Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы«<23456>
Опции
К последнему сообщению К первому непрочитанному
Offline sanyo  
#31 Оставлено : 24 июня 2022 г. 3:50:16(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Андрей * Перейти к цитате
Например, можно было бы использовать cryptcp и получать сразу и подпись и штамп и доказательства подлинности (сертификат действовал на момент подписания) . И хранить эту отсоединенную подпись (стандарт cms cades xlong1) вместо просто файлов штампов. И проверять проще через другие утилиты.


Раньше я использовал КриптоАрм для создания подобных подписей CadesXLong своим личным сертификатом.

Автор: Андрей * Перейти к цитате

Личного сертификата нет?


Но потом после понимания своей беззащитности перед буткитами и различными новостями о злоупотреблениях ЭЦП вплоть до хищений собственности, боюсь получать свой сертификат. А зачем он нужен, если в сорце написано, что (c) Copyright мое ФИО, место жительства, можно добавить и паспортные данные, all rights reserves, blah-blah ...


Вообще-то конечно неплохо было бы идентифицировать своим личным сертификатом, если бы хотя бы решили проблему безопасного его использования, я поднимал эти вопросы еще более года назад:

https://www.cryptopro.ru...aspx?g=posts&t=18830

https://www.cryptopro.ru...aspx?g=posts&t=18369

https://www.cryptopro.ru...aspx?g=posts&t=16670

https://forum.rutoken.ru/topic/3275/

и другие ветки.

Но не уверен, что уже что-то решили в плане работоспособности SafeTouch PRO особенно с последними версиями карт Rutoken ECP 3.

Мои считыватели SafeTouch PRO глючили со страшной силой при попытке их использования даже с уже не самыми современными смарткартами "Rutoken ECP 2". КриптоПРО вис и отказывался дальше работать, приходилось перезапускать сервисы. Хотя с другими обычными считывателями все работало нормально.

Хотя в принципе "Rutoken ECP2 Touch" вероятно решает те же самые проблемы, что и SafeTouch PRO:
https://safe-tech.ru/en/safetouch-pro/
причем намного надежнее в контексте именно создания подписи файла, а не для банков.

Вообщем я тогда разочаровался в этом и забросил. Возможно новая современная прошивка может решить проблемы. Еще как ее выпросить у SafeTech, тоже целая история.

Потом вскрывать, паять, прошивать, окирпичивать :)

Некогда пока ...

Отредактировано пользователем 24 июня 2022 г. 3:55:11(UTC)  | Причина: Не указана

Offline sanyo  
#32 Оставлено : 24 июня 2022 г. 4:01:34(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Андрей * Перейти к цитате
Например, можно было бы использовать cryptcp и получать сразу и подпись и штамп и доказательства подлинности (сертификат действовал на момент подписания) . И хранить эту отсоединенную подпись (стандарт cms cades xlong1) вместо просто файлов штампов.


Доказуемость подлинности подписи ведь не доказывает авторство.

Образно если подписывать мои сорцы сертификатом Васи Пупкина, но при этом в сорцах будет указано, что (C) Copyright мое ФИО, город, паспортные данные.
это никак не делает Васю автором ни фактически, ни даже формально не влияет на то, кто считается автором с точки зрения процесса доказательства авторства, используя к примеру, только подобные подписи.
Т.е. Вася в таком случае выступает просто в роли свидетеля (почти нотариуса) относительно момента существования какого-либо файла и при определенных видах OID может выражать свое согласие с содержимым (что может быть плохо для самого Васи, если он будет подписывать все подряд аналогично обычным собственноручным подписям).
Но не более того, т.е. с юридической точки зрения это IMHO почти аналогично депонированию распечатки файла в нотариальную контору.

Учитывая вышесказанное IMHO для доказательства авторства логичнее использовать только подписи серверов штампов времени, а не подписи физических лиц.
Но при этом в каждом исходнике, для которого генерируется штамп времени, нужно указывать исчерпывающую информацию о его авторе.

Автор: Андрей * Перейти к цитате
И проверять проще через другие утилиты.


Пожалуйста, подскажите, какие именно популярные и удобные утилиты еще есть для проверки подписи кроме КриптоАРМ и специальной страницы на сайте СКБ Контур?
Вероятно, при всей своей популярности КриптоПРО с точки зрения количества установок, навряд ли его CLI утилиты популярны среди обычных пользователей именно для проверки подписей вручную из командной строки?

