1. Набираем команду codeby webinar. Набираем команду для организации и проведения вебинаров. Подробнее ...

    Скрыть объявление
  2. Требуются разработчики и тестеры для проекта codebyOS. Требования для участия в проекте: Знание принципов работы ОС на базе Linux; Знание Bash; Крайне желательное знание CPP, Python, Lua; Навыки системного администрирования. Подробнее ...

    Скрыть объявление
  3. Получи 30.000 рублей. Для получения денег необходимо принять участие в конкурсе авторов codeby. С условиями и призами можно ознакомиться на этой странице ...

    Внимание! Регистрация авторов на конкурс закрыта.

    Скрыть объявление

ЭЦП и работа с нею...

Тема в разделе "Lotus - Программирование", создана пользователем Klido, 17 дек 2009.

  1. Klido

    Klido Гость

    Репутация:
    0
    Напрягают меня углубиться в тему контроля (истории, отображения, хз чего ещё) ЭЦП лотуса. Тема ЭЦП в целом понятна, но вот в практике не приходилось углубляться.
    Тезис "Notes and Domino uses a code-signature framework that controls the security context, runtime, and rights of custom code developed and introduced into the environment" требует повышенного внимания к этому фреймворку.
    Есть ли кто с опытом уделения этой теме серьёзного внимания и порекомендуете ли какие-то источники? Инет так просто не выдал ничего серьёзного...
     
  2. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Репутация:
    0
    Регистрация:
    6 ноя 2007
    Сообщения:
    3.188
    Симпатии:
    22
    Klido
    а что тебе нужно то по существу
    есть опыт интеграции стороннего ЭЦП в лотус ;)
    лотусиный не имеет сертификации на Украине
     
  3. Klido

    Klido Гость

    Репутация:
    0
    ToxaRat
    сторонее не надо - чисто внутренние дела...

    хотят примерно на доке видеть нечто (эмблемка-кнопка), которое может показать а-ля mime-сертификат информацию о том кто, что и когда подписал в данном документе...т.е грубо говоря - визуально показать, что подпись не нарушена... и крайне желательно в исторической ретроспективе: если написано "Согласовано Ивановым 17.12.09 12:34:37", то рядом кнопочка, которая показывает мол ДА, подпись Иванова верна была тогда и что-то в таком духе...

    вот хочу понять что можног достать средствами лотуса, а что api, например.... и вообще что можно извлечь из эцп, кроме её существования :)
     
  4. VladSh

    VladSh начинающий
    Lotus team

    Репутация:
    0
    Регистрация:
    11 дек 2009
    Сообщения:
    1.248
    Симпатии:
    2
    ToxaRat Это очень интересно!
    Но интересно именно "законно" подменить лотусиные механизмы, т.к. хуки и последующий "закат Солнца вручную" - это шаманство, любая серьёзная контора, которая это понимает, значит понимает, что на самом деле это всё не "по настоящему".
    Подскажите, как???
     
  5. Klido

    Klido Гость

    Репутация:
    0
    VladSh
    ну сторонники тебе дают ключи и какую-нить .dll, ты прикручиваешь это дело через закат Солнца :) проверить назад (тут же и дешифровка) можно тоже только со сторонней штукой... за штуку отвечают компетентные люди (которые при случае сами прочтут что-там-у-тебя-спрятано ;))
     
  6. Akupaka

    Akupaka А че я?.. О.о

    Репутация:
    0
    Регистрация:
    4 окт 2007
    Сообщения:
    3.360
    Симпатии:
    2
    к сожалению, пока только "рядом положить" :) мне вот интересно, чем наших "критпоголов" так не устраивает стандарт, используемый в лотусе, и че-то мне кажется, что все эти "рядом лежащие дела" используют те же алгоритмы...
     
  7. Klido

    Klido Гость

    Репутация:
    0
    Akupaka
    очень просто - лотусиный стандарт ЧУЖОЙ, а "законный" - свой. Чужие смогут прочитать наше, а мы их - нет. А своё сами прочитать ДОЛЖНЫ уметь :) Так они мыслят (а для "законного" ещё наверняка и делают...).
     
  8. Akupaka

    Akupaka А че я?.. О.о

    Репутация:
    0
    Регистрация:
    4 окт 2007
    Сообщения:
    3.360
    Симпатии:
    2
    я не понял :) информация, которая имеет цифровую подпись не закрыта... ты не путаешь шифрование и ЭЦП?
     
  9. Klido

    Klido Гость

    Репутация:
    0
    Akupaka
    я экстраполирую :) для эцп - проще - поменяют тебе данные, переналожат эцп и наедут за уклонение от налогов ;) или подставят перед партнерами...
     
  10. Akupaka

    Akupaka А че я?.. О.о

    Репутация:
    0
    Регистрация:
    4 окт 2007
    Сообщения:
    3.360
    Симпатии:
    2
    надыбал весьма интересную (с первого взгляда) статью.
    правда сравнивается формирование ЭЦП России и США , но, думаю, что в Украине те же принципы, что и в России, посему, можно ознакомиться...
    http://e-signature.com.ua/?p=174
    зы: и вообще сайт интересный

    Добавлено:
    а как "наши" стандарты помогают этого избежать-то? :)

    зы: как мне кто-то рассказывал, IBM не согласилась предоставить код, формирующий ключи, эцп и т.п., нашим ответственным людям (из СБ?), посему ихний метод не может быть признан...
    а так, можно было бы сделать как во Франции (по слухам), например, сделать общеукраинский центр сертификации, который выдает ключи организациям, которые потом их используют в своих системах, и обеспечивает проверку на гос. уровне, централизовано...
     
  11. Klido

    Klido Гость

    Репутация:
    0
    фирма А посылает документы фирме Б (у обоих лотус, эцп+шифрование лотусиное). Те, кто перехватил документы - ничего не могут сделать с ними... Это напрягает "наших" :)
    фирма А посылает документы фирме Б (у обоих лотус, эцп+шифрование "законное"). Те, кто перехватил документы - могут их как минимум изучить. Так гласит теория страшилок ;)
     
  12. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Репутация:
    0
    Регистрация:
    6 ноя 2007
    Сообщения:
    3.188
    Симпатии:
    22
    стандарты, алгоритмы, логика - ВСЁ одинаково
    разница лишь в том, что в Украине нет нормальных менеджеров в представительстве ИБМ, они на железо ориентируются а не на софт.
    Всё что требуется это предоставить СБУ исходники лотуснячей ЭЦП, но ИБМ Украина лезет в бутылку и отмораживается.
    Имею четкий ответ, что ИБМ Украина не будет "пробивать" лотусиную ЭЦП....
     
  13. Klido

    Klido Гость

    Репутация:
    0
    ну да, насколько я понимаю - СБ органы любой страны должны проверить, что в коде применения эцп такого-то продукта отсутствуют "жучки", позволяющие в произвольный момент получить доступ к данным.
    И всё бы ничего, только органам надо $$ за разрешение (в т.ч. как % от увеличения продаж продукта с эцп), а не все и всегда готовы дать.
    А в целом органам гораздо удобнее иметь "своё" - ибо те же $$ получается автоматически ;)
     
  14. azat20

    azat20 Well-Known Member

    Репутация:
    0
    Регистрация:
    22 июл 2008
    Сообщения:
    244
    Симпатии:
    0
    Немного вроде не ту степь уходит.
    У меня например в одной базе реализовано так. Там есть кнопка "Согласен с текущим документом". По нажатию на нее создается респонз-документ, который сам автоматически заполняет там нужные поля и текст. Которые находятся в подписываемой секции. Документ по данной форме подписывается. (Sign documents that Use the Form). В конце кода кнопки используется метод документа Sign. В результате - имею документ, при открытии которого принтится что подписан тем-то, тогда-то. В свойствах данного документа - $SignatureStatus="1", а в $Signature - сама электронная цифровая подпись. И такие документы отображаются в embedded view, только там никак отобразить этот набор символов ЭЦП
     
  15. Klido

    Klido Гость

    Репутация:
    0
    Azat
    А при чем тут, грубо говоря, лог нажатия кнопки юзером, хоть и подписанный, к ПОДПИСИ на основном документе?
    Вопрос стоит практически так: год назад при заключении контракта я нажал кнопку "Согласен" и контракт ушел в производство. Сейчас оказалось, что кто-то допустил там ошибку, а я не заметил. Но нет, говорю я, ТОГДА я видел совершенно другой документ и нажимал кнопку именно для него. Я не отрицаю - да, нажимал. Но документ был ДРУГОЙ! Кто виноват???

