|
|
Комментарии (28)
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Взгляните на текст, и вы увидите ряд интересных особенностей. - Условием вхождения в систему документооборота ПФРФ — вполне государственной организации — ставится заключение с «ТехИнформКонсалтингом» — вполне частным обществом с ограниченной ответственностью — договора о использовании поставляемого этой компанией «сертифицированного средства» АРМ ФКМ «Верба» (см. тж. бланк заявления, приводимый на врезке). Говорят о сумме в $120, затребованной за лицензию на одно рабочее место.
- Далее, обратившись к информации, представленной на сервере «ТехИнформКонсалтинга» (www.protection.ru), можно обнаружить, что поставляемые этой компанией ФКМ («файловые криптоменеджеры») FcolseW «Верба» и FcolseOW «Верба-О» реализованы исключительно под Microsoft Windows 95/98/NT, которые, как известно, отнюдь не являются свободными продуктами, а лицензируются также только на коммерческих условиях по ценам, начинающимся где-то в районе $100.
Утверждая такой «регламент» государственная организация фактически открывает канал нерыночного получения доходов двум частным компаниям — одной российской, другой американской, принуждая своих контрагентов к приобретению прав на использование их программных средств. - Исследовав обстоятельства чуть глубже, можно увидеть еще одну интересную вещь. Из функциональности «сертифицированного средства» изъята процедура генерации пары ключей, являющаяся неотъемлемой функцией любого развитого криптопакета и присутствующая в линейке продуктов «Верба» (см. информацию на том же сайте). Говорят о сумме в $20, затребованной за генерацию каждой пары ключей.
И, наконец, обратите внимание, как органично общая коррупционная направленность документа сочетается с откровенным невежеством его составителей. - Из п. 3.4 следует, что криптография с открытыми ключами использована чисто номинально: фактически, система является централизованной, и от каждого участника требуется полное доверие к «центру». Не нужно иллюзий: включение в так регламентированную систему документооборота равносильно согласию на то, что любой крестик, поставленный на бумаге, будет рассматриваться как эквивалент вашей собственноручной подписи.
- В определениях читаем: «Закрытый ключ [...]используется для [...] шифрования. [...] Открытый ключ [...] предназначен для [...] расшифрования».
Правда? — Понятно, что как только в глазах начали мелькать суммы, полученные умножением вымогаемой трехзначной (в долларовом выражении) суммы на количество потенциальных жертв вымогательства, ни желания, ни моральных сил прочитать даже популярную брошюрку о том, что такое криптография с открытыми ключами, и для чего используются ключи открытые и ключи закрытые, уже не остается. Обратите внимание, что эта коррупционная схема внедряется в условиях действующего, вполне либерального законодательства, оставляющего выбор технологии и средств ЭЦП на усмотрение сторон. Лично у меня по мере погружения в тематику (с 1995 г. по сей день) энтузиазм по поводу юридической регламентации процедур цифровой подписи и государственной поддержки создания их инфраструктуры сменился умеренным скепсисом. Я не считаю соответствующее специальное законодательство абсолютно необходимым, хотя готов допустить, что, при соблюдении ряда условий — к сожалению, длинного ряда — оно действительно способно подстегнуть процесс введения ЦП в деловой и гражданский оборот. Тем не менее, если закон «Об ЭЦП» и принимать, я думаю, одной из основных задач, которые он должен решать, является закрытие лазеек для внедрения схем нерыночного получения доходов от «сертифицированных средств». Однако - увы и ах. Комитет по безопасности (www.duma.gov.ru/csecure/) очередной раз рекомендовал разработчикам двух з/п "Об ЭЦП" доработать документы до вынесения на первое чтение. Я хочу привлечь внимание к аспекту, который я бы назвал мистическим. Так, правительственный законопроект предполагает, что «[п]ри создании ключей электронной цифровой подписи для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков и вреда, возникших в связи с [...] несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей таких ключей» (Ст. 5, §2), «забывая» — и это очень характерно — указать на то, кто будет возмещать «убыток и вред» при использовании «сертифицированных средств». Билль Тарачева-Шохина определяет порядок, согласно которому «[д]опускается использование не сертифицированных средств выработки ЭЦП» (Ст. 4, §2), но устанавливает, что «[в]ладелец закрытого ключа ЭЦП, использующий не сертифицированное средство ЭЦП, обязан обеспечить уведомление пользователей [...]. В противном случае владелец закрытого ключа ЭЦП, использующий не сертифицированное средство ЭЦП, несет ответственность за убытки, понесенные пользователями соответствующего открытого ключа вследствие использования не сертифицированного средства ЭЦП» (§3), опять-таки, «забывая» — вопреки всякой логике — распределить ответственность в случае использования «сертифицированных средств». Эти клаузы — в которых «сертификация» вводится как некий магический акт — совершенно мистическим образом возникают практически в каждой версии биллей, сколько не объясняй, к чему может привести мистика в имеющих силу закона документах, и сколько ее не вычеркивай. И каждый раз сквозь «сертификацию» просвечивает та или иная схема нерыночного получения доходов связанными с «сертификаторами» частными компаниями.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
А вообще-то ситуация с госорганом и частной компанией, обслуживающей третьих лиц решается обычно очень просто: делается список критериев, под который сразу попадает не меньше трех неаффилированных между собой частных организаций, а список оставляется открытым. Такая схема обычно смягчает указанную Максимом коррупционность (понятно, что просто тендер с победившей одной организацией тут не проходит -- ибо вынужденные платить третьи лица чихали на тот тендер, который проводят не они сами). Правда, в данном конкретном случае все упирается в отсутствие стандарта на криптосредства, чтобы третьим лицам можно было выбирать из нескольких разных вариантов. Отсутствие должного разнообразия стандартных крипторешений упирается в ту же сертификацию (обязательную для госорганизаций во всех вариантах проекта закона). Поэтому все происходит, как неоднократно предупреждалось на всевозможных встречах по обсуждению законопроекта: подобные схемы порождают коррупцию таким способом, что уйти от коррупции оказывается невозможным. Я думаю, "ТехИнвестКонсалтингу" не нравится ситуация, в которую попала эта организация -- уж слишком кривая схема. Но нынешние и проектируемые нормативные акты просто не дают возможности уйти от коррупционных схем. Одна надежда -- на пакет законов по дебюрократизации экономики (в этом пакете из 500 видов лицензий планируется оставить только 70). Но надежда, понятно, слабая -- ибо велики доходы от сертификационных схем...
