А если я хочу, чтоб подпись работала и на площадке ЕГАИС и была доступна технология Nfc, то на какое пространство просить записать подпись в налоговой?
Альбина, я Вас уважаю, вы делаете правильное дело, раазъясняя в роликах. Но тут снова вопрос. Вы всё время говорите про КриптоАРМ ГОСТ. А зачем? Если и в десктопной и в мобильной версии КриптоПро CSP есть такая возможность (подписи и шифрования)? То есть купить надо КриптоПро CSP, заплатить за сертификат КЭП (а у нас они платные), а ещё купить КриптоАРМ ГОСТ. Я понимаю, что решение удобное, нажал подписал и так далее. Но это же ещё денежка, когда подписать можно и при помощи КриптоПро CSP без клиентов?
КриптоАРМ ГОСТ сертифицируется совместно с КриптоПро CSP и дает больше возможностей использования, чем один криптопровайдер. Сертификаты подписи, для лица действующего без доверенности, можно получить в УЦ ФНС и ДУЦ совершенно бесплатно, обязательно - наличие носителя (сертифицированного ФСТЭК или ФСБ).
@@CryptostoreRuOfficial не только носителя! Ещё и КриптоПро CSP или любого другого CSP с поддержкой ГОСТ. А тут ещё зачем-то и вашу программу покупать. И да, несколько криптопровайдеров с ГОСТ могут потребоваться только по работе тем кто входит на площадки какие-нибудь закупок, ну всё потому что каждая компания тянет лоскут на себя, там нужен и vipnet client и КриптоПро CSP для поддержки подписи организации. Там вот точно ваш КриптоАРМ не нужен. Обычному пользователю никогда не потребуется два платных криптопровайдера.
Поправочка - НЕ сертификаты не экспортируемые, а закрытые ключи. Сертификат с открытым ключом можно сохранить всегда, но без закрытого его не используешь. Ну и тут можно по OTG некоторыми телефонами считывать ключи. Варианты есть. И я снова не понимаю, зачем именно на телефоне подписывать документы КЭП. Смартфон, если так посмотреть, на Андроиде или на ios - это крайне уязвимое устройство, да, ключи может и не стянут (особливо если они не экспортируемые), но личные данные могут, ибо Андроид и ios - очень уязвимые системы. Не знаю насчёт Selfish, ну то есть Авроры, не видел результатов аудита, но мы ж говорим про обычных пользователей, у них ios или Андроид. Я бы вообще запретил держать важные данные на телефоне, ибо уязвимостей море, потенциальных опасностей утечек - море. В десктопе, будь то линукс или даже винда - есть куча средств защиты и защитить данные на порядок проще. Да и в дороге подписывать так документы.. не проще на ноуте? Если в дороге.
Да, вы правы, неэкспортируемым является закрытый ключ. Но мы ведь также понимаем, что правильно говорить не сертификат, и не КЭП , а квалифицированный сертификат ключа проверки электронной подписи, но так мы тоже обычно не говорим, немного упрощая.
При подписи закрытый ключ остается на токене, даже в случае потери телефона, ключ не будет скомпрометирован. Подписать на телефоне может быть просто проще, чем на ноутбуке, телефон всегда с нами.
@@CryptostoreRuOfficial нет, не проще. Выбирать сертификат, выбирать файл и прочее.. в вашем же КриптоАРМ на компьютере - просто тупо по правой кнопке мыши подписать проще. А про безопасность я не имел ввиду что с телефона похитят ключ. Я имел ввиду, что могут похитить много другой информации, а при желании, можно написать вирус с прозрачным окном, которое, когда вы будете прикладывать токен, подменит информацию и сделает не ваши действия а свои. Причём от такого вируса не всегда помогает и антивирус, мы уже с такими вирусами сталкивались. Комповые ОС защищены на несколько порядков лучше, чем Андроид или ios, спросите любого безопасника. Я, как и многие безопасники - никогда бы не рекомендовали держать банковские и прочие приложения с личными данными и доступом к деньгам и подписи - на мобильном телефоне.
