Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Пропажа файла, подписанного ЭЦП, не нашел куда запостить
 
Добрый день!
Вот какая оказия приключилась. Небольшая сеть, винда, без домена. Для обмена на выделенной машине расшарен фолдер с полными правами. Сбербанк(sick!), на карточки котрого сотрудникам должна падать зарплата, предоставляет для реализации свой софт. Это редактор ведомости на зачисление и средство криптозащиты SberSign, которое используется только для нанесения ЭЦП на эксель файл, который выходит из редактора тупо с другим расширением. Сделали ведомость, подписали у главбуха, положили в обменник(косяк!) и пошли к начальнику. Начальник подписал, я ушел. Через минуту прибегает бухгалтерша с квадратными глазами и заявляет: "файл пропал!". Сходил как смог успокоил начальника. Но он как-то не спешит успокаиваться. Радует одно. Этот файл в сбербанк нужно доставлять только лично, причем делать это может только указанный в договоре сотрудник. А значит злоумышленник либо этот самый сотрудник либо злоумышленники(если они были) ничего не получат.
Ну в итоге я как-то и забыл об этой истории. До сегодня. Сегодня с меня требуют служебную записку. Предлагают поручиться за сохранность денег. А я как-то не очень хочу. А вдруг, хехе. Вдруг начальник начислит себе стопицот миллионов бюджетных денег. А виноват окажусь я. Что делать?
 
Бред какой то.
Файл ведь подписан? Любое изменение данных в файле приведет к недействительности подписи, так что проблем вообще нет.

А по поводу бухгалтерши - сперва ей нужно подписать правила использование подписи.

Проблема будет если произошла только компрометация закрытого ключа, да и то его не так просто скомпрометировать, он же еще паролем защищен.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
О как. Однако спасибо.
Пойду почитаю что-нибудь о криптографии.
 
Тебе не криптоГрафия нужна а закон об ЭЦП.
Во вторых внести изменения в файл с ЭЦП на данный момент нельзя если у тебя отсутствуют контейнеры закрытых ключей и пароль.

Такая информация вообще не должна быть доступна постороннему.

Иначе тот кто владеет ключом может исправить файл.

Вот так вот.......

Читай информацию по PKI
 
Асид не пугай человека. В файл с ЭЦП без проблем внести любые изменения, кто тебе помешает это сделать?
Вопрос втом что после этих изменений ЭЦП будет недействительной. Да и  при наличии закрытого ключа все равно старая подпись будет недействительной.

Кстати закрытый ключ (а не ключи) не обязательно должен лежать в ключевом контейнере (термин более правильный чем контейнер закрытого ключа). И пароль тоже не обязателен к доступу к ключу.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
А я и не путаю

Молодой человек наверно считал что файл с ЭЦП будет иметь защиту от удаления из общей директории.....

поверте это не так
 
Цитата
Василий Алибабаев пишет:
А значит злоумышленник либо этот самый сотрудник либо злоумышленники(если они были) ничего не получат.
Ну в итоге я как-то и забыл об этой истории. До сегодня. Сегодня с меня требуют служебную записку. Предлагают поручиться за сохранность денег. А я как-то не очень хочу. А вдруг, хехе. Вдруг начальник начислит себе стопицот миллионов бюджетных денег. А виноват окажусь я. Что делать?


1. Руководство фирмы ничего не знает об ЭЦП (обычное явление)
2. Главный ит-шник (Вася Алибабаев) ничего не знает об ЭЦП (стандартное явление)
3. Гранд-мастеры знают все, но с трудом понимают, о чем говорят.
4. «Главный начальник» обладает правом подписи, следовательно может «подписать» себе хоть сто «стопицот мильонов бюджетных денег» - независимо от степени озабоченности по этому поводу В. Алибабаева,  это его (начальника) право.

- а «был ли мальчик» - ? Кому нужно «хитить» файл с ЭЦП ???  :)  

Скорее всего, файл был ошибочно (случайно )удален – и никто не хочет, как обычно, сознаваться.
А.Антипов достаточно точно отметил моменты реализации ЭЦП в случае сбербанка, дополнительно свет конечно может пролить на эту систему изучение PKI, закона об ЭЦП -  а еще лучше, изучение физических основ работы андронного коллайдера - по крайней мере, словарный запас больше расширится.
ЭЦП – в первом приблежении, разновидность шифрования – в качестве «подписи» исходного файла выбирается несколько блоков (блок = 8 байт) этого же файла,зашифрованного секретным ключом (паролем). При этом выполняется ряд условий – эти байты однозначно соответствуют именно первоначальному файлу, воспроизвести их может только тот, кто знает секретный пароль (автор).
Для проверки авторства банку в этом случае достаточно знать этот самый секретный пароль своего клиента – но тогда и банк сможет подделывать такую «ЭЦП» - поэтому эта схема в данном случае не применима и используется более усложненная – с открытым и закрытым ключом. При заключении договора со сбербанком,   клиент генерирует пару – закрытый и открытый ключ, закрытый остается у клиента и банк его не знает (и не должен знать), открытый ключ передается банку. Файл подписывается клиентом при помощи закрытого ключа, банк может проверить подпись клиента при помощи известного ему открытого ключа клиента. Подделать подпись клиента или ее изменить банк, без доступа к секретному ключу клиента, не может.

Ну а теперь попробуйте придумать «умысел» для «злоумышленников», чтобы был хоть какой то смысл «похищать» файл, подписанный ЭЦП ))).

P.S. предполагаю, через некоторое время обнаружится – что кто то потерял (забыл куда дел) ключевые дискеты, и начнется новый виток  гонки «объяснительных кто виноват и кто крайний ».

P.P.S. Зри в корень, а не в "контейнеры закрытых ключей".
Изменено: Валерий Максимов - 13.09.2008 13:21:36
 
согласен с Валерием Максимовом
Но к сожаления не могу уже в трех словах обьяснить то чем неплохо владею.....

поэтому и был послан на источники (заокн об ЭЦП) в котором помимо терминов прописан нормальное взаимодействие между различными партнерами при использовании ЭЦП.

Изложен он не в ИТ терминах а на нормальном юридическом языке.
Страницы: 1
Читают тему