-
Junior Member
- Вес репутации
- 51
Информационная защита систем моментальных платежей
Всем привет.
Хочу проконсультироваться с сообществом по вопросу, указанному в теме.
Так получилось, что это к тому же и тема моего диплома, хотя не совсем по теме моей кафедры.
Собственно мне нужно придумать программку, обосновать выбор средств защиты, причем желательно с уклоном в математику.
Сейчас я вижу это так.
Есть система платежей. В ней регистрируются дилеры (которые будут принимать платежи) и в ней же регистрируются провайдеры (которые будут получать платежи).
Я делаю веб-сервисы у провайдера и у системы платежей.
Дилер, получив деньги, кидает запрос вебсервису системы платежей (подписанный, по ssl), система платежей обращается к веб сервису провайдера по такой же схеме и отдает ответ. Результаты транзакций пишу в бд.
Вопросы такие:
какие алгоритмы выбрать для генерации ключей? Писать ли генератор самому или воспользоваться например pgp?
по какой схеме производить обмен ключами? Как хранить ключи дилеров?
И еще такой вопрос, нужны ли мне межстетевые экраны и прочие штуки для информационной защиты? Если с криптографией и программированием я хоть немного знаком, то эта часть для меня совсем темный лес.
Спасибо за внимание, буду ждать ответов )
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Yossarian
какие алгоритмы выбрать для генерации ключей? Писать ли генератор самому или воспользоваться например pgp?
Самопальные алгоритмы подходят только для использования дома или в организации для внутренних нужд. Для юридически значимого обмена информацией с другими организациями, да если ещё речь о деньгах, придётся использовать алгоритмы или готовые криптосистемы, соответствующие ГОСТам и имеющие одобрения ФСБ. Иначе в суде никому ничего не предъявите.
-
Junior Member
- Вес репутации
- 51
Сообщение от
Oyster
Самопальные алгоритмы подходят только для использования дома или в организации для внутренних нужд. Для юридически значимого обмена информацией с другими организациями, да если ещё речь о деньгах, придётся использовать алгоритмы или готовые криптосистемы, соответствующие ГОСТам и имеющие одобрения ФСБ. Иначе в суде никому ничего не предъявите.
Ну я, думаю, могу сгенерить ключи и на основе Гостовских алгоритмов. Насколько я знаю в openssl уже есть реализация. Или с помощью крипто про. Хотя насчет фсб я не уверен, например я точно знаю, что Киберплат для работы с дилерами использует рса, а не гост.
-
Сообщение от
Oyster
Самопальные алгоритмы подходят только для использования дома или в организации для внутренних нужд. Для юридически значимого обмена информацией с другими организациями, да если ещё речь о деньгах, придётся использовать алгоритмы или готовые криптосистемы, соответствующие ГОСТам и имеющие одобрения ФСБ. Иначе в суде никому ничего не предъявите.
Много +
Для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и криптозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну
может использоваться только ПО имеющее сертификаты соответствия ФАПСИ.
Например, фирмы КриптоПро.
Сообщение от
Yossarian
И еще такой вопрос, нужны ли мне межстетевые экраны и прочие штуки для информационной защиты?
Для обеспечения удаленного доступа к ресурсам информационной системы по открытым каналам связи, в частности Сбербанком, используется технология VPN, реализуемая с использованием комплексов ФПСУ-IP — ФПСУ-IP/Клиент, содержащих сертифицированные средства криптографической защиты информации.
http://www.morepc.ru/security/monito...ip-client.html
Добавлено через 3 минуты
Сообщение от
Yossarian
Ну я, думаю, могу сгенерить ключи и на основе Гостовских алгоритмов.
Ваше ПО, в этом случае, должно иметь вот это...
Последний раз редактировалось Iron Monk; 13.05.2010 в 17:22.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
Iron Monk, спасибо. Я правильно понял, что, например, реализация RSA от Крипто Про, так же прошла сертификацию Фапси (по-моему самой фапси уже лет 5 как нет) или все же нужно использовать Гост?
Насчет VPN, тут я совсем не в теме. Если не сложно, в двух словах, чем это надежней https?
Добавлено через 6 минут
И потом, я собираюсь программировать не систему прошедшую сертификацию в ФСБ, а систему, которая бы прошла сертификацию ))
Последний раз редактировалось Yossarian; 13.05.2010 в 17:33.
Причина: Добавлено
-
Сообщение от
Yossarian
Я правильно понял, что, например, реализация RSA от Крипто Про, так же прошла сертификацию Фапси (по-моему самой фапси уже лет 5 как нет) или все же нужно использовать Гост?
В Российской Федерации действует стандарт ГОСТ 28147-89, описывающий алгоритм блочного шифрования с длиной ключа 256 бит, а также алгоритм цифровой подписи ГОСТ Р 34.10-2001.
Погуглите, почитайте.
Сообщение от
Yossarian
Насчет VPN, тут я совсем не в теме. Если не сложно, в двух словах, чем это надежней https?
Надежнее. Создается туннель между двумя компьютерами. Из общей сети они становятся недоступны.
-
-
Junior Member
- Вес репутации
- 51
Ясно, спасибо.
Может кто-нибудь подскажет, как правильно организовать хранение ключей?
-
Сообщение от
Yossarian
Может кто-нибудь подскажет, как правильно организовать хранение ключей?
?
Не очень понятный вопрос.
Почитайте...
-
-
Junior Member
- Вес репутации
- 51
Я имел ввиду, что мне нужно как-то хранить открытые ключи дилеров и провайдеров. Нормально ли просто складывать их в бд и при получении запроса сверять с именем дилера? Или нужно строить что-то типа центра сертификации?
Вообще нужно ли пользоваться сертификатами в данном случае или можно обойтись просто парами ключей?
-
Сообщение от
Yossarian
Я имел ввиду, что мне нужно как-то хранить открытые ключи дилеров и провайдеров. Нормально ли просто складывать их в бд и при получении запроса сверять с именем дилера? Или нужно строить что-то типа центра сертификации?
Вообще нужно ли пользоваться сертификатами в данном случае или можно обойтись просто парами ключей?
Открытый или по умному - Публичный, он и подразумевает открытость или публичность. Сертификат от публичного ключа отличается только доп. информацией, нужной для доп. действий, например контроль сроков действия ключей, должности владельца ЭЦП и т.д. Если Вам это не нужно, пользуйтесь базой открытых ключей.
-
-
Junior Member
- Вес репутации
- 51
Iron Monk, я просто наверно не совсем правильно объяснил, база публичных ключей мне нужна для того чтобы проверять подписи полученных запросов. То есть если злодей подменит в базе публичный ключ дилера своим, то сможет кидать мне запросы от имени дилера.
-
Сообщение от
Yossarian
Iron Monk, я просто наверно не совсем правильно объяснил, база публичных ключей мне нужна для того чтобы проверять подписи полученных запросов. То есть если злодей подменит в базе публичный ключ дилера своим, то сможет кидать мне запросы от имени дилера.
База публичных ключей тоже должна быть подписана, например, администратором криптоключей или другим уполномоченным на то лицом. И проверять по этой базе что-либо можно только после того, как проверена целостность и неизменность самой базы.
-
-
Junior Member
- Вес репутации
- 51
Спасибо за информацию. Интересно, как это реализовать теперь на mySQL ))