@@sabanticaДа неужели компьютер лучше защищён чем телефон, не верю. Если пользоваться последней версией Android и ставить все обновления (Google Pixel лучше в этом будет, в том числе аппаратно), то о каких-то известных уязвимостях можно забыть. О прозрачном окне конечно забавно, можно подумать что телефоне это делается сильно проще чем на десктопе. Вот на телефоне как раз-таки более защищены, в плане наличия шифрования памяти (на компьютере часто видите как включают эту функцию?), наличие защищённого хранилища секретов, в том числе неизвлекаемых, Trusted Execution Environment (Android - Trusty, Apple - Secure Enclave). Проверка подписи загрузчика операционной системы и всех приложений. Если пользователь что-то разрешил сомнительное, то это не сильно снижает безопасность если выполнены предыдущие пункты. Можно поставить отдельную защищённую операционку по типу GrapheneOS или использовать отдельное пространство например через Shelter.
@@green.616Сколько забавной несуразицы вы тут написали, придётся потратить чуть времени на ответ, что я не люблю, но иногда делаю исключение. "Если пользоваться последней версией Android и ставить все обновления (Google Pixel лучше в этом будет, в том числе аппаратно), то о каких-то известных уязвимостях можно забыть." Я даже не знаю, почему так слепа вера в тяп-ляп программеров от гугла. Во-первых, как показывает практика, против новых атак часто НОВЫЕ патчи безопасности закрывают одни дыры и открывают другие, при этом такие атаки на старые версии Андроид невозможны, поскольку в патчах иногда ещё и добавляют программы для слежения, или заменяют старые таковые на новые. По поводу гугл пикселя, который напичкан программами слежения, диагностики и тестирования, как новогодняя ёлка гирляндами - почему вдруг он лучше, если там намного больше возможностей открывать каналы утечки - я так и не понял. По поводу - про уязвимости можно забыть -да да, особенно если пользователи не используют НИКАКОГО сетевого экрана, я умолчу про HIPS, и просто открытые каналы обмена данными, на компе даже простенький, но сетевой экран какой никакой есть (да, у M$ он дырявый, но если ставят антивирусы, в них часто и сетевой экран свой, а в Каспере том же самом даже HIPS есть). Едем дальше "Вот на телефоне как раз-таки более защищены, в плане наличия шифрования памяти (на компьютере часто видите как включают эту функцию?), наличие защищённого хранилища секретов, в том числе неизвлекаемых, Trusted Execution Environment (Android - Trusty, Apple - Secure Enclave). Проверка подписи загрузчика операционной системы и всех приложений." Эмм што? Начнём с главного. Помню как ругался по поводу того, что в паре моделей Xiaomi и Meizu автоматом шифруется основной раздел с данными пользователя, потому что там это было НЕ отключаемо, а ключ сам был где-то в недрах системы и при сбое - твои данные (без бэкапа если), улетали в трубу. Но возьмём типичное - у Самсунга, у некоторых Xiaomi и у Apple есть отдельный сейф, правда у аппл расшаривание ключа онлайн, что может (потенциально, не проверял) привести к тому что у админов облака Аппл есть твой ключ, но пользователям кусанного яблока не привыкать к утечкам, взломам и краже информации, это там уже частое явление. Нодавайте допустим, что и у аппл и у самсунга (например) и у других вендоров прошивок есть сейфовая часть, куда можно сложить данные и приложения для их защиты. Вы знаете много народу, кто так делает? Из моих знакомых, даже айтишников - никто вообще. Максимум пользуют какой-нибудь контейнер keepasss для хранения шифрованной базы паролей и что-то подобное для документов. С одной стороны это надёжно, шифр есть шифр, с другой - если нет отслеживания памяти, перехватить ввод пароля - тоже можно, а антивирус и подобные им программы на Андроид ставят очень редко, про аппл я умолчу. Доказано опять же, что есть вирусы на ios, которые перехватывают и себе копируют данные биометрии, так что отпечаток пальца тоже можно увести. Проверка подписи загрузчика - да, но не мне говорить, что народ большинство моделей может рутовать и менять загрузчик. Так почему это не могут делать вирусы? В случае гигиены на Windows или на Линуксе - можно проверять досканально - что у вас грузиться, откуда, проверять и подписи и целостность ядра и системных файлов, а если есть грамотный антивирус - он контроллирует невмешательство в важные процессы - например, ввод пароля, аутентификацию по токену и многое другое. В коммент не лезет, продолжу в следующем.
Единственное что годится только для физиков и только для так сказать персонального использования. Закрытый ключ хранится в телефоне, файлы можно подписать только те что можно загрузить на Госуслуги.
Вы специально так рассказываете чтобы было окончательно непонятно и уныло? Попробуйте может рассказать что не свою умность показать а помочь понять ламерам..
А если я хочу, чтоб подпись работала и на площадке ЕГАИС и была доступна технология Nfc, то на какое пространство просить записать подпись в налоговой?