Отредактировано пользователем 24 июня 2022 г. 5:02:23(UTC)  | Причина: Не указана

Online Андрей *  
#33 Оставлено : 24 июня 2022 г. 9:39:09(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,321
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Автор: sanyo Перейти к цитате

Вероятно, при всей своей популярности КриптоПРО с точки зрения количества установок, навряд ли его CLI утилиты популярны среди обычных пользователей именно для проверки подписей вручную из командной строки?


c 5 версией в составе есть графический аналог "Инструменты КриптоПРО".
Техническую поддержку оказываем тут
Наша база знаний
Offline sanyo  
#34 Оставлено : 24 июня 2022 г. 10:02:07(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Благодарю за сообщение в личке, но ответить невозможно:

Цитата:
У пользователя/пользователей Андрей * переполнен ящик входящих сообщений. Извините, но они не получат ваше личное сообщение до тех пор пока не освободят место.


Online Андрей *  
#35 Оставлено : 24 июня 2022 г. 10:10:35(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,321
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Автор: sanyo Перейти к цитате
Благодарю за сообщение в личке, но ответить невозможно:

Цитата:
У пользователя/пользователей Андрей * переполнен ящик входящих сообщений. Извините, но они не получат ваше личное сообщение до тех пор пока не освободят место.




Спасибо, почистил.
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#36 Оставлено : 24 июня 2022 г. 13:36:43(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Автор: sanyo Перейти к цитате
Доказуемость подлинности подписи ведь не доказывает авторство. ...

Образно если подписывать мои сорцы сертификатом Васи Пупкина, но при этом в сорцах будет указано, что (C) Copyright мое ФИО, город, паспортные данные.
Добрый день. Это наверно первый раз когда я категорически согласен, в прошлых поднятых темах было много моментов где я не согласен, а тут прямо супер четко и ясно согласен.

Поясню мысль точнее - прежде всего, ЭЦП это доказательство, что файл (исполняемый или сорцы) не менялись с того момента, как были подписаны. Другими словами, последний кто файл мог изменить это подписавший, но не дается никакой гарантии о том кто файл создал, изменял до того и кому принадлежит авторство. Схема подписания, доказательства, штампы времени - все это придумано, что бы нельзя было файл изменить и подделать технические составляющие ЭЦП.

Во-вторых, допустим, файл не изменялся и сертификат принадлежит Васе, выплывает личность подписавшего и принадлежность УЦ. Тут вопрос простой - доверяет ли получивший Васе и УЦ или нет (например, получивший файл подозревает, что сертификат на имя Васи был выдан Ване). Если доверяет, то все ЭЦП должны приниматься; если не доверяет одному из цепочки - все должны отвергаться. Фактически нас обязывают доверять определенным "корневым УЦ".

В-третьих, допустим, файл не изменялся, УЦ и Васе верим, а имеет ли Вася право подписывать документ? Вот в этот юридический блок я бы отнес и авторство. Это уже никак не связано с ЭЦП файла, скорее с электронными доверенностями/электронными выписками из ЕГРЮЛ, из органов регистрации авторских прав. Выписки в свою очередь тоже могут иметь ЭЦП, но это уже другая ЭЦП и другая история.
Автор: sanyo Перейти к цитате
, т.е. с юридической точки зрения это IMHO почти аналогично депонированию распечатки файла в нотариальную контору.
Полагаю, этот момент немного неверно понимаете. ЭЦП действительно может сделать скан документа равносильным нотариальному заверению при представлении удаленно в какие-то государственные органы, но только в случае если сертификат в ЭЦП принадлежит одному из лиц, подписавших бумажную копию. Другими словами, если Вася не нотариус и не указан в документе как подписывающий, то он может хоть сто раз этот документ подписать ЭЦП, но от этого подпись не станет равносильной нотариальному заверению.



Offline sanyo  
#37 Оставлено : 24 июня 2022 г. 16:18:28(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: two_oceans Перейти к цитате
Автор: sanyo Перейти к цитате
Доказуемость подлинности подписи ведь не доказывает авторство. ...
Образно если подписывать мои сорцы сертификатом Васи Пупкина, но при этом в сорцах будет указано, что (C) Copyright мое ФИО, город, паспортные данные.
Добрый день. Это наверно первый раз когда я категорически согласен, в прошлых поднятых темах было много моментов где я не согласен, а тут прямо супер четко и ясно согласен.


