Страница 1 из 2

Підписування з OPZ ключами ІВК

СообщениеДобавлено: 05 янв 2009, 16:01
Paul Fenixs
Підписування з OPZ ключами ІВК
https://fileshare.in.ua/1269588
відео opz
https://fileshare.in.ua/1369589
відео Total Commander
https://fileshare.in.ua/1469581

СообщениеДобавлено: 20 янв 2009, 18:55
VITALIJ
а как сделать если надо чтобы сначала был подпись бухгалтера потом директора а потом печать и пароли были разные?

СообщениеДобавлено: 21 янв 2009, 11:52
Paul Fenixs
VITALIJ писал(а):а как сделать если надо чтобы сначала был подпись бухгалтера потом директора а потом печать и пароли были разные?


Щоб першим був ключ бухгалтера можна поміняти образи дисків місцями, а на рахунок паролів завтра дороблю і викладу.

СообщениеДобавлено: 21 янв 2009, 17:53
VITALIJ
я пробував робити образ даймонд тулом і зробив тільки один образ, може це тому що файл ключа одинаковий на всі підписи, бо це вимога служби безпеки, щоб небули 3 підписи на одному носію.

СообщениеДобавлено: 22 янв 2009, 10:20
Paul Fenixs
Підписування з OPZ ключами ІВК оновлено тепер можна передавати параметрами три різні паролі для ключів.
OPZ_IVK1.RAR поправив
відео як створювати образи дисків з ключами програмою DAEMON Tools Lite
Video_stvor_obr.rar

СообщениеДобавлено: 22 янв 2009, 11:41
Байталенко
Вообще использование такого ПО компрометирует закрытые ключи, раз

Автор такого ПО может оказаться "недобросовестным" и его программка может не только выполнять подписывание-шифрование, но и копировать закрытые ключи и пароли и отправлять автору, два

Ну и вообще пользователям любых ЭЦП стоит прочитать свои договоры с АЦСК на предмет ответственности в случае компрометации
ключей

В общем стоит понимать и осознавать

СообщениеДобавлено: 22 янв 2009, 11:54
VITALIJ
шось перша ссилка не працює

СообщениеДобавлено: 22 янв 2009, 12:22
admin
Байталенко писал(а):Вообще использование такого ПО компрометирует закрытые ключи, раз

Автор такого ПО может оказаться "недобросовестным" и его программка может не только выполнять подписывание-шифрование, но и копировать закрытые ключи и пароли и отправлять автору, два

Ну и вообще пользователям любых ЭЦП стоит прочитать свои договоры с АЦСК на предмет ответственности в случае компрометации
ключей

В общем стоит понимать и осознавать


Адназначна!!!

СообщениеДобавлено: 22 янв 2009, 13:30
Paul Fenixs
Байталенко писал(а):Вообще использование такого ПО компрометирует закрытые ключи, раз

По переше, це ПЗ а скрипт.Чим воно компроментує?

Байталенко писал(а):Автор такого ПО может оказаться "недобросовестным" и его программка может не только выполнять подписывание-шифрование, но и копировать закрытые ключи и пароли и отправлять автору, два


https://www.virustotal.com/analisis/3eee50283f70c4cb0b56288bae987b7c
Як я люблю слово "може" :D, а Ви перевіряли чи взагалі воно щось кудись відправляє?
Байталенко писал(а):Ну и вообще пользователям любых ЭЦП стоит прочитать свои договоры с АЦСК на предмет ответственности в случае компрометации
ключей

І де Ви в договорі знайшли, що підписування документів програмою від АЦСК є компроментацією?
Байталенко писал(а):В общем стоит понимать и осознавать

Мені, наприклад краще підписувати з самого OPZ ніж шукати потрібний файл серед 500 файлів і вводити пароль міняючи щоразу диски. А використовувати скрипт чи ні це вже ваше право, але непотрібно писати догадками.

СообщениеДобавлено: 22 янв 2009, 14:01
Байталенко
компрометація особистого ключа - будь-яка подія та/або дія,
що призвела або може призвести до несанкціонованого використання
особистого ключа;


особистий ключ - параметр криптографічного алгоритму
формування електронного цифрового підпису, доступний тільки
підписувачу



Підписувач зобов'язаний:

зберігати особистий ключ у таємниці;

это три цитаты из

З А К О Н У К Р А Ї Н И

Про електронний цифровий підпис

https://zakon.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=852-15

т.е. фактически если закрытый ключ попадает в чужие руки - он скомпрометирован

Ваш "ПЗ" предлагает делать копии к которым будет иметь доступ любой кто сядет за ПК, и более того любой сможет пользоваться закрытыми ключами с заранее введенными паролями


Як я люблю слово "може" , а Ви перевіряли чи взагалі воно щось кудись відправляє?
я не утверждаю что лично Вы такой недобросовестный автор ПО (или ПЗ или скрипта). Владельцам ключей просто стоит понимать что ПО АЦСК постоянно проходит проверки, и непроверенное ПО нельзя применять, а ПО стороннего автора может делать что угодно с их личными ключами

вы можете хоть 1000 раз ссылаться на проверки антивирусов, выпускать сотни обновлений, приучить доверчивых, набрать таких побольше, а потом возьмете и выпустите "обновление" которое сделает свое черное дело


І де Ви в договорі знайшли, що підписування документів програмою від АЦСК є компроментацією?
то что вы распространяете на различных форумах не есть ПО от АЦСК, более того, на текущий момент АЦСК вообще не имеют права распространять криптографическое ПО без учета и без контрольно


Мені, наприклад краще підписувати з самого OPZ ніж шукати потрібний файл серед 500 файлів і вводити пароль міняючи щоразу диски. А використовувати скрипт чи ні це вже ваше право, але непотрібно писати догадками.
лично я вас не преследую, хотя в ваших действиях можно найти не одно нарушение ЗУ.
вы бы хоть писали что пользоваться вашими "ПЗ" можно только на "свой страх и риск"

СообщениеДобавлено: 22 янв 2009, 14:56
Paul Fenixs
т.е. фактически если закрытый ключ попадает в чужие руки - он скомпрометирован

Ваш "ПЗ" предлагает делать копии к которым будет иметь доступ любой кто сядет за ПК, и более того любой сможет пользоваться закрытыми ключами с заранее введенными паролями

А при чому тут мії скрипт, це вже Ваші проблеми що до ПК будуть мати доступ сторонні особи. Програма що робить копії безкоштовна, Ви можете використати любу програму що вміє створювати образи дисків.


я не утверждаю что лично Вы такой недобросовестный автор ПО (или ПЗ или скрипта). Владельцам ключей просто стоит понимать что ПО АЦСК постоянно проходит проверки, и непроверенное ПО нельзя применять, а ПО стороннего автора может делать что угодно с их личными ключами

вы можете хоть 1000 раз ссылаться на проверки антивирусов, выпускать сотни обновлений, приучить доверчивых, набрать таких побольше, а потом возьмете и выпустите "обновление" которое сделает свое черное дело

Як не стверджуєте,а хто це написав:
Автор такого ПО может оказаться "недобросовестным" и его программка может не только выполнять подписывание-шифрование, но и копировать закрытые ключи и пароли и отправлять автору, два

"возьмете и выпустите "обновление" которое сделает свое черное дело" нажаль я такого не планую:D . Припустимо що я буду мати секретні ключі і паролі до них. Що я буду з ними робити? :D

то что вы распространяете на различных форумах не есть ПО от АЦСК, более того, на текущий момент АЦСК вообще не имеют права распространять криптографическое ПО без учета и без контрольно

Ще раз Вам поясню, це не є ПЗ, це скрипт, підпис і відправка звіту здійснюється ПЗ від АЦСК, невірите - дивіться відео яке я виклав

лично я вас не преследую, хотя в ваших действиях можно найти не одно нарушение ЗУ.
вы бы хоть писали что пользоваться вашими "ПЗ" можно только на "свой страх и риск"

Конкретніше можна, які ЗУ я порушую.

Цікаво, яку програму Ви використовуєте для подання звітності в электронній формі?

СообщениеДобавлено: 22 янв 2009, 16:09
Байталенко
Договор

п 3.4 Замовник забов`язуєтся:
3.4.1 ознакомитись з пололожениями регламенту та дотримуватись його вимог

3.4.5 зберігати особистий ключ у таємниці та у спосіб, що унеможливлює ознайомлення з ним інших осіб
3.4.6 не розголошувати та не повідомляти іншим особам пароль доступу до особистого ключа
3.4.7 негайно інформувати Виконавця про факт копроментації особистого ключа
3.4.10 використовувати надійні засоби електронного цифрового підпіпису для формування та перевірки електронного цифрового підпису

4.12 Відповідальність за забезбечення конфіденційності та цілостності особистого ключа несе підписувач.


