Работа с госзакупками

[svcunion]

При этом сделать версию для линукса КриптоПро не вариант ? С учетом роста релизов линукса, скорее всего именно так.
КриптоПро куда более инерционая вещь.
Сделать её обновляемой может лишь спец. команда, которая лишь этим и должна заниматься.
Ещё одна особенность. Подключение к репозитарию. Соответствует ли это требованиям КриптоПро и в целом гос. доков. Наш особист нам заявил - не дождеся.
С КриптоПро уже работаем с годика четыре. Практически, как была с нова, такая и сейчас. Из - за этого в общем не далекой шифровки / расшифровки даже из ХПэ не вылести.
Делать инсталляцию допустим Ubuntu и отключать полное обновление - сомнительное решение. Как и подключение чего - то своего из самосборных реп.
Это ПО не заточено под что - то локальное или тем более ведомственное.
Конечно проблема Wsus возможна и на M$. Но там есть транзитный вариант, через промежуточный локальный сервер WSUS.
В принципе intranet WAN можно полностью изолировать от интернета на MS. Можно это сделать на линуксе ?
Наверное эта компания по внедрению СПО ответит на этот вопрос.

По распилу это вы напрасно. Ну не будут так, так будут как в "Дубровском" - борзыми щенками.
Не знаю ничего, что бы изменило эту систему.

[Axa-Ru]

Честно скажу. Прочитал раза четыре. Не понял нифига.

[svcunion]

Я также замечу, честно. Почему, если знакомые буквы. Извините, что так сурово.
Возможно непонятно потому, что специфика иная. Этому не удивлюсь.
Ну ладно. что непонятно ? Про крипто - про ? Клиент Ubuntu в гос.структуре, подключенный к репам ? Обновление через свой локальный WSUS, понятно не для Ubuntu ( а то и тут могут быть вопросы ).
Согласен, излагал не в стиле диктора новостей по первому каналу, где наверное все должно быть понятно.
Кстати, мне также не понятно, а почему четыре, а не два ? Почти уверен, что третий раз не стоило читать.
Полагаю, что Дубровский А.С.Пушкина со школы знаком.
Извините, ещё.
Зы. Может лучше прочитать на следующей недели ?

[El Scorpio]

Народ, вы тут обсуждаете не понимаете, что проблема не одна а сразу несколько.
Вам удостоверяющий цент выдает контейнер зарытого ключа. Этот контейнер умеет читать только программы от КриптоПро. Это закрытый формат и никто вам его не раскроет. По этой причине никуда вы от КриптоПро не денетесь. Разве что какой то хакер не раскроет формат каталога и файлов ключей.

Во первых, алгоритмы работы с ЭЦП определены государственным стандартом. Это - не коммерческая тайна, которую нужно добывать путём взлома Самого Главного Сервера, либо исследовать путём декомпиляции программы или иным способом "обратной разработки".
Во-вторых, контейнеры ключей соответствуют общепринятым стандартам - тому же PKCS.
В-третьих, работать с ключами ЭЦП данного формата также могут другие программы. Вот только они все тоже являются платными. О причинах этого - ниже.

Возникает вопрос: почему государство не профинансирует разработку открытой (бесплатной) программы - хотя бы тем же разработчикам стандарта ЭЦП? Ведь, казалось бы, это нужно всем, причём в первую очередь государственным же структурам.
Капитан Очевидность говорит, что в этом случае распилы откатов окажутся гораздо меньше. А заодно снизится скорость "удовения ВВП"

Сейчас все подобные "средства криптографической защиты информации" должны быть "сертифицированы". "Сертификация" стоит чуть меньше, чем дохрена денег. Единственный смысл сертификации - разрешить разработчикам продавать "право на использование" этой программы конечным пользователям.
Фактически, это напоминает средневековый "откуп" - отношения, при которых феодал за очень крупную сумму передаёт предприимчивым людям право собирать оброки с населения. Разумеется, эти откупщики стремятся воспользоваться этим правом с наибольшей для себя выгодой, вследствие чего дерут с населения три шкуры.

В этой ситуации разработчикам беплатных программ придётся платить откупные "за просто так". Более того - никакая бесплатная программа не пройдёт "сертификацию", поскольку тут же вытеснит всех остальных, а значит существенно уменьшит сумму выплачиваемых откупов. Кстати, я не исключаю того, что кто-то из друзей и родственников ряда высокопоставленных чиновников имеет прямое отношение к упомянутому Крипто-Про - слишком много баблоса к этой фирме со всей страны стекается, чтобы его никто не сосал...

Реально изменить ситуацию вокруг открытого ПО сможет только массовое перемещение любителей "распилов" на реальные лесоповалы.

FireFox и Google Hrome не могут войти на страничку авторизации совсем по другой причине. Сервер заточенный на КриптоПро TLS не выполняет требований RFC-2246 TLS 1.0 http://tools.ietf.org/html/rfc2246 . Вместо того, чтобы выбрать алгоритм шифрования предложенный клиентом, он отвечает своим собственным алгоритмом. Если серверу не нравятся алгоритмы клиента, согласно RFC он должен был выдать сообщение об ошибке.

Ещё раз - даже если удастся зайти на zakupki.gov.no, работать там всё равно не получится, ибо внутри - сплошные скрипты на ActiveX. А причиной этого, скорее всего, является "лоббирование интересов" мелкософта

[Axa-Ru]

Абсолютно правильно определены причины. Я бы добавил, что КриптоПро начал разрабатываться для банковской среды, где никогда никаким линуксом и не пахло. А поскольку звказчик "не просил", то, естественно, никто ничего и не сделал.

Выход - долбать их запросами и жалобами.
Вот я в налоговую написал, что у них формат ODF не поддерживается, зашевелились и ответили, что исправили недочет.

[Alexey-S]

Во первых, алгоритмы работы с ЭЦП определены государственным стандартом. Это - не коммерческая тайна, которую нужно добывать путём взлома Самого Главного Сервера, либо исследовать путём декомпиляции программы или иным способом "обратной разработки".
Во-вторых, контейнеры ключей соответствуют общепринятым стандартам - тому же PKCS.
В-третьих, работать с ключами ЭЦП данного формата также могут другие программы. Вот только они все тоже являются платными. О причинах этого - ниже.

Вы заблуждаетесь. Покажите документ от компании КриптоПро, в котором сказано, что контейнер закрытого ключа соответствует PKCS 12. На форуме КриптоПро представители компании утверждают, что этого никогда не будет.
Нигде в законе об ЭЦП, ни в ГОСТ-ах на алгоритмы, не регламентирован контейнер закрытого ключа.
Толку от того, что OpenSSL или Bouncy Castle имеет реализацию нужных алгоритмов. У вас нет доступа к закрытому ключу и точка.

Ещё раз - даже если удастся зайти на zakupki.gov.no, работать там всё равно не получится, ибо внутри - сплошные скрипты на ActiveX. А причиной этого, скорее всего, является "лоббирование интересов" мелкософта

Никто вам не мешает поставить спам фильтр, как это делается для отсеивания рекламных картинок. Вы можете заменить его своим функционалом.
Вы думаете, все такие продвинутые и пишут свои ActiveX? Глупость. Все используют готовый компонент от MS по работе с CAPICOM.dll. При этом MS давно отказалась от его поддержки, еще в MS Vista. Причина банальная - библиотека подписывает текст в unicode, а не набор байт. Вы не сможете просто так проверить подпись, воспользовавшись базовыми средствами MS CryptoAPI. Необходимо выполнить искажение подписываемой информации, которое делает CAPICOM. Для новых машинок с 64 разрядной архитектурой CAPICOM вообще закрытая тема. MS продвигает компонент на .Net, но я не видел реализации этой технологии на наших сайтах.

Кстати, к вопросу о CAPICOM. Попробуйте на не локализованной MS Windows, с Американскими настройками, подписать документ в Internet Explorer, а потом проверить подпись на локализованной машине. Может получиться полный бред.

[unwrecker]

А вот у меня вопрос почти по теме, но несколько с другой стороны:

Наша компания занимается разработкой электронной торговой площадки (но не госзакупки), и мы планируем всё сделать максимально кроссплатформенно. В принципе, все проблемы кроме получения ЭЦП решены через использование жавы и аппаратных криптопровайдеров. А вот получить ЭЦП в удостоверяющих центрах, насколько я понял, нынче можно либо при личном визите, либо при наличии на клиентском компе криптопро и IE Или всё-таки если ещё варианты?