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Здесь интересен такой вариант, -- что будет, если в просьбе на подключение будет написано: "...просит подключить нас к системе электронного документооборота ПФР для представления сведений индивидуального (персонифицированного) учета в электронной форме с использованием АРМ (файлового криптоменеджера) фирмы "Куку-фифи"... А отделение ПФР откажет (кстати, на каком основании?) -- какие в данном случае возникнут судебные перспективы?
-
Тамбовский центр тебе друг, товарищ и серый тификатор, тайга - закон, Шерстюк - прокурор
А вообще-то ситуация с госорганом и частной компанией, обслуживающей третьих лиц решается обычно очень просто: делается список критериев, под который сразу попадает не меньше трех неаффилированных между собой частных организаций, а список оставляется открытым.У нас это плохо проходит: они выкатят три "неаффилированные" между собой лавки (ТИК, КриптоПро и гальванизируют МО ПНИИЧАГО), а кто там с кем спит - мы же свечку не держали, хотя понятно, что грех свальный, и та же "Верба" ходит по рукам, как пьяная не пойми кто. Когда ее поломают публично, концов точно не найти будет. :) Правда, в данном конкретном случае все упирается в отсутствие стандарта на криптосредства, чтобы третьим лицам можно было выбирать из нескольких разных вариантов. Строго говоря, это не так. Стандартов достаточно. Я думаю, "ТехИнвестКонсалтингу" не нравится ситуация, в которую попала эта организация -- уж слишком кривая схема. А я думаю, очень нравится - ведь она таакаая криваая. :) Но нынешние и проектируемые нормативные акты просто не дают возможности уйти от коррупционных схем. Почему же? Как раз в Законе "Об ЭЦП" можно перекрыть коррупционные схемы, заложенные в других законах, применительно к этому конкретному кейсу. Вариант: - Стандартизация отделяется от сертификации. От узлов, которыми оперируют госорганы (+господрядчики), требуется использование сертифицированных решений. От их контрагентов требуются данные, соответствующие стандарту, и все.
- По каждой категории решений, используемых в "публичных" системах перво-наперво сертифицируется эталонная реализация - та, которой будут поверять совместимость других решений. Эталонная реализация предоставляется под двойной лицензией - 1) GPL-modelled для профессионалов, конечных пользователей и госпользователей и 2) коммерческой для разработчиков поп-софта (которые, затем, могут сертифицировать свои производные - понятно, что это дешевле, чем сертивикации from scratch-реализации). Сертификация проприетарных решений, не имеющих сертифицированного свободной модельной реализации, запрещается. (По сути, это просто требование опубликовать и отдать народу эталон, который все равно всегда есть (вектора чем-то считают контрольные?), и который все равно разработан на народный налогоплательщиковы деньги.)
- Сертификация вводится как ответственный институт. Эта почетная функция возлагается на ГТК, которая может кросс-лицензироваться с правительственными (ФАПСИ), военными (НИИ-27), частными или зарубежными сертификаторами, но - под свою ответственность.
- Использование вводится как ответственный институт. Пользователь отвечает за "прорывы", деля ответственность с поставщиком/сертификатором (если средство сертифицировано) или страхуя ее (если кто-то возьмется).
Я утверждаю, что это единственный подход (применимый, конечно, очень широко - ЦП просто очевидный пример), который придает сертификации решений хоть какой-то смысл. Одна надежда -- на пакет законов по дебюрократизации экономики (в этом пакете из 500 видов лицензий планируется оставить только 70). ...Которые покроют гораздо большую площадь тучных пастбищ, чем существующие 492. :) Например: 1. А - Автомобили, производство, заправка, обслуживание и переработка в металлолом, 2. Б - Банки, все услуги. ... 21. Ф - Фсе остальное. :)
-
Подключи мне, подключи...
