• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

В Украине Утвержден Единый Формат Обмена Между Сэд

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Я даже поверить не мог когда сегодня получит письмо о том, что наконец-то этот формат утверждён.
Суть формата в том, что любой документ пересылается специальным XML пакетом - выходит из любой СЭД и попадает в любую СЭД, естественно с квитанциями о доставке, принятии, регистрации.
Кому интересно вот ссылка на формат:
Фактически это немного доработанный европейский MOREQ2
Но!
Теперь можно столкнуть СЭДы лбами и сделать самое невероятное - отказаться от бумажной переписки.
Учитывая что больше половины СЭД на лотусе это не может не радовать :)
И самое важное, тут сидит много лотусистов, которые тоже пишут или дорабатывают свои системы, этот формат можете показать своему начальству и аргументировано начать его использовать для своих нужд.
 
K

Klido

Эх.. тут всё не так просто... Требования, кстати, уже достаточно давно утверждены... И куча тех, кто окультуривает госорганы уже к нему "адаптировалась", вернее - отчиталась об этом :)
Вся фишка в том, что лотус или не лотус - не имеет значения, технически по формату всё решается. А вот реальная ЭЦП от реальных АЦСК и их интеграция в эти "системы" для создания легитимного документооборота - огромная проблемма...
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
А вот реальная ЭЦП от реальных АЦСК и их интеграция в эти "системы" для создания легитимного документооборота - огромная проблемма...
ну ты прямо райский условий хочешь :)
сейчас в Украине 11 АЦСК и врядли они "договорятся"
этот вопрос легче решить предоставив спец. связь или трансфер, который тупо обойдет все эти приколы с ЭЦП
 
K

Klido

в Украине сейчас 18 АЦСК :)

Один из них в соседней комнате от меня.
Приколы с ЭЦП обойти как бы нельзя ибо только она законодательно обеспечивает хоть какую-то значимость для ЭД.
Реально никакого "документооборота" в Украине нет, что бы ни говорили... Есть жалкие потуги (не берем в расчет "внутренний" документооборот) наладить обмен ЭД в нормативно-законодательном контексте...

Обидно, что лотус тут ни при чем... А проблемы надо решать...
 
A

Akupaka

этот вопрос легче решить предоставив спец. связь или трансфер, который тупо обойдет все эти приколы с ЭЦП
А смысл, если выполнить проверку подлинности не удастся?
От бумажек в таком случае вообще уйти не удастся, ведь подпись именно для этой задачи и создана!
 
K

Klido

Akupaka
>И в чем она состоит?

базово - невозможность даже при "кроссертификации" (которую тоже фактически нереально провести между ЦСК разных разработчиков) нельзя без гиперусилий проверить средствами 1-го ЦСК сертификат и ЭЦП, созданные средствами другого ЦСК

пример: в налоговой стоит шлюз, который - хорошо хоть так - по обычному мылу принимает отчетность с ЭЦП, но только от 6-и АЦСК (соответствующие сертификаты и криптобиблиотеки). Что бы туда вкрутить 7+ АЦСК - надо шлюз менять. А "райские условия" подразумевают, что средствами любого ЦСК (построенного от одного ЦЗО!) мы могли бы направить туда ЭД, а там ОДИН сертификат на шлюзе с ОДНОЙ проверкой криптозащиты... Вот в лотусине именно так, если банальный пример....
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
А смысл, если выполнить проверку подлинности не удастся?
От бумажек в таком случае вообще уйти не удастся, ведь подпись именно для этой задачи и создана!
а вот тут проверку подлинности выполнять и не нужно
единый трансфер стоит во всех местах и он выполняет авторизацию каждого и тем самым уже гарантирует подлинность
вопрос кто быстрее этот трасфер создаст :)
 
K

Klido

не выйдет... кто и что гарантирует - см. Законы про ЭЦП, про документооборот и иже с ними.
в лучшем случае надо ваять мегасофтину для наложения/проверки ЭЦП всех АЦСК... а в худшем - имеем то, что есть...
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
не выйдет... кто и что гарантирует - см. Законы про ЭЦП, про документооборот и иже с ними.
в лучшем случае надо ваять мегасофтину для наложения/проверки ЭЦП всех АЦСК... а в худшем - имеем то, что есть...
для банкоматов же как-то вышло :)
 
K

Klido

банкоматы - это платежные системы, там рулит НБУ, которому пофиг ЦЗО и остальные :) кроме того, он не так давно свой собственный мини-ЦЗО создал и скоро все банки и платежные системы туда загонит...
т.е. по НБУ - то вообще отдельная тема :)
 
A

Akupaka

Klido
базово - невозможность даже при "кроссертификации" (которую тоже фактически нереально провести между ЦСК разных разработчиков) нельзя без гиперусилий проверить средствами 1-го ЦСК сертификат и ЭЦП, созданные средствами другого ЦСК

Зачем кросс? Почему нельзя проверить? Разве не достаточно лишь иметь доступ к серт.центру?

ToxaRat
а вот тут проверку подлинности выполнять и не нужно

Конечно! Зачем? Ты когда сдачу в магазине получаешь, ты их тоже не проверяешь на поддельность? =)
 
K

Klido

Akupaka
долго всё это перетирать... вот тут изложено примерно что к чему . "неграмонизированно" - хорошее слово...

Доступ к серт. центру даст возможность проверить только статус сертификата (и то не всегда, т.к. у всех АЦСК по-разному статус выдается), если ЭД содержит и сертификат, и его реквизиты - вплоть до адреса проверки...
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!