Здравствуйте, Cyberax, Вы писали:
_>>Ну ты же сам понимаешь, что эмуляция клавы позволяет сделать всего лишь чуть более удобную замену подтверждающих sms'ок/карт одноразовых паролей/генераторов одноразовых паролей, но не позволяет реализовывать ЭЦП, обязательное требование которой в некоторых случаях тут как раз и обсуждалось. C>Ну так добавляем третью сторону, которая использует данные токена в подписанной части документа и вперёд с песней.
Ммм, что-то не понял твою мысль. Где в такой схеме будут храниться приватные ключи ЭЦП?
_>>А ЭЦП без драйверов я пока видел только в виде банальных файлов ключей на обычной флешке (что совсем не безопасно). C>Ну вообще-то, стандарт U2F нынче напрямую реализован в Хроме и (скоро) в FireFox. Они там напрямую с USB работают через libusb, без драйверов. В U2F электронные подписи пока что только в draft-стандарте, но движется он быстро.
Так а разве U2F не ограничатся только двухфакторной аутентификацией? Вроде как оно прямо в самом название только этим и ограничено. А так да, оно уже везде есть, включая беты не только FF, но и вроде IE.
Здравствуйте, alex_public, Вы писали:
_>>>Т.е. ты этим самым хочешь сказать, что браузерный онлайн-банк будет работать с аппаратными ключами без установки на винду соответствующих драйверов? V>>... _>Экскурс в основы USB для детского сада я опустил и повторяю изначальный вопрос.
Угу. Промазал — притворись троллем.
_>Ты можешь привести пример банка, в котором аппаратные ключи (настоящие, а не флешка с файлами ключей) позволяют подписывать документы в браузере без установки дополнительного ПО?
Я привел одно такое название производителя токенов. Эти токены используют сразу несколько банков.
_>Если нет, то все твои выступления в данной теме как обычно окажутся пустой болтовнёй.
В отличие от, я даю здесь достоверную проверяемую инфу, объективность которой никак не зависит от твоего высочайшего позволения.
V>>Хотя, популярный у многих Bifit ставит драйверок, угу. Ну лохи, чо! )) _>Ну да, конечно, куда же им до такого специалиста как ты.
А ты думаешь, боги горшки обжигают? Нагоняют "специалистов широкого профиля", типа тебя, ну те и выкачивают из интернета, что могут.
Одно плохо — общее искажённое или отсутствующее представление о современных системах порождает монстров, типа продуктов Bifit. Потому что даже не знают, с какой стороны подходить и что писать в запросы поисковика. Ведь если ты пишешь то, что ты сюда пишешь, то ты даже не в состоянии общаться с гуглом с пользой для себя, верно? Ты ж умудрился замерить попой глубину всех встреченных по ходу обсуждения луж.
Что такое Bifit? Это пара математиков, которые неплохо рубят в алгоритмах шифрования и смежных темах. И вот эти ребята нанимают, увы, тех самых "средних программистов", где сегодня уровень этого среднего ниже плинтуса. И получается то, что получается.
_>Кстати, а сколько подобных систем безопасности разработал и продал ты? )
Участвовал в разработке защищенной связи для военки Израиля, и?
Если поискать на этом сайте по обсуждаемой теме за прошлые года, можно найти кое-что, я давал немного инфы.
А так-то для микроконтроллеров лет 8 писал проги после ВУЗ-а, разрабатывал и "озвучивал" железо, и? В "чистые программисты" ушел, потому что ЗП программеров тогда стали резко выше (у нас выше, у буржуев ЗП по этим областям примерно одинаковая).
Сейчас опять у нас опять ЗП примерно сравнялись, кста.
V>>Установка драйвера устройства для современных ОС (Microsoft Windows Vista и выше, Linux, Mac OS X) не требуется.
_>И снова ты демонстрируешь, что владение гуглом не способно заменить реальных знаний.
Да-да, опять притворись троллем.
Ты утверждал, что для аппаратного токена обязательно нужны драйвера.
Сейчас ты уже понял, какую глупость сморозил?
В общем, ситуация ровно противоположная: если для какого-то токена нужны драйвера, то это руки из ж-пы у производителя токена.
_>Во-первых "JaCarta PKI/BIO" (на который ты дал ссылку) не способен решать обсуждаемые проблемы — это инструмент для других целей.
Я дал ссылку на страницу, где сказано насчет отсутствия необходимости драйверов. Там ключевое только это, бо об этом был спор.
Что тебе помешало посмотреть другую такую же страницу?
_>Однако у них есть и подходящей для данных целей инструмент, он называется "JaCarta ГОСТ".
И про него сказано тоже самое — никакие драйвера не нужны.
Не везет тебе.
_>Т.е. ты даже не понимаешь о чём мы тут реально говорили.
Ну мы уже выяснили, кто тут чего понимает.
Кароч, речь может идти только о т.н. "квалифицированной подписи", которая признаётся юридической согласно закона о цифровой подписи РФ.
И я тебя огорчу: именно JaCarta PKI допустима и используется для подписи банковских документов, отчетностей в налоговые органы или сделок на биржах, т.к. служит именно для этого — для формирования той самой "квалифицированной подписи" по закону.
Более того, JaCarta ГОСТ — это их относительно новая модель токенов. Панимаешь... ГОСТ стандартизирует несколько алгоритмов отечественной разработки, ОК. Но законодательно банки никто не обязывает использовать только их. Есть требования к надежности цифровой подписи, см соотв. закон. Т.е., JaCarta ГОСТ тоже можно пользовать для банков, но разрабатывалась она не для этого.
А твой вот этот пафос уже подзадолбал:
_>Т.е. ты даже не понимаешь о чём мы тут реально говорили.
Он особенно подзадолбал тем, что строго наоборот.
Потому что как можно было не знать, что законодательные строгости насчёт алгоритмов шифрования из ГОСТа у нас бывают только в военке, в спецслужбах, кароч везде, где речь идёт о гос.тайне?
И да. Я заранее в курсе, что ты всё скипнешь и сделаешь лицо кирпичом, вот так:
Экскурс в основы USB для детского сада я опустил
Нет, чтобы испариться хотя бы на время после длинной серии залётов...
Какое-то садомазо уже...
_>А во-вторых, так называемая работа без драйвера (хотя на самом деле он там конечно же есть)
Ага, просто драйвер для просто USB, который конечно же есть.
В этом весь цимус. Иначе как твоя клава или мышка будут работать?
_>в данном случае вообще смешна, т.к. для нормальной работы с данными ключами ставят отдельное внешнее ПО под названием "Единый Клиент JaCarta и JaCarta SecurLogon" размером аж в 89 Мб.
И что на этот раз тебе помешало взглянуть прямо на их сайте, для чего нужен этот "единый клиент"?
Он не нужен для работы с банковской или любой другой программой, использующей токен. Это утилитная прога для однократного применения.
Конечному пользователю она может быть вовсе не нужна, она нужна техперсоналу.
Здравствуйте, vdimas, Вы писали:
_>>>>Т.е. ты этим самым хочешь сказать, что браузерный онлайн-банк будет работать с аппаратными ключами без установки на винду соответствующих драйверов? V>>>... _>>Экскурс в основы USB для детского сада я опустил и повторяю изначальный вопрос. V>Угу. Промазал — притворись троллем.
Если бы ты хоть попытался сказать что-то серьёзное по данной теме, то мы должны были бы увидеть в твоём тексте описания по крайне мере CCID и APDU. А вместо этого увидели стандарт "просто USB под винды" и новость о том, что современные токены делаются на AVR — подобный детский сад даже комментировать смешно и нелепо.
_>>Ты можешь привести пример банка, в котором аппаратные ключи (настоящие, а не флешка с файлами ключей) позволяют подписывать документы в браузере без установки дополнительного ПО? V>Я привел одно такое название производителя токенов. Эти токены используют сразу несколько банков.
Ну т.е. не можешь. Понятно, значит как обычно фиксируем слив.
V>>>Хотя, популярный у многих Bifit ставит драйверок, угу. Ну лохи, чо! )) _>>Ну да, конечно, куда же им до такого специалиста как ты. V>А ты думаешь, боги горшки обжигают? Нагоняют "специалистов широкого профиля", типа тебя, ну те и выкачивают из интернета, что могут. V>Одно плохо — общее искажённое или отсутствующее представление о современных системах порождает монстров, типа продуктов Bifit. Потому что даже не знают, с какой стороны подходить и что писать в запросы поисковика. Ведь если ты пишешь то, что ты сюда пишешь, то ты даже не в состоянии общаться с гуглом с пользой для себя, верно? Ты ж умудрился замерить попой глубину всех встреченных по ходу обсуждения луж. V>Что такое Bifit? Это пара математиков, которые неплохо рубят в алгоритмах шифрования и смежных темах. И вот эти ребята нанимают, увы, тех самых "средних программистов", где сегодня уровень этого среднего ниже плинтуса. И получается то, что получается.