Гораздо смешнее, если не "Ку-ку", а, допустим "КриптоПро": у нее такой же сертификат, такая же заявленная функциональность, те же аттестованные алгоритмы, и никакой совместимости :)))
-
Тамбовский центр тебе друг, товарищ и серый тификатор, тайга - закон, Шерстюк - прокурор
> та же "Верба" ходит по рукам, как пьяная не пойми кто. Когда ее поломают публично, концов точно не найти будет. :)А когда ломают открытый софт, то как выглядят найденные концы? Мне кажется, примерно так же... Поломка криптософта -- это примерно то же, что и любые другие найденные баги. Далее нужно понимать про две вещи: 1) как быстро и кто именно залатает дырку, 2) кто заплатит за непосредственный ущерб Насколько я понимаю, любые проприетари и открытые решения де-факто в сегодняшней ситуации тут эквивалентны (открытое решение лучше только тем, что покупная цена меньше -- хотя не нулевая, учитывая усилия на освоение и поддержку). Поэтому ломка "Вебры" тут не при чем :) "Верба" тут как неуловимый Джо -- ее не ломают, потому что она никому не нужна, ее внедрение определяется не сущностными, а политическими причинами.
-
Подключи мне, подключи...
> Гораздо смешнее, если не "Ку-ку", а, допустим "КриптоПро"Я эту ситуацию и имел в виду. Название ведь не важно... Нет, я могу "технически" понять ребят из Фонда -- поддерживать одну систему проще, чем две, а то и сотню (а почему бы и нет?). Но если предложить нормативное требование для Фонда иметь возможность обслуживать и принимать любое, наперед не известное, количество всех этих закрытых, полузакрытых и даже открытых криптосистем -- то тоже ерунда получается... Поэтому речь может идти о первоначальной стандартизации протоколов связи и крипто-обеспечения (затрудняюсь из-за неосведомленности в деталях назвать то, что надо стандартизировать, ведь это не только алгоритмы...) Далее -- решить вопросы, связанные с сертификацией всего этого третьей стороной(сторонами), уважаемой(уважаемыми) всеми (или, хотя бы участниками "процесса"). А уж потом конкретные реализации можно рекомендовать, и строить саму систему "криптообслуживания"... А то во имя сохранения одних прав и свобод ( для сохранения тайны сведений индивидуального учета ) попирать другие -- негоже.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Для того чтобы оценить всю прелесть ситуации, представляется целесообразным взглянуть на "истоки" ситуации. 1. Два года назад Старовойтов А.В. ген. директор ФАПСИ и одновременно владелец ТИК, кторый учередил "МО ПНИИЭИ". 2. Верба - недоделанное дитя МО ПНИИЭИ навязывается всем, как единственное сертифицированное ФАПСИ средство. 3. Сегодня ген. директор ФАПСИ Матюхин В.Г., у которого свой интререс в НТЦ АТЛАС и соответственно новоиспеченной конторе КриптоПро. 4. Сертификат на Вербу истек и возникает патовая ситуация. Продлить его - отдать деньги ТИК и Старовойтову, но тогда причем здесь ,Матюхин.Не продлевать - подписаться под тем, что ФАПСИ 5 лет толкало на рынок гнилье в виде Вербы, а сейчас то же самое гнилье, но под маркой КриптоПро. Выход - написать письмо, что там где Верба уже растет, пусть ее растет, но сертификат не продлевать. 5. ТИК хочет продавать Вербу, но продукт лишен привлекательности даже минимальной - сертифката то нет. Выход - найти способ навязать Вербу путем договоренности с кем-то кто может ее обязать покупать. 6. Старовойтов из Пензы, там продемонстрировал свое умение жить и работать при любой власти. До Тамбова из Пензы рукой подать (странно только почему не смог в Пензе договориться). 7. Верба все столь же гнилая, сколь и ранее получавет подпорку в виде обсуждаемого документа. 8. Дальнейшие комментарии не требуются 9. Остается только один вопрос в какой пропорции договорились делить деньги между ТИК и чиновниками из Тамбова, а главное с какими чиновниками из Тамбова (желательно пофамильно).
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Много флейма из ничего. Посмотрели мы этот АРМ ФКМ, не знаю что в нем гнилого - нормальный софт, сам поставился и хелп приличный. Да, оплатили 120 баксов с НДС + обучение. Обучение было у нас на месте с выездом их специалистов и Вербу они сами привезли. Сопровождать нас будет местный Техи- как его, филиал. А вот бухи экономию посчитали - это порадовало. При затратах меньше 160 баксов - экономия по баксу на работающего + сокращение затрат на архив. Над архивом придется думать, но на сидюке лучше чем на бумаге. Так что не знаю как у Вас, а у нас будут новости сообщу...
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Господа, а Тамбову повезло! Почитал сайт, почитал статью и решил сам разобраться в этом вопросе. Вот что мне удалось выяснить: Два года назад ПФР через Минэкономики проводил открытый тендер на закупку криптографических средств. По результатам тендера ПФР закупил "Вербу-О" и внедрил ее у себя, этим путем она и в Тамбов попала. По условиям тендера криптография поставляется с Генеральной лицензией на неограниченный тираж для внутренних нужд ПФР, ключи Фонд тоже сам изготавливает. А что предприятия? Они передают отчеты персучета по работникам в двух вариантах: только на бумаге или на бумаге и дискете. И для ПФР и для предприятия возникает задача поквартального создания, обработки и ввода огромного объема бумажных документов, в статье о московском ОПФР упоминается о 20 млн. документов в год. После обработки сведения по каждому лицевому счету храняться и на предприятии и в ПФР 60-70 лет. Затраты на содержание архива значительные (постоянно увеличиваются архивные площади, меры по хранению документов, охранно-пожарная сигнализация, копирование документов по судебным запросам и т.д.) и продолжают увеличиваться. Есть еще аспект - без ЭЦП отчет на дискете не имеет юридического статуса и предприятие нельзя подключить к какой-либо электронной системе документооборота. Просмотрев тамбовские документы я понял, что нараду с бумагой местный ОПФР обеспечивает возможность приема отчетности по страховым взносам в безбумажной технологии. Можно сдавать файлы с ЭЦП на дискете. Чтобы проставить ЭЦП надо купить за 120$ АРМ ЭЦП ФКМ + "Вербу-О" у производителя и получить БЕСПЛАТНЫЕ ключи в ОПФР Тамбова. НАКОНЕЦ-ТО !!! Просто класс!!! Будь я в Тамбове, нашему челябинскому предприятию с 38000 работающих надо потратить всего 120 баксов ОДИН РАЗ и потом ВСЕГДА сдавать отчетность в электронном виде да еще с перспективой предачи электронной почтой с шифрованием на той-же Вербе. Да мне все равно кто это сделал: тамбовский волк, прокурор Шерстюк, Матюхин или Старовойтов - электоронный вид отчета при разовых затратах в 120$, Верба мне экономит несколько ТЫСЯЧ баксов в год на архиве, стеллажах, папках, бумаге, картридже лазерных принтеров и т.д. Как я понял из материалов www.security.ru и www.protection.ru Верба есть под ДОС, Виндовс и Юникс и ее можно встроить в центральную АСУ предприятия и раздать в бухгалтерии филиалов, ее поддерживают и производители бухгалтерского ПО. Через "Янтарь" с Вербой можно платить в РКЦ, в Курганской области налоговая уже несколько лет принимает баланс подписанный и зашифрованный Вербой по электронной почте. Неужели это редкий для России пример поддержки разными федеральными структурами конкретной реализации стандарта на криптографию и реальное сокращение затрат предприятий на содержание нескольких разных ведомственных решений? К сожалению этого нет в статье, а есть "охота на ведьм" и очередной поиск жаренного... С уважением, Иванов.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
> После обработки сведения по каждому лицевому счету храняться и на предприятии и в ПФР 60-70 лет. Просто реплика не по существу: И много Вы знаете предприятий, которые существуют 60 лет? (Я знаю -- на таком как раз работаю, но это -- редкое исключение). > Верба мне экономит несколько ТЫСЯЧ баксов в год на архиве, стеллажах, папках, бумаге, картридже лазерных принтеров и т.д. Да неужели? С Вербой Вы бы не покупали тонер, бумагу, папки, закрыли бы архив и сломали бы стеллажи... Я еще не видел ни одного серьезного подсчета денежной выгоды от применения компьютеров... Это не значит, что они вредны и не помогают, но вот подсчитать -- не получается. Не то считают, если это вообще возможно подсчитать. А теперь по существу: говорилось не о выгоде для вас (вас с помощью Вербы будут "грабить" меньше -- замечательно), а о механизме бюрократического (и небескорыстного) принуждения и несвободе выбора. Плюс еще о некоторых технических вопросах.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
>> После обработки сведения по каждому лицевому счету храняться и на предприятии и в ПФР 60-70 лет. >Просто реплика не по существу: И много Вы знаете предприятий, которые существуют 60 лет? (Я знаю -- на таком как раз работаю, но это -- редкое исключение). :) И мне довелось работать на таком. Но Вы не раскрываете или не понимаете сути проблемы - архивные документы ПФР не уничтожает. Они храняться и занимают огромные площади, которые непрерывно растут - сам видел. И здесь дело не в предприятии, а в держателе лицевого счета - человеке, который имеет право на пенсию и живет 60-70 лет. >> Верба мне экономит несколько ТЫСЯЧ баксов в год на архиве, стеллажах, папках, бумаге, картридже лазерных принтеров и т.д. >Да неужели? С Вербой Вы бы не покупали тонер, бумагу, папки, закрыли бы архив и сломали бы стеллажи... Эксперимент ОПФР Тамбова дает мне такую надежду, а вдруг и наш ОПФР оценит электронный документ. > Я еще не видел ни одного серьезного подсчета денежной выгоды от применения компьютеров... Поймите! Основная выгода не в применении компьютеров, а замене носителя и технологии его обработки одной стоимости на другой носитель и другую технологию. И вторая технология для предприятия значительно дешевле. >Не то считают, если это вообще возможно подсчитать. А Вы попробуйте: 1. Работник бумахного архива - производительность до 100 сведений в день. (Для справки: АВТОВАЗ - 200000 человек) 2. Бланки индивидуальных сведений - 4 квартала.х 2 экз х 38000 человек моего предприятия = 304000 бланков 3. Картридж лазерного принтера с ресурсом печати от 3000 до 20000 листов- новый от 100 баксов, заправка 20-40 . 4.Стеллажи 1 стеллаж на ~3000 человек Х 6000 руб стеллаж 5.Коробка для папок - 50 руб штука 6.Папка - 4 руб штука. и так далее. Я не фанат-экономист, можно и остановиться. >А теперь по существу: говорилось не о выгоде для вас (вас >с помощью Вербы будут "грабить" меньше -- замечательно), И не только меня, но и Вас тоже - бремя бессмысленных затраты ПФР ложиться на всех членов Фонда, если Вы тоже в будующем российский пенсионер :) >а о механизме бюрократического(и небескорыстного) >принуждения и несвободе выбора. Насколько я понял был открытый тендер. И к участию приглашали - в этом ПФР строго выполняет статью закона. >Плюс еще о некоторых технических вопросах. Т.е. если кто в тендер не успел или тем паче проиграл, так призовем их и поругаем того кто выиграл. - Удобно...
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
>Взгляните на текст, и вы увидите ряд интересных особенностей. Взглянул, причем перечитал несколько раз Первое ощущение - "БРЕД", второе - "ЗАКАЗ", о каких особенностях идет речь не знаю. Статья построена по принципу Затравка => Эмоциональное Негодование => Праведный гнев => Выводы -> Документ (как правило не связанный с выводами статьи). Г-н Отставной может писать на любую тему, по выше указанному принципу, более того не исключено, что он пользуется шаблоном подставляя в текст названия разных отечественных фирм, причем второй американской на 99% всегда будет Microsoft. Еще раз убедился в том что Компьютерра - это форпост "желтизны" нашей компьютерной прессы (приличные издания такую чушь не публикуют). Стандартная ситуация - как только кто-то начинает, что-то делать - появляется "журналист" (он же крупный специалист по освещаемой тематике) с истошным воплем - Вымогатели, Коррупция, Родину продали ... Тут же не хитрым перемножением, данный журналист прикидывает сумму барышей в чужом кармане и с негодованием вопрошает у читателя – что деется то Товарищи! В общем статью я обсуждать не собираюсь, как впрочем и вступать в полемику с оными журналистами. А по теме дискуссии я согласен с приведенными ранее расчетами, что при квартальной сдаче отчетов годовые затраты предприятия на сдачу отчетов равны 1$ на 1 работника. Правда забыли учесть заработную плату бухгалтера который не менее месяца печатает, брошюрует и подписывает эту кипу бумаги, я видел эти серые лица в отчетную пору...
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Стандартная ситуация - как только кто-то начинает, что-то делать - появляется "журналист" (он же крупный специалист по освещаемой тематике) с истошным воплем - Вымогатели, Коррупция, Родину продали ... Правильно, сволочи журналюги, сто баксов стырить не дают. Лишить Отставнова аккредитации, отобрать пресс-карточу и объявить в международный розыск. Соберите сотню подписей у своих коллег.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Г-н Иванов: смещать только тему не нужно. Речь не шла о том, чтобы помешать Вам законтрактоваться с МО/ ТИК или как они там на этой неделе называются. Речь шла о том, чтобы рынок был открытый, и если к Вам придут три или тридцать поставщиков, Вы могли выбрать из них свой любимый ТИК. Вас ТИК с "Вербой" устраивает, а вот читателя тамбовского, который сдал мне эту схему - нет. Я на стороне Вас обоих. Неужели это редкий для России пример поддержки разными федеральными структурами конкретной реализации стандарта ... В том-то и беда, что нет. Обратите внимание, что необходимость "поддержки конкретной реализации" означает, что либо стандарта нет, либо его обходят, либо он кому-то мешает. Поскольку стандарт - это и есть возможность навернуть гайку М6 на любой болт М6 вне зависимости от производителя гайки и болта. Стандарт на чернила для подписи означает, что я могу подписать отчет ручкой BIC, ручкой Parker или поддержать отечественного производителя ручек, постольку, поскольку чернила у всех удовлетворяющего стандарту качества. В тот момент, когда мне говорят: "нет, только ручкой BIC, ее федеральное управление правительственной канализации и сантехники сертифицировало, а ручки BIC продаются, кстати, за углом" - мне становится интересно, как они все бабки поделили. ...ПФР через Минэкономики проводил открытый тендер на закупку криптографических средств... Очень клевый тендер, оплачивать поставки по которому должны третьи лица. Давайте, я такой тоже проведу.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
