Как заменить криптопровайдера?!

ToxaRat

Чёрный маг
Lotus team
06.11.2007
3 203
24
38
Киев
ToxaRat.com
#1
Долго думал в какой раздел написать и что вообще написать.
С чего бы начать...
И так каждый знает, что в лотусе есть и механизмы подписывания/проверки подписи и шифрования/дешифрования.
Естественно есть нюанс, который сводится к тому, что эти алгоритмы не имеют сертификации в конкретной стране.
Напрашивается логический вариант, а нельзя ли сделать подмену криптопровайдера как такого, тогда сразу вопрос сертификации и экспертной оценки решается неимоверно быстро прямо для всего лотуса а не для каждого отдельного интегратора.
Простыми словами как вытащить стандартную процедуру подписи/проверки и подсунуть вместо неё решение местного криптопровайдера?!
Прошел слушок, что кто-то из российских интеграторов такое сделал, только без указания кто именно и с каким конкретным лотусом.

Итак список вопросов:
кто что знает в этом направлении?
кто этот интегратор?
как это сделать?
может быть новые фичи/плагины 8ки это позволяют?
 
K

Klido

Гость
#2
хе-хе...
я уже 3 мес. не с лотусом, но с криптопровайдерами :) и реальными ЦСК... проблем - 1КК просто :)

уже не раз обсуждали - ничего нет проще: берем лотусиный док и кидаем в xml, который легитимным криптопровайдером обрабатываем - и назад в лотусину... псевдо, понимаешь, ЭДО получается...

у россиян попроще вроде - там сертифицировали лотусиное шифрование по классу защиты Д и кое-где (наверное, кроме госорганов) можно вполне норм юзать его...

у нас тоже можно ожидать новостей - активно проталкиваемый ЦСК для "электронного правительства" использует на данный момент нелегитимные алгоритмы шифрования, если протолкнут - RSA будет рулить...
 

ToxaRat

Чёрный маг
Lotus team
06.11.2007
3 203
24
38
Киев
ToxaRat.com
#4
Klido
не то
мне нужно именно ЗАМЕНА криптопровайдера
чтобы лотусиная команда Doc.Sign - запускала не родные механизмы лотуса
потому как навешивать поверх лотусе сторроние средства мало того, что хлопотно так еще и требует кучу бумажет по экспертизе правильной интеграции и т.д.
речь исключительно о ЗАМЕНЕ
 

ToxaRat

Чёрный маг
Lotus team
06.11.2007
3 203
24
38
Киев
ToxaRat.com
#6
Klido
нюанс как раз в том, что при замене мне уже ничего доказывать НЕ нужно, по сути что-то сказать можешь?
 

VladSh

начинающий
Lotus team
11.12.2009
1 248
2
Киев (Русь)
#8
На хуках многие делают, в т.ч. и Аплана делала (в "БР"), но это нечестное решение и никогда судами легитимным признано не будет.

Проблем действительно есть!
Я уже давно хотел разместить идею на ideajam по ЗАМЕНЕ, но вот руки не доходили. Если составишь текст грамотно, на русском, то я переведу и заброшу.
Идея не нова для IBM - на семинаре по Лотус-технологиям рассказывали, что в Quickr это уже сделано. На самом деле это просто - дать наружу интерфейс, по умолчанию воткнуть свой RSA, а другие разработчики смогут писать свой код для Лотуса, используя открытый интерфейс.
Долбить IBM надо активно! Бизнес-партнёры на самом деле могут оказывать влияние на IBM, особенно когда их много ;)


Добавлено: дополнительно к этому хотелось бы записывать чужие ключи (сгенеренные вне Domino) в id-файлы, чтобы со всех сторон не было никаких проблем. И настройку, откуда брать личный ключ: из id-файла или из файла другого формата (со сменного носителя).
 
K

Klido

Гость
#10
дополнительно к этому хотелось бы записывать чужие ключи (сгенеренные вне Domino) в id-файлы
секретный ключ должен храниться в секрете (с) - идеально на токене без возможности его оттуда куда либо переместить...
угу, экспертизу/сертификацию не пройдет (на данный момент)...
 

VladSh

начинающий
Lotus team
11.12.2009
1 248
2
Киев (Русь)
#11
секретный ключ должен храниться в секрете (с) - идеально на токене без возможности его оттуда куда либо переместить...
"на токене" - это где?
private-key'и ведь находятся в id-файлах?

угу, экспертизу/сертификацию не пройдет (на данный момент)...
Эти чуваки каким-то образом сертифицировались. Говорят, что ещё есть какой-то сертифицированный криптопровайдер в Украине. Хотя, может, всё это мулька..
 

ToxaRat

Чёрный маг
Lotus team
06.11.2007
3 203
24
38
Киев
ToxaRat.com
#12
Эти чуваки каким-то образом сертифицировались.
открою секрет, чтобы сертифицироваться даже исходных кодов показывать не нужно, по большому случаю все сертифицируются до 2й ступени, где требуется лишь бумажка на которой расписан регламент работы ЭЦП, ни исходников, ни программы предьявлять не нужно
однако 2й уровень не даёт работать с финансовыми документами и грифом секретно, и если в тендере не заявляют этих "нюансов"(а именно так это сейчас и делается) то этой "сертификации" достаточно.
Чтобы получить выше 2-го уровня нужно начинать предоставлять исходники ПО.

Это как качество бензина, есть 92-95й бензин чьё качество чётко соответствует ДСТУ - однако "забывают" уточнить какому именно ДСТУ их 3х действующих на Украине, тому, который был в 95году, 2000году или 2008 - естественно обычно это самый говняный 95год(где уровень серы на пределе), но это тонкости, которые нужны автомобилистам а не продажникам которые парят, что "бензин соотвествует ДСТУ".

Так и тут, "наша СЭД имеет сертификат ДСТЗУ", который требуется по тендеру - а то что там 1й уровень так никого не парит, главное что бумажка то есть...
 
K

Klido

Гость
#13
VladSh
тема тёмная с криптопровайдерами :)
я ща в некоей конторе - у нас свой ЦСК, на сл. неделе как раз аккредитация... Софт под микрософтом, у почтово-прототипной платформы ЭДО есть сертификат этой хрени по спецсвязи... не говоря о сертификатах санэпидемстанции и прочих не-Ит регуляторов :)

и у нас задача похлеще - надо сертификаты и прочее нашего ЦСК впендюрить софту, который с другим ЦСК дружит.. производители ЦСК разные - форматы не совместимы :(
"на токене" - это где?
private-key'и ведь находятся в id-файлах?
не в файлах, надо - физически на устройстве (карты или флэш-токен)
 

VladSh

начинающий
Lotus team
11.12.2009
1 248
2
Киев (Русь)
#14
и у нас задача похлеще - надо сертификаты и прочее нашего ЦСК впендюрить софту, который с другим ЦСК дружит.. производители ЦСК разные - форматы не совместимы
а у нас наоборот - ЦСК впаривает нам свои сертификаты, которые с Лотусом, ввиду вышеуказанных проблем, несовместимы )
не в файлах, надо - физически на устройстве (карты или флэш-токен)
и здесь всё совпало ))
 
K

Klido

Гость
#15
ЦСК впаривает нам свои сертификаты, которые с Лотусом, ввиду вышеуказанных проблем, несовместимы
ну как бы они принципиально не совместимы с лотусом ;) а вот МЕЖДУ ЦСК несовместимость - это дикий трабл ;)