Ты как всегда болтаешь о том, о чём не имеешь представления. В отличие от Аладдина специализация БИФИТ как раз не на криптографии и т.п., а в совсем других областях. Причём их основной продукт (iBank 2) давным давно работает в том числе и с JaCarta.
_>>Кстати, а сколько подобных систем безопасности разработал и продал ты? ) V>Участвовал в разработке защищенной связи для военки Израиля, и? V>Если поискать на этом сайте по обсуждаемой теме за прошлые года, можно найти кое-что, я давал немного инфы. V>А так-то для микроконтроллеров лет 8 писал проги после ВУЗ-а, разрабатывал и "озвучивал" железо, и? В "чистые программисты" ушел, потому что ЗП программеров тогда стали резко выше (у нас выше, у буржуев ЗП по этим областям примерно одинаковая). V>Сейчас опять у нас опять ЗП примерно сравнялись, кста.
Ну т.е. опять же переводя с твоего языка на русский: нисколько.
V>>>А вот JaCarta — молодцы! V>>>
V>>>Установка драйвера устройства для современных ОС (Microsoft Windows Vista и выше, Linux, Mac OS X) не требуется.
_>>И снова ты демонстрируешь, что владение гуглом не способно заменить реальных знаний. V>Да-да, опять притворись троллем. V>Ты утверждал, что для аппаратного токена обязательно нужны драйвера. V>Сейчас ты уже понял, какую глупость сморозил?
О, ты снова утверждаешь всякую ерунду от моего имени и потом с ней доблестно споришь. ))) Это конечно забавно, но всё же лучше ты продолжай данные споры с голосами в своей голове вне данного форума, чтобы не тратить чужое время.
V>В общем, ситуация ровно противоположная: если для какого-то токена нужны драйвера, то это руки из ж-пы у производителя токена.
Нет, это всего лишь означает, что они не смогли протолкнуть свой драйвер в поставку винды. )))
_>>Т.е. ты даже не понимаешь о чём мы тут реально говорили. V>Ну мы уже выяснили, кто тут чего понимает. V>Кароч, речь может идти только о т.н. "квалифицированной подписи", которая признаётся юридической согласно закона о цифровой подписи РФ. V>И я тебя огорчу: именно JaCarta PKI допустима и используется для подписи банковских документов, отчетностей в налоговые органы или сделок на биржах, т.к. служит именно для этого — для формирования той самой "квалифицированной подписи" по закону. V>Более того, JaCarta ГОСТ — это их относительно новая модель токенов. Панимаешь... ГОСТ стандартизирует несколько алгоритмов отечественной разработки, ОК. Но законодательно банки никто не обязывает использовать только их. Есть требования к надежности цифровой подписи, см соотв. закон. Т.е., JaCarta ГОСТ тоже можно пользовать для банков, но разрабатывалась она не для этого.
Ну если дела обстоят так, то для конечно же не будет никаких проблем кинуть ссылку на банк, в котором для электронной подписи документов используется JaCarta PKI? )
_>>А во-вторых, так называемая работа без драйвера (хотя на самом деле он там конечно же есть) V>Ага, просто драйвер для просто USB, который конечно же есть.
О, опять всплывает этот детский сад. Т.е. по твоему idprotect minidriver, который Athena (у которой Аладдин и лицензировали большую часть технологий для JaCarta) сумела пропихнуть в Винду — это драйвер "просто USB"?
V>В этом весь цимус. Иначе как твоя клава или мышка будут работать?
Угу, я уже понял, что ты не слышал ни про CCID, ни про HID, а у тебя везде работает некий драйвер "просто USB".
_>>в данном случае вообще смешна, т.к. для нормальной работы с данными ключами ставят отдельное внешнее ПО под названием "Единый Клиент JaCarta и JaCarta SecurLogon" размером аж в 89 Мб. V>И что на этот раз тебе помешало взглянуть прямо на их сайте, для чего нужен этот "единый клиент"? V>Он не нужен для работы с банковской или любой другой программой, использующей токен. Это утилитная прога для однократного применения.
Здравствуйте, alex_public, Вы писали:
_>>>Экскурс в основы USB для детского сада я опустил и повторяю изначальный вопрос. V>>Угу. Промазал — притворись троллем. _>Если бы ты хоть попытался сказать что-то серьёзное по данной теме
Да какой серьезное, о чем ты? ))
Ты в каждом сообщении показываешь отсутствие представления об азах даже уровня банальной эрудиции.
Особенного шарму придаёт непременная пафосность и попытка вещать на окружающих откуда-то сверху.
_>то мы должны были бы увидеть в твоём тексте описания по крайне мере CCID
И опять мимо.
Да что ж такое...
CCID не нужен от слова совсем и часто не используется USB-токенами.
Кароч, почему бы тебе просто не почитать описание USB-протоколов с самого начала, как грится?
НЕ НАДО тыкаться во все подряд найденные ключевые слова для поиска по теме.
В usb.org лежит достаточно хорошо структурированной инфы.
А так же можно поискать переведенные описания протокола.
Я тебе дал несколько неплохих ссылок, которые позволят не только освоить азы, но и самому подергать какое-нить USB-устройство сугубо программным образом безо-всякого дополнительного драйвера. Нужен драйвер только USB-чипсета (одиночного хост-контроллера в простейшем случае), но этот драйвер есть всегда, ес-но.
Кароч, там несложное чтиво на 2-3 часа, но хотя бы раз в жизни это сделать следует.
И пообщаться "вживую" с каким-нить USB-девайсом тоже.
Здравствуйте, alex_public, Вы писали:
V>>Я привел одно такое название производителя токенов. Эти токены используют сразу несколько банков. _>Ну т.е. не можешь. Понятно, значит как обычно фиксируем слив.
Агащаз. ))
Вот только что проходили с тобой же:
Молодец, домашнее задание по владению гуглом ты выполнил.
_>В отличие от Аладдина специализация БИФИТ как раз не на криптографии и т.п., а в совсем других областях.
Ладно, надоело.
Считаем кол-во залётов в одном посте. Это 4-й (первый раскрыт в предыдущем моём ответе, а тут уже 3-й).
Так вот, когда у тебя будет возможность хотя бы посмотреть на ответные (со стороны банковского клерка) программы этого Bifit-а, ты будешь делать какие-то предположения. А пока опять мимо.
Там плохо всё. Вообще всё. Украинские системы были намного более продвинутые (и сами работники банка так говорят, работают же одни и те же люди). Дословно: "19-й век". И только с криптографией всё хорошо... Ну иначе бы сертификацию не прошли, ясное дело.
_>Причём их основной продукт (iBank 2) давным давно работает в том числе и с JaCarta.
5-й залёт. Почему?
Потому что даже в случае использования токена JaCarta все-равно используется драйвер Bifit. Потому что вот такое у них угрёбищное ПО.
Такое ощущение, что они наняли всего одного (!!!) системного программиста, которого, к тому же, ни в коем случае нельзя было подпускать к прикладному коду (типа мыщха, наверно). А остальную шайку прикладных программистов под страхом расстрела нельзя было подпускать к чему-то системному (там что-то типа 1С в подкорке). И через такое "разделение ответственности", то бишь через экономию на ЗП программистов (назовём вещи своими именами) родилось это чудовище.
Но ты можешь продолжать их защищать.
_>>>Кстати, а сколько подобных систем безопасности разработал и продал ты? ) V>>Участвовал в разработке защищенной связи для военки Израиля, и? V>>Если поискать на этом сайте по обсуждаемой теме за прошлые года, можно найти кое-что, я давал немного инфы. V>>А так-то для микроконтроллеров лет 8 писал проги после ВУЗ-а, разрабатывал и "озвучивал" железо, и? В "чистые программисты" ушел, потому что ЗП программеров тогда стали резко выше (у нас выше, у буржуев ЗП по этим областям примерно одинаковая). V>>Сейчас опять у нас опять ЗП примерно сравнялись, кста.
_>Ну т.е. опять же переводя с твоего языка на русский: нисколько.
6-й залёт. Та система используется по назначению.
А ты сколько разработал таких систем, ы? Ну или хотя бы хоть что-нибудь близкое?
