• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

ЭЦП и работа с нею...

  • Автор темы Klido
  • Дата начала
K

Klido

Напрягают меня углубиться в тему контроля (истории, отображения, хз чего ещё) ЭЦП лотуса. Тема ЭЦП в целом понятна, но вот в практике не приходилось углубляться.
Тезис "Notes and Domino uses a code-signature framework that controls the security context, runtime, and rights of custom code developed and introduced into the environment" требует повышенного внимания к этому фреймворку.
Есть ли кто с опытом уделения этой теме серьёзного внимания и порекомендуете ли какие-то источники? Инет так просто не выдал ничего серьёзного...
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Klido
а что тебе нужно то по существу
есть опыт интеграции стороннего ЭЦП в лотус ;)
лотусиный не имеет сертификации на Украине
 
K

Klido

ToxaRat
сторонее не надо - чисто внутренние дела...

хотят примерно на доке видеть нечто (эмблемка-кнопка), которое может показать а-ля mime-сертификат информацию о том кто, что и когда подписал в данном документе...т.е грубо говоря - визуально показать, что подпись не нарушена... и крайне желательно в исторической ретроспективе: если написано "Согласовано Ивановым 17.12.09 12:34:37", то рядом кнопочка, которая показывает мол ДА, подпись Иванова верна была тогда и что-то в таком духе...

вот хочу понять что можног достать средствами лотуса, а что api, например.... и вообще что можно извлечь из эцп, кроме её существования :)
 

VladSh

начинающий
Lotus Team
11.12.2009
1 783
157
BIT
53
ToxaRat Это очень интересно!
Но интересно именно "законно" подменить лотусиные механизмы, т.к. хуки и последующий "закат Солнца вручную" - это шаманство, любая серьёзная контора, которая это понимает, значит понимает, что на самом деле это всё не "по настоящему".
Подскажите, как???
 
K

Klido

VladSh
ну сторонники тебе дают ключи и какую-нить .dll, ты прикручиваешь это дело через закат Солнца :) проверить назад (тут же и дешифровка) можно тоже только со сторонней штукой... за штуку отвечают компетентные люди (которые при случае сами прочтут что-там-у-тебя-спрятано ;))
 
A

Akupaka

Но интересно именно "законно" подменить лотусиные механизмы
к сожалению, пока только "рядом положить" :) мне вот интересно, чем наших "критпоголов" так не устраивает стандарт, используемый в лотусе, и че-то мне кажется, что все эти "рядом лежащие дела" используют те же алгоритмы...
 
K

Klido

Akupaka
очень просто - лотусиный стандарт ЧУЖОЙ, а "законный" - свой. Чужие смогут прочитать наше, а мы их - нет. А своё сами прочитать ДОЛЖНЫ уметь :) Так они мыслят (а для "законного" ещё наверняка и делают...).
 
K

Klido

Akupaka
я экстраполирую :) для эцп - проще - поменяют тебе данные, переналожат эцп и наедут за уклонение от налогов ;) или подставят перед партнерами...
 
A

Akupaka

надыбал весьма интересную (с первого взгляда) статью.
правда сравнивается формирование ЭЦП России и США , но, думаю, что в Украине те же принципы, что и в России, посему, можно ознакомиться...

зы: и вообще сайт интересный

Добавлено:
поменяют тебе данные, переналожат эцп и наедут за уклонение от налогов
а как "наши" стандарты помогают этого избежать-то? :)

зы: как мне кто-то рассказывал, IBM не согласилась предоставить код, формирующий ключи, эцп и т.п., нашим ответственным людям (из СБ?), посему ихний метод не может быть признан...
а так, можно было бы сделать как во Франции (по слухам), например, сделать общеукраинский центр сертификации, который выдает ключи организациям, которые потом их используют в своих системах, и обеспечивает проверку на гос. уровне, централизовано...
 
K

Klido

а как "наши" стандарты помогают этого избежать-то?
фирма А посылает документы фирме Б (у обоих лотус, эцп+шифрование лотусиное). Те, кто перехватил документы - ничего не могут сделать с ними... Это напрягает "наших" :)
фирма А посылает документы фирме Б (у обоих лотус, эцп+шифрование "законное"). Те, кто перехватил документы - могут их как минимум изучить. Так гласит теория страшилок ;)
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
стандарты, алгоритмы, логика - ВСЁ одинаково
разница лишь в том, что в Украине нет нормальных менеджеров в представительстве ИБМ, они на железо ориентируются а не на софт.
Всё что требуется это предоставить СБУ исходники лотуснячей ЭЦП, но ИБМ Украина лезет в бутылку и отмораживается.
Имею четкий ответ, что ИБМ Украина не будет "пробивать" лотусиную ЭЦП....
 