Добрый день, можно узнать, с чем именно вы несогласны?

Автор: two_oceans Перейти к цитате

Поясню мысль точнее - прежде всего, ЭЦП это доказательство, что файл (исполняемый или сорцы) не менялись с того момента, как были подписаны.


Что значит не менялся? Файл как раз мог и поменяться (например какой-то "хитрец" мог попытаться заменить в файле Copyrigth на свой), но подписанным оригинальной подписью считается только оригинальная подписанная версия файла. ЭЦП - это в первую очередь доказательство подписания оригинального файла обычно квалифицированным сертификатом (юридически значимым аналогом собстенноручной подписи).

Автор: two_oceans Перейти к цитате

Другими словами, последний кто файл мог изменить это подписавший, но не дается никакой гарантии о том кто файл создал, изменял до того и кому принадлежит авторство.


В нашей схеме подпись (проявление волевого согласия с содержимым) вторична или даже не важна. Важно время проставления подписи, потому что по закону к доказательствам авторства могут относиться (образно своими словами) доказательства существования материала (с проставленным Copyright) на определенную дату.
У кого раньше доказуемо был в наличии материал и кто проставил на нем свой (c) Copyright, тому легче доказывать, что он и является автором. Схема с подписанием ЭЦП или депонированием нотариусам как раз и решает данную задачу.

Автор: two_oceans Перейти к цитате

Схема подписания, доказательства, штампы времени - все это придумано, что бы нельзя было файл изменить и подделать технические составляющие ЭЦП.

Верно, не придираясь к формулировкам.

Автор: two_oceans Перейти к цитате

Во-вторых, допустим, файл не изменялся и сертификат принадлежит Васе, выплывает личность подписавшего и принадлежность УЦ. Тут вопрос простой - доверяет ли получивший Васе и УЦ или нет (например, получивший файл подозревает, что сертификат на имя Васи был выдан Ване). Если доверяет, то все ЭЦП должны приниматься; если не доверяет одному из цепочки - все должны отвергаться. Фактически нас обязывают доверять определенным "корневым УЦ".

IMHO доверие именно к законности выданного сертификата относительно вторично (кроме идентификации Васи в случае разбора полетов), если сертификат соответствует необходимым техническим параметрам, то этого уже достаточно, чтобы понять в какое время существовала подписанная версия файла, абсолютно неважно кем подписанная, важно содержимое и насколько достоверно установлено время генерации подписи.
Проблема может быть толькоо в том, что какие-либо отклонения в валидности сертификата, могут вызвать и проблемы при проверке подписей, что вызовет недоверие к дате генерации подписи, это уже серьезный недостаток конечно. Важно, чтобы сертификат был выдан УЦ, к которому есть доверие. Образно, если даже жуликам удастся получить личный сертификат (на другое лицо) в очень авторитетном УЦ типа СКБ Контур, то
подписи, созданные таким сертификатом все же продолжают показывать на существование определенной версии файла в определенное время, хоть и по всем остальным параметрам такая подпись будет выглядеть очень негативно при рассмотрении подобной ситуации и недействительной в случае попытки подписания ей договора в качестве стороны сделки.

Автор: two_oceans Перейти к цитате

В-третьих, допустим, файл не изменялся, УЦ и Васе верим, а имеет ли Вася право подписывать документ? Вот в этот юридический блок я бы отнес и авторство. Это уже никак не связано с ЭЦП файла, скорее с электронными доверенностями/электронными выписками из ЕГРЮЛ, из органов регистрации авторских прав. Выписки в свою очередь тоже могут иметь ЭЦП, но это уже другая ЭЦП и другая история.


Кто же запретит Васе что-либо подписывать? Важна ведь не юридическая значимость его в качестве подписанта документа как некого договора и проявления его согласия с содержимым текста, а его участие в качестве свидетеля существования некого текста. Насколько помню, при генерации подписи можно задать текстовое поле к подписи, в нем можно указать, что подписант согласен с тем, что подписываемый файл существует в момент подписания, но подписант не является стороной договора.