V>>Ты утверждал, что для аппаратного токена обязательно нужны драйвера. V>>Сейчас ты уже понял, какую глупость сморозил? _>О, ты снова утверждаешь всякую ерунду от моего имени и потом с ней доблестно споришь.
Это мне зачем? Ты и сам прекрасно справляешься:
Ты всё же мегазабавный. Т.е. ты этим самым хочешь сказать, что браузерный онлайн-банк будет работать с аппаратными ключами без установки на винду соответствующих драйверов? )))
Предлагаю повторному залёту удваивать очки, тем более, что про собственные слова ты выразился, дословно "утверждаешь всякую ерунду".
Итого, залетов уже 8.
_>Это конечно забавно, но всё же лучше ты продолжай данные споры с голосами в своей голове вне данного форума, чтобы не тратить чужое время.
Из всех аргументов у тебя лишь прямые оскорбления и назойливое раздражение оппонента.
Соберем всю эту грязь воедино с последних твоих постов и зачтем за 9-й залёт.
V>>В общем, ситуация ровно противоположная: если для какого-то токена нужны драйвера, то это руки из ж-пы у производителя токена. _>Нет, это всего лишь означает, что они не смогли протолкнуть свой драйвер в поставку винды.
Бабах!
Красивый повторный залёт.
Набежало до заслуженных 11-ти баллов.
На рекорд идём?
V>>Кароч, речь может идти только о т.н. "квалифицированной подписи", которая признаётся юридической согласно закона о цифровой подписи РФ. V>>И я тебя огорчу: именно JaCarta PKI допустима и используется для подписи банковских документов, отчетностей в налоговые органы или сделок на биржах, т.к. служит именно для этого — для формирования той самой "квалифицированной подписи" по закону. V>>Более того, JaCarta ГОСТ — это их относительно новая модель токенов. Панимаешь... ГОСТ стандартизирует несколько алгоритмов отечественной разработки, ОК. Но законодательно банки никто не обязывает использовать только их. Есть требования к надежности цифровой подписи, см соотв. закон. Т.е., JaCarta ГОСТ тоже можно пользовать для банков, но разрабатывалась она не для этого. _>Ну если дела обстоят так, то для конечно же не будет никаких проблем кинуть ссылку на банк, в котором для электронной подписи документов используется JaCarta PKI? )
_>>>А во-вторых, так называемая работа без драйвера (хотя на самом деле он там конечно же есть) V>>Ага, просто драйвер для просто USB, который конечно же есть. _>О, опять всплывает этот детский сад. Т.е. по твоему idprotect minidriver, который Athena (у которой Аладдин и лицензировали большую часть технологий для JaCarta) сумела пропихнуть в Винду — это драйвер "просто USB"?
Еще раз, медленно. Никакой драйвер для общения с USB-устройством технически НЕ нужен, т.к. клиентская программа (Java-applet, например) может и сама выполнять ф-ии "драйвера".
Если же иногда ставят "минидрайвер" для JaCarta — то только с одной целью: это "мини-хук", который должен по факту втыкания токена в компьютер автоматом запустить клиентскую утилиту обслуживания хранилища ключей. Вот и все его ф-ии.
Но можно этого и не делать — JaCarta предоставляет полноценную утилиту, которую можно запустить ДО втыкания токена в разъем и далее будет точно так же. Т.е. да, драйвера не нужны.
Итого, пишем цифру 13.
V>>В этом весь цимус. Иначе как твоя клава или мышка будут работать? _>Угу, я уже понял, что ты не слышал ни про CCID, ни про HID, а у тебя везде работает некий драйвер "просто USB".
Опять CCID.
Слышал звон, да не знаем где он. ))
Этот залет я уже засчитал как самый первый и ответил на него в предыдущем сообщении.
CCID — это протокол "прокси-системы", когда ридер смарт-карты подключается к компу через USB-интерфейс.
Но ты не поверишь — драйвер CCID тоже НЕ нужен, хотя и присутствует в виндах уже 16 лет.
Этот протокол так же можно выполнять на пользовательском уровне, как и любой другой протокол USB. Похоже, именно этот ключевой для USB момент до тебя не доходит.
Кароч, в USB всего четыре т.н. "уровня" сообщений (писал уже). Обычно используются только три из них. Вся работа с USB — это чтение и запись сообщений в устройство (как в обычный файл, ес-но), где описаниями заголовков этих сообщений забит весь интернет. ))
_>>>в данном случае вообще смешна, т.к. для нормальной работы с данными ключами ставят отдельное внешнее ПО под названием "Единый Клиент JaCarta и JaCarta SecurLogon" размером аж в 89 Мб. V>>И что на этот раз тебе помешало взглянуть прямо на их сайте, для чего нужен этот "единый клиент"? V>>Он не нужен для работы с банковской или любой другой программой, использующей токен. Это утилитная прога для однократного применения. _>Оо, пошли отмазки. не удивлён. )))
И даже после жирного намёка продолжаем в упор нихрена не понимать.
Для IT-специалиста это заслуженный +1 залёт, ес-но. Водителя КАМаза я бы простил, ес-но. ))
Итого, ты 14 раз сел в лужу в одном посту.
С чем и поздравляю.
==============
Собсно, утомил малость, если честно.
Просто решил показать — чем именно ты утомляешь.
Оревуар и наше вам с кисточкой, как грится.
Здравствуйте, vdimas, Вы писали:
_>>Если бы ты хоть попытался сказать что-то серьёзное по данной теме, то мы должны были бы увидеть в твоём тексте описания по крайне мере CCID V>И опять мимо. V>Да что ж такое... V>CCID не нужен от слова совсем и часто не используется USB-токенами.
Мы конечно же поверили бы такому "профессионалу" на слово и без всяких подтверждающих аргументов... Но тут возникла некая неувязка: все обсуждаемые в данной теме токены (и JaCart от Аладдина и iBank2Key от Бифит) реализуют именно CCID. Будет интересно посмотреть как ты будешь пытаться объяснить данное расхождение между реальностью и твоим альтернативным мирком.
V>Кароч, почему бы тебе просто не почитать описание USB-протоколов с самого начала, как грится? V>НЕ НАДО тыкаться во все подряд найденные ключевые слова для поиска по теме. V>В usb.org лежит достаточно хорошо структурированной инфы. V>А так же можно поискать переведенные описания протокола.
Хороший и правильный совет. И тебе надо им воспользоваться в первую очередь, изучив данный http://www.usb.org/developers/docs/devclass_docs/DWG_Smart-Card_CCID_Rev110.pdf материал. Если конечно тебе по силам читать документы с не "переведёнными описаниями протокола".
V>Я тебе дал несколько неплохих ссылок, которые позволят не только освоить азы, но и самому подергать какое-нить USB-устройство сугубо программным образом безо-всякого дополнительного драйвера. Нужен драйвер только USB-чипсета (одиночного хост-контроллера в простейшем случае), но этот драйвер есть всегда, ес-но.
Ой как забавно. Ты прямо заменяешь мне просмотр юмористических шоу) Ну давай, расскажи ка в деталях что ты сможешь выжать из USB устройства без установленного для него в Винде драйвера кроме его VID и PID. Вот например у меня есть usb wifi адаптер DWA-125. При втыкание в винду без установки родных драйверов он естественно не работает, хотя виден в диспечере устройств (и можно глянуть его VID и PID). Давай, поделись откровениями, как ты будешь с ним работать без установки драверов.
Кстати, ты что-то забыл продолжить в этом сообщение свои рассказы о ЕЦП токенах на базе AVR. Я всё жажду этой захватывающей истории — она наверняка будет не слабее "просто usb драйвера". )))
V>>>Я привел одно такое название производителя токенов. Эти токены используют сразу несколько банков. _>>Ну т.е. не можешь. Понятно, значит как обычно фиксируем слив. V>Агащаз. ))
Так названия банков всё же будут или слив? ) Надоело уже тебя прижимать к стенке — слишком ты скользкий. )))
_>>Ты как всегда болтаешь о том, о чём не имеешь представления. V>ОМГ V>У меня как раз их токен для банка, ы? V>Вот мой сервис: V>https://ibank2.genbank.ru/ V>Опять не повезло? ))
Какой у тебя токен по данной ссылке понять невозможно. Зато как раз очень хорошо можно увидеть ту самую основную разработку Бифит — ibank2 (ты же надеюсь не думаешь, что это разработка этого твоего "генбанка"? )
_>>В отличие от Аладдина специализация БИФИТ как раз не на криптографии и т.п., а в совсем других областях. V>Так вот, когда у тебя будет возможность хотя бы посмотреть на ответные (со стороны банковского клерка) программы этого Bifit-а, ты будешь делать какие-то предположения.
