ЭЦП и работа с нею...

Тема в разделе "Lotus - Программирование", создана пользователем Klido, 17 дек 2009.

  1. Klido

    Klido Гость

    Напрягают меня углубиться в тему контроля (истории, отображения, хз чего ещё) ЭЦП лотуса. Тема ЭЦП в целом понятна, но вот в практике не приходилось углубляться.
    Тезис "Notes and Domino uses a code-signature framework that controls the security context, runtime, and rights of custom code developed and introduced into the environment" требует повышенного внимания к этому фреймворку.
    Есть ли кто с опытом уделения этой теме серьёзного внимания и порекомендуете ли какие-то источники? Инет так просто не выдал ничего серьёзного...
     
  2. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    Klido
    а что тебе нужно то по существу
    есть опыт интеграции стороннего ЭЦП в лотус ;)
    лотусиный не имеет сертификации на Украине
     
  3. Klido

    Klido Гость

    ToxaRat
    сторонее не надо - чисто внутренние дела...

    хотят примерно на доке видеть нечто (эмблемка-кнопка), которое может показать а-ля mime-сертификат информацию о том кто, что и когда подписал в данном документе...т.е грубо говоря - визуально показать, что подпись не нарушена... и крайне желательно в исторической ретроспективе: если написано "Согласовано Ивановым 17.12.09 12:34:37", то рядом кнопочка, которая показывает мол ДА, подпись Иванова верна была тогда и что-то в таком духе...

    вот хочу понять что можног достать средствами лотуса, а что api, например.... и вообще что можно извлечь из эцп, кроме её существования :)
     
  4. VladSh

    VladSh начинающий
    Lotus team

    Регистрация:
    11 дек 2009
    Сообщения:
    1.251
    Симпатии:
    2
    ToxaRat Это очень интересно!
    Но интересно именно "законно" подменить лотусиные механизмы, т.к. хуки и последующий "закат Солнца вручную" - это шаманство, любая серьёзная контора, которая это понимает, значит понимает, что на самом деле это всё не "по настоящему".
    Подскажите, как???
     
  5. Klido

    Klido Гость

    VladSh
    ну сторонники тебе дают ключи и какую-нить .dll, ты прикручиваешь это дело через закат Солнца :) проверить назад (тут же и дешифровка) можно тоже только со сторонней штукой... за штуку отвечают компетентные люди (которые при случае сами прочтут что-там-у-тебя-спрятано ;))
     
  6. Akupaka

    Akupaka А че я?.. О.о

    Регистрация:
    4 окт 2007
    Сообщения:
    3.373
    Симпатии:
    2
    к сожалению, пока только "рядом положить" :) мне вот интересно, чем наших "критпоголов" так не устраивает стандарт, используемый в лотусе, и че-то мне кажется, что все эти "рядом лежащие дела" используют те же алгоритмы...
     
  7. Klido

    Klido Гость

    Akupaka
    очень просто - лотусиный стандарт ЧУЖОЙ, а "законный" - свой. Чужие смогут прочитать наше, а мы их - нет. А своё сами прочитать ДОЛЖНЫ уметь :) Так они мыслят (а для "законного" ещё наверняка и делают...).
     
  8. Akupaka

    Akupaka А че я?.. О.о

    Регистрация:
    4 окт 2007
    Сообщения:
    3.373
    Симпатии:
    2
    я не понял :) информация, которая имеет цифровую подпись не закрыта... ты не путаешь шифрование и ЭЦП?
     
  9. Klido

    Klido Гость

    Akupaka
    я экстраполирую :) для эцп - проще - поменяют тебе данные, переналожат эцп и наедут за уклонение от налогов ;) или подставят перед партнерами...
     
  10. Akupaka

    Akupaka А че я?.. О.о

    Регистрация:
    4 окт 2007
    Сообщения:
    3.373
    Симпатии:
    2
    надыбал весьма интересную (с первого взгляда) статью.
    правда сравнивается формирование ЭЦП России и США , но, думаю, что в Украине те же принципы, что и в России, посему, можно ознакомиться...
    http://e-signature.com.ua/?p=174
    зы: и вообще сайт интересный

    Добавлено:
    а как "наши" стандарты помогают этого избежать-то? :)

    зы: как мне кто-то рассказывал, IBM не согласилась предоставить код, формирующий ключи, эцп и т.п., нашим ответственным людям (из СБ?), посему ихний метод не может быть признан...
    а так, можно было бы сделать как во Франции (по слухам), например, сделать общеукраинский центр сертификации, который выдает ключи организациям, которые потом их используют в своих системах, и обеспечивает проверку на гос. уровне, централизовано...
     
  11. Klido

    Klido Гость

    фирма А посылает документы фирме Б (у обоих лотус, эцп+шифрование лотусиное). Те, кто перехватил документы - ничего не могут сделать с ними... Это напрягает "наших" :)
    фирма А посылает документы фирме Б (у обоих лотус, эцп+шифрование "законное"). Те, кто перехватил документы - могут их как минимум изучить. Так гласит теория страшилок ;)
     
  12. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    стандарты, алгоритмы, логика - ВСЁ одинаково
    разница лишь в том, что в Украине нет нормальных менеджеров в представительстве ИБМ, они на железо ориентируются а не на софт.
    Всё что требуется это предоставить СБУ исходники лотуснячей ЭЦП, но ИБМ Украина лезет в бутылку и отмораживается.
    Имею четкий ответ, что ИБМ Украина не будет "пробивать" лотусиную ЭЦП....
     