K

Klido

ну да, насколько я понимаю - СБ органы любой страны должны проверить, что в коде применения эцп такого-то продукта отсутствуют "жучки", позволяющие в произвольный момент получить доступ к данным.
И всё бы ничего, только органам надо $$ за разрешение (в т.ч. как % от увеличения продаж продукта с эцп), а не все и всегда готовы дать.
А в целом органам гораздо удобнее иметь "своё" - ибо те же $$ получается автоматически ;)
 
A

azat20

Немного вроде не ту степь уходит.
У меня например в одной базе реализовано так. Там есть кнопка "Согласен с текущим документом". По нажатию на нее создается респонз-документ, который сам автоматически заполняет там нужные поля и текст. Которые находятся в подписываемой секции. Документ по данной форме подписывается. (Sign documents that Use the Form). В конце кода кнопки используется метод документа Sign. В результате - имею документ, при открытии которого принтится что подписан тем-то, тогда-то. В свойствах данного документа - $SignatureStatus="1", а в $Signature - сама электронная цифровая подпись. И такие документы отображаются в embedded view, только там никак отобразить этот набор символов ЭЦП
 
K

Klido

Azat
А при чем тут, грубо говоря, лог нажатия кнопки юзером, хоть и подписанный, к ПОДПИСИ на основном документе?
Вопрос стоит практически так: год назад при заключении контракта я нажал кнопку "Согласен" и контракт ушел в производство. Сейчас оказалось, что кто-то допустил там ошибку, а я не заметил. Но нет, говорю я, ТОГДА я видел совершенно другой документ и нажимал кнопку именно для него. Я не отрицаю - да, нажимал. Но документ был ДРУГОЙ! Кто виноват???

Почти единственное, что приходит на ум - каждый раз предыдущий док сохранять подписанным как респонс, а новую копию передавать далее на подпись. Но это как-то нетехнологично совершенно - тягать хвосты туда-сюда....
 
K

Klido

В своё время статья

достаточно прояснила мне напряжность курса на полноценную ЭЦП. Даже на данный момент не представляю до конца КАК в идеале могут масштабно функционировать все эти центры сертификации, службы временных штампов и пр.
Тот же вопрос - ну была там ЭЦП, но человек уже уволился, сертификат истек/удален... И что дальше? Целые мегапроцедуры представляются в мозгу, которые должны постоянно колбасить документы на предмет соответствии того или иного аспекта ЭЦП...
 
K

Klido

Всё дело в ментальности окружающих :)
Если не затрагивать полную законность ЭЦП - для масштабных действий вроде судов и пр., по-моему достаточно распоряжения по компании о том, что такой-то софт обеспечивает однозначную идентификацию пользователей (паролями, ключами и т.д.). А ответственность за эту идентификацию возлагается на разработчиков. Только все сотрудники должны знать про это и понимать/принимать.

При нормальном подходе то же СБ проверяет платформу и код на предмет отсутствия "уязвимостей" по подмене идентификации (ярчайший пример - топ-Иванов из-за занятости даёт указание оформить его подпись автоматом на таких-то документах, ведь для него "подпись" - это НАДПИСЬ, что он тут был :), а что эцп там будет админская или серверная - без разницы) и запускает продукт в работу. Очень похоже на процедуру легализации на государственном уровне.
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Klido
это всё правильно кроме двух пунктов:
1) для гос. структур это не канает - им бумажку с копытцем подавай от соответствующих инстанций
2) СБ в 99% не достаточно компетентен по причине отсутствия специалистов
 
K

Klido

ToxaRat
2) СБ в 99% не достаточно компетентен по причине отсутствия специалистов
ясен пень :) я им часто предлагаю организовать процесс :) но они редко идут дальше заботы о .ид файлах :) Я же написал "при нормальном подходе"...

1) для гос. структур это не канает
честно - я счастлив, что ни разу не работал в госструктуре :) как-то слишком ограничено и безусловно... как в армии, что ли :)
но то, что я видел в этих структурах, участвуя в "гуманитарной" помощи всяким обладминистрациям и силовикам - там ОЧЕНЬ всё плохо и далеко от желаемого.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!