О, я смотрю ты успел и банковским клерком поработать... ))) У меня такой "успешной" карьеры не было. )))
V>А пока опять мимо.
Ну да, ну да... ))) http://www.bifit.com/ru/decisions/index.html — прямо сразу видно что ничего кроме криптографии они предложить не могут. )))
V>Там плохо всё. Вообще всё. Украинские системы были намного более продвинутые (и сами работники банка так говорят, работают же одни и те же люди). Дословно: "19-й век". И только с криптографией всё хорошо... Ну иначе бы сертификацию не прошли, ясное дело.
Ужас какой. ))) Оказывается все эти http://www.bifit.ru/ru/company/clients/index.html банки предпочитают решения 19-го века. Видимо им всем не хватает такого эксперта как ты. )))
_>>Причём их основной продукт (iBank 2) давным давно работает в том числе и с JaCarta. V>5-й залёт. Почему? V>Потому что даже в случае использования токена JaCarta все-равно используется драйвер Bifit.Потому что вот такое у них угрёбищное ПО.
Покажи ссылочку на данный факт. Ну и да, кстати не тебе что-то говорить на эту тему, т.к. пока ты не представил ни одной ссылки на банк, который работал бы без установки дополнительных драйверов.
V>>>Ты утверждал, что для аппаратного токена обязательно нужны драйвера. V>>>Сейчас ты уже понял, какую глупость сморозил? _>>О, ты снова утверждаешь всякую ерунду от моего имени и потом с ней доблестно споришь. V>Это мне зачем? Ты и сам прекрасно справляешься: V>
V>Ты всё же мегазабавный. Т.е. ты этим самым хочешь сказать, что браузерный онлайн-банк будет работать с аппаратными ключами без установки на винду соответствующих драйверов? )))
V>Предлагаю повторному залёту удваивать очки, тем более, что про собственные слова ты выразился, дословно "утверждаешь всякую ерунду". V>Итого, залетов уже 8.
Вот, теперь верная цитата видна. И каждый читатель данной темы может легко оценить разницу между твоим бредом (который ты пытался приписать мне) и моей фразой. А именно разницу между абстрактным аппаратным токеном в вакууме (куда может относится что угодно, например произвольные U2F решения, работающие через HID) и конкретным ключом ЕЦП для онлайн-банка.
V>>>В общем, ситуация ровно противоположная: если для какого-то токена нужны драйвера, то это руки из ж-пы у производителя токена. _>>Нет, это всего лишь означает, что они не смогли протолкнуть свой драйвер в поставку винды. V>Бабах!
Я вижу что сказать то больше нечего. )))
_>>Ну если дела обстоят так, то для конечно же не будет никаких проблем кинуть ссылку на банк, в котором для электронной подписи документов используется JaCarta PKI? ) V>http://online.payment.ru/index0.html?support
Ой какая интересная ссылочка... Это твой первый пример банка, использующего JaCarta. Но при этом там почему-то написано, что для всех версий Windows требуется установка специального драйвера. Причём если мы пойдём по их ссылке на драйвер, то неожиданно обнаружим ZIP файл с двумя версиями (x86 и х64) JaCartaUnifiedClient. Т.е. твоя же ссылка противоречит твоим же утверждениям. Забавно, да? )
_>>>>А во-вторых, так называемая работа без драйвера (хотя на самом деле он там конечно же есть) V>>>Ага, просто драйвер для просто USB, который конечно же есть. _>>О, опять всплывает этот детский сад. Т.е. по твоему idprotect minidriver, который Athena (у которой Аладдин и лицензировали большую часть технологий для JaCarta) сумела пропихнуть в Винду — это драйвер "просто USB"? V>Еще раз, медленно. Никакой драйвер для общения с USB-устройством технически НЕ нужен, т.к. клиентская программа (Java-applet, например) может и сама выполнять ф-ии "драйвера". V>Если же иногда ставят "минидрайвер" для JaCarta — то только с одной целью: это "мини-хук", который должен по факту втыкания токена в компьютер автоматом запустить клиентскую утилиту обслуживания хранилища ключей. Вот и все его ф-ии. V>Но можно этого и не делать — JaCarta предоставляет полноценную утилиту, которую можно запустить ДО втыкания токена в разъем и далее будет точно так же. Т.е. да, драйвера не нужны.
Ну вот, снова наблюдаем "эксперта по гуглу", который в реальности эти ключи никогда не держал в руках. Драйверы Usbccid и idprotect minidriver ставятся не иногда и руками, а всегда и автоматически Виндой при первом подключение токена. Причём Usbccid работает всегда (с самых древних версий винды) и со всеми версиями смарт карт, но при этом предоставляет совсем низкоуровневый протокол (APDU), не учитывающий специфику конкретной карты и используемый для много чего разного (не только криптотокены). А idprotect minidriver работает только с данными конкретными токенами (я так понимаю на базе лицензированной OS755, хотя специально не разбирался с такими нюансами), но при этом соответственно предоставляет уже поддержку криптоинтерфейсов (типа CNG, PKCS#11 и т.п.). И как раз из-за появления idprotect minidriver в Винде начиная с Vistа, там не требуется скачивание дополнительных драйверов. Хотя всё работает и в той же XP, только требуется поставить данный драйвер руками (входит в поставку JaCartaUnifiedClient).
Теперь надеюсь хоть немного разобрался? )
V>>>В этом весь цимус. Иначе как твоя клава или мышка будут работать? _>>Угу, я уже понял, что ты не слышал ни про CCID, ни про HID, а у тебя везде работает некий драйвер "просто USB". V>Опять CCID. V>Слышал звон, да не знаем где он. )) V>Этот залет я уже засчитал как самый первый и ответил на него в предыдущем сообщении. V>CCID — это протокол "прокси-системы", когда ридер смарт-карты подключается к компу через USB-интерфейс.
Я смотрю ты не устаёшь веселить народ. ))) Интересно, а ты хотя бы представляешь себе приблизительное устройство этих современных токенов? )))
V>Но ты не поверишь — драйвер CCID тоже НЕ нужен, хотя и присутствует в виндах уже 16 лет. V>Этот протокол так же можно выполнять на пользовательском уровне, как и любой другой протокол USB. Похоже, именно этот ключевой для USB момент до тебя не доходит. V>Кароч, в USB всего четыре т.н. "уровня" сообщений (писал уже). Обычно используются только три из них. Вся работа с USB — это чтение и запись сообщений в устройство (как в обычный файл, ес-но), где описаниями заголовков этих сообщений забит весь интернет. ))
Ага, уже слышали эти сказки. ))) Давай расскажи что ты запишешь в usb wifi adapter, чтобы заставить его работать без драйвера.
Здравствуйте, alex_public, Вы писали:
C>>Ну так добавляем третью сторону, которая использует данные токена в подписанной части документа и вперёд с песней. _>Ммм, что-то не понял твою мысль. Где в такой схеме будут храниться приватные ключи ЭЦП?
Нигде. Используется доверенная третья сторона, которая проверяет хэш в подписанной части.
C>>Ну вообще-то, стандарт U2F нынче напрямую реализован в Хроме и (скоро) в FireFox. Они там напрямую с USB работают через libusb, без драйверов. В U2F электронные подписи пока что только в draft-стандарте, но движется он быстро. _>Так а разве U2F не ограничатся только двухфакторной аутентификацией?
ЭЦП сейчас у них в состоянии 'draft': https://fidoalliance.org/specs/fido-v2.0-ps-20150904/fido-signature-format-v2.0-ps-20150904.html
Сам протокол U2F изначально делался гибким, чтобы поддерживать подобные сценарии. По сути, это PKCS#11, только написанный не марсианами.
Спор идёт о том, нужен ли драйвер для общения с устройством USB, или этим устройством можно управлять без предварительно установленного в систему драйвера. Никакие твои ссылки не оправдают твоё невежество. Тем более, что я на это уже отвечал:
Драйвер не обязателен.
Поэтому, тебе надо спорить со мной, а не с воображаемым собеседником.
Но со мной спорить, смотрю, кишка тонка.
V>>Я тебе дал несколько неплохих ссылок, которые позволят не только освоить азы, но и самому подергать какое-нить USB-устройство сугубо программным образом безо-всякого дополнительного драйвера. Нужен драйвер только USB-чипсета (одиночного хост-контроллера в простейшем случае), но этот драйвер есть всегда, ес-но. _>Ой как забавно. Ты прямо заменяешь мне просмотр юмористических шоу) Ну давай, расскажи ка в деталях что ты сможешь выжать из USB устройства без установленного для него в Винде драйвера кроме его VID и PID.