  13. Klido

    Klido Гость

    ну да, насколько я понимаю - СБ органы любой страны должны проверить, что в коде применения эцп такого-то продукта отсутствуют "жучки", позволяющие в произвольный момент получить доступ к данным.
    И всё бы ничего, только органам надо $$ за разрешение (в т.ч. как % от увеличения продаж продукта с эцп), а не все и всегда готовы дать.
    А в целом органам гораздо удобнее иметь "своё" - ибо те же $$ получается автоматически ;)
     
  14. azat20

    azat20 Well-Known Member

    Регистрация:
    22 июл 2008
    Сообщения:
    244
    Симпатии:
    0
    Немного вроде не ту степь уходит.
    У меня например в одной базе реализовано так. Там есть кнопка "Согласен с текущим документом". По нажатию на нее создается респонз-документ, который сам автоматически заполняет там нужные поля и текст. Которые находятся в подписываемой секции. Документ по данной форме подписывается. (Sign documents that Use the Form). В конце кода кнопки используется метод документа Sign. В результате - имею документ, при открытии которого принтится что подписан тем-то, тогда-то. В свойствах данного документа - $SignatureStatus="1", а в $Signature - сама электронная цифровая подпись. И такие документы отображаются в embedded view, только там никак отобразить этот набор символов ЭЦП
     
  15. Klido

    Klido Гость

    Azat
    А при чем тут, грубо говоря, лог нажатия кнопки юзером, хоть и подписанный, к ПОДПИСИ на основном документе?
    Вопрос стоит практически так: год назад при заключении контракта я нажал кнопку "Согласен" и контракт ушел в производство. Сейчас оказалось, что кто-то допустил там ошибку, а я не заметил. Но нет, говорю я, ТОГДА я видел совершенно другой документ и нажимал кнопку именно для него. Я не отрицаю - да, нажимал. Но документ был ДРУГОЙ! Кто виноват???

    Почти единственное, что приходит на ум - каждый раз предыдущий док сохранять подписанным как респонс, а новую копию передавать далее на подпись. Но это как-то нетехнологично совершенно - тягать хвосты туда-сюда....
     
  16. Klido

    Klido Гость

    В своё время статья
    http://docflow.ru/analitics/detail.php?ID=15385
    достаточно прояснила мне напряжность курса на полноценную ЭЦП. Даже на данный момент не представляю до конца КАК в идеале могут масштабно функционировать все эти центры сертификации, службы временных штампов и пр.
    Тот же вопрос - ну была там ЭЦП, но человек уже уволился, сертификат истек/удален... И что дальше? Целые мегапроцедуры представляются в мозгу, которые должны постоянно колбасить документы на предмет соответствии того или иного аспекта ЭЦП...
     
  17. azat20

    azat20 Well-Known Member

    Регистрация:
    22 июл 2008
    Сообщения:
    244
    Симпатии:
    0
    Ну вообще то, да. На основной документ он подпись не наносит.
     
  18. Klido

    Klido Гость

    Всё дело в ментальности окружающих :)
    Если не затрагивать полную законность ЭЦП - для масштабных действий вроде судов и пр., по-моему достаточно распоряжения по компании о том, что такой-то софт обеспечивает однозначную идентификацию пользователей (паролями, ключами и т.д.). А ответственность за эту идентификацию возлагается на разработчиков. Только все сотрудники должны знать про это и понимать/принимать.

    При нормальном подходе то же СБ проверяет платформу и код на предмет отсутствия "уязвимостей" по подмене идентификации (ярчайший пример - топ-Иванов из-за занятости даёт указание оформить его подпись автоматом на таких-то документах, ведь для него "подпись" - это НАДПИСЬ, что он тут был :), а что эцп там будет админская или серверная - без разницы) и запускает продукт в работу. Очень похоже на процедуру легализации на государственном уровне.
     
  19. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    Klido
    это всё правильно кроме двух пунктов:
    1) для гос. структур это не канает - им бумажку с копытцем подавай от соответствующих инстанций
    2) СБ в 99% не достаточно компетентен по причине отсутствия специалистов
     
  20. Klido

    Klido Гость

    ToxaRat
    ясен пень :) я им часто предлагаю организовать процесс :) но они редко идут дальше заботы о .ид файлах :) Я же написал "при нормальном подходе"...

    честно - я счастлив, что ни разу не работал в госструктуре :) как-то слишком ограничено и безусловно... как в армии, что ли :)
    но то, что я видел в этих структурах, участвуя в "гуманитарной" помощи всяким обладминистрациям и силовикам - там ОЧЕНЬ всё плохо и далеко от желаемого.
     
Загрузка...
Похожие Темы - ЭЦП работа нею
  1. tanat
    Ответов:
    1
    Просмотров:
    702
  2. xpro

    Решено Эцп и xpages

    xpro, 31 мар 2015, в разделе: Lotus - Xpages
    Ответов:
    2
    Просмотров:
    724
  3. seoman2
    Ответов:
    3
    Просмотров:
    2.483
  4. akat
    Ответов:
    0
    Просмотров:
    2.251
  5. Sanchel
    Ответов:
    13
    Просмотров:
    4.130

Поделиться этой страницей