>Много флейма из ничего. Посмотрели мы этот АРМ ФКМ, не >знаю что в нем гнилого - ... Как говаривал кот Матроскин, подтому и подписи нет, что анонимка. Представились бы что ли. А гниль в Вербе вовсе не в дизайне, а в качестве защиты. Если есть навыки по отладке программ, посмотрите как генерируются ключи, ну право очень смешено.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
> Если есть навыки по отладке программ, посмотрите как генерируются ключи, ну право очень смешно. Леша, а покажи. У меня есть навыки, но нет MS-специфического дебаггера, я там в вызовах путаюсь. Или хоть расскажи вкратце. Поскольку я догадываюсь, как оно там все на самом деле, но 100% уверенности нет.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Благодарю уважаемого Wolf'а за усилия по поддержанию приличий в дискуссии. Однако напоминаю, что Либертариум ресурс модерируемый, поэтому оскорбительные реплики вычищены.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Есть в Вербе такая штука, как мастер диск с главным ключом. Замечу, что диск этот получает администратор системы от поставщика и сделан он как бы некопируемым обысными средствами. Можно только из АРМ сделать резервную копию. Для того чтобы абонентские ключи сделать, дитск этот надо в комп воткнуть. Есть у этого ключа контрольная сумма, котрую Верба рассчитывает. Выдрали оттуда алгоритм расчета, и вот что обнаружили. Сколь ко бы абонентских ключей не генерировали у всех одна и та же контрольная сумма (как у главного). То есть случайности уже очевидно нет. Далее взяли этот главный ключ и подправили. Верба не аработала, подсчитали для него контрольную сумму, воткнули куда надо, все ОК. Но только теперь все новые абонентские ключи стали иметь эту коньтрольную сумму. Потом самое интересное (было все это в банке, котрый Вербу легально прикупил). В очередных переговорах с МО ПНИЭИ всплылы вопрос о том что у ключей серийный номер другой (вопрос с стой стороны). Как черт возьми догадались. Ковыряли ее и дальше и тут возникло такое, что только с Криптоном из Анкада сравнить и можно (далее прадон не доля печати). P.S. посмотри PCWeek от 15 мая (N 17 по моему), такая же поганка как в ПФ РФ закручивается вокруг МНС, только фигурантом там Анкад (смешно не правда ли ...)
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Потом самое интересное (было все это в банке, котрый Вербу легально прикупил). В очередных переговорах с МО ПНИЭИ всплылы вопрос о том что у ключей серийный номер другой (вопрос с стой стороны). Как черт возьми догадались. Догадались элементарно. Предзаданная сумма ключа означает, что ключевое пространство сужено, а банк начал генерировать ключи, которые в это суженное ключевое пространство не попадают. Для пользователя сокращение ключевого пространства, разумеется, означает снижение стойкости по сравнению с заявленной. Оценку (по полу) снижения стойкости можно получить, глянув на аглоритм CRC. Кстати, если стойкость по полному ключевому пространству заявлена в сопровождающей документации или сертификатах, налицо намеренная дезинформация/недобросовестная реклама со стороны поставщика или Лиц. комиссии ФАПСИ. Ковыряли ее и дальше и тут возникло такое, что только с Криптоном из Анкада сравнить и можно (далее прадон не доля печати). Это почему же? Наоборот, материалы по взлому "Криптона" давно пора опубликовать. Если, кстати, вместо того, чтобы играть с ФАПСИ в подковерные игры, их опубликовали бы своевременно, сегодня проблем было бы гораздо меньше.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Господин Иванов! Я весьма рад, что Вас, вернее ваше предприятие может устроить данная схема работы с ПФ. Но как быть малым предприятиям с численностью в 3-5-15 сотрудников? Вопрос о частных предпринимателях пока даже не будем трогать. Но где гарантия, что через год ПФ не установит правило сдачи информации в эл.виде по примеру налоговой инспекции? И что, в таком случае для организации с численностью свыше 10 челове тоже выгодно приобретение Вербы? Как я вижу, вопрос главным образом упирается не в саму идею сдачи данных в эл.виде, боже упаси, тут я с вами обои руками ЗА, а в методы и способы реализации этой идеи. Попробуйте привести экономические выкладки для ЗАО или ООО в 10 человек, показывающие выгоды приобретения Вербы. А потом посчитайте, сколько в Вашем городе малых предприятий, умножте на 120$ и скажите- кому повезло, Тамбову или фирме-разработчику? И момент второй. Да, Вы заплатите 120$, получите программу, получите бесплатно от ПФ связку ключей, но через год ПФ заставит Вас менят ключи, и тогда Вы заплатите еще 20$ за новую связку, но уже не ПФ, а фирме-разработчику, которая будет для Вас генерировать эту новую связку. И что, Вас устраивает тот факт, что ваши ключи уже даже не гепотетически будут доступны третьему лицу? Не устраивает? Тогда приобретайте отдельно модуль генерации ключей у фирмы-разработчика, за отдельную плату, ибо этот модуль генераци ключей в базовую версию поставки за 120$ не входит... Так кому повезло, Тамбову, нам всем или фирме-разработчику?