Продолжаем позориться.
При наличии спеки на сообщения с ним можно делать что угодно.
Главное, чтобы сам девайс не глючил (а бывает и такое, там тоже ПО).
_>Вот например у меня есть usb wifi адаптер DWA-125. При втыкание в винду без установки родных драйверов он естественно не работает, хотя виден в диспечере устройств (и можно глянуть его VID и PID). Давай, поделись откровениями, как ты будешь с ним работать без установки драверов.
Если ты разработчик этого устройства, то у тебя есть все спеки на поддерживаемые устройством сообщения, какие проблемы?
Пиши в него байты и читай.
Напомню, что банки выдают СВОИ токены клиентам, т.е. банковское ПО заведомо в курсе, как общаться с токеном.
_>Кстати, ты что-то забыл продолжить в этом сообщение свои рассказы о ЕЦП токенах на базе AVR. Я всё жажду этой захватывающей истории — она наверняка будет не слабее "просто usb драйвера". )))
Ну ты сформулируй свои позицию для начала, чтобы мне было удобней тебя потом в неё тыкать.
Т.е. ты утверждаешь, что для разработки аппаратных USB-токенов используют любую другую SOC-архитектуру из популярных для микроконтроллеров, кроме AVR. Подпишись под этим утверждением или слил.
_>Так названия банков всё же будут или слив?
Ты уже слил. Название банка было приведено.
V>>У меня как раз их токен для банка, ы? V>>Вот мой сервис: V>>https://ibank2.genbank.ru/ V>>Опять не повезло? )) _>Какой у тебя токен по данной ссылке понять невозможно.
Так ты у меня спроси, я отвечу. У меня токен-ключ BIFIT.
Он так и называется "ibank2 key".
_>Зато как раз очень хорошо можно увидеть ту самую основную разработку Бифит — ibank2 (ты же надеюсь не думаешь, что это разработка этого твоего "генбанка"? )
Я думаю, что ты совсем не в курсе, что там от bifit, а что от Генбанка. ))
От бифита там библиотеки и драйвера. Кароч, все, что связано с подписью/шифрованием и передачей этих шифрованных т.н. "документов".
_>>>В отличие от Аладдина специализация БИФИТ как раз не на криптографии и т.п., а в совсем других областях. V>>Так вот, когда у тебя будет возможность хотя бы посмотреть на ответные (со стороны банковского клерка) программы этого Bifit-а, ты будешь делать какие-то предположения. _>О, я смотрю ты успел и банковским клерком поработать...
Или водить дружбу с оными, а так же помогать устанавливать и настраивать ПО.
19-й век.
Контора начала с просто шифрования, потом пыталась построить полнофункициональную банковскую систему для связи с клиентами.
На сегодня имеем отставание лет на 10-15 от украинских аналогичных разработок.
Банки вынуждены много дописывать сверху и одновременно с этим от много в предоставляемом отказываться, заменяя своими разработками. Се ля ви.
V>>Там плохо всё. Вообще всё. Украинские системы были намного более продвинутые (и сами работники банка так говорят, работают же одни и те же люди). Дословно: "19-й век". И только с криптографией всё хорошо... Ну иначе бы сертификацию не прошли, ясное дело. _>Ужас какой.
Или много дописывают сверху или обходятся тем, что есть, показывая на весь мир мрак и ужас. Добро пожаловать в реальный мир, Нео.
Банковская интернетная деятельность в РФ сама по себе лет на 10-15 отстаёт от общемировой, тоже мне новость.
А как ты хотел, если юридически подписанный электронный документ приравняли к бумажному только в 2011-м году?
Для сравнения, я уже в 2004-м на Украине вел дела своей фирмы, не посещая банк лично. Более того, в 2014-м году, когда я посмотрел на состояние и порядки банковских дел после перехода в РФ, я был в тихом ужасе. Вот уж не ожидал...
Кароч, в РФ эта область в зачаточном состоянии по объективным причинам.
_>Видимо им всем не хватает такого эксперта как ты.
Им не хватает достойных зарплат, чтобы нанять таких как я.
_>>>Причём их основной продукт (iBank 2) давным давно работает в том числе и с JaCarta. V>>5-й залёт. Почему? V>>Потому что даже в случае использования токена JaCarta все-равно используется драйвер Bifit.Потому что вот такое у них угрёбищное ПО. _>Покажи ссылочку на данный факт.
Ты опять не сформулировал свою точку зрения.
Если ты возражаешь — то сформулируй возражение.
Если же тебе просто любопытно, то будь добр употреблять "пожалуйста", когда обращаешься ко мне с просьбами.
_>Ну и да, кстати не тебе что-то говорить на эту тему, т.к. пока ты не представил ни одной ссылки на банк, который работал бы без установки дополнительных драйверов.
Опять в лужу. В этом же посте и предоставил.
V>>Ты всё же мегазабавный. Т.е. ты этим самым хочешь сказать, что браузерный онлайн-банк будет работать с аппаратными ключами без установки на винду соответствующих драйверов? ))) V>>Предлагаю повторному залёту удваивать очки, тем более, что про собственные слова ты выразился, дословно "утверждаешь всякую ерунду". _>Вот, теперь верная цитата видна. И каждый читатель данной темы может легко оценить разницу между твоим бредом (который ты пытался приписать мне) и моей фразой.
Не волнуйся, читатели давно уже оценили твои жалкие попытки извернуться. ))
Ты назвал меня "мегазабаным" (С), затем ты задал вопрос в форме утверждения, снабдив его смайликом, показав тем самым своё личное отношение к утверждаемому. Поэтому, да, ты знатно залетел. Смирись уже. ))
_>А именно разницу между абстрактным аппаратным токеном в вакууме (куда может относится что угодно, например произвольные U2F решения, работающие через HID) и конкретным ключом ЕЦП для онлайн-банка.
Конкретные аппаратные ключи дров НЕ требуют. Вообще. Их может требовать тупое клиентское ПО.
Наличие дров — это нубство неких программистов, которые не смогли устроиться на нормальную работу и пашут за в 3 раза меньшую ЗП на всякие Бифиты, от программ которых хочется и смеяться и плакать. Это позор IT-индустрии РФ, это объективная реальность. И до тех пор, пока конторы, занимающиеся внутренними разработками, будут платить разработчикам в 3 раза ниже рынка, так и будет.
На Украине в плане IT была чуть другая специфика — все местные конторы работали на буржуев, лишь иногда применяя свои разработки и для отечественного ПО. Т.е. эдакий "побочный доход". Целевых контор для отечественного рынка на Украине можно сказать что не было (всякую мелочь и фирмы с длительностью жизни в 2-3 года не считаем, это лишь флуктуации в этом вакууме).
Почему так? Потому что на Украине не было такого заметного сектора "госзакупок" и прочего пиления бюджета на всех этих IT-разработках. А даже если и был (чтобы избежать абсолютизирования в оценках), то его объёмы рядом с РФ не видны и под микроскопом, т.е. на формирование отечественного ПО особого влияния не оказывал.
Поэтому, да. Нацеленный на внутренний рынок софт в РФ де-факто убог.
Банковский в первую очередь. С этим тоже смирись.
V>>>>В общем, ситуация ровно противоположная: если для какого-то токена нужны драйвера, то это руки из ж-пы у производителя токена. _>>>Нет, это всего лишь означает, что они не смогли протолкнуть свой драйвер в поставку винды. V>>Бабах! _>Я вижу что сказать то больше нечего.
Я засчитал тебе очередной залёт. Там нечего добавлять после подробных моих ответов.
_>>>Ну если дела обстоят так, то для конечно же не будет никаких проблем кинуть ссылку на банк, в котором для электронной подписи документов используется JaCarta PKI? ) V>>http://online.payment.ru/index0.html?support _>Ой какая интересная ссылочка... Это твой первый пример банка, использующего JaCarta.
Т.е., ты, таки, громко слил?
Или дна не достиг еще? Тебе нужны еще примеры банков, использующих JaCarta?
Рискнешь сделать очередное громкое утверждение или уже сдулся?
_>Но при этом там почему-то написано, что для всех версий Windows требуется установка специального драйвера. Причём если мы пойдём по их ссылке на драйвер, то неожиданно обнаружим ZIP файл с двумя версиями (x86 и х64) JaCartaUnifiedClient. Т.е. твоя же ссылка противоречит твоим же утверждениям. Забавно, да? )
ОМГ
Амнезия?
