Показано с 1 по 13 из 13.

Информационная защита систем моментальных платежей

  1. #1
    Junior Member Репутация
    Регистрация
    13.05.2010
    Сообщений
    7
    Вес репутации
    28

    Информационная защита систем моментальных платежей

    Всем привет.
    Хочу проконсультироваться с сообществом по вопросу, указанному в теме.
    Так получилось, что это к тому же и тема моего диплома, хотя не совсем по теме моей кафедры.

    Собственно мне нужно придумать программку, обосновать выбор средств защиты, причем желательно с уклоном в математику.

    Сейчас я вижу это так.
    Есть система платежей. В ней регистрируются дилеры (которые будут принимать платежи) и в ней же регистрируются провайдеры (которые будут получать платежи).
    Я делаю веб-сервисы у провайдера и у системы платежей.
    Дилер, получив деньги, кидает запрос вебсервису системы платежей (подписанный, по ssl), система платежей обращается к веб сервису провайдера по такой же схеме и отдает ответ. Результаты транзакций пишу в бд.

    Вопросы такие:
    какие алгоритмы выбрать для генерации ключей? Писать ли генератор самому или воспользоваться например pgp?
    по какой схеме производить обмен ключами? Как хранить ключи дилеров?

    И еще такой вопрос, нужны ли мне межстетевые экраны и прочие штуки для информационной защиты? Если с криптографией и программированием я хоть немного знаком, то эта часть для меня совсем темный лес.

    Спасибо за внимание, буду ждать ответов )

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.05.2008
    Адрес
    Россия, Амурская область, Благовещенск
    Сообщений
    113
    Вес репутации
    83
    Цитата Сообщение от Yossarian Посмотреть сообщение
    какие алгоритмы выбрать для генерации ключей? Писать ли генератор самому или воспользоваться например pgp?
    Самопальные алгоритмы подходят только для использования дома или в организации для внутренних нужд. Для юридически значимого обмена информацией с другими организациями, да если ещё речь о деньгах, придётся использовать алгоритмы или готовые криптосистемы, соответствующие ГОСТам и имеющие одобрения ФСБ. Иначе в суде никому ничего не предъявите.

  4. #3
    Junior Member Репутация
    Регистрация
    13.05.2010
    Сообщений
    7
    Вес репутации
    28
    Цитата Сообщение от Oyster Посмотреть сообщение
    Самопальные алгоритмы подходят только для использования дома или в организации для внутренних нужд. Для юридически значимого обмена информацией с другими организациями, да если ещё речь о деньгах, придётся использовать алгоритмы или готовые криптосистемы, соответствующие ГОСТам и имеющие одобрения ФСБ. Иначе в суде никому ничего не предъявите.
    Ну я, думаю, могу сгенерить ключи и на основе Гостовских алгоритмов. Насколько я знаю в openssl уже есть реализация. Или с помощью крипто про. Хотя насчет фсб я не уверен, например я точно знаю, что Киберплат для работы с дилерами использует рса, а не гост.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    256
    Цитата Сообщение от Oyster Посмотреть сообщение
    Самопальные алгоритмы подходят только для использования дома или в организации для внутренних нужд. Для юридически значимого обмена информацией с другими организациями, да если ещё речь о деньгах, придётся использовать алгоритмы или готовые криптосистемы, соответствующие ГОСТам и имеющие одобрения ФСБ. Иначе в суде никому ничего не предъявите.
    Много +
    Для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и криптозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну может использоваться только ПО имеющее сертификаты соответствия ФАПСИ.
    Например, фирмы КриптоПро.
    Цитата Сообщение от Yossarian Посмотреть сообщение
    И еще такой вопрос, нужны ли мне межстетевые экраны и прочие штуки для информационной защиты?
    Для обеспечения удаленного доступа к ресурсам информационной системы по открытым каналам связи, в частности Сбербанком, используется технология VPN, реализуемая с использованием комплексов ФПСУ-IP — ФПСУ-IP/Клиент, содержащих сертифицированные средства криптографической защиты информации.
    http://www.morepc.ru/security/monito...ip-client.html

    Добавлено через 3 минуты

    Цитата Сообщение от Yossarian Посмотреть сообщение
    Ну я, думаю, могу сгенерить ключи и на основе Гостовских алгоритмов.
    Ваше ПО, в этом случае, должно иметь вот это...
    Последний раз редактировалось Iron Monk; 13.05.2010 в 16:22. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    13.05.2010
    Сообщений
    7
    Вес репутации
    28
    Iron Monk, спасибо. Я правильно понял, что, например, реализация RSA от Крипто Про, так же прошла сертификацию Фапси (по-моему самой фапси уже лет 5 как нет) или все же нужно использовать Гост?

