ЭЦП на сайт установить | настроить | внедрить | доработать

Аутентификация на базе эцп

Уже в нескольких топиках рассматривались проблемы построения безопасного механизма аутентификации при небезопасном соединении. Ниже предлагается к обсуждению схема с использованием асимметричной криптографии. Такой подход позволит аутентифицироваться на сервере, никогда не передавая серверу пароль, ни при регистрации, ни при аутентификации. Как всегда, будет демонстрация и исходные коды. Кому данная тема интересна, прошу под кат.

Ранее мы уже рассмотрели несколько вариантов:

  • Решение с шифрованием пароля самое простое и имеет огромное преимущество — внедрение такой схемы не требует перерегистрация пользователей. Безопасность этого решения не на высоте, но все равно лучше, чем пароли передаваемые в открытом виде.
  • SRP-6, о котором тоже рассказывалось — безопасный протокол. Из недостатков, пожалуй, только длинный диалог с сервером и сложность реализации.
  • Аутентификация на базе Рутокен, описанная здесь, очень безопасное решение, но сравнивать его с чисто программными решениями некорректно. И надо отметить, что не все пользователи готовы платить за дополнительное устройство.

Предлагаемый механизм аутентификации использует тот же протокол, что и решение на базе Рутокен. Основное отличие заключается в том, что все криптографические операции выполняются программно, а приватный ключ формируется на основании пароля. Оба решения используют

криптографию на базе эллиптических кривых (ECC).

ECC криптографически более стойкая чем RSA, что позволяет использовать более короткие ключи, и как следствие, снижает требования к производительности. И так:

Регистрация.

Аутентификация.

Прилагается

демонстрация

. В подготовке примера использовались

библиотека

написанная студентами Стэнфорда. Отдельное спасибо хорошему человеку

Мартыненко Александру

, у которого к сожалению нет инвайта на Хабр, за программную реализацию генерации ключевой пары и формирования ЭЦП по алгоритму ГОСТ Р 34.10-2001 в прилагаемом примере.

Конечно, все приведенные примеры, всего лишь примеры. Для их «боевого» использования надо сперва хорошо подумать и больше внимания уделить различным «мелочам». Однако само существование различных защищенных протоколов аутентификации приводит к вопросам. Почему до сих пор пароли передают в открытом виде? Почему хранят и пароли в БД в открытом виде или в виде хешей без соли? При общении с некоторыми представителями крупных онлайн-сервисов о безопасности их аккаунтов не раз слышал вопрос — А где здесь наша выгода? Так все же, есть ли выгода в безопасности ваших пользователей?

Второй сценарий

Представим себе, что ваша интернет-платформа умеет принимать заказы от клиента (например, на грузо-перевозку), но по договору оплата по факту выполненных работ. Как быть в том случае, если клиент откажется от оплаты под предлогом, что он не делал этого заказа? Ответ – заявка, подписанная ЭЦП будет считаться юридически значимой.

Входим в личный кабинет фнс

Для входя в Личный кабинет ФНС Юридического лица подключаем Рутокен ЭЦП 2.0 и переходим по ссылке 

Как работает эцп на сайте?

Коллеги, доброго времени суток!

В общем, вопрос в сабже. В гугле не забанили, однако конкретики по одному этапу работы я не нашел.

Насколько я понял, работа в браузере с ЭЦП на примере с авторизацией происходит так:

  1. На комп ставится КриптоПро CSP
  2. В браузер их же плагин
  3. Человек, при авторизации якобы подписывает какое то поле (можно и type=hidden же? Или логин-пароль обязательно?)
  4. Данные уходят на сервер и что то там происходит. Вот с этого момента непонятно что должно происходить

Надо ли на сервер софт ставить, либо КриптоПро SDK в виде файла cadesplugin_api.js само свою магию сделает?

С вопросом ЭЦП с этой стороны не сталкивался, прошу развернутый ответ, либо ссылку на адекватную развернутую статью (на хабре не увидел), и чур не пинать камнями 🙂

Первый сценарий

Вам необходимо подтверждение, что пользователь является представителем той или иной организации. ЭЦП в этом случае будет гарантировать, что вашу систему не взломали для получения доступа к данным ваших клиентов.

С чего начать?


Во первых у Вас должен быть носитель Рутокен ЭЦП 2.0 с электронной подписью, сформированной средствами защищенного носителя.

Обычно такие носители и такие подписи используются для системы ЕГАИС-алкоголь.

Нам потребуется:

  • компьютер с операционной системой Windows 7 и выше.
  • Интернет браузер Спутник, Google Chrome, Mozilla Firefox, Яндекс.Браузер.
  • свободное время – минут 10 на настройку.

Обратите внимание, что в браузере Internet Explorer Рутокен ЭЦП 2.0 работать не будет!

Если Вы самостоятельно не сможете справиться с настройкой Рутокен ЭЦП для входа в Личный кабинет юридического лица на сайте ФНС – обратитесь в нашу платную техническую поддержку. Обычно наши специалисты справляются с настройкой за 15 минут и стоимость наших услуг выйдет всего 1000 рублей. 

Третий сценарий

Для получения вашей услуги (например, кредит или банковская гарантия) ваш контрагент должен предоставить пакет документов. Любой скан (например, копия договора) может быть легко загружен в нужный раздел вашего портала, но юридической силы он не будет иметь никакой.

Похожее:  Как без комиссии перевести деньги с мегафона на яндекс деньги - личный кредит - Про займ

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *