Технологии защищенных соединений для Online Banking

Ktitiss

У меня есть карточка Bank of America. Чтобы управлять своим счетом онлайн, я захожу на их сайт, ввожу номер карточки, "секретное слово", устанавливается ssl-соединение и я вижу свой баланс.
Я исследовал как эта услуга организована на российском рынке, оказалось довольно криво. В импексе надо скачать с сайта прогу, с помощью проги создать дискетку с ключом, принести дискетку в банк, там ее "зарегистрируют" и только после этого ты сможешь наслаждаться прелестями онлайн банкинга.
В Альфе вообще цирк. Надо прийти в банк, там тебе бесплатно сделают к твоей карточке гайку с ключом. Потом надо купить считывающее usb-устройство для этой гайки, поставить софт, и каждый раз когда надо что-то сделать со счетом, ты должен совать гайку в устройство.
Сотрудник банка сказал мне, что все эти проблемы связаны с тем, что в россии нельзя использовать американские алгоритмы шифрования. Возникает вопрос: неужели с помощью российских ГОСТ'ов нельзя установить секьюрное соединение без передачи ключа?!
Может просто у кого-то руки кривые?

Tallion

Схема с клиентским ключом по идее надежнее, при условии, что ты не прое$$$шь этот ключ. Ограничение на алгоритмы действительно есть, должна быть сертификация ФАПСИ и прочая лабуда.
А в чем проблема сходить в банк?

Ktitiss

На сколько я понимаю ssh со 128-и битным ключем это абсолютно надежно... Если конечно не возьмется за ум и не начнет вместо банкоматов ломать DNS-ы, но это мне представляется маловероятным.
> А в чем проблема сходить в банк?
Банк предоставляющий больший спектр услуг и лучший сервис получает больший сегмент рынка. :-)

zulfia

А я у вас тут популярным стал.

Tallion

> На сколько я понимаю ssh со 128-и битным ключем это абсолютно надежно...
Абсолютно... но с клиентским ключом еще надежнее Ключ лучше, чем пароль, правда, ему нужен носитель, и хранить его надо в надежном месте. В свое время мы одной брокерской конторе предлагали организовать клиентские ключи на дискетках, но они решили, что это слишком геморно, и остановились на обычном SSL.
Безопасность HTTPS как протокола довольно высока, но надо ведь еще зашить все дырки на веб-сайте, а это очень непросто.

SO-RO-KA-

SSH и SSL - разные вещи

Ktitiss

Сорри. Имел ввиду SSL.

Ktitiss

Да все конторы в штатах работают через SSL, и никого не хакают. Такие сайты как elance.com или paypal.com позволяют даже переводы онлайн делать... Я думаю, что проблема все таки правовая.

gateway-2002

ну разница в том что нету в вашем эксплорере ссл с шифрованием гост. и все. кстати в ссл вроде используется RC4, сам по себе очень не надежный.

SO-RO-KA-

А интересно, добавить ГОСТ-алгоритм в IE труднее, чем полностью специальный софт выпустить?

gateway-2002

понятия не имею.
кстати в сдм-банке дают ключик написаный на бумажке. после этого грузится жаба-апплет с сайта и через него работает. не вижу ничего плохого в этом.

SO-RO-KA-

по мне, так по сравнению с остальными упомянутыми решениями, очень даже хорошо

Ktitiss

Это я тоже проверил. Алгоритмы шифрования для ssl это вроде как кодеки для Media Player'а. Например RSA лежит в файле rsaenh.dll. Весь список можно посмотреть в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider
То есть вроде бы ничего не мешает написать ActiveX'ину с супер надежным ГОСТ-овским алгоритмом шифрования... Заходишь на сайт, а тебя спрашивают: хочешь установить новый алгоритм шифрования? И галочка: всегда доверять софту от ФАПСИ.
Вопрос в том, существуют ли там подходящие алгоритмы?

gateway-2002

алгоритмы есть. но криптопровайдер не просто так ставится. и их кстати полно написано с шифрованием гост. но они все платные. есть и не только для винды а для соляриса например.

Ktitiss

Спасибо за инфу.
Кстати ТАК по-моему ставится все что угодно. Когда ты говоришь, что доверяешь производителю ActiveX'а ты фактически даешь ему возможность запустить у тебя на компе любую свою прогу. Зайди например на messenger.yahoo.com, нажми Get it now и скажи, что доверяешь. Он тебе поставит совершенно полноценную прогу на комп.
Оставить комментарий
Имя или ник:
Комментарий: