Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Максимально-возможная скорость подписания
Статус: Участник
Группы: Участники
Зарегистрирован: 07.02.2014(UTC) Сообщений: 23  Откуда: Нижний Новгород Сказал(а) «Спасибо»: 1 раз
|
1) Есть сайт, использующий ЭП. Пусть это будет торговая площадка. Заявленные требования к пользователю: КриптоПро CSP, КриптоПРО ЭЦП Browser Plug-in. 2) На сайте есть форма (заявка), которую можно подписать и отправить (подписать и отправить - одна кнопка). Оффлайн не подписывается. Подписание нескольких заявок одной подписью не предусмотрено. 3) Нашелся человек, который менее чем за 1 секунду подписал-отправил более 10 заявок. Отсюда вопрос: программное обеспечение вообще предполагает такую скорость формирования подписи? И при каких условиях такое возможно? Отредактировано пользователем 12 июня 2014 г. 1:16:44(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,022  Сказал «Спасибо»: 609 раз
Поблагодарили: 2365 раз в 1860 постах
|
Автор: semilap  1) Есть сайт, использующий ЭП. Пусть это будет торговая площадка. Заявленные требования к пользователю: КриптоПро CSP, КриптоПРО ЭЦП Browser Plug-in.
2) На сайте есть форма (заявка), которую можно подписать и отправить (подписать и отправить - одна кнопка). Оффлайн не подписывается. Подписание нескольких заявок одной подписью не предусмотрено.
3) Нашелся человек, который менее чем за 1 секунду подписал-отправил более 10 заявок.
Отсюда вопрос: программное обеспечение вообще предполагает такую скорость формирования подписи? И при каких условиях такое возможно? 0) Подпись - усовершенствованная? 1) Саму web-форму можно автоматизировать извне? 2) Есть уверенность, что была использована именно web-форма, а не внешнее решение (подписание и отправка данных на сервер)? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.02.2014(UTC) Сообщений: 23 Откуда: Нижний Новгород Сказал(а) «Спасибо»: 1 раз
|
0) Такого требования вроде как нету. У меня лично в сертификате ничего подобного не написано, за других участников не скажу. 1) понятия не имею. Попытался в код залезть, запутался и бросил пока. 2) Я не администратор этого сайта. У меня нет доступа к логам и всё такое. Уточнение. Время подписания указывается с точность до 0,001 секунды. Насколько я понимаю, подписание и простановка времени подписи происходит на сервере. Насколько я понимаю, плагин именно так работает : сервер запрашивает данные с моего ключа (через мой комп) и подписывает ТАМ, на своей стороне. Или я неправильно понимаю и плагин работает как раз наоборот? То есть вопросы тогда так формулируются: - при использовании плагина подписание происходит а) на сервере, б) на ПК пользователя, в) и так и эдак может быть. - если и так и эдак может быть, то по каким признакам это можно точно выяснить? - если на сервере, то из каких шагов будет складываться время формирования подписи? Отредактировано пользователем 12 июня 2014 г. 17:00:38(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,022 Сказал «Спасибо»: 609 раз
Поблагодарили: 2365 раз в 1860 постах
|
Автор: semilap 0) Такого требования вроде как нету. У меня лично в сертификате ничего подобного не написано, за других участников не скажу.
1) понятия не имею. Попытался в код залезть, запутался и бросил пока.
2) Я не администратор этого сайта. У меня нет доступа к логам и всё такое.
Уточнение. Время подписания указывается с точность до 0,001 секунды. Насколько я понимаю, подписание и простановка времени подписи происходит на сервере. Насколько я понимаю, плагин именно так работает : сервер запрашивает данные с моего ключа (через мой комп) и подписывает ТАМ, на своей стороне. Или я неправильно понимаю и плагин работает как раз наоборот?
То есть вопросы тогда так формулируются:
- при использовании плагина подписание происходит а) на сервере, б) на ПК пользователя, в) и так и эдак может быть.
- если и так и эдак может быть, то по каким признакам это можно точно выяснить?