Образно, шел Вася по шоссе и нашел какие-то документы с текстами, он берет другой листик бумаги, пишет на нем, что в такое-то время он нашел документы, и ставит свою подпись в качестве свидетеля. Можно еще сшить такие листы вместе и на прошивку наклеить пломбу, на которой поставить собственноручную подписиь Васи. Тоже самое происходит и при подписании чужих файлов. Можно аналогично даже создавать текстовый файл с осмотром файлов, где указывать наименования файлов, кратко содержимое и хэш коды файлов. Потом подписывать такой witness of evidence подписью Васи. Сгенерировать хэши осматриваемых файлов без наличия этих файлов для Васи затруднительно (или вернее невозможно), по крайне мере если он не работает в АНБ или не обладает доступом к машине времени.

Автор: two_oceans Перейти к цитате

Автор: sanyo Перейти к цитате
, т.е. с юридической точки зрения это IMHO почти аналогично депонированию распечатки файла в нотариальную контору.
Полагаю, этот момент немного неверно понимаете. ЭЦП действительно может сделать скан документа равносильным нотариальному заверению при представлении удаленно в какие-то государственные органы, но только в случае если сертификат в ЭЦП принадлежит одному из лиц, подписавших бумажную копию. Другими словами, если Вася не нотариус и не указан в документе как подписывающий, то он может хоть сто раз этот документ подписать ЭЦП, но от этого подпись не станет равносильной нотариальному заверению.


Вася может создать документ, как описано одним пунктом выше. Но IMHO даже подписание чужого документа по крайне мере доказывает, что в определенное время Вася действительно видел файл в его оригинальном подписанном виде, хоть формально его подпись такого файла и не добавляет ему каких-либо прав или обязанностией в контексте содержимого документа.

Отредактировано пользователем 24 июня 2022 г. 18:08:48(UTC)  | Причина: Не указана

Offline sanyo  
#38 Оставлено : 24 июня 2022 г. 16:46:05(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Способ N2:
В качестве еще одного способа простановки штампов времени на файлах, я бы предложил использовать банковские платежи с одного своего счета в одном банке на другой свой счет в другом банке, где в качестве назначения платежа указан хэш код файла. Генерировать текстовку подобных назначений платежа можно, например, таким скриптом:
Цитата:
GOST512=`/opt/cprocsp/bin/amd64/cpverify -mk -alg GR3411_2012_512 "$File"`;
echo "The hash code of the file: "$File" according to GOST R 34.11-2012 512 bits:" $GOST512;

Далее получаете в обоих банках копии платежек с назначениями платежей и синими печатями.
Такие юридически значимые документы являются доказательством существования хэша файла (а значит и самого файла) на момент совершения платежа, что собственно нам и было нужно.
Приличные банки типа Авангард хранят свои данные (с сохранением к ним удобного онлайн доступа клиентов) как минимум 10 лет с момента совершения платежа, + можно отнести платежки к нотариусу, чем вероятно продлить сроки их юридической значимости?
Очень удобно отправлять платежи с суммой 1 руб из Альфы в Авангард. Альфабанк брал около 10 руб за перевод, один из самых выгодных вариантов при сравнимом уровне автоматизации и стандартной длине поля назначения платежа.
Через систему быстрых платежей (СБП) наверно еще дешевле или вообще бесплатно? Не уверен только, как долго хранятся транзакции СБП.

Способ N3:
Еще можно отправлять перечни хэшей осматриваемых файлов самому себе, родственнику или знакомому через систему документооборота типа Диадок, где теоретически хранение документов вечное и юридически значимое.

Способ N4:
Подходит для демонстрации evidence зарубежом, основан на блокчейне.
https://opentimestamps.org/
https://en.wikipedia.org/wiki/OpenTimestamps

Отредактировано пользователем 24 июня 2022 г. 20:08:50(UTC)  | Причина: Не указана