Регламент ІВК
6.5. Використання сертифіката та особистого ключа
6.5.1 Права та обов’язки заявника
Заявник зобов’язаний:
– ознайомитись з умовами надання послуг ЕЦП, визначених цим Регламентом та відповідними нормативними документами, та дотримуватись них;

– зберігати у таємниці особистий ключ ЕЦП та вживати усіх можливих заходів для запобігання його втрати, розкриття, перекручування чи несанкціонованого використання;
– не розголошувати та не повідомляти іншим особам пароль доступу до особистого ключа та ключову фразу голосової автентифікації;
– не розголошувати та не повідомляти іншим особам пароль доступу до захищеного носія ключової інформації, на якому знаходиться особистий ключ ЕЦП;

– негайно інформувати Центр про наступні події, що трапилися до закінчення строку чинності сертифіката ключа: компрометацію особистого ключа; компрометацію паролю захисту особистого ключа; виявлені неточності або зміни даних, зазначених у сертифікаті;
– не використовувати особистий ключ у разі його компрометації;

Якщо заявник та підписувач є різними суб'єктами, заявник повинен зобов'язати підписувача виконувати вимоги цього Регламенту.


Підписувач (заявник – юридична особа) зобов’язаний звернутися до Центру щодо скасування сертифіката ключа у разі:
– компрометації особистого ключа підписувача (факт або обґрунтована підозра того, що особистий ключ став відомий іншим особам, втрата можливості подальшого використання особистого ключа із будь-яких обставин, зокрема, втрата або пошкодження носія ключової інформації тощо);


так же рекомендую вам ознакомиться с
Закон України “Про електронний цифровий підпис”

Закон України “Про електронні документи та електронний документообіг”


Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису. Затверджено наказом ДСТСЗІ СБ України №31 від 30.04.2004 р. Зареєстровано в Міністерстві юстиції України за №592/9191 від 12.05.2004 р.



Припустимо що я буду мати секретні ключі і паролі до них. Що я буду з ними робити?
Вы либо не понимаете либо прикидываетесь что не понимаете.
Интересно что я смогу сделать, если у меня будут мокрые печати и подписи руководителей на незаполненных бланках или пустых листах? акты, договора, доверенности, платежные документы.
даже просто отчет в налоговую с фиктивными цифрами наверное никаких последствий не принесет для организации?

Почему в Вашей организации в приемной (или любом другом доступном любому человеку помещении) не стоят факсимиле руководителя и его печать? так ведь наверное удобно будет и быстро? приходят люди и не утруждая руководителя сами будут ставить на бумаги его подпись и печать за удобной датой :wink:

по закону-то ЕЦП имеют ту же юридическую силу что и мокрые печати-подписи

Цікаво, яку програму Ви використовуєте для подання звітності в электронній формі?

Я использую для отправки отчетов в эл-виде те программы которые выдают в оф.представительствах АЦСК

СообщениеДобавлено: 22 янв 2009, 16:34
Байталенко
Вообще Вам лучше бы созвониться с Вашим региональным представителем IВК:
Леник, Ігор Михайлович (342) 509494
он вам наверняка поможет и разъяснит все ваши вопросы
или попросить его что-бы он вам позвонил?

СообщениеДобавлено: 22 янв 2009, 17:21
Paul Fenixs
Байталенко писал(а):Договор

п 3.4 Замовник забов`язуєтся:
3.4.1 ознакомитись з пололожениями регламенту та дотримуватись його вимог

3.4.5 зберігати особистий ключ у таємниці та у спосіб, що унеможливлює ознайомлення з ним інших осіб
3.4.6 не розголошувати та не повідомляти іншим особам пароль доступу до особистого ключа
3.4.7 негайно інформувати Виконавця про факт копроментації особистого ключа
3.4.10 використовувати надійні засоби електронного цифрового підпіпису для формування та перевірки електронного цифрового підпису

4.12 Відповідальність за забезбечення конфіденційності та цілостності особистого ключа несе підписувач.