- если на сервере, то из каких шагов будет складываться время формирования подписи? Если это публичный ресурс - сообщите url. "Человек" не может 10 и более раз в секунду нажимать кнопки (создавать подписи)=> значит автоматизировано было. Подписание там, где контейнер с закрытым ключом -> плагин используется в браузере,на стороне клиента -> значит на стороне клиента. Время формирования подписи - может быть и 10 мс и 50 мс. Время формирования усовершенствованной подписи => Время формирования подписи + сетевые обращения + время на ответы серверов (TSP, OCSP) |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,022 Сказал «Спасибо»: 609 раз
Поблагодарили: 2365 раз в 1860 постах
|
Автор: semilap Насколько я понимаю, подписание и простановка времени подписи происходит на сервере. Насколько я понимаю, плагин именно так работает : сервер запрашивает данные с моего ключа (через мой комп) и подписывает ТАМ, на своей стороне. Или я неправильно понимаю и плагин работает как раз наоборот? Не так... ПочитайтеИсходные данные же: Цитата:
1) Есть сайт, использующий ЭП. Пусть это будет торговая площадка. Заявленные требования к пользователю: КриптоПро CSP, КриптоПРО ЭЦП Browser Plug-in.
2) На сайте есть форма (заявка), которую можно подписать и отправить (подписать и отправить - одна кнопка). Оффлайн не подписывается. Подписание нескольких заявок одной подписью не предусмотрено.
3) Нашелся человек, который менее чем за 1 секунду подписал-отправил более 10 заявок.
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.02.2014(UTC) Сообщений: 23 Откуда: Нижний Новгород Сказал(а) «Спасибо»: 1 раз
|
http://m-ets.ru/. Только там зарегиться нужно, чтобы до формы добраться. Впрочем форма регистрации тоже содержит возможность и необходимость подписания и скорее всего также изнутри также устроена. Про усовершенствованную почитал. Не буду врать, что всё понял. Но что-то сомневаюсь, что это наш случай. Я когда оффлайн документы подписываю (не для этого сайта), то ни с каким интернетом не соединен. В регламенте про обязательное использование усоверш. подписи тоже не говорится. Получается, кто-то использует обычную подпись, кто-то усовершенств. - как сервер должен всё это понимать? Или сейчас любая КЭП - усовершенствованная? Автор: Андрей *
Время формирования подписи - может быть и 10 мс
А можно поинтересоваться, как такое возможно? Предполагаю, всё содержимое ключевого носителя должно быть скопировано в реестр + процессор должен быть ну так нормальненький, небюджетный + всяческое тормозное ПО (то есть защита) должно быть отключено? На тот случай, если всё-таки неусовершенствованные подписи используются. Как тогда сервер проставляет СВОЁ время, если подпись формируется У МЕНЯ?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,022 Сказал «Спасибо»: 609 раз
Поблагодарили: 2365 раз в 1860 постах
|
Автор: semilap http://m-ets.ru/. Только там зарегиться нужно, чтобы до формы добраться. Впрочем форма регистрации тоже содержит возможность и необходимость подписания и скорее всего также изнутри также устроена. Про усовершенствованную почитал. Не буду врать, что всё понял. Но что-то сомневаюсь, что это наш случай. Я когда оффлайн документы подписываю (не для этого сайта), то ни с каким интернетом не соединен. В регламенте про обязательное использование усоверш. подписи тоже не говорится. Получается, кто-то использует обычную подпись, кто-то усовершенств. - как сервер должен всё это понимать? Или сейчас любая КЭП - усовершенствованная? Автор: Андрей *
Время формирования подписи - может быть и 10 мс
А можно поинтересоваться, как такое возможно? Предполагаю, всё содержимое ключевого носителя должно быть скопировано в реестр + процессор должен быть ну так нормальненький, небюджетный + всяческое тормозное ПО (то есть защита) должно быть отключено? На тот случай, если всё-таки неусовершенствованные подписи используются. Как тогда сервер проставляет СВОЁ время, если подпись формируется У МЕНЯ? Посмотрел реализацию подписания. Не заметил по этому коду работу с усовершенствованной ЭП (TSP\OCSP). Используется при создании подписи: CADESCOM_CADES_BES Автор: semilap
На тот случай, если всё-таки неусовершенствованные подписи используются. Как тогда сервер проставляет СВОЁ время, если подпись формируется У МЕНЯ?
Тогда и TSP-сервер не используется. А время для подписания - проставляется локальное, то, которое на клиенте и записывается в атрибуты ЭП. + Регламент (не читал полностью, но этого хватило) 2.1.7
Серверная часть программно-аппаратного комплекса электронной площадки учитывает время с точностью до миллисекунды. Пользователю запрещается самостоятельно, или с помощью программных средств, в том числе и с помощью механизмов автоматической синхронизации времени встроенных в операционную систему, изменять время установленное на его компьютере во время работы с электронной торговой площадкой. При работе с электронной площадкой необходимо отключать автоматическую синхронизацию времени, встроенную в операционную систему. 
Отредактировано пользователем 13 июня 2014 г. 2:01:00(UTC)
| Причина: CADESCOM_CADES_BES ... |
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Максимально-возможная скорость подписания
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
