Цитата Student00:
Компании выдают ЭП (усиленную, квалифицированную) и выступают как специализированные операторы связи между клиентами и, скажем, госорганами (типа ФНС, Росстата и т.п.)
В отличии от Интернет-банкинга (по крайней мере для большинства клиентов) эти компании и их сервисы используют криптосредства клиента: закрытый ключ (сформированный. скажем с помощью КриптоПро), сертификат закрытого ключа (ключа подписи) - он же открытый ключ.
Предоставляют специальную программку - что-то вроде плагина для браузера, но работающую параллельно, которая, как я это понимаю фактически создает ситуацию, когда в качестве криптосредства используется - СКЗИ клиента (тот же КриптоПро).
Или, кстати, тот же Портал госзакупок так работает. »
|
Существующие браузеры в базовой комплектации не поддерживают алгоритм шифрования ГОСТ
По-этому требуется установка дополнительных модулей.
Ну а по способу работы дополнительного модуля определяется список совместимых обозревателей. Какие-то модули позволяют использовать Firefox и прочие нормальные программы, а какие-то - только "единственный и неповторимый" Internet Explorer
Цитата Student00:
Если данные шифруются на стороне клиента - с помощью того же КриптоПро и шифруются они открытым ключом клиента (не тем, который в момент создания защищенного соединения передается с сервера, а тем, который клиент предоставляет сам - который он получил на флешке от УЦ, и который установил в ОС через КриптоПро), то расшифровать пакет данных может только тот, кто имеет математически связанный закрытый ключ - ведь так же?
Закрытый ключ есть у клиента. Предполагаю, что закрытый ключ имеется и у получателя - скажем ФНС. Но у владельца веб-сервиса этого закрытого ключа-то нет (даже при получении сертификата ключа подписи у УЦ они говорят, что бы на принесенных носителях не было приватного ключа, ибо это будет считаться компрометацией). »
|
Данные шифруются на стороне клиента. При этом производится две операции:
1) подписание данных закрытым ключом отправителя
2) шифрование данных открытым ключом получателя (налоговой инспекции или иного учреждения)
Первая операция обеспечивает подтверждение подлинности и неизменности информации
Вторая операция обеспечивает защиту передаваемой информации от просмотра третьими лицами - расшифровать её может только обладатель закрытого ключа (получатель)
Затем формируется транспортный пакет - к полученному архиву добавляются открытые данные отправителя и получателя, которые использует оператор связи для доставки.
При этом "вёб интерфейс" HTTPS является исключительно вспомогательным режимом.
Основное взаимодействие ведётся по протоколам SMTP и IMAP/POP3, поскольку оператор связи работает в режиме сервера электронной почты. Стандарты e-mail давным-давно допускают шифрование тела письма (текст + вложения) и добавление электронной подписи тела письма. А сайты типа SBIS Online - это аналог вёб-морды для Яндекса и прочих почтовых служб.
Операторы связи здесь не придумали ничего нового. Просто разработали программы почтовых клиентов, поддерживающих алгоритмы ГОСТ, и прошли "сертификацию".
