Pull to refresh
7
0
Павел Мельниченко @mel26

User

Send message

Все принципы электронной подписи просто выкинуты в… корзину наверное…
Но уж если Вы говорите в терминах нашего законодательства (простая, усиленная, квалифицированная) — наверно, есть смысл использовать термины до конца: цифровой подписи нет с момента принятия 63-ФЗ. Есть электронная.


Ладно, черт с ней, с простой подписью — ей может считаться все, что угодно. Но принцип усиленной, а тем более, квалифицированной подписи в том, что каждый подписант имеет свой секрет — закрытый ключ. И он есть ТОЛЬКО у него.


А вы вставили его секрет в кем-то закрытый контур. Ещё и один на всех? Читая статью, вроде один на всех...


Поддержу предыдущего оратора. Филькина грамота. Бедная Черногория.


p.s. ФБР? В иллюстрации к квалифицированной ЭП в терминах нашего законодательства? Уффф

Думаю, такой сценарий использования просто не рассматривался и не тестировался (установка от учётной записи системы).
Установщик получил учётную запись, ее и использовал :)


Обычная недоработка/баг. Заведите тикет, кажется они принимали баг-репорты по email.


Хотя Ваш воркэраунд тоже поможет при таком сценарии.

Установщики плагинов иногда делают в AppData, чтобы установка не требовала прав администратора. Это довольно важно для массового сегмента.


Действительно, должна быть версия "Для всех пользователей" или хотя бы опция в установщике.

Зато оппечаточку в статье исправили… :)
У вас на картинках остаток по счету — больше 7 млн. рублей.
Вы уверены, что свойств безопасности «подтвердить операцию с помощью одноразового SMS-кода» достаточно?
Про уязвимости SMS не говорил уже только ленивый. Есть какие-то альтернативы, чтобы не потерять всё в один момент?
Небольшое уточнение насчет JaCarta и связи с Athena, о которой упоминалось выше.
JaCarta — это некий собирательный бренд, за которым кроется продукт как раз компании Athena (их PKI-решение, чип и начинка для чипа), а на базе этого продукта Аладдин Р. Д. запилил свое ГОСТ-решение.
Поэтому есть JaCarta без поддержки ГОСТ (в основном подходит для корпоративного рынка) — это и есть локализованный продукт компании Athena. И есть JaCarta с ГОСТ. Это чип и низкоуровневая начинка Athena, плюс реализация ГОСТов от Аладдин Р.Д.

Блин, намудрили… Черт ногу поломает…
Я вам рекомендую придерживаться лучше «сделаю-продам» Так будет осмысленнее :)
Как мне кажется, по причине поднимаемых в теме вопросов Microsoft пошел на совмещение планшета и ноутбука. Когда нужно — отцепил клавиатуру, воа-ля! планшет для «полежать в интернете» и «взять в поездку как навигатор». И когда нужно — «It's still a PC!» (с).
Лично я так и не придумал, зачем мне отдельно планшет. Но выхода Win8 и Surface жду с огромным нетерпением и обязательно куплю.
Если говорить о том, что есть возможность перывания процесса путем «вырубить питание и утащить диск на анализ», то голова диска меняется до невозможности просто.

Если есть риск «маски-шоу» и пр., то лучше все же пользоваться программным шифрованием и уничтожать ключ в случае форс-мажора. Например вот этой штукой, работающей вот с этим софтом.

А описанный Вами способ, как я понимаю, аналогичен многократной перезаписи софтом, только без софта :)
Тогда этот способ хорош только тем, что затираение идет без участия ПО.
Я так и не понял принцип работы этой штуки… Особенно смущает
… гарантированно затирает весь диск...
Отмена возможна только...

Как это гарантированно затирает с возможностью отмены?

Кроме hardware-based может быть и software-based fulldisk encryption. Например, тот же самый TrueCrypt.
Если зашифрована вся информация, имеющая смысл для пользователя, то уничтожение только ключа шифрования (обычно не больше одного сектора HDD) многократной перезаписью полностью уничтожает всю информацию.

И не нужно ничего кипятить или пихать в микроволновку. Достаточно затереть ключ.
Опишите, пожалуйста, конкретно, как работает этот ханипот, и какие функциональные обязанности выполняет каждый из приведенных на картинке и в видео компонентов, а именно:
— дискета
— таблетка с надписью «Java»
— провод
— переходник
— считыватель таблетки

Без этой информации Ваш вопрос, ответ на него, а также критерии оценки правильности предложенных вариантов дают Вам сугубо негативную оценку.
Подготовка электронной версии — работа. Это верно.

НО! Она не может стоить столько же или больше, чем работа цепочки, которая обеспечивает наличие бумажной версии на прилавках: это от лесорубов и деревообработки до продавцов за прилавком.

Если все же она стоит больше или столько же, то это означает некомптентность издателя при подготовке контента для цифровой дистрибуции. За это надо бить рублём издателя.

