Как заменить криптопровайдера?!

Тема в разделе "Общие вопросы по лотус-технологиям", создана пользователем ToxaRat, 3 ноя 2010.

  1. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    Долго думал в какой раздел написать и что вообще написать.
    С чего бы начать...
    И так каждый знает, что в лотусе есть и механизмы подписывания/проверки подписи и шифрования/дешифрования.
    Естественно есть нюанс, который сводится к тому, что эти алгоритмы не имеют сертификации в конкретной стране.
    Напрашивается логический вариант, а нельзя ли сделать подмену криптопровайдера как такого, тогда сразу вопрос сертификации и экспертной оценки решается неимоверно быстро прямо для всего лотуса а не для каждого отдельного интегратора.
    Простыми словами как вытащить стандартную процедуру подписи/проверки и подсунуть вместо неё решение местного криптопровайдера?!
    Прошел слушок, что кто-то из российских интеграторов такое сделал, только без указания кто именно и с каким конкретным лотусом.

    Итак список вопросов:
    кто что знает в этом направлении?
    кто этот интегратор?
    как это сделать?
    может быть новые фичи/плагины 8ки это позволяют?
     
  2. Klido

    Klido Гость

    хе-хе...
    я уже 3 мес. не с лотусом, но с криптопровайдерами :) и реальными ЦСК... проблем - 1КК просто :)

    уже не раз обсуждали - ничего нет проще: берем лотусиный док и кидаем в xml, который легитимным криптопровайдером обрабатываем - и назад в лотусину... псевдо, понимаешь, ЭДО получается...

    у россиян попроще вроде - там сертифицировали лотусиное шифрование по классу защиты Д и кое-где (наверное, кроме госорганов) можно вполне норм юзать его...

    у нас тоже можно ожидать новостей - активно проталкиваемый ЦСК для "электронного правительства" использует на данный момент нелегитимные алгоритмы шифрования, если протолкнут - RSA будет рулить...
     
  3. akat

    akat Lotus team
    Lotus team

    Регистрация:
    16 июн 2010
    Сообщения:
    243
    Симпатии:
    7
    ToxaRat
    Помнитца на мероприятии IBM был доклад от ПУЛа
    http://www.pool.kiev.ua/clients/poolhome.n...225762C0033A927

    >Прошел слушок
    Это в прошлом веке в области ИТ были слухи. Сейчас уже все в Сети :)
     
  4. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    Klido
    не то
    мне нужно именно ЗАМЕНА криптопровайдера
    чтобы лотусиная команда Doc.Sign - запускала не родные механизмы лотуса
    потому как навешивать поверх лотусе сторроние средства мало того, что хлопотно так еще и требует кучу бумажет по экспертизе правильной интеграции и т.д.
    речь исключительно о ЗАМЕНЕ
     
  5. Klido

    Klido Гость

    это понадобится иначе как ты докажешь, что ПРАВИЛЬНО используешь даже легитимные ЭЦП и КЗИ?
     
  6. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    Klido
    нюанс как раз в том, что при замене мне уже ничего доказывать НЕ нужно, по сути что-то сказать можешь?
     
  7. Klido

    Klido Гость

    или пока не пришлось, или повезло и концы в регуляторных органах ;)

    в самой лотусине просто не верю, что заменить выйдет.... это ж проперитарная вещь...
     
  8. VladSh

    VladSh начинающий
    Lotus team

    Регистрация:
    11 дек 2009
    Сообщения:
    1.251
    Симпатии:
    2
    На хуках многие делают, в т.ч. и Аплана делала (в "БР"), но это нечестное решение и никогда судами легитимным признано не будет.

