Электронная цифровая подпись - 2015 - Lenta.ru

читал, осуждаю

Начтолько для тру что даже без ссылки?

http://lenta.ru/articles/2010/08/02/digising/

меня несколько напрягает их специализация:

СКБ «Контур» помогает миллиону отечественных бизнесов сдавать через интернет налоговую отчетность и отчеты в другие госфонды.

«СКБ Контур»

Не не не, Девид Блэйн, только не СКБ Контур! Когда кто-то где-то в каком-то контексте упоминает эту фирму, у меня сразу начинается истерика. Я тут же вспоминаю их систему сдачи отчётов в налоговую (и другие подобные государственные организации) через интернет, с которой у бухгалтерии во время сдачи отчётов _постоянно_ возникают разнообразные проблемы. Я не помню ни одного случая, чтобы при отправке отчётов в ПФР через Контур-Экстерн Лайт, не вылезло окошко «Ошибка» с длиннющим стектрейсом дотНЕТ'овских кишков Лайта и API Крипто-Про. Лечится переустановкой/обновлением/перерегистрацией_ключей/чисткой_реестра и другими плясками с бубном...

Эта та контора которая БД клиентов предлагает хранить у себя на сервере ? Действительно очень удобно для правоозранительных органов.

СКБ «Контур» помогает миллиону отечественных бизнесов сдавать через интернет налоговую отчетность и отчеты в другие госфонды.

Кстати говоря, эта их мегосистема гигантскими гвоздями прибита к Internet Explorer'у (банальный ActiveX) и MS Crypto API + Крипто-Про (отечественная win-only реализация ГОСТ'овских алгоритмов шифрования).

Ты не сказал про национальную ОС

Помню, национальная операционная система была создана в Китае. Проект закрыт, по-моему, потому, что конечный продукт получился дороже Windows в несколько раз. Мне кажется, что не получится сделать ОС реально дешевле, чем Windows. Windows в OEM-версии стоит десятки долларов, единицы десятков долларов. Работает отлично. Пока не удалось увидеть ОС дешевле – бесплатный Linux почему-то обходится как правило дороже, судя по цифрам, которые я видел.

В случае с «Майкрософтом» все очень просто. Там есть какая-то публичная цена. Она написана в опубликованном прайс-листе, и все ее знают. Дороже просто не имеет смысла платить, потому что тебя немедленно уличат в чем-то нехорошем. В случае с Linux все знают, что это - бесплатный продукт, который требует платной поддержки. Это в наших условиях открывает возможности для махинаций, когда в итоге владение Linux порой обходится значительно дороже всего того, что связано с покупкой и эксплуатацией Windows.

Хотелось бы, чтобы все важные «фичи», важные возможности в операционной системе, или сервисы, делали коммерческие структуры. Если этим будут заниматься люди за деньги, тогда это будет делаться хорошо. Потому что будет рынок, будет конкуренция, будет работать вековое желание заработать побольше.

В случае, если что-то делается государством, нужно очень сильно подумать, сделает ли это государство лучше, чем рынок. Как ты думаешь, если бы налоговую отчетность в электронной форме делало государство без участников рынка, она у нас была бы уже на данный момент или нет? Не знаю.

Дадька не утерпел и вбросил:)

>Кстати говоря, эта их мегосистема гигантскими гвоздями прибита к [...] Крипто-Про
Ну это не их вина. Какой криптопровайдер у нас еще разрешен?

> Не не не, Девид Блэйн, только не СКБ Контур!

Плюсую. Я видел не так много программных комплексов, но этот работает настолько коряво, что дыхание перехватывает.

Какой криптопровайдер у нас еще разрешен?

Любой сертифицированный ФАПСИ. Есть сертифицированные сборки OpenSSL, естественно платные.

>Любой сертифицированный ФАПСИ
Правильно. А кто, кроме Крипто-Про, имеет такой сертификат?

> ... Крипто-Про (отечественная win-only реализация ГОСТ'овских алгоритмов шифрования) ...

У них список на сайте включает не только Windows.

Не не не, Девид Блэйн, только не СКБ Контур!

+100500! Хорошо, что удалось его выпилить...

>Интервью с Петром Диденко

Так он же в Микрософт работал ранее. Чего от него ждать-то?

> Начтолько для тру что даже без ссылки?

Блин, отвлекли во время написания письма, забыл ссылку ;) Но её уже привели.

Давайте про спорные моменты, всё-таки? Меня напрягает приравнивание цифровой подписи (ЦП) к паспорту тем, что паспорт скопировать гораздо сложнее, чем ЦП. Я ни в жисть не хочу доверить свой электронный паспорт какой-либо конторе, включая государственную.

