Внедрение ЭЦП во внутренний документооборот
Здравствуйте!
Мечтаю получить рекомендации по следующему вопросу.
Есть организация. Есть система внутреннего документооборота с веб-интерфейсом (используется сервер Apache). Обеспечивает обмен сообщениями, документами, постановку задач начальством сотрудникам. Двойная авторизация: на http-сервере и собственно в системе (логины, пароли – разные). В дальнейшем предполагается возможность доступа в систему из любой точки через Интернет.
В настоящий момент используется OpenSSL, который обеспечивает защиту канала, но ведь есть вероятность разглашения логина/пароля. Поэтому решено встроить возможность подписи электронных документов. Предполагается, что секретный ключ будет храниться на каком-то съёмном носителе (дискета, flash...)
Есть несколько собственных мыслей.
1) Можно использовать какие-нибудь криптографические библиотеки.
а) Криптопровайдер от Microsoft, встроенный в Windows.
б) Найдена некая беларусская фирма ArgoSoft, предлагающая такие библиотеки (http://www.argosoftware.ru/Home/Ar/ArIntro.html).
б) Найдена некая беларусская фирма ArgoSoft, предлагающая такие библиотеки (http://www.argosoftware.ru/Home/Ar/ArIntro.html).
а) Опять-таки продукция ArgoSoft (пакет ArgoCRYPT — очень удобно: генераторы ключей, функции зашифрования и др. реализованы в отдельных модулях, требующих минимального количества опций. Ключи генерируются в виде отдельных файлов.)
б) Использовать GnuPG (читал документацию: здесь всё сложнее, т.к. своя система управления ключами)
б) Использовать GnuPG (читал документацию: здесь всё сложнее, т.к. своя система управления ключами)
Что вы думаете по этому поводу?
Хочется минимально программировать, т.к. система разрабатывалась сторонней организацией по заказу, а так же заплатить по-меньше. (Продукция ArgoSoft небесплатна, зато поддерживает отечественные стандарты.)
Остаётся совершенно открытым вопрос о создании корпоративного удостоверяющего центра. Какие существуют бесплатные продукты под UNIX ?
Заранее благодарен.
Пока две подсказки:
1. GnuPG. Все минусы, связанные с иностранными крипторазработками. Плюсы — бесплатность, горы документации.
2. Комплекс и SDK "Верба" http://www.security.ru/products.html от "МО ПНИЭИ". Отечественная крипторазработка с сертификатами ГТК и ФАПСИ (можно реализовывать в рамках ГОСТа ЭЦП). Есть поддержка UNIX, Windows. Не бесплатна, хотя цены демократичные http://www.security.ru/price.html .
Огромное спасибо. Буду смотреть.
Хорошо, конечно. А какие-нибудь триальные версии есть у "Вербы"? (Или что-нибудь пиратское? :) ) Хочется ведь попробовать, как всё это будет работать на практике, а потом покупать. Вот ArgoSoft меня чем и привлёк, что они бесплатно предоставляют версии ПО/библиотек, причём урезанных не в смысле функциональности, а в смысле надёжности (ограниченная длина ключа и т.п.)
Само собой разумеется, что тот же ПЛЮС есть и у GnuPG.
Так обращайтесь в МО ПНИЭИ, у них напрямую поинтересуйтесь, все контактные координаты на сайте есть. www.security.ru
[quote:e112f1f926="Oleg L."]Здравствуйте!
Мечтаю получить рекомендации по следующему вопросу.
<...>
]>
см. www.openca.org
Добрый день!
Отвечает вам директор ЗАО "АргоСофт" и менеджер проектов ArgoCRYPT, TransCRYPT и пр.
Наш коллектив перешел на работу в компанию Security&Communications Software Inc.(www.secomsoft.com) и там продолжает работу над криптографическими продуктами.
Как раз в настоящий момент мы занимаемся интеграцией криптографии в on-line системы документооборота на базе WS-XML-SOAP-HTTP и именно в сервер APACHE на основе XML Security.
Если вы желаете использовать нашу криптографию в будущем, то я мошу предложить вам ArgoCRYPT бесплатно, но без сопровождения. Если он вам понравится, то далее, увидев наши новые продукты, вы можете принимать решения об их покупке и установлении с нами нормальных отношений.
С уважением
Андрей Зеленкин (zelenkin@secomsoft.com)