    Проблем действительно есть!
    Я уже давно хотел разместить идею на ideajam по ЗАМЕНЕ, но вот руки не доходили. Если составишь текст грамотно, на русском, то я переведу и заброшу.
    Идея не нова для IBM - на семинаре по Лотус-технологиям рассказывали, что в Quickr это уже сделано. На самом деле это просто - дать наружу интерфейс, по умолчанию воткнуть свой RSA, а другие разработчики смогут писать свой код для Лотуса, используя открытый интерфейс.
    Долбить IBM надо активно! Бизнес-партнёры на самом деле могут оказывать влияние на IBM, особенно когда их много ;)


    Добавлено: дополнительно к этому хотелось бы записывать чужие ключи (сгенеренные вне Domino) в id-файлы, чтобы со всех сторон не было никаких проблем. И настройку, откуда брать личный ключ: из id-файла или из файла другого формата (со сменного носителя).
     
  9. VladSh

    VladSh начинающий
    Lotus team

    Регистрация:
    11 дек 2009
    Сообщения:
    1.251
    Симпатии:
    2
    На самом деле, это действительно не hook в его понимании.
    Существует ещё 2 метода: API Interception via DLL Redirection, но всё равно это химия, как бы там не хвастался ПУЛ.
     
  10. Klido

    Klido Гость

    секретный ключ должен храниться в секрете (с) - идеально на токене без возможности его оттуда куда либо переместить...
    угу, экспертизу/сертификацию не пройдет (на данный момент)...
     
  11. VladSh

    VladSh начинающий
    Lotus team

    Регистрация:
    11 дек 2009
    Сообщения:
    1.251
    Симпатии:
    2
    "на токене" - это где?
    private-key'и ведь находятся в id-файлах?

    Эти чуваки каким-то образом сертифицировались. Говорят, что ещё есть какой-то сертифицированный криптопровайдер в Украине. Хотя, может, всё это мулька..
     
  12. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    открою секрет, чтобы сертифицироваться даже исходных кодов показывать не нужно, по большому случаю все сертифицируются до 2й ступени, где требуется лишь бумажка на которой расписан регламент работы ЭЦП, ни исходников, ни программы предьявлять не нужно
    однако 2й уровень не даёт работать с финансовыми документами и грифом секретно, и если в тендере не заявляют этих "нюансов"(а именно так это сейчас и делается) то этой "сертификации" достаточно.
    Чтобы получить выше 2-го уровня нужно начинать предоставлять исходники ПО.

    Это как качество бензина, есть 92-95й бензин чьё качество чётко соответствует ДСТУ - однако "забывают" уточнить какому именно ДСТУ их 3х действующих на Украине, тому, который был в 95году, 2000году или 2008 - естественно обычно это самый говняный 95год(где уровень серы на пределе), но это тонкости, которые нужны автомобилистам а не продажникам которые парят, что "бензин соотвествует ДСТУ".

    Так и тут, "наша СЭД имеет сертификат ДСТЗУ", который требуется по тендеру - а то что там 1й уровень так никого не парит, главное что бумажка то есть...
     
  13. Klido

    Klido Гость

    VladSh
    тема тёмная с криптопровайдерами :)
    я ща в некоей конторе - у нас свой ЦСК, на сл. неделе как раз аккредитация... Софт под микрософтом, у почтово-прототипной платформы ЭДО есть сертификат этой хрени по спецсвязи... не говоря о сертификатах санэпидемстанции и прочих не-Ит регуляторов :)

    и у нас задача похлеще - надо сертификаты и прочее нашего ЦСК впендюрить софту, который с другим ЦСК дружит.. производители ЦСК разные - форматы не совместимы :(
    не в файлах, надо - физически на устройстве (карты или флэш-токен)
     
  14. VladSh

    VladSh начинающий
    Lotus team

    Регистрация:
    11 дек 2009
    Сообщения:
    1.251
    Симпатии:
    2
    а у нас наоборот - ЦСК впаривает нам свои сертификаты, которые с Лотусом, ввиду вышеуказанных проблем, несовместимы )
    и здесь всё совпало ))
     
  15. Klido

    Klido Гость

    ну как бы они принципиально не совместимы с лотусом ;) а вот МЕЖДУ ЦСК несовместимость - это дикий трабл ;)
     
Загрузка...

Поделиться этой страницей