При этом причны, выраженные в «цену поставил правообладатель», «у вас в москве денег много» и пр. — это недоработка тех, кто с ними эту цену обговаривает. Ведь на печатную версию они дали нормальную цену. Значит и на цифровую дадут, если предложить взаимовыгодное сотрудничество.
Рискую нарваться на грубость, но в Вашем подходе есть изъян.

Вы и Ваши коллеги намекали и напрямую говорили о кадровом голоде в вашей области — пентестинге и аудите ИБ. Но настолько глубоко специализированные кадры появляются из самостоятельной подготовки крайне (!), повторюсь — крайне (!) редко. И заполучить их на рынке — цена немного выше, чем вы привели в описании вакансии.

Тут появляются два варианта:
— инвестировать в кадр (платить небольшую ЗП на протяжении некоторого времени, когда он учится, а также вбухивать ресурсы на обучение) и получить привязанного специалиста
— искать готового специалиста и платить ему много и сразу.
Как я понимаю, инициатор холивара ожидала от вас инвестиций. При этом у меня складывается ощущение, что платить готовому специалисту вы не очень то хотите.

Если копнуть глубже, то при инвестировании в человека компания преследует собственную выгоду — получить квалифицированный кадр в будущем. То есть время и труд объекта инвестиций должны оплачиваться: ему нужно что-то кушать. А Вы говорите — идите учитесь, в интенетах много всего, и потом приходите. Этот подход подразумевает только вашу (компании) выгоду, а не обоюдное сотрудничество компания — работник. А это не соотносится с тезисом о кадровом голоде.

С другой стороны — для инвестиций должна быть база. Вот ее компания вправе требовать. Но без фанатизма типа «вот вам ноут и делайте инъекцию».

Я очень люблю (платонически) вашу компанию и то, что вы делаете. Но при работе с кандидатами вам нужно искать баланс интересов.

А девушке-кандидату — трезво оценивать свои способности. И заканчивать жаловаться.
Кроме п. 4, вызывает сомнение п. 6.
Нужны четкие критерии оценки «крошечности» или «некрошечности» части продукта. Даже крошечная часть может быть ключевой в конкурентоспособности продукта в целом.
А не подскажете, в связи с чем принято решение использования хранения ключей в файлах?
Хищение ключей с флешек, жесткого диска, реестра и пр. различные зловреды освоили еще в 2007 (!) году.
А в Украине есть замечательные смарт-карты и токены, поддерживающие ваши стандарты в области криптографии. И, насколько мне известно, они довольно широко распространены.
Я правильно понимаю, что ключевая пара после генерации сохраняется на флешку/CD-R? И, как следствие, подлежит копированию?
Если я правильно понял суть Вашего девайса, то происходит следующее: по команде из компьютера (например, по нажатию short key), девайс жмет на кнопку на токене снимает результат, после чего изображение передается в компьютер на анализ.

Таким образом, компьютер управляет событием генерации и получает результат. Причем Ваша программа выводит результат в машиночитаемом виде (но это уже не принципиально).

Идеологически, недоверенному компьютеру (вирус, вредоносное ПО, шпионский софт и пр.) ничего не мешает без Вас послать команду на генерацию OTP и получить его значение. Вот и нарушение безопасности.

Об оговорках («кому это надо?», «можно унести токен с собой», «процесс генерации видно» и пр.) я писАл выше. Но мы сейчас руссуждаем о принципах :)
Замечательная статья и замечательный способ повышения удобства. Но давайте я попробую на пальцах объяснить, в каком месте нарушается безопасность.

Основная идея автономных OTP-токенов в том, что физически разделяются «каналы» генерации и доставки секрета в момент аутентификации. То есть у вас для генерации секрета используется токен, а для его доставки — компьютер и сеть.
В этой связке недоверенными являются компьютер и сеть передачи данных. Именно поэтому им не позволено генерировать или хранить секрет. Это делает автономное устройство, на которое недоверенный компьютер или недоверенный субъект в сети никак (теоретически) не может повлиять, потому что для генерации секрета нужно физически нажать кнопку и ручками ввести одноразовый пароль. А у компьютера или субъекта в сети ручек нету.

Что Вы делаете. Вы даете недоверенному компьютеру возможность управлять генерацией секрета, то есть даете ему ручки. Весь смысл автономного OTP-токена коту под хвост :)

Но в оправдание можно сказать что
— это не массовый продукт, уязвимости в вашем ПО и принципах работы искать никто не будет
— токен всегда можно забрать с собой (это нужно делать обязательно, когда Вас нет)
— это удобно :)

Но Ваш Security Manager, если ему не зря платят зарплату, должен Вас очень сильно отругать за такое изобретение.
Скажите, пожалуйста, если есть такая информация.
Позволяют ли современные ОС для смарт-фонов «общаться» с сим-картой напрямую, используя TPDU/APDU?

Например, можно ли из приложения под iOS/Android считать СМС прямо с сим-карты, как в Вашем примере?

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Date of birth
Registered
Activity