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Уважаемый Maksim, все к сожалению ен так просто. Если читать сертификат, то там заявлено исключительно о качестве алгоритомв шифрования и подписи и не слова о качестве алгоритма управления ключами и и качестве их генерации. До сегоднящнего дня ключевая структура Вербы в полном изложении загрифована и получить ее у ТИК или остатков МО ПНИЭИ официально практически невозможно. Наличие грифа не позволяет к сожаленнию публиковать все. Однако направление в котором надо копать следующее. ВЗЯТЬ ВЕРБУ ИЛИ КРИПТОН И ПРОВЕРИТЬ СТАТИСТИЧЕСКОЕ КАЧЕСТВО КЛЮЧЕЙ (СЛУЧАЙНОСТЬ, РАВНОВЕРОЯТНОСТЬ И САМОЕ ГЛАВНОЕ ОЦЕНИТЬ КОЛИЧЕСТВО КЛЮЧЕЙ, КОТОРОЕ МОЖЕТ БЫТЬ СГНЕНЕРИРОВАНО ОДНИМ ДЕВАЙСОМ ТИПА КРИПТОН ИЛИ ОДНИМ АРМ ГЕНЕРАЦИИ ТИПА ВЕРБА).
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Уважаемый Maksim, все к сожалению ен так просто. Если читать сертификат, то там заявлено исключительно о качестве алгоритомв шифрования и подписи и не слова о качестве алгоритма управления ключами и и качестве их генерации. Это... забавно. До сегоднящнего дня ключевая структура Вербы в полном изложении загрифована и получить ее у ТИК или остатков МО ПНИЭИ официально практически невозможно. NIL. По крайней мере для "Вербы-О" все опубликовано в прошлогодней книжке Домашева и др. Наличие грифа не позволяет к сожаленнию публиковать все. NIL. Ст.15.3 ФЗ "О правовой охране программ..." специально оговаривает этот случай: "Лицо, правомерно владеющее экземпляром программы ... вправе без согласия правообладателя ... декомпилировать или поручать декомпилирование программы [если] информация, необходимая для взаимодействия независимо разработанной данным лицом программы ... с другими программами, недоступна из других источников". Ровно твой случай: вопрос совместимости (возможности взаимодействия). Однако направление в котором надо копать следующее. ВЗЯТЬ ВЕРБУ ИЛИ КРИПТОН И ПРОВЕРИТЬ СТАТИСТИЧЕСКОЕ КАЧЕСТВО КЛЮЧЕЙ (СЛУЧАЙНОСТЬ, РАВНОВЕРОЯТНОСТЬ И САМОЕ ГЛАВНОЕ ОЦЕНИТЬ КОЛИЧЕСТВО КЛЮЧЕЙ, КОТОРОЕ МОЖЕТ БЫТЬ СГНЕНЕРИРОВАНО ОДНИМ ДЕВАЙСОМ ТИПА КРИПТОН ИЛИ ОДНИМ АРМ ГЕНЕРАЦИИ ТИПА ВЕРБА). Смотри, допустим я хочу зарезать ключевое пространство ГОСТ в восемь раз, чтобы оставить себе возможность атаки перебором 2^32 вариантов. Если я не полный идиот, я напишу что-то вроде (извини псевдокод): keygen(key) { int key[3]; const FAPSI_key[3] = blablabla; key[0] = rand(); for (i=1, i<=3, i++) {key[i] = upperhalf(gostblock(key[i-1]*2^32+key[i-1]), FAPSI_key);} return(key); }; И это простейший случай, а можно ведь и биты перемешать :) Какой длины прогон надо сделать, чтобы оценить статистическое качество ключей? Я так понимаю, порядка 2^mid(32,64). Это на поллимона машинного времени.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
> Два года назад ПФР через Минэкономики проводил открытый тендер на закупку криптографических средств. По результатам тендера ПФР закупил "Вербу-О" и внедрил ее у себя, этим путем она и в Тамбов попала. Интересно, может быть кто-нибудь ответит: 1. Какие еще независимые разработчики криптографического ПО участвовали в этом тендере? 2. Почему результаты конкурса и, в итоге, -- договора между двумя лицами становятся обязательными для третьих лиц? 3. Какие еще программные комплексы, кроме Вербы, выигрывали подобные тендеры и внедрялись федеральными структурами? Поясню, чтобы было понятно: я не против Вербы или еще кого-нибудь... Мне не нравится монополизм и то, что монополия у нас почему-то всегда "государственная", чиновничья. Будь я на месте директора такого предприятия в 38 тысяч работающих (sic!), я бы из принципа продолжал вести дело с ПФР на бумаге, и бумаге и печатью похуже качеством, -- пусть и они мучаются вместе со мною с этими тоннами, до тех пор, пока мне не предоставят возможность выбора поставщика криптографического ПО (в рамках открытого стандарта на форматы) по моему усмотрению, а не расплодившихся сверх меры чиновников.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Браво kenq в самую точку. Сделаем еще один логичный шаг. Верба победила на тендере, значит ТИК за нее деньги уже получил, следовательно ПФ должен раздавать Вербу при подключении БЕСПЛАТНО. Я понимаю желание ТИК получить деньги дважды, но мы то здесь при чем.