Альбина, я Вас уважаю, вы делаете правильное дело, раазъясняя в роликах.
Но тут снова вопрос.
Вы всё время говорите про КриптоАРМ ГОСТ.
А зачем? Если и в десктопной и в мобильной версии КриптоПро CSP есть такая возможность (подписи и шифрования)?
То есть купить надо КриптоПро CSP, заплатить за сертификат КЭП (а у нас они платные), а ещё купить КриптоАРМ ГОСТ.
Я понимаю, что решение удобное, нажал подписал и так далее. Но это же ещё денежка, когда подписать можно и при помощи КриптоПро CSP без клиентов?
КриптоАРМ ГОСТ сертифицируется совместно с КриптоПро CSP и дает больше возможностей использования, чем один криптопровайдер. Сертификаты подписи, для лица действующего без доверенности, можно получить в УЦ ФНС и ДУЦ совершенно бесплатно, обязательно - наличие носителя (сертифицированного ФСТЭК или ФСБ).
@@CryptostoreRuOfficial не только носителя! Ещё и КриптоПро CSP или любого другого CSP с поддержкой ГОСТ. А тут ещё зачем-то и вашу программу покупать.
И да, несколько криптопровайдеров с ГОСТ могут потребоваться только по работе тем кто входит на площадки какие-нибудь закупок, ну всё потому что каждая компания тянет лоскут на себя, там нужен и vipnet client и КриптоПро CSP для поддержки подписи организации. Там вот точно ваш КриптоАРМ не нужен.
Обычному пользователю никогда не потребуется два платных криптопровайдера.
Загран паспорт зачем?
Подношу токен, ничего не происходит
Поправочка - НЕ сертификаты не экспортируемые, а закрытые ключи. Сертификат с открытым ключом можно сохранить всегда, но без закрытого его не используешь.
Ну и тут можно по OTG некоторыми телефонами считывать ключи. Варианты есть.
И я снова не понимаю, зачем именно на телефоне подписывать документы КЭП. Смартфон, если так посмотреть, на Андроиде или на ios - это крайне уязвимое устройство, да, ключи может и не стянут (особливо если они не экспортируемые), но личные данные могут, ибо Андроид и ios - очень уязвимые системы. Не знаю насчёт Selfish, ну то есть Авроры, не видел результатов аудита, но мы ж говорим про обычных пользователей, у них ios или Андроид.
Я бы вообще запретил держать важные данные на телефоне, ибо уязвимостей море, потенциальных опасностей утечек - море.
В десктопе, будь то линукс или даже винда - есть куча средств защиты и защитить данные на порядок проще.
Да и в дороге подписывать так документы.. не проще на ноуте? Если в дороге.
Да, вы правы, неэкспортируемым является закрытый ключ. Но мы ведь также понимаем, что правильно говорить не сертификат, и не КЭП , а квалифицированный сертификат ключа проверки электронной подписи, но так мы тоже обычно не говорим, немного упрощая.
При подписи закрытый ключ остается на токене, даже в случае потери телефона, ключ не будет скомпрометирован. Подписать на телефоне может быть просто проще, чем на ноутбуке, телефон всегда с нами.
@@CryptostoreRuOfficial нет, не проще. Выбирать сертификат, выбирать файл и прочее.. в вашем же КриптоАРМ на компьютере - просто тупо по правой кнопке мыши подписать проще. А про безопасность я не имел ввиду что с телефона похитят ключ. Я имел ввиду, что могут похитить много другой информации, а при желании, можно написать вирус с прозрачным окном, которое, когда вы будете прикладывать токен, подменит информацию и сделает не ваши действия а свои.
Причём от такого вируса не всегда помогает и антивирус, мы уже с такими вирусами сталкивались.
Комповые ОС защищены на несколько порядков лучше, чем Андроид или ios, спросите любого безопасника.
Я, как и многие безопасники - никогда бы не рекомендовали держать банковские и прочие приложения с личными данными и доступом к деньгам и подписи - на мобильном телефоне.
@@sabanticaДа неужели компьютер лучше защищён чем телефон, не верю. Если пользоваться последней версией Android и ставить все обновления (Google Pixel лучше в этом будет, в том числе аппаратно), то о каких-то известных уязвимостях можно забыть.
О прозрачном окне конечно забавно, можно подумать что телефоне это делается сильно проще чем на десктопе.