[El Scorpio]

Ещё раз - даже если удастся зайти на zakupki.gov.no, работать там всё равно не получится, ибо внутри - сплошные скрипты на ActiveX. А причиной этого, скорее всего, является "лоббирование интересов" мелкософта

Никто вам не мешает поставить спам фильтр, как это делается для отсеивания рекламных картинок. Вы можете заменить его своим функционалом.
Вы думаете, все такие продвинутые и пишут свои ActiveX? Глупость. Все используют готовый компонент от MS по работе с CAPICOM.dll. При этом MS давно отказалась от его поддержки, еще в MS Vista. Причина банальная - библиотека подписывает текст в unicode, а не набор байт. Вы не сможете просто так проверить подпись, воспользовавшись базовыми средствами MS CryptoAPI. Необходимо выполнить искажение подписываемой информации, которое делает CAPICOM. Для новых машинок с 64 разрядной архитектурой CAPICOM вообще закрытая тема. MS продвигает компонент на .Net, но я не видел реализации этой технологии на наших сайтах.

Можно вопрос - вы на сайт zakupki.gov.no вообще заходили? А мне в нём работать приходится...
Так вот.
1. Capicom этот сайт не использует. Знаю потому, что можно работать на Закупках, а потом зайти на сайт Роселторга и получить уведомление об отсутствии Capicom. Вместо этого сайт Закупок действительно использует "свой собственный компонент", который написан фирмой ЛАНИТ.
2. Никакой "спам-фильтр" не поможет, потому что zakupki.gov.no - вообще не вёб-сайт. Это - чудовищное недоразумение, с которым можно взаимодействовать исключительно через упомянутый "ланитовский" компонент, который ставится только на Windows и в качестве графической оболочки может использовать только IE.
С тем же самым успехом нанятые ЛАНИТом "кулхацкеры" могли бы сваять "специальную программу". Типа той, которую Росимущество предлагает

[Axa-Ru]

А вот получить ЭЦП в удостоверяющих центрах, насколько я понял, нынче можно либо при личном визите, либо при наличии на клиентском компе криптопро и IE Или всё-таки если ещё варианты?

А вы как физическое лицо им бумагу напишите с вопросом как получить ЭЦП пользователю Linux.

[Alexey-S]

Можно вопрос - вы на сайт zakupki.gov.no вообще заходили? А мне в нём работать приходится...
Так вот.

Мне по роду деятельности пришлось создать систему обмена документами госзаказа с этим сайтом.
ActiveX не загружается один раз с сайта X и работает с сайтом Y. Загрузив компонент с сайта X, он будет работать только на сайте X.

А вы как физическое лицо им бумагу напишите с вопросом как получить ЭЦП пользователю Linux.

Надо быть чуточку начитанным в вопросах получения ключей. Сначала генерируется пара открытого и закрытого ключа. Далее формируется запрос на получение сертификата с заполненными необходимыми реквизитами. УЦ обрабатывает этот файл запроса и выдает сертификат.
Как видите, ничего сложного нет. Просто, многие думают, что УЦ должен вам дать с сертификатом еще и закрытый ключ. Но, согласно букве закона, если закрытый ключ оказался в чужих руках, он дискредитирован. Вы ведь не можете гарантировать, что до того, как дискета попала к вам в руки, некто не скопировал ее содержимое себе.

[Axa-Ru]

Alexey-S, спасибо. Все понятно.
Захожу на сайт http://zakupki.gov.ru/wps/portal/base/topmain/home.
Дальше в личный кабинет: http://zakupki.gov.ru/pgz/pcabinet.jsp.
Так... Что дальше?

[DuhLesa]

Надо быть чуточку начитанным в вопросах получения ключей. Сначала генерируется пара открытого и закрытого ключа. Далее формируется запрос на получение сертификата с заполненными необходимыми реквизитами. УЦ обрабатывает этот файл запроса и выдает сертификат.
Как видите, ничего сложного нет. Просто, многие думают, что УЦ должен вам дать с сертификатом еще и закрытый ключ. Но, согласно букве закона, если закрытый ключ оказался в чужих руках, он дискредитирован. Вы ведь не можете гарантировать, что до того, как дискета попала к вам в руки, некто не скопировал ее содержимое себе.

Вашими бы устами да мед пить...

Как это должно быть в теории я прекрасно представляю, но сколько мне не приходилось сталкиваться на практике с реализацией получения ЦП(цифровых подписей) все происходило "в точности до наоборот" - мне ВЫДАВАЛИ ЦП! НЕ сертифицировали мою подпись, а выдавали СЕРТИФИЦИРОВАННУЮ ПОДПИСЬ.

В соответствии с буквой закона возможно это не идеально, в соответствии с банальной логикой с точки зрения защиты информации это что угодно, но НЕ МОЯ ПОДПИСЬ!!! Но в окружающей меня реальности, где некоторые конторы(упоминать которых я не могу поскольку давал подписку), заведующие "МОЕЙ" подписью, имеют, при милой улыбке на лице, "дубину штрафов" за спиной - ни один системный администратор не попрет со своими "академическими знаниями" против указания руководства предприятия "к 7-му июля установить и обеспечить работоспособность!".

Хотя... если цель обрести образ великомученика за идею... впрочем и тогда НЕ! Ибо кто вспомнит о вас безвестные бойцы с чиновничьей машиной государства на фронтах никчемных бюрократических войн... 

[Alexey-S]

Так... Что дальше?

Если вам хочется набивать документы в FireFox, вы упретесь в отсутствии реализации алгоритма шифрования для  TLS рукопожатия Cipher Suite: TLS_DH_RSA_WITH_AES_128_CBC_SHA (0x0031).
Вам ведь не обязательно иметь личный ключ для авторизации на сайте. Вполне достаточно ввести логин и пароль.
Раньше, до середины мая, я успешно проходил в личный кабинет с помощью Google Chrome и openssl 1.0d под ubuntu.
Да, подписать документ я не мог, но зато мог создавать, редактировать и удалять в кабинете свои документы. Это хотя бы давало надежду на использование планшетной техники - всего лишь заменить oenssl на свежую в Android. Для подписи можно Win на виртуальной машине поднять

Для создания альтернативы есть регламентные документы описывающие структуры документов и правила загрузки документов. Вроде бы, чего еще желать? Так ведь нет - на сайт нельзя таким способом передать подпись. Упираемся в комбинацию Win+IE+ActiveX.

Вашими бы устами да мед пить...

По поводу меда... Есть стандарт PKCS11 для работы с token. При использовании ключей, генерируемых самим token, закрытый ключ не покидает данного устройства. Такой token может самостоятельно реализовывать работу с подписями и шифрованием. Для модуля шифрования NSS в FireFox предлагали реализацию поддержки российских алгоритмов. Вроде, как и в корневую ветку исходников NSS эти изменения вошли, но стабильной версии еще нет. Как следствие, новый FireFox работает на старой версии NSS.

[El Scorpio]

Как это должно быть в теории я прекрасно представляю, но сколько мне не приходилось сталкиваться на практике с реализацией получения ЦП(цифровых подписей) все происходило "в точности до наоборот" - мне ВЫДАВАЛИ ЦП! НЕ сертифицировали мою подпись, а выдавали СЕРТИФИЦИРОВАННУЮ ПОДПИСЬ.

В соответствии с буквой закона возможно это не идеально, в соответствии с банальной логикой с точки зрения защиты информации это что угодно, но НЕ МОЯ ПОДПИСЬ!!! Но в окружающей меня реальности, где некоторые конторы(упоминать которых я не могу поскольку давал подписку), заведующие "МОЕЙ" подписью, имеют, при милой улыбке на лице, "дубину штрафов" за спиной - ни один системный администратор не попрет со своими "академическими знаниями" против указания руководства предприятия "к 7-му июля установить и обеспечить работоспособность!".

Обычно "выдают" ЭЦП для подписания налоговых деклараций и прочих отчётов. В принципе, пару раз я с полученными ключами заходил на сайт Удостоверяющего центра, генерировал запрос на создание нового ключа, отправлял бумагу "поскольку мой закрытый ключ был доступен третьим лицам (работникам вашей организации), он может быть скомпрометирован, таким образом убедительно прошу вас сделать мне новый сертификат", и этот сертификат мне делали бесплатно. Просто со временем на это дело забил.

Что касается Официального сайта Закупок и Торговым площадкам, то для них бюджетные организации сами делают ключи в программе "ОТР-СЭД" (то ещё глючиво), и в Казначейство отправляют только запросы

[ArcFi]

бюджетные организации сами делают ключи в программе "ОТР-СЭД" (то ещё глючиво), и в Казначейство отправляют только запросы

(Нажмите, чтобы показать/скрыть)

О да, с этим геморроищем знакомы. Только ради него держим ms-sql-server-2k. Обновляется вообще кошмарнейшим образом.