Об этом и Столлман говорит. Прямым текстом просит покупать, не используя средства идентификации. Совсем недавно интервью его тут пробегало.

If you buy some of these books, or any books, I recommend yu do it in a way that doesn't identify you to Big Brother. Pay cash, in a store.

Несмотря на удобства, светить своей деятельностью в какие-то там базы я бы не стал. Особенно это касается публичных людей или тех, кто ими потенциально может или хочет стать. Все действия (покупки, письма и пр.) начнут интересовать непростых людей, желающих скомпрометировать или «подержать на крючке».

> If you buy some of these books, or any books, I recommend yu do it in a way that doesn't identify you to Big Brother. Pay cash, in a store.

Это другого типа паранойа ;) Я говорю о простоте копирования. Когда я работал в банке, и ко мне с электронной подписью на дискетке приходила главбух подписать документы, то я быстро сделал копию образа, на случай если дискетка навернётся. Главбух была в курсе и иногда просто звонила по телефону, чтобы я сам подписал без её визита. Я про этот аспект. И как сделать это реально доверительным методом я пока даже придумать не могу.

Правильно. А кто, кроме Крипто-Про, имеет такой сертификат?

Говорю же, есть даже сертифицированные сборки OpenSSL. Вот например: http://www.cryptocom.ru/cryptopacket.html.

У них список на сайте включает не только Windows.

Я в последний раз смотрел на их сайте, когда самой последней версией была Крипто-Про CSP 2.0. Начиная с третьей они действительно портировали свои библиотеки под другие ОС. Только Контуровцы всё равно вряд-ли будут делать свои продукты кроссплатформенными.

Вот в том-то и дело, что люди будут на крючке. Ничего не стоит получить секретный ключ и даже пароль (социальной инженерией или техническими средствами). Столько лохни сейчас. Я помогал приятелю систему поставить ему в офис, а там и шифрование дисков, шифрование рабочих станций, шифрование почты. Степень доверия его ко мне большая, но сам факт — копии всех секретных ключей и пароли у меня. Как раз на случай утраты. А вдруг мне завтра кирпич на голову упадет и я, сойдя с ума, захочу вредительством заняться? А вдруг я с ним поссорюсь и захочу навредить (тут, к счастью, у меня весьма высокие принципы — я такими вещами не страдаю)? Допустим, не я окажусь на этом месте, а кто-то другой. Неспециалисты очень уязвимы. А держать в каждой конторе свою СБ — это неподъемно. Да и СБ может шпионить на всякий случай.

> Неспециалисты очень уязвимы.

Ага. Паспорт он просто так не доверит, а ЦП запросто.

Да вот, чтобы быть ближе к теме, возьмем КриптоПРО. Настраивал я ему банк-клиент для их тетеньки-бухгалтера, который через эту самую КриптоПРУ работает. Блин, ну нельзя же так! Создали контейнер на флешке, который скопировали на другую флешку, пароль при мне придумывали. В итоге у меня копия контейнера и знание пароля. Абсолютно никакого чувства опасности у людей. Или забудет такая вот тетенька-бухгалтер в компьютере флешку и домой убежит ужин готовить, а ушлый товарищ какой-нибудь в офисе флешку скопирует и keylogger поставит на комп. Привет. И никакие предупреждения типа «спрячьте надежно», «никому не давайте», сказанные устно и написанные в документации хоть что раз, никакого действия не возымеют. Нечего гадать даже про 2015 год — добровольная сдача ЦП уже происходит. :)

Может прикрутить ЦП к отпечатку пальца?

Последнее время сталкиваюсь с ноутами у которых встроен сканер отпечатка пальца. :)

> Может прикрутить ЦП к отпечатку пальца?

Кстати, что на выходе у такого сканера? Может ли он выступать трастед девайсом — большой вопрос. Ведь можно снять образ его ответа и так же подсовывать.

К сожалению, это пример одного из самых страшных и в то же время востребованных российских программных продуктов. Я бы сказал, что от позора им не отмыться уже никогда. Таким уровнем глючности и кривизны могут похвастаться разве что отдельные клиент-банки и гос-софт.

>Не не не, Девид Блэйн, только не СКБ Контур!

+очень очень много.

Ну это у вас гранаты не той системы скорее всего. Пользовался и КЭ, и бухгалтерией. Проблем не было. Суппорт хороший и подозрительно недорогой.

Они сейчас Эльбу двигают. Доверенность на сдачу отчетности пишете, и фперде через любой браузер.

Там сдача вообще халявная