Вот на телефоне как раз-таки более защищены, в плане наличия шифрования памяти (на компьютере часто видите как включают эту функцию?), наличие защищённого хранилища секретов, в том числе неизвлекаемых, Trusted Execution Environment (Android - Trusty, Apple - Secure Enclave). Проверка подписи загрузчика операционной системы и всех приложений.
Если пользователь что-то разрешил сомнительное, то это не сильно снижает безопасность если выполнены предыдущие пункты.
Можно поставить отдельную защищённую операционку по типу GrapheneOS или использовать отдельное пространство например через Shelter.
@@green.616Сколько забавной несуразицы вы тут написали, придётся потратить чуть времени на ответ, что я не люблю, но иногда делаю исключение.
"Если пользоваться последней версией Android и ставить все обновления (Google Pixel лучше в этом будет, в том числе аппаратно), то о каких-то известных уязвимостях можно забыть."
Я даже не знаю, почему так слепа вера в тяп-ляп программеров от гугла. Во-первых, как показывает практика, против новых атак часто НОВЫЕ патчи безопасности закрывают одни дыры и открывают другие, при этом такие атаки на старые версии Андроид невозможны, поскольку в патчах иногда ещё и добавляют программы для слежения, или заменяют старые таковые на новые. По поводу гугл пикселя, который напичкан программами слежения, диагностики и тестирования, как новогодняя ёлка гирляндами - почему вдруг он лучше, если там намного больше возможностей открывать каналы утечки - я так и не понял.
По поводу - про уязвимости можно забыть -да да, особенно если пользователи не используют НИКАКОГО сетевого экрана, я умолчу про HIPS, и просто открытые каналы обмена данными, на компе даже простенький, но сетевой экран какой никакой есть (да, у M$ он дырявый, но если ставят антивирусы, в них часто и сетевой экран свой, а в Каспере том же самом даже HIPS есть).
Едем дальше
"Вот на телефоне как раз-таки более защищены, в плане наличия шифрования памяти (на компьютере часто видите как включают эту функцию?), наличие защищённого хранилища секретов, в том числе неизвлекаемых, Trusted Execution Environment (Android - Trusty, Apple - Secure Enclave). Проверка подписи загрузчика операционной системы и всех приложений."
Эмм што? Начнём с главного. Помню как ругался по поводу того, что в паре моделей Xiaomi и Meizu автоматом шифруется основной раздел с данными пользователя, потому что там это было НЕ отключаемо, а ключ сам был где-то в недрах системы и при сбое - твои данные (без бэкапа если), улетали в трубу. Но возьмём типичное - у Самсунга, у некоторых Xiaomi и у Apple есть отдельный сейф, правда у аппл расшаривание ключа онлайн, что может (потенциально, не проверял) привести к тому что у админов облака Аппл есть твой ключ, но пользователям кусанного яблока не привыкать к утечкам, взломам и краже информации, это там уже частое явление.
Нодавайте допустим, что и у аппл и у самсунга (например) и у других вендоров прошивок есть сейфовая часть, куда можно сложить данные и приложения для их защиты. Вы знаете много народу, кто так делает? Из моих знакомых, даже айтишников - никто вообще.
Максимум пользуют какой-нибудь контейнер keepasss для хранения шифрованной базы паролей и что-то подобное для документов.
С одной стороны это надёжно, шифр есть шифр, с другой - если нет отслеживания памяти, перехватить ввод пароля - тоже можно, а антивирус и подобные им программы на Андроид ставят очень редко, про аппл я умолчу.
Доказано опять же, что есть вирусы на ios, которые перехватывают и себе копируют данные биометрии, так что отпечаток пальца тоже можно увести.
Проверка подписи загрузчика - да, но не мне говорить, что народ большинство моделей может рутовать и менять загрузчик. Так почему это не могут делать вирусы? В случае гигиены на Windows или на Линуксе - можно проверять досканально - что у вас грузиться, откуда, проверять и подписи и целостность ядра и системных файлов, а если есть грамотный антивирус - он контроллирует невмешательство в важные процессы - например, ввод пароля, аутентификацию по токену и многое другое.
В коммент не лезет, продолжу в следующем.
госключ - бесплатно и за 5 минут и ничего тыкать в телефон не надо...
Единственное что годится только для физиков и только для так сказать персонального использования. Закрытый ключ хранится в телефоне, файлы можно подписать только те что можно загрузить на Госуслуги.
Вы специально так рассказываете чтобы было окончательно непонятно и уныло? Попробуйте может рассказать что не свою умность показать а помочь понять ламерам..