Offline two_oceans  
#39 Оставлено : 27 июня 2022 г. 6:57:55(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Добрый день.
Автор: sanyo Перейти к цитате
Образно, шел Вася по шоссе и нашел какие-то документы с текстами, он берет другой листик бумаги, пишет на нем, что в такое-то время он нашел документы, и ставит свою подпись в качестве свидетеля.
Да, я теперь понял, что у Вас нестандартный подход - использовать штампы времени для доказательства существования файла. С этим есть потенциальные проблемки в плане того, что 1) можно заранее нагенерить штампы времени на значительное количество хэшей, то есть "впрок"; 2) многое зависит от стойкости и длины хэша. Например, в случае crc32 относительно легко получить файл с нужным значением просто дописав 4 байта к комментарию в файле. Аналогично и с другими хэшами, дописав столько же байтов сколько длина хэша можно в большинстве случаев найти нужное значение хэша. Просто актуальные хэши занимают очень много времени для подбора хэша. Это в свою очередь проводит зависимость от вычислительной мощности вычислительных машин. Вечный хэш невозможен, так как компьютеры постепенно наращивают мощность. Когда-нибудь и гост-2012 512 бит будет подбираться на раз.
Автор: sanyo Перейти к цитате
Автор: two_oceans Перейти к цитате
Это наверно первый раз когда я категорически согласен, в прошлых поднятых темах было много моментов где я не согласен, а тут прямо супер четко и ясно согласен.
можно узнать, с чем именно вы несогласны?
Если в двух словах, то с боязнью средств ЭЦП. Скажу, что если у Вас есть карта в банке, то Вы наверняка уже подписали договор с банком где мелкими-мелкими буквами прописано, что пин-код и данные карты или коды подтверждения в веб-клиенте банка равносильны ЭЦП. Все, "коготок увяз". Ладно, это оффтопик.
Автор: sanyo Перейти к цитате
Автор: two_oceans Перейти к цитате

Поясню мысль точнее - прежде всего, ЭЦП это доказательство, что файл (исполняемый или сорцы) не менялись с того момента, как были подписаны.
Что значит не менялся? Файл как раз мог и поменяться (например какой-то "хитрец" мог попытаться заменить в файле Copyrigth на свой), но подписанным оригинальной подписью считается только оригинальная подписанная версия файла. ЭЦП - это в первую очередь доказательство подписания оригинального файла обычно квалифицированным сертификатом (юридически значимым аналогом собстенноручной подписи).
Я немного про другое - после того как файл подписан, если его изменить, подпись будет нарушена и его придется переподписывать еще раз. То есть, заменив копирайт, хитрец не сможет выдать Вашу оригинальную подпись с измененным файлом. Другими словами, подпись прошедшая проверку свидетельствует что файл в том же состоянии, что и на момент подписания. Это используется неявно при передаче файлов через каналы связи, например, при документообороте это доказывает, что полученный отчет не является искаженным/измененным/битым при передаче.
Автор: sanyo Перейти к цитате
Насколько помню, при генерации подписи можно задать текстовое поле к подписи, в нем можно указать, что подписант согласен с тем, что подписываемый файл существует в момент подписания, но подписант не является стороной договора.
Если Вы имеете ввиду тот момент где КриптоАРМ дает список из значений типа "Подписано", "Согласовано" и т.д., то данное поле: во-первых, не текстовое, а oid (кодированная циферка), то есть кроме заданных значений туда нельзя ничего вписать. Во-вторых, я честно не видел нигде нормативного основания для данного поля, т.е. какой-нибудь суд может не принять поле в рассмотрение и вместо "Согласовано" считать это как окончательное подписание. В-третьих, Вы конечно можете добавить еще и "свое" текстовое поле, но для него также надо подвести нормативные основания.

Способы 2 и 3 достаточно интересные. Насчет способа 4 я честно сомневаюсь - в том смысле, что блокчейн конечно идея очень интересная (в том плане, что запулить сами исходники в блокчейн со своим копирайтом было бы еще надежнее), но с другой стороны, майнинг это явно тупиковое направление развития. Проблемы я бы сказал такие: 1) собственный блокчейн (с малым количество пользователей и короткого размера) начинать смысла не имеет, так как короткую цепочку относительно легко можно поменять, пересчитать заново и заменить на всем небольшом количестве клиентов; 2) размер полной базы блокчейнов сам по себе является проблемой; 3) привлечение широких масс сделано через криптовалюты, что влечет "честную" привязку к энергопотреблению. Энергомощности не резиновые, то есть всегда прогнозировалось их постепенное наращивание. Говорю это из знакомства с людьми, которые как раз прогнозируют нагрузки на электростанции в нашей области. К появлению нового фактора резко повышающего мощности потребления не готовы ни линии, ни подстанции, ни электростанции. Думаю, было бы интереснее от полной цепочки отступить в сторону DHT (распределенной таблицы хэшей) из торрентов.


Offline basid  
#40 Оставлено : 27 июня 2022 г. 10:23:34(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
Из того факта, что некто имеет доверенную отметку времени на некий хэш вообще никак не следует, что этот некто является автором "заверенного файла".
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (8)
6 Страницы«<23456>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.