Уже два поста назад мы подробно обсудили этот программный пакет и выяснили, что это утилитное ПО для обслуживания карточек и что это ПО не требуется для работы клиент-банка с аппаратным токеном.
Ну вот я посмотрел ЕЩЕ РАЗ внимательней и вижу, что этот пакет может дополнительно поставить (опционально) криптопровайдеры для алгоритмов из ГОСТ-а, т.е. это для ФСБ и прочей гостайны.
_>Причём Usbccid работает всегда (с самых древних версий винды) и со всеми версиями смарт карт, но при этом предоставляет совсем низкоуровневый протокол (APDU)
"Совсем низкоуровневый".
Ну ясно. И кто-то тут предлагал на нейтиве писать. Понтов ради, похоже.
Переходи на VB, будешь смотреться органично. ))
Кароч, ближе к телу. Сколько дашь $$ за демонстрацию общения с USB-токеном БЕЗ драйвера CCID?
Ну вот обычная юзверская программа, общение будет по голому USB-протоколу прямо с девайсом. Ну т.е., действительно, по низкоуровневому протоколу, а не по прикладному, типа APDU.
Помнится, протоколы этого уровня ты называл "хоть что-то серьезное", ы?
И ты бы подумал насчет VB, кроме шуток.
_>не учитывающий специфику конкретной карты и используемый для много чего разного (не только криптотокены). А idprotect minidriver работает только с данными конкретными токенами (я так понимаю на базе лицензированной OS755, хотя специально не разбирался с такими нюансами), но при этом соответственно предоставляет уже поддержку криптоинтерфейсов (типа CNG, PKCS#11 и т.п.). И как раз из-за появления idprotect minidriver в Винде начиная с Vistа, там не требуется скачивание дополнительных драйверов. Хотя всё работает и в той же XP, только требуется поставить данный драйвер руками (входит в поставку JaCartaUnifiedClient).
Ясно, невежество на марше.
_>Теперь надеюсь хоть немного разобрался? )
Я давал тебе ссылку на мою библиотеку, ты качал? Игрался?
Похоже, что нет.
Ну так и будешь Незнайкой на Луне по-жизни, с таким подходом.
Ты же программист! Где твоё профессиональное любопытство? )))
Кароч, забудь про CCID, забудь про HID или другие прикладные протоколы. Я дал тебе ссылок на стандарты USB.
Весь этот стандарт — это просто описание типов и назначений сообщений. Это и был мой аргумент, почему драйвер НЕ нужен.
Далее.
Подключённое устройство USB можно открыть как обычный файл, т.е. как обычный последовательный порт, т.е. банально писать в него байты и читать из него.
Твои протоколы высокого уровня (которые ты по невежеству своему назвал протоколами низкого уровня) "заворачиваются" в сообщения стандарта USB, вот и всех делов. Ну, типа как VPN заворачивается в TCP или даже UDP. И точно так же как есть VPN-драйвера, есть просто VPN-клиенты/прокси, т.е. обычные программы юзверского уровня. И да, точно так же в некоем Java-апплете вполне можно реализовать VPN-клиента.
Вот так же аналогично и с USB. Тут вся торговля идёт относительно того, заворачивать ли код по упаковке сообщений более высокого уровня в сообщения USB на уровень драйвера, или делать это прямо в программе/апплете? Но, независимо от итогов этих торгов, надо понять и принять, что никаких ограничений технического плана в случае обычной юзверской проги или апплета нет.
V>>Этот залет я уже засчитал как самый первый и ответил на него в предыдущем сообщении. V>>CCID — это протокол "прокси-системы", когда ридер смарт-карты подключается к компу через USB-интерфейс. _>Я смотрю ты не устаёшь веселить народ. )))
А я смотрю, у нас односторонне общение какое-то. Я-то делаю хоть какие-то утверждения, а ты уже, по-видимому, сдулся? Осторожничаешь?
И это правильно! А то тебя малость заносило еще недавно.
Еще бы прекратил некрасивые попытки оскорблять собеседников и с тобой можно было бы вполне конструктивно общаться.
_>Интересно, а ты хотя бы представляешь себе приблизительное устройство этих современных токенов?
А почему ты опять спрашиваешь, а не озвучиваешь свои аргументы?
Думаешь, тебя так будет сложней "поймать"? Какая наивность, всё-равно поймаю на раз-два, не убежишь.
Показываю:
Если ты высмеиваешь моё утверждение о том, что CCDI — это изначально прокси-протокол для устройств SC-ридеров, то, очевидно, ты считаешь, что в современных токенах обязательно будет идти отдельной микросхемой смарт-карта + отдельно к ней ридер.
А что в современных SoC уже лет 20 встраивают и флеш-память и защищенную память и аппаратные генераторы случайных чисел (просто усилок шумов pn-перехода) — этого мы не знали.
Так и запишем.
V>>Кароч, в USB всего четыре т.н. "уровня" сообщений (писал уже). Обычно используются только три из них. Вся работа с USB — это чтение и запись сообщений в устройство (как в обычный файл, ес-но), где описаниями заголовков этих сообщений забит весь интернет. )) _>Ага, уже слышали эти сказки.
Но с пониманием у тебя проблемы, верно?
_>Давай расскажи что ты запишешь в usb wifi adapter, чтобы заставить его работать без драйвера.
Повторюсь — а почему ты спрашиваешь у меня, а не у производителя девайса? Попроси у него протокол, а я, так и быть, могу довольно быстро и относительно недорого накатать тебе сугубо клиентскую прогу, которая будет с этим девайсом общаться и покроет все его ф-ии.
Тоже мне, рокет саенс...
Здравствуйте, vdimas, Вы писали:
V>>>Я тебе дал несколько неплохих ссылок, которые позволят не только освоить азы, но и самому подергать какое-нить USB-устройство сугубо программным образом безо-всякого дополнительного драйвера. Нужен драйвер только USB-чипсета (одиночного хост-контроллера в простейшем случае), но этот драйвер есть всегда, ес-но. _>>Ой как забавно. Ты прямо заменяешь мне просмотр юмористических шоу) Ну давай, расскажи ка в деталях что ты сможешь выжать из USB устройства без установленного для него в Винде драйвера кроме его VID и PID. V>Продолжаем позориться. V>При наличии спеки на сообщения с ним можно делать что угодно. V>Главное, чтобы сам девайс не глючил (а бывает и такое, там тоже ПО).
"Спеки на сообщения", в USB. Ты всё же шедеврален. Прочитав твоё сообщения до конца я наконец понял почему, так что см. детальный ответ ближе к концу сообщения. )
_>>Вот например у меня есть usb wifi адаптер DWA-125. При втыкание в винду без установки родных драйверов он естественно не работает, хотя виден в диспечере устройств (и можно глянуть его VID и PID). Давай, поделись откровениями, как ты будешь с ним работать без установки драверов. V>Если ты разработчик этого устройства, то у тебя есть все спеки на поддерживаемые устройством сообщения, какие проблемы? V>Пиши в него байты и читай.
ОК, вот тебе подробная спецификация. Значит имеем USB устройство с двумя EP (помимо нулевого). EP1 контрольный, в который передаётся один байт (допустим определяющий скорость вращения некого моторчика в устройстве). EP2 изохронный, в который передаётся реалтаймовый поток монохромного видео 100x80 точек (допустим отображающееся на специальном экранчике устройства). Устройство имеет известные тебе VID и PID. И класс FF (такой же кстати и у обсуждаемого wifi адаптера), так что при подключение к компьютеру Винда не устанавливает для такого устройства никаких драйверов (хотя отображает его в диспечере устройств). Это полное описание, по которому элементарно реализуется взаимодействие с устройством со стороны компьютера. Теперь расскажи ка в деталях, как ты организуешь это взаимодействие без установки для этого устройства стороннего драйвера.
_>>Кстати, ты что-то забыл продолжить в этом сообщение свои рассказы о ЕЦП токенах на базе AVR. Я всё жажду этой захватывающей истории — она наверняка будет не слабее "просто usb драйвера". ))) V>Ну ты сформулируй свои позицию для начала, чтобы мне было удобней тебя потом в неё тыкать.
Причём тут моя позиция? ) Это ты написал что "Современный аппаратный токен делается на одном каком-нить PIC или AVR-чипе". Вот хочу продолжение этой истории в деталях так сказать.
_>>Так названия банков всё же будут или слив? V>Ты уже слил. Название банка было приведено.
Пока что в данной теме всплыл ровно один банк с токеном Jacarta и в их описание на сайте (ссылку на которое кстати предоставил именно ты) написано что для работы во всех версиях Винды требуется установка некого драйвера.