Регламент ІВК
6.5. Використання сертифіката та особистого ключа
6.5.1 Права та обов’язки заявника
Заявник зобов’язаний:
– ознайомитись з умовами надання послуг ЕЦП, визначених цим Регламентом та відповідними нормативними документами, та дотримуватись них;

– зберігати у таємниці особистий ключ ЕЦП та вживати усіх можливих заходів для запобігання його втрати, розкриття, перекручування чи несанкціонованого використання;
– не розголошувати та не повідомляти іншим особам пароль доступу до особистого ключа та ключову фразу голосової автентифікації;
– не розголошувати та не повідомляти іншим особам пароль доступу до захищеного носія ключової інформації, на якому знаходиться особистий ключ ЕЦП;

– негайно інформувати Центр про наступні події, що трапилися до закінчення строку чинності сертифіката ключа: компрометацію особистого ключа; компрометацію паролю захисту особистого ключа; виявлені неточності або зміни даних, зазначених у сертифікаті;
– не використовувати особистий ключ у разі його компрометації;

Якщо заявник та підписувач є різними суб'єктами, заявник повинен зобов'язати підписувача виконувати вимоги цього Регламенту.


Підписувач (заявник – юридична особа) зобов’язаний звернутися до Центру щодо скасування сертифіката ключа у разі:
– компрометації особистого ключа підписувача (факт або обґрунтована підозра того, що особистий ключ став відомий іншим особам, втрата можливості подальшого використання особистого ключа із будь-яких обставин, зокрема, втрата або пошкодження носія ключової інформації тощо);


так же рекомендую вам ознакомиться с
Закон України “Про електронний цифровий підпис”

Закон України “Про електронні документи та електронний документообіг”


Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису. Затверджено наказом ДСТСЗІ СБ України №31 від 30.04.2004 р. Зареєстровано в Міністерстві юстиції України за №592/9191 від 12.05.2004 р.



Припустимо що я буду мати секретні ключі і паролі до них. Що я буду з ними робити?
Вы либо не понимаете либо прикидываетесь что не понимаете.
Интересно что я смогу сделать, если у меня будут мокрые печати и подписи руководителей на незаполненных бланках или пустых листах? акты, договора, доверенности, платежные документы.
даже просто отчет в налоговую с фиктивными цифрами наверное никаких последствий не принесет для организации?

Почему в Вашей организации в приемной (или любом другом доступном любому человеку помещении) не стоят факсимиле руководителя и его печать? так ведь наверное удобно будет и быстро? приходят люди и не утруждая руководителя сами будут ставить на бумаги его подпись и печать за удобной датой :wink:

по закону-то ЕЦП имеют ту же юридическую силу что и мокрые печати-подписи

Цікаво, яку програму Ви використовуєте для подання звітності в электронній формі?

Я использую для отправки отчетов в эл-виде те программы которые выдают в оф.представительствах АЦСК


1. І знову Ви мені показуєте витяг і договір закони і положення (хоча є не є розробником ПО) я ще раз вам повторюю, що це ваші проблеми як ви будете зберігати ваші ключі, Ви будете відповідати у разі передачі їх третім, особам.

2. Таку кількість документів (з підписами і мокрою печаткою) вам ніхто не дасть (хоча в нашій державі все можливо ) :) , якщо комусь дуже буде потрібно дістати електронні ключі, він їх дістане.

3. Я Вас не запитую якою програмою Ви накладаєте підписи, а якою програмою ви формуєте звіти, якщо в АЦСК то це може бути тільки одна програма БЕСТ-Звіт. Ф як в неї зберігаються ключі? Хіба не в окремому каталозі.

4.Таке враження, що ви хочити доказати що мій скрипт, відсилає паролі і ключі мені, але реальних доказів у вас немає самі "може"

5. А для чого мені звонити до регіонального предствника ІВК, їхніми програмами я прекрасно вмію користуватися, тим більше що там є віде як працювати з ними.

СообщениеДобавлено: 23 янв 2009, 16:56
Paul Fenixs
Підписування з OPZ ключами ІВК використовуючи дискети
dusketa_OPZ_IVK.rar
Інструкція в архіві.
За просьбою пана Байталенко:
Цей скрипт Ви використовуєте на власний страх і ризик. Хоча в ньому немає нічого протизаконого, ніякі ключі і паролі нікуди не відсилаються.