• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Как заменить криптопровайдера?!

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Долго думал в какой раздел написать и что вообще написать.
С чего бы начать...
И так каждый знает, что в лотусе есть и механизмы подписывания/проверки подписи и шифрования/дешифрования.
Естественно есть нюанс, который сводится к тому, что эти алгоритмы не имеют сертификации в конкретной стране.
Напрашивается логический вариант, а нельзя ли сделать подмену криптопровайдера как такого, тогда сразу вопрос сертификации и экспертной оценки решается неимоверно быстро прямо для всего лотуса а не для каждого отдельного интегратора.
Простыми словами как вытащить стандартную процедуру подписи/проверки и подсунуть вместо неё решение местного криптопровайдера?!
Прошел слушок, что кто-то из российских интеграторов такое сделал, только без указания кто именно и с каким конкретным лотусом.

Итак список вопросов:
кто что знает в этом направлении?
кто этот интегратор?
как это сделать?
может быть новые фичи/плагины 8ки это позволяют?
 
K

Klido

хе-хе...
я уже 3 мес. не с лотусом, но с криптопровайдерами :) и реальными ЦСК... проблем - 1КК просто :)

уже не раз обсуждали - ничего нет проще: берем лотусиный док и кидаем в xml, который легитимным криптопровайдером обрабатываем - и назад в лотусину... псевдо, понимаешь, ЭДО получается...

у россиян попроще вроде - там сертифицировали лотусиное шифрование по классу защиты Д и кое-где (наверное, кроме госорганов) можно вполне норм юзать его...

у нас тоже можно ожидать новостей - активно проталкиваемый ЦСК для "электронного правительства" использует на данный момент нелегитимные алгоритмы шифрования, если протолкнут - RSA будет рулить...
 
A

akat

ToxaRat
Помнитца на мероприятии IBM был доклад от ПУЛа


>Прошел слушок
Это в прошлом веке в области ИТ были слухи. Сейчас уже все в Сети :)
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Klido
не то
мне нужно именно ЗАМЕНА криптопровайдера
чтобы лотусиная команда Doc.Sign - запускала не родные механизмы лотуса
потому как навешивать поверх лотусе сторроние средства мало того, что хлопотно так еще и требует кучу бумажет по экспертизе правильной интеграции и т.д.
речь исключительно о ЗАМЕНЕ
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Klido
нюанс как раз в том, что при замене мне уже ничего доказывать НЕ нужно, по сути что-то сказать можешь?
 
K

Klido

при замене мне уже ничего доказывать НЕ нужно
или пока не пришлось, или повезло и концы в регуляторных органах ;)

в самой лотусине просто не верю, что заменить выйдет.... это ж проперитарная вещь...
 

VladSh

начинающий
Lotus Team
11.12.2009
1 783
157
BIT
53
На хуках многие делают, в т.ч. и Аплана делала (в "БР"), но это нечестное решение и никогда судами легитимным признано не будет.

Проблем действительно есть!
Я уже давно хотел разместить идею на ideajam по ЗАМЕНЕ, но вот руки не доходили. Если составишь текст грамотно, на русском, то я переведу и заброшу.
Идея не нова для IBM - на семинаре по Лотус-технологиям рассказывали, что в Quickr это уже сделано. На самом деле это просто - дать наружу интерфейс, по умолчанию воткнуть свой RSA, а другие разработчики смогут писать свой код для Лотуса, используя открытый интерфейс.
Долбить IBM надо активно! Бизнес-партнёры на самом деле могут оказывать влияние на IBM, особенно когда их много ;)


Добавлено: дополнительно к этому хотелось бы записывать чужие ключи (сгенеренные вне Domino) в id-файлы, чтобы со всех сторон не было никаких проблем. И настройку, откуда брать личный ключ: из id-файла или из файла другого формата (со сменного носителя).
 

VladSh

начинающий
Lotus Team
11.12.2009
1 783
157
BIT
53
На самом деле, это действительно не hook в его понимании.
Существует ещё 2 метода: , но всё равно это химия, как бы там не хвастался ПУЛ.
 
K

Klido

дополнительно к этому хотелось бы записывать чужие ключи (сгенеренные вне Domino) в id-файлы
секретный ключ должен храниться в секрете (с) - идеально на токене без возможности его оттуда куда либо переместить...
всё равно это химия
угу, экспертизу/сертификацию не пройдет (на данный момент)...
 

VladSh

начинающий
Lotus Team
11.12.2009
1 783
157
BIT
53
секретный ключ должен храниться в секрете (с) - идеально на токене без возможности его оттуда куда либо переместить...
"на токене" - это где?
private-key'и ведь находятся в id-файлах?

угу, экспертизу/сертификацию не пройдет (на данный момент)...
Эти чуваки каким-то образом сертифицировались. Говорят, что ещё есть какой-то сертифицированный криптопровайдер в Украине. Хотя, может, всё это мулька..
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Эти чуваки каким-то образом сертифицировались.
открою секрет, чтобы сертифицироваться даже исходных кодов показывать не нужно, по большому случаю все сертифицируются до 2й ступени, где требуется лишь бумажка на которой расписан регламент работы ЭЦП, ни исходников, ни программы предьявлять не нужно
однако 2й уровень не даёт работать с финансовыми документами и грифом секретно, и если в тендере не заявляют этих "нюансов"(а именно так это сейчас и делается) то этой "сертификации" достаточно.
Чтобы получить выше 2-го уровня нужно начинать предоставлять исходники ПО.

Это как качество бензина, есть 92-95й бензин чьё качество чётко соответствует ДСТУ - однако "забывают" уточнить какому именно ДСТУ их 3х действующих на Украине, тому, который был в 95году, 2000году или 2008 - естественно обычно это самый говняный 95год(где уровень серы на пределе), но это тонкости, которые нужны автомобилистам а не продажникам которые парят, что "бензин соотвествует ДСТУ".

Так и тут, "наша СЭД имеет сертификат ДСТЗУ", который требуется по тендеру - а то что там 1й уровень так никого не парит, главное что бумажка то есть...
 
K

Klido

VladSh
тема тёмная с криптопровайдерами :)
я ща в некоей конторе - у нас свой ЦСК, на сл. неделе как раз аккредитация... Софт под микрософтом, у почтово-прототипной платформы ЭДО есть сертификат этой хрени по спецсвязи... не говоря о сертификатах санэпидемстанции и прочих не-Ит регуляторов :)

и у нас задача похлеще - надо сертификаты и прочее нашего ЦСК впендюрить софту, который с другим ЦСК дружит.. производители ЦСК разные - форматы не совместимы :(
"на токене" - это где?
private-key'и ведь находятся в id-файлах?
не в файлах, надо - физически на устройстве (карты или флэш-токен)
 

VladSh

начинающий
Lotus Team
11.12.2009
1 783
157
BIT
53
и у нас задача похлеще - надо сертификаты и прочее нашего ЦСК впендюрить софту, который с другим ЦСК дружит.. производители ЦСК разные - форматы не совместимы
а у нас наоборот - ЦСК впаривает нам свои сертификаты, которые с Лотусом, ввиду вышеуказанных проблем, несовместимы )
не в файлах, надо - физически на устройстве (карты или флэш-токен)
и здесь всё совпало ))
 
K

Klido

ЦСК впаривает нам свои сертификаты, которые с Лотусом, ввиду вышеуказанных проблем, несовместимы
ну как бы они принципиально не совместимы с лотусом ;) а вот МЕЖДУ ЦСК несовместимость - это дикий трабл ;)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!