    Насчет VPN, тут я совсем не в теме. Если не сложно, в двух словах, чем это надежней https?

    Добавлено через 6 минут

    И потом, я собираюсь программировать не систему прошедшую сертификацию в ФСБ, а систему, которая бы прошла сертификацию ))
    Последний раз редактировалось Yossarian; 13.05.2010 в 16:33. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    256
    Цитата Сообщение от Yossarian Посмотреть сообщение
    Я правильно понял, что, например, реализация RSA от Крипто Про, так же прошла сертификацию Фапси (по-моему самой фапси уже лет 5 как нет) или все же нужно использовать Гост?
    В Российской Федерации действует стандарт ГОСТ 28147-89, описывающий алгоритм блочного шифрования с длиной ключа 256 бит, а также алгоритм цифровой подписи ГОСТ Р 34.10-2001.
    Погуглите, почитайте.
    Цитата Сообщение от Yossarian Посмотреть сообщение
    Насчет VPN, тут я совсем не в теме. Если не сложно, в двух словах, чем это надежней https?
    Надежнее. Создается туннель между двумя компьютерами. Из общей сети они становятся недоступны.

  8. #7
    Junior Member Репутация
    Регистрация
    13.05.2010
    Сообщений
    7
    Вес репутации
    28
    Ясно, спасибо.
    Может кто-нибудь подскажет, как правильно организовать хранение ключей?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    256
    Цитата Сообщение от Yossarian Посмотреть сообщение
    Может кто-нибудь подскажет, как правильно организовать хранение ключей?
    ?
    Не очень понятный вопрос.
    Почитайте...

  10. #9
    Junior Member Репутация
    Регистрация
    13.05.2010
    Сообщений
    7
    Вес репутации
    28
    Я имел ввиду, что мне нужно как-то хранить открытые ключи дилеров и провайдеров. Нормально ли просто складывать их в бд и при получении запроса сверять с именем дилера? Или нужно строить что-то типа центра сертификации?
    Вообще нужно ли пользоваться сертификатами в данном случае или можно обойтись просто парами ключей?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    256
    Цитата Сообщение от Yossarian Посмотреть сообщение
    Я имел ввиду, что мне нужно как-то хранить открытые ключи дилеров и провайдеров. Нормально ли просто складывать их в бд и при получении запроса сверять с именем дилера? Или нужно строить что-то типа центра сертификации?
    Вообще нужно ли пользоваться сертификатами в данном случае или можно обойтись просто парами ключей?
    Открытый или по умному - Публичный, он и подразумевает открытость или публичность. Сертификат от публичного ключа отличается только доп. информацией, нужной для доп. действий, например контроль сроков действия ключей, должности владельца ЭЦП и т.д. Если Вам это не нужно, пользуйтесь базой открытых ключей.

  12. #11
    Junior Member Репутация
    Регистрация
    13.05.2010
    Сообщений
    7
    Вес репутации
    28
    Iron Monk, я просто наверно не совсем правильно объяснил, база публичных ключей мне нужна для того чтобы проверять подписи полученных запросов. То есть если злодей подменит в базе публичный ключ дилера своим, то сможет кидать мне запросы от имени дилера.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    256
    Цитата Сообщение от Yossarian Посмотреть сообщение
    Iron Monk, я просто наверно не совсем правильно объяснил, база публичных ключей мне нужна для того чтобы проверять подписи полученных запросов. То есть если злодей подменит в базе публичный ключ дилера своим, то сможет кидать мне запросы от имени дилера.
    База публичных ключей тоже должна быть подписана, например, администратором криптоключей или другим уполномоченным на то лицом. И проверять по этой базе что-либо можно только после того, как проверена целостность и неизменность самой базы.

  14. #13
    Junior Member Репутация
    Регистрация
    13.05.2010
    Сообщений
    7
    Вес репутации
    28
    Спасибо за информацию. Интересно, как это реализовать теперь на mySQL ))

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 16.11.2009, 13:28

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01328 seconds with 16 queries