Как заменить криптопровайдера?!

ToxaRat · 03.11.2010

Долго думал в какой раздел написать и что вообще написать.
С чего бы начать...
И так каждый знает, что в лотусе есть и механизмы подписывания/проверки подписи и шифрования/дешифрования.
Естественно есть нюанс, который сводится к тому, что эти алгоритмы не имеют сертификации в конкретной стране.
Напрашивается логический вариант, а нельзя ли сделать подмену криптопровайдера как такого, тогда сразу вопрос сертификации и экспертной оценки решается неимоверно быстро прямо для всего лотуса а не для каждого отдельного интегратора.
Простыми словами как вытащить стандартную процедуру подписи/проверки и подсунуть вместо неё решение местного криптопровайдера?!
Прошел слушок, что кто-то из российских интеграторов такое сделал, только без указания кто именно и с каким конкретным лотусом.

Итак список вопросов:
кто что знает в этом направлении?
кто этот интегратор?
как это сделать?
может быть новые фичи/плагины 8ки это позволяют?

Klido · 03.11.2010

хе-хе...
я уже 3 мес. не с лотусом, но с криптопровайдерами

и реальными ЦСК... проблем - 1КК просто

уже не раз обсуждали - ничего нет проще: берем лотусиный док и кидаем в xml, который легитимным криптопровайдером обрабатываем - и назад в лотусину... псевдо, понимаешь, ЭДО получается...

у россиян попроще вроде - там сертифицировали лотусиное шифрование по классу защиты Д и кое-где (наверное, кроме госорганов) можно вполне норм юзать его...

у нас тоже можно ожидать новостей - активно проталкиваемый ЦСК для "электронного правительства" использует на данный момент нелегитимные алгоритмы шифрования, если протолкнут - RSA будет рулить...

akat · 03.11.2010

ToxaRat
Помнитца на мероприятии IBM был доклад от ПУЛа

Ссылка скрыта от гостей

>Прошел слушок
Это в прошлом веке в области ИТ были слухи. Сейчас уже все в Сети

ToxaRat · 03.11.2010

Klido
не то
мне нужно именно ЗАМЕНА криптопровайдера
чтобы лотусиная команда Doc.Sign - запускала не родные механизмы лотуса
потому как навешивать поверх лотусе сторроние средства мало того, что хлопотно так еще и требует кучу бумажет по экспертизе правильной интеграции и т.д.
речь исключительно о ЗАМЕНЕ

Klido · 03.11.2010

ToxaRat сказал(а):
требует кучу бумажет по экспертизе

это понадобится иначе как ты докажешь, что ПРАВИЛЬНО используешь даже легитимные ЭЦП и КЗИ?

ToxaRat · 03.11.2010

Klido
нюанс как раз в том, что при замене мне уже ничего доказывать НЕ нужно, по сути что-то сказать можешь?

Klido · 03.11.2010

ToxaRat сказал(а):
при замене мне уже ничего доказывать НЕ нужно

или пока не пришлось, или повезло и концы в регуляторных органах

в самой лотусине просто не верю, что заменить выйдет.... это ж проперитарная вещь...

VladSh · 03.11.2010

На хуках многие делают, в т.ч. и Аплана делала (в "БР"), но это нечестное решение и никогда судами легитимным признано не будет.

Проблем действительно есть!
Я уже давно хотел разместить идею на ideajam по ЗАМЕНЕ, но вот руки не доходили. Если составишь текст грамотно, на русском, то я переведу и заброшу.
Идея не нова для IBM - на семинаре по Лотус-технологиям рассказывали, что в Quickr это уже сделано. На самом деле это просто - дать наружу интерфейс, по умолчанию воткнуть свой RSA, а другие разработчики смогут писать свой код для Лотуса, используя открытый интерфейс.
Долбить IBM надо активно! Бизнес-партнёры на самом деле могут оказывать влияние на IBM, особенно когда их много

Добавлено: дополнительно к этому хотелось бы записывать чужие ключи (сгенеренные вне Domino) в id-файлы, чтобы со всех сторон не было никаких проблем. И настройку, откуда брать личный ключ: из id-файла или из файла другого формата (со сменного носителя).

VladSh · 05.11.2010

На самом деле, это действительно не hook в его понимании.
Существует ещё 2 метода:

Ссылка скрыта от гостей

, но всё равно это химия, как бы там не хвастался ПУЛ.

Klido · 05.11.2010

VladSh сказал(а):
дополнительно к этому хотелось бы записывать чужие ключи (сгенеренные вне Domino) в id-файлы

секретный ключ должен храниться в секрете (с) - идеально на токене без возможности его оттуда куда либо переместить...

VladSh сказал(а):
всё равно это химия

угу, экспертизу/сертификацию не пройдет (на данный момент)...

VladSh · 05.11.2010

Klido сказал(а):
секретный ключ должен храниться в секрете (с) - идеально на токене без возможности его оттуда куда либо переместить...

"на токене" - это где?
private-key'и ведь находятся в id-файлах?

Klido сказал(а):
угу, экспертизу/сертификацию не пройдет (на данный момент)...

Эти чуваки каким-то образом сертифицировались. Говорят, что ещё есть какой-то сертифицированный криптопровайдер в Украине. Хотя, может, всё это мулька..

ToxaRat · 05.11.2010

VladSh сказал(а):
Эти чуваки каким-то образом сертифицировались.

открою секрет, чтобы сертифицироваться даже исходных кодов показывать не нужно, по большому случаю все сертифицируются до 2й ступени, где требуется лишь бумажка на которой расписан регламент работы ЭЦП, ни исходников, ни программы предьявлять не нужно
однако 2й уровень не даёт работать с финансовыми документами и грифом секретно, и если в тендере не заявляют этих "нюансов"(а именно так это сейчас и делается) то этой "сертификации" достаточно.
Чтобы получить выше 2-го уровня нужно начинать предоставлять исходники ПО.

Это как качество бензина, есть 92-95й бензин чьё качество чётко соответствует ДСТУ - однако "забывают" уточнить какому именно ДСТУ их 3х действующих на Украине, тому, который был в 95году, 2000году или 2008 - естественно обычно это самый говняный 95год(где уровень серы на пределе), но это тонкости, которые нужны автомобилистам а не продажникам которые парят, что "бензин соотвествует ДСТУ".

Так и тут, "наша СЭД имеет сертификат ДСТЗУ", который требуется по тендеру - а то что там 1й уровень так никого не парит, главное что бумажка то есть...

Klido · 05.11.2010

VladSh
тема тёмная с криптопровайдерами

я ща в некоей конторе - у нас свой ЦСК, на сл. неделе как раз аккредитация... Софт под микрософтом, у почтово-прототипной платформы ЭДО есть сертификат этой хрени по спецсвязи... не говоря о сертификатах санэпидемстанции и прочих не-Ит регуляторов

и у нас задача похлеще - надо сертификаты и прочее нашего ЦСК впендюрить софту, который с другим ЦСК дружит.. производители ЦСК разные - форматы не совместимы

VladSh сказал(а):
"на токене" - это где?
private-key'и ведь находятся в id-файлах?

не в файлах, надо - физически на устройстве (карты или флэш-токен)

VladSh · 05.11.2010

Klido сказал(а):
и у нас задача похлеще - надо сертификаты и прочее нашего ЦСК впендюрить софту, который с другим ЦСК дружит.. производители ЦСК разные - форматы не совместимы

а у нас наоборот - ЦСК впаривает нам свои сертификаты, которые с Лотусом, ввиду вышеуказанных проблем, несовместимы )

Klido сказал(а):
не в файлах, надо - физически на устройстве (карты или флэш-токен)

и здесь всё совпало ))

Klido · 09.11.2010

VladSh сказал(а):
ЦСК впаривает нам свои сертификаты, которые с Лотусом, ввиду вышеуказанных проблем, несовместимы

ну как бы они принципиально не совместимы с лотусом

а вот МЕЖДУ ЦСК несовместимость - это дикий трабл

Все сервисы Codeby

Поиск

Поиск

Как заменить криптопровайдера?!

ToxaRat

Чёрный маг

Klido

akat

ToxaRat

Чёрный маг

Klido

ToxaRat

Чёрный маг

Klido

VladSh

начинающий

VladSh

начинающий

Klido

VladSh

начинающий

ToxaRat

Чёрный маг

Klido

VladSh

начинающий

Klido