_>>Зато как раз очень хорошо можно увидеть ту самую основную разработку Бифит — ibank2 (ты же надеюсь не думаешь, что это разработка этого твоего "генбанка"? ) V>Я думаю, что ты совсем не в курсе, что там от bifit, а что от Генбанка. )) V>От бифита там библиотеки и драйвера. Кароч, все, что связано с подписью/шифрованием и передачей этих шифрованных т.н. "документов".
Т.е. ты утверждаешь, что весь этот интерфейс онлайн-банка не Bifit писали? )
_>>http://www.bifit.com/ru/decisions/index.html — прямо сразу видно что ничего кроме криптографии они предложить не могут. V>19-й век. V>Контора начала с просто шифрования, потом пыталась построить полнофункициональную банковскую систему для связи с клиентами. V>На сегодня имеем отставание лет на 10-15 от украинских аналогичных разработок.
А ссылочку на аналогичный конкурирующий продукт (только на 10-15 лет опережающий) можно увидеть? )
_>>Оказывается все эти http://www.bifit.ru/ru/company/clients/index.html банки предпочитают решения 19-го века. V>Или много дописывают сверху или обходятся тем, что есть, показывая на весь мир мрак и ужас. Добро пожаловать в реальный мир, Нео. V>Банковская интернетная деятельность в РФ сама по себе лет на 10-15 отстаёт от общемировой, тоже мне новость. V>А как ты хотел, если юридически подписанный электронный документ приравняли к бумажному только в 2011-м году?
Вообще то банки очень разные, хотя сейчас постепенно уровень у всех выравнивается. А вот те самые лет 10-15 назад была очень резкая разница. Например был такой Гута-банк (его потом специфическим образом купил ВТБ и после этого его технологическое развитие пошло уже не столь резво), у которого его онлайн-банк (у них кстати был отдельный забавный домен telebank.ru) опережал на голову все российские и иностранные разработки того времени. И был Сбербанк, у которого не было вообще никакого онлайн-банка в принципе. Сейчас же постепенно всё более менее усредняется и даже Сбербанком стало удобно пользоваться прямо из дома. А уж у продвинутых современных банков вообще всё делается в одно нажатие мышки.
V>Для сравнения, я уже в 2004-м на Украине вел дела своей фирмы, не посещая банк лично. Более того, в 2014-м году, когда я посмотрел на состояние и порядки банковских дел после перехода в РФ, я был в тихом ужасе. Вот уж не ожидал...
Ну раз уж ты проводил такое сравнение, то поделись с нами его результатами. Какие конкретно действия были доступны в одном интернет-банке и недоступны в другом.
V>>>Потому что даже в случае использования токена JaCarta все-равно используется драйвер Bifit.Потому что вот такое у них угрёбищное ПО. _>>Покажи ссылочку на данный факт. V>Ты опять не сформулировал свою точку зрения. V>Если ты возражаешь — то сформулируй возражение. V>Если же тебе просто любопытно, то будь добр употреблять "пожалуйста", когда обращаешься ко мне с просьбами.
У меня нет возражений (я лично сочетанием Bifit и Jacarta не пользовался), а есть интерес к источнику твоей информации. Потому как во всех пресс-релизах и Bifit и Аладдин утверждают что оно будет работать с предустановленными в Винде драйверами. Но одно дело пресс-релизы, а другое реальность. Так что возможно ты и прав в этом, но хотелось бы увидеть источник информации.
_>>Ну и да, кстати не тебе что-то говорить на эту тему, т.к. пока ты не представил ни одной ссылки на банк, который работал бы без установки дополнительных драйверов. V>Опять в лужу. В этом же посте и предоставил.
Не было такого. Была пока только одна ссылка и в ней чёрным по белому указано требование установки драйвера для всех версий винды.
_>>А именно разницу между абстрактным аппаратным токеном в вакууме (куда может относится что угодно, например произвольные U2F решения, работающие через HID) и конкретным ключом ЕЦП для онлайн-банка. V>Конкретные аппаратные ключи дров НЕ требуют. Вообще. Их может требовать тупое клиентское ПО.
Любое usb устройство требует драйверов. Разница только в том, ставятся ли они Виндой автоматически или же требуют установки из сторонних источников.
V>Наличие дров — это нубство неких программистов, которые не смогли устроиться на нормальную работу и пашут за в 3 раза меньшую ЗП на всякие Бифиты, от программ которых хочется и смеяться и плакать. Это позор IT-индустрии РФ, это объективная реальность. И до тех пор, пока конторы, занимающиеся внутренними разработками, будут платить разработчикам в 3 раза ниже рынка, так и будет. V>На Украине в плане IT была чуть другая специфика — все местные конторы работали на буржуев, лишь иногда применяя свои разработки и для отечественного ПО. Т.е. эдакий "побочный доход". Целевых контор для отечественного рынка на Украине можно сказать что не было (всякую мелочь и фирмы с длительностью жизни в 2-3 года не считаем, это лишь флуктуации в этом вакууме). V>Почему так? Потому что на Украине не было такого заметного сектора "госзакупок" и прочего пиления бюджета на всех этих IT-разработках. А даже если и был (чтобы избежать абсолютизирования в оценках), то его объёмы рядом с РФ не видны и под микроскопом, т.е. на формирование отечественного ПО особого влияния не оказывал. V>Поэтому, да. Нацеленный на внутренний рынок софт в РФ де-факто убог. V>Банковский в первую очередь. С этим тоже смирись.
Да я смотрю ты ещё и аналитик каких поискать. )))
V>>>http://online.payment.ru/index0.html?support _>>Ой какая интересная ссылочка... Это твой первый пример банка, использующего JaCarta. V>Т.е., ты, таки, громко слил? V>Или дна не достиг еще? Тебе нужны еще примеры банков, использующих JaCarta? V>Рискнешь сделать очередное громкое утверждение или уже сдулся?
Напомню, что тебе надо было показать не банки использующие JaCarta, а банки не требующие установки дополнительного ПО (драйверов и т.п.) для работы с аппаратными ключами (токенами).
_>>Но при этом там почему-то написано, что для всех версий Windows требуется установка специального драйвера. Причём если мы пойдём по их ссылке на драйвер, то неожиданно обнаружим ZIP файл с двумя версиями (x86 и х64) JaCartaUnifiedClient. Т.е. твоя же ссылка противоречит твоим же утверждениям. Забавно, да? ) V>ОМГ V>Амнезия? V>Уже два поста назад мы подробно обсудили этот программный пакет и выяснили, что это утилитное ПО для обслуживания карточек и что это ПО не требуется для работы клиент-банка с аппаратным токеном. V>Ну вот я посмотрел ЕЩЕ РАЗ внимательней и вижу, что этот пакет может дополнительно поставить (опционально) криптопровайдеры для алгоритмов из ГОСТ-а, т.е. это для ФСБ и прочей гостайны.
Ты это мне рассказываешь? ) А зачем? Это разве я установил данное требование? ) Это требование того банка, а не моё, вот им и объясняй что оно им на самом деле не надо. Почему у них так я не знаю, не разбирал и не собираюсь тратить на это время. Но данное требование — это факт.
_>>Причём Usbccid работает всегда (с самых древних версий винды) и со всеми версиями смарт карт, но при этом предоставляет совсем низкоуровневый протокол (APDU) V>"Совсем низкоуровневый". V>Ну ясно. И кто-то тут предлагал на нейтиве писать. Понтов ради, похоже. V>Переходи на VB, будешь смотреться органично. )) V>Кароч, ближе к телу. Сколько дашь $$ за демонстрацию общения с USB-токеном БЕЗ драйвера CCID? V>Ну вот обычная юзверская программа, общение будет по голому USB-протоколу прямо с девайсом. Ну т.е., действительно, по низкоуровневому протоколу, а не по прикладному, типа APDU.
