И в чём же выражается компрометация?Сообщение от NikosColev
Остальные домыслы не комментирую.
 |
"Калуга-Астрал-Отчет" (разработчик - "Калуга-Астрал", г. Калуга)
"Комита-Отчет" (разработчик - "Комита", г. Санкт-Петербург)
"Контур-Экстерн" (разработчик - "СКБ Контур", г. Екатеринбург)
"СБИС++ Электронная отчетность" (разработчик - "Тензор", г. Ярославль)
"Такском-Спринтер" (разработчик - "Такском", г. Москва)
Другая технология (какая? - напишите в форуме!)
Не сдаю отчетность через Интернет, но выбираю технологию (к какой склоняетесь и почему?)
Не сдаю отчетность через Интернет, и не собираюсь (почему?)
И в чём же выражается компрометация?
Остальные домыслы не комментирую.
С уважением,
Виктор
Было бы интересно и остальные прокомментировать. Компрометация очевидно в доступе к закрытому ключу пользователя сотрудником ТП.
Сам по себе доступ постороннего лица к закрытому ключу не означает компрометации, ибо он (разумеется, при определённых рамочных ограничениях) не даёт никаких возможностей для несанкционированного использования этого ключа. Те или иные действия с теми или иными компонентами системы выполняются вполне открыто с использованием TeamViewer - т. е., только по обращению и с согласия пользователя. Таки где проблема?
Вопрос же о первопричине обращения в техподдержку (соответствие описания реальному) оставлю представителям Калуга Астрал.
С уважением,
Виктор
Не согласен с Вами, именно доступ постороннего лица к закрытому ключу и есть самая обычная компрометация. Использование же TeamViewer (мои домыслы стали реальностью) по сути равно выкладыванию закрытого ключа в глобальную сеть)))
NikosColev, вы уверены что через teamviewer можно получить закрытый ключ?
Я уверен, что работать с ключевой информацией необходимо сертифицированными средствами. А холиварить о том что и кто может получить при использовании определенного софта нужно не в бухгалтерском форуме наверное, да и мне это не очень интересно.
А разве обязательно надо "использовать"? Вот это вроде подходит под компромат:не даёт никаких возможностей для несанкционированного использования этого ключа
Компрометация ключа - утрата доверия к тому, что используемые закрытые ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся, в том числе, следующие: ...
- доступ посторонних лиц к ключевой информации.
Best regards, Михаил
А когда Вы вызываете специалиста из техподдержки (неважно, в принципе, из какой - банк, 1С, спецоператор etc) и усаживаете его за свой компьютер? В этом случае у него гаааараздо больше возможности стырить всё, что можно.
Для нас главное - подвести итоги... Пока итоги не подвели нас. ©
Не знаю ни одного случая, когда простой доступ (не копирование ключа) постороннего лица к такой информации влёк за собой несанкционированное действие. Так что эта формулировка, считаю, годится только для теории. И вообще: если хочешь быть здоров, ешь один и в темноте (c). А доверять постороннему лицу или нет - решает исключительно клиент.
С уважением,
Виктор
Стырить можно различными способами и пользователи часто этому способствуют. Насколько я понимаю, ключи необходимо хранить в сейфе, сажая невесть кого))) за свой ПК хорошо бы хотя бы убрать их на место. Если необходимо работать с ключами достаньте их и нажимайте кнопки на своём ПК сами))) Но, Вы правы, гораздо проще, чтобы "мальчик пришел и всё мне сделал", - ситуация обыденная. В данном случае, речь не столько о том, что пользователи не особо пекутся о своей информационной безопасности, а о том, что сотрудники СОС/УЦ нарушают правила работы с ключевой информацией. Корректно бы было не зайти удаленным доступом (я уж не говорю про ТаймВьювер - нормальный админ в организации убил бы буха за такую деятельность) и установить ключи, а предоставить корректную инструкцию и помочь пользователю её выполнить.
Ага, - "Бланки с печатью и подписью директора всегда лежали у меня на столике и их никто никогда не трогал, а тут вдруг... кто бы мог подумать!? Невиноватая яааа!!!"
Спасение утопающих, - дело рук самих утопающих. (с)
NikosColev, дейсвтия-то разными могут быть. А если человек работает только с программой по отравке отчетности, то скопировать закрытые ключи через нее нельзя.
Я не уверен что их даже через интернет можно отправить каким-либо образом.
Хотя наверно говорить это вам бесполезно, вы уже выводы для себя сделали и считаете их единственно вернымию
То этот человек работает с сертифицированным ПО.Гм))) Конечно можно отправить.Да, убеждать меня в очевидном бесполезно, Вы правы)))
Суть видимо в том, что для большинства пользователей ЭЦП это какая то примочка на дискетке/флешке/токене... из ПО для представления отчетности, а не юридически значимый аналог печати и подписи организации. Добавив сюда, что в настоящее время, кроме фискальных органов ЭЦП особо нигде и не используешь, она и не представляет особой ценности в глазах пользователя. Сейчас, пожалуй только сотрудники банков дрожат за свои подписи... Не уверен, что не байка, но где-то читал об участии в торгах с тестовым сертификатом, - т.е. и держатели сервисов ещё не особо созрели)))
Пользователям предоставляющим удаленный доступ к своему ПК с ключами рекомендую сделать обои на рабочий стол с реквизатами доступа к своему личному банковскому счету, - пусть лица, которым они доверяют доступ к ключам организации смотрят на эти циферки, - они же не такие, они хорошие и никогда ими не воспользуются...
Последний раз редактировалось NikosColev; 17.08.2011 в 14:05.
То этот человек работает с сертифицированным ПО.Гм))) Конечно можно отправить.Да, убеждать меня в очевидном бесполезно, Вы правы)))
Суть видимо в том, что для большинства пользователей ЭЦП это какая то примочка на дискетке/флешке/токене... из ПО для представления отчетности, а не юридически значимый аналог печати и подписи организации. Добавив сюда, что в настоящее время, кроме фискальных органов ЭЦП особо нигде и не используешь, она и не представляет какой особой ценности в глазах пользователя. Сейчас, пожалуй только сотрудники банков дрожат за свои подписи... Не уверен, что не байка, но где-то читал об участии в торгах с тестовым сертификатом, - т.е. и держатели сервисов ещё не особо созрели)))
Пользователям предоставляющим удаленный доступ к своему ПК с ключами рекомендую сделать обои на рабочий стол с реквизатами доступа к своему личному банковскому счету, - пусть лица, которым они доверяют доступ к ключам организации смотрят на эти циферки, - они же не такие, они хорошие и никогда ими не воспользуются... Тем более, как же они украдут ваши обои через интернет)))
Последний раз редактировалось NikosColev; 17.08.2011 в 14:32. Причина: Модераторы, удалите, плз, предыдущее сообщение №1213 - прав не хватает.
Расскажите как. Мне это действительно интересно с практической точки зрения.
Насчет остального говорить бесполезно.
А разве нельзя файлик с записанным ключем отправить ?
Для нас главное - подвести итоги... Пока итоги не подвели нас. ©
Не передёргивайте. Это не предоставление доступа кому попало к чему попало. Вы ещё денег предложите на монитор положить.
С уважением,
Виктор
Сложно сказать. В самом TeamViewer функция передачи файлов есть. Но, насколько я знаю, для Калуга Астрал была выпущена специальная версия клиента - может быть, её там и обрезали. Деталей я не знаю.
С уважением,
Виктор
Но можно ведь и через обычную эл.почту! Я когда через TeamViewer работаю, сама себе файлы посылаю, чтобы, например, распечатать.
Для нас главное - подвести итоги... Пока итоги не подвели нас. ©
В данном случае вопрос не в "сама себе", а в удалённой работе на пользовательском компьютере сотрудника сторонней организации, уполномоченного на совершение неких действий, и наличии возможности для злоупотреблений. В определённой степени, наверное, злоупотребления технически возможны. Но, опять же, это вопрос доверия организации, оказывающей услуги. Никому не доверяя, бизнес вести невозможно.
С уважением,
Виктор
А вот еще 1с-ники иногда базу себе копируют в случае проблем для поиска ошибок... У меня лично сердце кровью обливается - ведь коммерческая тайна вроде бы...
Для нас главное - подвести итоги... Пока итоги не подвели нас. ©
Я не очень понимаю, что именно Вы хотите услышать))) Закрытый ключ - это файл, который может находиться на различных носителях, в зависимости от носителя способы доступа к нему различны. В данном случае, если сотрудник ТП оказывает удаленно помощь по его установке, он имеет полный доступ к носителю с закрытым ключом, имея полный доступ к закрытому ключу получить его копию не составляет особого труда... Опять же, я не говорю о том, что используя ТаймВьевер неизвестно кто ещё получил такой же доступ.
Если специалист умеет хранить тайны и юридически обязан это делать, то ради Бога. Я и сам нередко работаю с чужими данными. И получаю я их исключительно на добровольной основе, а после работы удаляю.
С уважением,
Виктор
Даже если дело касается защищённого носителя вроде eToken?
А вот это уже спорно. TeamViewer можно и не держать постоянно запущенным.
С уважением,
Виктор
Не то что можно не держать, а его нельзя держать постоянно запущенным.
Для нас главное - подвести итоги... Пока итоги не подвели нас. ©
Ну теперь понятно что вы вообще не разбираетесь в работе с закрытыми ключами. Вы попробуйте их просто скопировать с одной флешки на другую. На новой флешки они работать не будут. Да даже если в пределах одной флешки вы их перенесете в другую папку они тоже работать не будут. Это можно делать только специальной программой, например КриптоПро.
Так что не пишите ерунды, если не разбираетесь.
Вообще-то не всё так просто. Ключи ЭЦП можно держать в разном виде. К примеру, SberSign (ПО Сбербанка для подписания электронных документов - СКЗИ у него какое-то своё) хранит и открытый, и закрытый ключи в виде файлов, и скопировать их с компа нетрудно, если они там есть (если вставлена дискета с ними, то и оттуда тоже нетрудно). Многие другие СКЗИ также позволяют держать ключи не на защищённом носителе, а на компьютере, и пользователи не стесняются этим пользоваться, когда ключей много, а флэшки перетыкать постоянно не хочется - так просто удобнее. Правда, в деталях я не знаю методику, как при известном СКЗИ их оттуда можно выкопать.
С уважением,
Виктор
Способы копирования ключей не составляют никакого секрета, большинство из них просто описаны в рук-ве пользователя СКЗИ, т.к. это типовая операция работы с ключами.
Не все СКЗИ позволяют делать копирование в файл на компьютере. Или сотрудник ТП будет просить пользователя вставить какую-нибудь дискету и отвернуться, чтобы не мешал воровать?
С уважением,
Виктор
А я тут столкнулась с тем, что меня отругал сотрудник техподдержки банка, что я переписала ключи на дискету с компа, сказал, что так нельзя и программа работать не будет. А она работала
А насчет КриптоПро - она ведь есть у многих.
Для нас главное - подвести итоги... Пока итоги не подвели нас. ©
Эту тему просматривают: 2 (пользователей: 0 , гостей: 2)