-
Закон
Коллеги, а что в реальности вышло из Думы после первого чтения в виде Закона об ЭЦП? То, что лежит здесь? Какой вариант?
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
1-ая Межрегиональная Конференция " Электронная цифровая подпись и электронная торговля" (электронный документооборот и делопроизводство, электронная подпись, электронная торговля) 12 - 16 ноября 2001 года, Россия, г. Валдай, д/о «Валдай» Управления делами Президента Российской Федерации. Организатор: ВНИИ проблем вычислительной техники и информатизации Минсвязи России, АО «ТЕЛЕКОМ», ФАПСИ НТЦ «АТЛАС», Национальная фондовая ассоциация (НФА), компания "ТЕЛЕСТАРТ". Цель конференции Конференция посвящена региональным проблемам внедрения электронной цифровой подписи в электронный документооборот и электронную торговлю. Для участия в работе Конференции приглашены: Депутаты Государственной Думы, руководители региональных Администраций и хозяйствующих субъектов, министерств и ведомств, в том числе ФАПСИ, Минсвязи, МВД, Центробанка РФ, коммерческих финансовых организаций и фирм, российских и зарубежных предприятий-лидеров рынка информационных технологий, связи и телекоммуникаций, других отраслей экономики, руководители крупнейших ассоциаций, научных, образовательных и некоммерческих организаций, СМИ. ПРОГРАММА КОНФЕРЕНЦИИ 1. Цель и задачи конференции. Понятия – "электронные цифровая подпись, документооборот, торговля". 2. Правовые аспекты обеспечения государственной информационной политики в области электронной торговли. 3. Электронная торговля: направления и перспективы развития, экономические, технологические и правовые вопросы. 4. Особенности внедрения технологии и инфраструктуры электронной цифровой подписи в регионах Российской Федерации. 5. Опыт построения защищенных корпоративных и ведомственных сетей передачи данных, использующих систему управления открытыми ключами подписи (PKI). 6. Практические вопросы комплексного подхода при обеспечении безопасности финансового и офисного электронного документооборота в организации. 7. Безопасность баз данных и аудит автоматизированных систем электронного документооборота. 8. Структура и построение удостоверяющих центров. 9. Правовые аспекты защиты электронного документооборота. 10. Системное отличие традиционного и электронного документа. 11. Юридические проблемы информационной безопасности в связи с законопроектами "Об электронной цифровой подписи" и "Об электронной торговле". 12. Опыт внедрения и эксплуатации комплексных систем электронной торговли на предприятиях различных отраслей. 13. Построение безопасных систем электронного документооборота в крупных территориально распределенных предприятиях нефтегазового и энергетического комплексов. 14. «Вирус-антивирус» - новое противостояние типа "снаряд-броня", развернувшееся на базе современных компьютеров и сетей электронной торговли. 15. Электронная цифровая подпись и другие криптографические средства для финансовой автоматизированной системы 16. Стратегия безопасной электронной торговли в Интернете. 17. Виртуальные сети - универсальный метод обеспечения безопасной электронной торговли в локальных и глобальных IP-сетях. 18. Практическая демонстрация и вопросы тренинга электронной цифровой подписи. Курсы повышения квалификации. 19. Итоговое пленарное заседание. Условия участия. Стоимость участия составляет 13800 рублей без учета НДС. В стоимость входит: проживание в двухместном номере, питание, организационные расходы, информационное обеспечение, сборник тезисов выступлений в электронном виде.Доплата за проживание в одноместном номере - 2000 рублей.При участии двух человек от одной организации, предоставляется скидка 10 %. Счет за участие в работе конференции направляется только по получении Оргкомитетом оформленной заявки. Оплата также может быть произведена наличными по гарантийному письму. При этом, кроме НДС, учитывается налог с продаж (5%). Число участников – до 300 чел. Предусмотрено размещение выставочной экспозиции. Размещение рекламных материалов в папках участников конференции (заочное участие) – 1800 рублей с учетом НДС. Проезд в автобусе из Москвы до д/о «Валдай» и обратно - 1500 рублей с учетом НДС. Организованный отъезд автобусом из Москвы 12 ноября в 11-00 час от ст. метро «Речной вокзал». Возможно самостоятельное прибытие в д/о «Валдай» автомобилем или поездом. Заявки на участие в Конференции направить в Оргкомитет по телефонам/факсам: (095) 217 32 55 , 137 18 74, или по E-mail [email protected] Дополнительные справки по тел. (095) 130 14 40. Заявки на дополнительные выступления принимаются только в порядке исключения или от спонсоров. Подробная информация о конференции "Электронная цифровая подпись и электронная торговля" размещена на сайте компании ТЕЛЕСТАРТ http://www.az.ru/telestart Оргкомитет оставляет за собой право дополнения и уточнения программы.ОРГКОМИТЕТ
|