ОК, демонстрируй пример. Только драйвер CCID должен быть удалён у данного устройства через диспетчер задач (собственно после этого у него не должно быть никаких назначенных драйверов). )
_>>Теперь надеюсь хоть немного разобрался? ) V>Я давал тебе ссылку на мою библиотеку, ты качал? Игрался? V>Похоже, что нет. V>Ну так и будешь Незнайкой на Луне по-жизни, с таким подходом. V>Ты же программист! Где твоё профессиональное любопытство? ))) V>Кароч, забудь про CCID, забудь про HID или другие прикладные протоколы. Я дал тебе ссылок на стандарты USB. V>Весь этот стандарт — это просто описание типов и назначений сообщений. Это и был мой аргумент, почему драйвер НЕ нужен. V>Далее. V>Подключённое устройство USB можно открыть как обычный файл, т.е. как обычный последовательный порт, т.е. банально писать в него байты и читать из него. V>Твои протоколы высокого уровня (которые ты по невежеству своему назвал протоколами низкого уровня) "заворачиваются" в сообщения стандарта USB, вот и всех делов. Ну, типа как VPN заворачивается в TCP или даже UDP. И точно так же как есть VPN-драйвера, есть просто VPN-клиенты/прокси, т.е. обычные программы юзверского уровня. И да, точно так же в некоем Java-апплете вполне можно реализовать VPN-клиента. V>Вот так же аналогично и с USB. Тут вся торговля идёт относительно того, заворачивать ли код по упаковке сообщений более высокого уровня в сообщения USB на уровень драйвера, или делать это прямо в программе/апплете? Но, независимо от итогов этих торгов, надо понять и принять, что никаких ограничений технического плана в случае обычной юзверской проги или апплета нет.
Вот прочитав этот очаровательный поток бреда я наконец понял насколько фундаментально твоё непонимание. Я то пытался обсуждать какие-то детали и тонкости, а ты оказывается даже базовые принципы не знаешь. И похоже что ты врал насчёт твоей работы с МК, т.к. подобный народ обычно вполне себе представляет изнутри работу USB. Вообще даже жалко что потратил время на споры с тобой, думая что ты реально понимаешь о чём говоришь и только заблуждаешься в паре деталей, о которых мы и спорим. А оказывается что в данной области у тебя всего лишь искусно маскируемая за пафосом пустота.
Так вот объясняю как это на самом деле работает. Сама мысль о том, что при подключение по USB между устройством и компьютером формируется что-то вроде последовательного порта, в который можно читать/писать просто смешна. Потому что реальная связь намного сложнее. Формируется множество отдельных каналов (ознакомься с понятием USB endpoint), причём они могут быть ещё и четырёх разных типов с очень разными свойствами и направлениями. Я так подозреваю, что эта твоя глупая мысль вызвана тем фактом, что функции writefile и readfile в Винде способны работать и с некоторыми USB устройствами (во всяком случае твоя "библиотека" является обёрткой вокруг этих двух функций). Более того, как я догадываюсь, именно это ты и называешь "низким уровнем" и считаешь что usb драйверы работают поверх этого. Так вот всё с точностью до наоборот. Функции readfile и writefile работают с конкретным устройством только в том случае, если его драйвер выставил соответствующие флаги (generic read/write). В контексте USB это означает, что у данного устройства есть подходящие для такой функциональности endpoint'ы, куда/откуда драйвер и будет перенаправлять все данные. Так что во-первых для многих устройств такой подход вообще не работает. А во-вторых, даже для тех устройств, где подобное может быть использовано, оно всё равно не будет работать без установленного драйвера устройства.
V>Еще бы прекратил некрасивые попытки оскорблять собеседников и с тобой можно было бы вполне конструктивно общаться.
Конструктивно? С тобой? Неее) Это я с другими тут так общаюсь, а с тобой совсем по другому. С тобой я занят исключительно выведением на свет твоей пустоты, которую ты обычно стараешься прятать за пространными рассуждениями на отвлечённые темы.
_>>Интересно, а ты хотя бы представляешь себе приблизительное устройство этих современных токенов? V>А почему ты опять спрашиваешь, а не озвучиваешь свои аргументы? V>Думаешь, тебя так будет сложней "поймать"? Какая наивность, всё-равно поймаю на раз-два, не убежишь. V>Показываю: V>Если ты высмеиваешь моё утверждение о том, что CCDI — это изначально прокси-протокол для устройств SC-ридеров, то, очевидно, ты считаешь, что в современных токенах обязательно будет идти отдельной микросхемой смарт-карта + отдельно к ней ридер. V>А что в современных SoC уже лет 20 встраивают и флеш-память и защищенную память и аппаратные генераторы случайных чисел (просто усилок шумов pn-перехода) — этого мы не знали. V>Так и запишем.
О, снова попытка глупыми рассуждениями на отвлечённые темы отмазаться от своих же косяков. Так что, CCID уже перестал относиться только к кард-ридерам (как ты утверждал раньше) или как? )))
_>>Давай расскажи что ты запишешь в usb wifi adapter, чтобы заставить его работать без драйвера. V>Повторюсь — а почему ты спрашиваешь у меня, а не у производителя девайса? Попроси у него протокол, а я, так и быть, могу довольно быстро и относительно недорого накатать тебе сугубо клиентскую прогу, которая будет с этим девайсом общаться и покроет все его ф-ии. V>Тоже мне, рокет саенс...
Ну по нормальному то запустить без драйвера всё равно не вышло бы, даже если бы USB и работал как в твоих фантазиях. Просто потому что такому адаптеру нужно работать ещё и с NDIS. ))) Но это так, просто отвлечённый комментарий. )))
Здравствуйте, Cyberax, Вы писали:
C>>>Ну так добавляем третью сторону, которая использует данные токена в подписанной части документа и вперёд с песней. _>>Ммм, что-то не понял твою мысль. Где в такой схеме будут храниться приватные ключи ЭЦП? C>Нигде. Используется доверенная третья сторона, которая проверяет хэш в подписанной части.
Всё равно ничего не понял. Кто где и что подписывает? ) У нас задачка подписать с помощью ЭЦП платёжку для банка и есть этот твой токен, выдающий данные в режиме эмулятора клавы по нажатию на него (т.е. в принципе подходит как удобная замена смски из банка). Как это можно связать и что за третья сторона в данном контексте?
C>>>Ну вообще-то, стандарт U2F нынче напрямую реализован в Хроме и (скоро) в FireFox. Они там напрямую с USB работают через libusb, без драйверов. В U2F электронные подписи пока что только в draft-стандарте, но движется он быстро. _>>Так а разве U2F не ограничатся только двухфакторной аутентификацией? C>ЭЦП сейчас у них в состоянии 'draft': C>https://fidoalliance.org/specs/fido-v2.0-ps-20150904/fido-signature-format-v2.0-ps-20150904.html C>Сам протокол U2F изначально делался гибким, чтобы поддерживать подобные сценарии. По сути, это PKCS#11, только написанный не марсианами.
Ну было бы не плохо, посмотрим. Может и получится удачно вырастить общее из частного. ) Кстати, для USB они довольно забавно выбрали решение в виде HID. С одной стороны это наверное не самое оптимальное, а с другой самое простое. Так что в итоге уже такие https://github.com/conorpp/u2f-zero игрушки появились. )))
Здравствуйте, alex_public, Вы писали:
C>>Нигде. Используется доверенная третья сторона, которая проверяет хэш в подписанной части. _>Всё равно ничего не понял. Кто где и что подписывает? ) У нас задачка подписать с помощью ЭЦП платёжку для банка и есть этот твой токен, выдающий данные в режиме эмулятора клавы по нажатию на него (т.е. в принципе подходит как удобная замена смски из банка). Как это можно связать и что за третья сторона в данном контексте?
В документ добавляется токена и потом весь документ подписывается третьей стороной. Токен позволяет доказать, что в документ был авторизован пользователем.
Понятно, что зависим от третьей стороны, которая по сути хранит приватный ключ и от проверятеля токена.
Здравствуйте, Ночной Смотрящий, Вы писали:
EP>>Сейчас ещё замедлят в три раза, и вообще C++ догонит НС>А потом ты опять будешь рассказывать, что влазишь в топики только когда С++ обижают.
Здравствуйте, Cyberax, Вы писали:
C>>>Нигде. Используется доверенная третья сторона, которая проверяет хэш в подписанной части. _>>Всё равно ничего не понял. Кто где и что подписывает? ) У нас задачка подписать с помощью ЭЦП платёжку для банка и есть этот твой токен, выдающий данные в режиме эмулятора клавы по нажатию на него (т.е. в принципе подходит как удобная замена смски из банка). Как это можно связать и что за третья сторона в данном контексте? C>В документ добавляется токена и потом весь документ подписывается третьей стороной. Токен позволяет доказать, что в документ был авторизован пользователем. C>Понятно, что зависим от третьей стороны, которая по сути хранит приватный ключ и от проверятеля токена.
Технически то такое конечно возможно. Но боюсь оно может быть полезно только для каких-то самопальных целей (типа какой-то своей сети серверов или чего-то подобного), но не для работы с банками или другими местами, где важна юридическая значимость ЭЦП.
