по ЗОС. До уровня ридера доходит открытая информация либо зашифрованные команды.
Автор: IvanovSV76 Перейти к цитате
Ридеров с поддержкой пин-пада на рынке хватает. А вот профильных спецов у Криптопро похоже, что нет.
Хотя за чем они монополисту)))

Было бы интересно послушать варианты использования ПИН-пад для повышения защищенности существующей схемы. Пока видится два:
1) ПИН вводится на ПИН-пад, передается по незащищенному каналу на сторону криптопровайдера, который устаналивается защищенный канал с картой через ПИН-пад.
2) Провайдер устанавливает защищенный канал с ПИН-падом. ПИН-пад устанавливает защищенный канал с картой (для этого, разумеется, сам ПИН-пад должен уметь выполнять подпись по ГОСТ Р 34.10-2001 и шифрование команд по ГОСТ 28147-89).
Первый пункт можно смело отбросить в силу незащищенности канала между ПИН и провайдером.
Для второго требуются устройства для ввода ПИН с реализованной криптографией и SDK, позволяющем реализовать ЗОС по спецификациям УЭК. К сожалению, избытка таких устройств на рынке что-то не наблюдается.

1) И обычный кейлоггер нам спокойно похищает информацию о пин-коде.
2) Обычный omnikey 3821. Физическая защита - считыватель и клавиатура внутри одного корпуса. Программная защита ввода пин-кода. Вполне поддерживается УЭК CSP, за исключением наличия пин-клавиатуры, которую випнет емнип смог реализовать. Соответствие спецификациям УЭК - я что-то сильно сомневаюсь, что передача нажатий клавиш с обычной клавиатурой защищена лучше.

Отредактировано пользователем 11 декабря 2014 г. 14:23:27(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#6 Оставлено : 11 декабря 2014 г. 14:44:59(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: IvanovSV76 Перейти к цитате

Обычный omnikey 3821. Физическая защита - считыватель и клавиатура внутри одного корпуса. Программная защита ввода пин-кода. Вполне поддерживается УЭК CSP, за исключением наличия пин-клавиатуры, которую випнет емнип смог реализовать. Соответствие спецификациям УЭК - я что-то сильно сомневаюсь, что передача нажатий клавиш с обычной клавиатурой защищена лучше.

Данный считыватель согласно своей спецификации поддерживает ввод ПИН в карты стандартов EMV и ISO7816. Поддержки защищенного канала я что-то не вижу. Поддержки криптографических алгоритмов тоже.

Обеспечить иллюзию безопасности, используя подобные средства, очень просто, но делать этого не хочется.

Почитайте про систему ЗОС УЭК (например, вот здесь http://www.slideshare.net/phdays/ss-13376335). Может, ряд вопросов отпадет сам собой.


С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline IvanovSV76  
#7 Оставлено : 11 декабря 2014 г. 15:27:24(UTC)
IvanovSV76

Статус: Участник

Группы: Участники
Зарегистрирован: 24.03.2014(UTC)
Сообщений: 12

Поблагодарили: 1 раз в 1 постах
Данный ридер поддерживает Secure PIN Entry (SPE, SPE-API)
http://www.cryptopro.ru/...sts&t=7922#post51184
Всяко безопаснее обычной клавиатуры.
Ряд вопросов по ссылке никак не отпадает. Учитывая, что ридер внезапно пригоден даже для банковских карт.
Открою вам страшную тайну, которые вы можете узнать на сайте zakupki.gov.ru
Народ покупает дешевые ридеры, и дешевые цифровые юсб-клавиатуры. Опять вспоминаем про существование кейлоггеров.

Да и в целом вопрос только в реализации протокола SPE, ибо по всем остальным характеристикам упомянутый ридер вполне соответствует и работает.
А учитывая многое из работоспособности и сертификации вашего софта (JCP, из-за которого мне теперь надо покупать криптопро+трастедджаву) - то все-таки складывается мнение, что дело не в
Цитата:
очень просто, но делать этого не хочется.

а несколько в другом.
Offline Агафьин Сергей  
#8 Оставлено : 12 декабря 2014 г. 15:42:16(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: IvanovSV76 Перейти к цитате
Данный ридер поддерживает Secure PIN Entry (SPE, SPE-API)
http://www.cryptopro.ru/...sts&t=7922#post51184
Всяко безопаснее обычной клавиатуры.

Еще раз. Для работы SPE необходимо, чтобы карта тоже поддерживала данную технологию. К сожалению, я нигде не видел в спецификациях УЭК подобных пунктов. Речь, конечно, не о платежном приложении, а о базовом ИД-приложении карты, которое хранит ключ электронной подписи. Ридер не может ввести ПИН, пока не установит защищенный канал с картой. Установить защищенный канал можно только после обоюдной аутентификации по отечественным алгоритмам и протоколу, разработанному самими производителями УЭК.

Автор: IvanovSV76 Перейти к цитате

Открою вам страшную тайну, которые вы можете узнать на сайте zakupki.gov.ru
Народ покупает дешевые ридеры, и дешевые цифровые юсб-клавиатуры. Опять вспоминаем про существование кейлоггеров.

Я все равно не понимаю архитектуры предлагаемого вами решения.
Ввести сразу ПИН в карту (как делает SPE), минуя ЭВМ, мы не можем, т.к. карта поддерживаем ввод ПИН только по шифрованному каналу.
ПИН, вводимый через защищенную клавиатуру и передаваемый по каким-то сложным протоколам на сторону провайдера, все равно попадет в память в открытом виде для того, чтобы затем быть зашифрованным на ключах ЗОС. Если в вашем предположении злоумышленник уже заразил терминальную систему (поставил туда кейлоггер), что мешает ему же дампить память или, того проще, подменить все библиотеки нашего провайдера своим (или даже просто чем-то фишинговым с аналогичными окнами), который, получив ПИН по защищенному каналу от считывателя, отправит его нарушителю по е-мейлу.

И, конечно, я уж молчу о том, что этот канал не будет защищен сертифицированной криптографией в силу отсутствия считывателей, умеющих выполнять требуемые преобразования. Есть наработки (см. Рутокен PINPad, например), но они не предоставляют на данный момент требуемой функциональности.

Разумеется, если я в чем-то ошибаюсь, можете поправить. В таком случае, улучшения в провайдере, разумеется, будут запланированы. Пока же, повторюсь, все эти модификации будут лишь имитацией реальной защиты. Если вы вводите какие-то чувствительные данные в недоверенную среду (потенциально зараженную трояном или кейлоггером), мало готовых решений, которые смогут вас обезопасить от каких-либо рисков.


С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.