Автор Тема: «АРТ Офис» - компрометация информации при проверки ЭЦП.  (Прочитано 831 раз)

0 Пользователей и 1 Гость просматривают эту тему.

21 Февраля 2014, 17:14:48
Прочитано 831 раз

Romanenko.Y.A.

  • Новичок

  • Оффлайн
  • *

  • 3
  • Пол
    Мужской

    Мужской
Уважаемые разработчики!

Установили «демо» версию Вашего продукта «АРТ Офис» от 23.11.2012.

При проведении проверки ЭЦП демонстрационного файла было обнаружено, что на проверочную ссылку http://www.art-office.com.ua/proverit-dokument/ было отправлено ВСЕ СОДЕРЖИМОЕ файла.
 
В связи с этим возникло несколько вопросов:
  • почему адрес «веб сервиса проверки ЭЦП» не указан в регламенте АЦСК «Мастеркей» (документ утвержденный В.о. Голови Державної служби спеціального зв’язку та захисту інформації України О.Г. Ц
    уркан 27.12.2013 р.);
  • почему на указанный адрес пересылается конфиденциальная информация клиентов Вашего ПО;
  • как  АЦСК «Мастеркей» гарантирует целостность и конфиденциальность информации при транзитной передачи ее через различных интернет-провайдеров по «открытым» каналам связи.
Сохранение персональной информации наших клиентов особенно актуальна применительно к банковской сфере деятельности, поэтому надеюсь, что перед сертификацией Вашего ПО все приведенные выше вопросы будут успешно решены.

Прошу Вас предоставить как можно более подробный, аргументированный с технической точки зрения ответ.
 
С уважением,
СН Сертификата:   7CF85A114A8661B10400000012A70500285F0800

07 Марта 2014, 16:16:54
Ответ #1

M_Iakushev

  • Представитель компании

  • Оффлайн
  • *****

  • 3
  • Пол
    Мужской

    Мужской
    • MS Word, MS Excel и PDF, юридически значимые в Украине
Юрий, наши эксперты в области безопасности информации изучили Ваши вопросы.

ТОВ ЮРТЕХ имеет лицензию на ведение хозяйственной деятельности по оказанию услуг  в сфере криптографической защиты информации (кроме услуг электронной цифровой подписи), торговли криптосистемами и средствами криптографической защиты информации. Лицензія АЕ № 272324 від 03.02.2014. ( номер 150 у списку).
http://www.dstszi.gov.ua/dstszi/control/uk/publish/article?art_id=111330&cat_id=94061

Ответы на вопросы:
1.   Регламент АЦСК створюється з метою  визначення  порядку та процедур обслуговування посилених сертифікатів відкритих ключів підписувачів,  умов надання послуг та правил користування послугами АЦСК та встановлення  загального порядку діяльності АЦСК під час надання послуг ЕЦП і не передбачає внесення до його змісту посилань на засоби та  веб-ресурси, які взаємодіють з АЦСК при реалізації цих процедур та правил.
Крім зазначеного слід враховувати те, що коригування Регламенту, яке потребує   погодження з ДССЗЗІ, здійснюється значно рідше ніж поповнення   ринку засобами ЕЦП.
Таким чином, внесення цієї інформації в Регламент є обтяжливим, зайвим та недоцільним. 

2.З ознайомлення з інформацією, викладеною на сайті розробника, видно, що Арт-Офіс не призначений для забезпечення конфіденційності інформації, така функція не  в ходить в перелік задач, які вирішує Арт-Офіс. Для забезпечення конфіденційності передбачається використання інших, призначених для цього, засобів, в тому числі і засобів, розроблених фахівцями нашого підприємства.

3. АЦСК має відношення до конфіденційності та цілісності інформації, що циркулює між відправником та отримувачем,  лише в тому сенсі, що надає  користувачам статичні ключові пари ЕЦП та шифрування. В цьому випадку гарантії АЦСК полягають у тому, що в його ПТК для формування статичної ключової пари ЕЦП та статичної ключової пари шифрування використовуються  засоби, що пройшли експертизу та мають відповідний експертний висновок. Крім того при здійснені   захищеного інформаційного обміну  АЦСК   надає в  режимі реального часу (протокол OCSP) достовірну інформацію, на підставі якої здійснюється взаємна ідентифікація відправника та отримувача інформації. Для безпосереднього захисту інформації шляхом її шифрування в каналах інформаційного обміну використовуються знову ж таки  інші, призначені для цього, засоби.
 
На сайте Арт-Офис механизм валидации документов представлен в основном только в целях ознакомления.
http://www.art-office.com.ua/proverit-dokument/

В реальных решениях сервисы валидации обычно разполагаются в сети организации.
Вопрос целесообразности выставления сервиса валидации документов в открытый доступ решается в каждом случае отдельно.
Что оговаривается в регламенте работы конкретного решения.

Владелец электронного документа сам принимает решение, где валидировать документ.
Результаты валидации документа всегда будут идентичны.