    Почти единственное, что приходит на ум - каждый раз предыдущий док сохранять подписанным как респонс, а новую копию передавать далее на подпись. Но это как-то нетехнологично совершенно - тягать хвосты туда-сюда....
     
  16. Klido

    Klido Гость

    Репутация:
    0
    В своё время статья
    http://docflow.ru/analitics/detail.php?ID=15385
    достаточно прояснила мне напряжность курса на полноценную ЭЦП. Даже на данный момент не представляю до конца КАК в идеале могут масштабно функционировать все эти центры сертификации, службы временных штампов и пр.
    Тот же вопрос - ну была там ЭЦП, но человек уже уволился, сертификат истек/удален... И что дальше? Целые мегапроцедуры представляются в мозгу, которые должны постоянно колбасить документы на предмет соответствии того или иного аспекта ЭЦП...
     
  17. azat20

    azat20 Well-Known Member

    Репутация:
    0
    Регистрация:
    22 июл 2008
    Сообщения:
    244
    Симпатии:
    0
    Ну вообще то, да. На основной документ он подпись не наносит.
     
  18. Klido

    Klido Гость

    Репутация:
    0
    Всё дело в ментальности окружающих :)
    Если не затрагивать полную законность ЭЦП - для масштабных действий вроде судов и пр., по-моему достаточно распоряжения по компании о том, что такой-то софт обеспечивает однозначную идентификацию пользователей (паролями, ключами и т.д.). А ответственность за эту идентификацию возлагается на разработчиков. Только все сотрудники должны знать про это и понимать/принимать.

    При нормальном подходе то же СБ проверяет платформу и код на предмет отсутствия "уязвимостей" по подмене идентификации (ярчайший пример - топ-Иванов из-за занятости даёт указание оформить его подпись автоматом на таких-то документах, ведь для него "подпись" - это НАДПИСЬ, что он тут был :), а что эцп там будет админская или серверная - без разницы) и запускает продукт в работу. Очень похоже на процедуру легализации на государственном уровне.
     
  19. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Репутация:
    0
    Регистрация:
    6 ноя 2007
    Сообщения:
    3.188
    Симпатии:
    22
    Klido
    это всё правильно кроме двух пунктов:
    1) для гос. структур это не канает - им бумажку с копытцем подавай от соответствующих инстанций
    2) СБ в 99% не достаточно компетентен по причине отсутствия специалистов
     
  20. Klido

    Klido Гость

    Репутация:
    0
    ToxaRat
    ясен пень :) я им часто предлагаю организовать процесс :) но они редко идут дальше заботы о .ид файлах :) Я же написал "при нормальном подходе"...

    честно - я счастлив, что ни разу не работал в госструктуре :) как-то слишком ограничено и безусловно... как в армии, что ли :)
    но то, что я видел в этих структурах, участвуя в "гуманитарной" помощи всяким обладминистрациям и силовикам - там ОЧЕНЬ всё плохо и далеко от желаемого.
     
Загрузка...
Похожие Темы - ЭЦП работа нею
  1. tanat
    Ответов:
    1
    Просмотров:
    956
  2. xpro

    Решено Эцп и xpages

    xpro, 31 мар 2015, в разделе: Lotus - Xpages
    Ответов:
    2
    Просмотров:
    892
  3. seoman2
    Ответов:
    3
    Просмотров:
    2.637
  4. akat
    Ответов:
    0
    Просмотров:
    2.344
  5. Sanchel
    Ответов:
    13
    Просмотров:
    4.342

Поделиться этой страницей