Требуется консультация IT-специалиста

[Lady Winter]

Есть техническая схема:
программа "клиент-банк" у человека в домашнем компе, которая получает доступ к серверу банка через инет с помощью ключей, выданных банком
Вопрос в том - можно ли доказать, что если программа пустила чужие ключи - это дефект программы "клиент-банка".

как то так... звиняйте за лексику:blush2:, но уж как могу :bland_moment:

 

[X-tream]

ключи через что? цыфровые подписи. Электронный ключь типа флешки (e-token)

 

[Demon™]

Чужие ключи - это ключи, выданные другим банком? Если нет, то это свои ключи, а не чужие.
З.Ы. Привязывайте клиент-банк к IP-адресу во избежание разнообразных эксцессов.

 

[Michael]

А можно поподробнее ситуацию? Я так представляю, что через этот компьютер, платежку отослал другой человек со своим ключом? Ну здесь вины программы думаю что нет. Ведь ключ это своего рода зашифрованный файлик, и какая разница программе какой ключ расшифровать. Хотя и от программы зависит, либо она все ключи принимает, либо предварительно ключи должны быть вбиты в программу.

 

[Lady Winter]

Demon™, это подделанные

X-tream, вот хз... ключи там или ЭЦП была... или ключи это и есть ЭЦП :3fb41f66f30406cfa2c

Ну здесь вины программы думаю что нет

а вот надо чтобы была... :beee:

 

[Demon™]

Demon™, это подделанные

Электронный ключ нельзя подделать. Его можно украсть и воспользоваться им. Если это, конечно, нормальный ключ. В этом случае программа совершенно не при чём. Если же ключ можно воссоздать (подобрать), не имея доступа к оригинальному ключу, это не ключ, а порнография. Тогда можно попробовать предъявить претензии к банку. Но это надо и договор читать и прочие документы, регламентирующие уровень безопасности при работе со счетами в онлайне.

 

[Черный Лотос]

А можно более подробно ситуацию узнать?
Какой банк это был?
И что значит "пустила чужие ключи"?

 

[Lady Winter]

Если же ключ можно воссоздать (подобрать), не имея доступа к оригинальному ключу, это не ключ, а порнография.

Интересует именно этот вопрос - можно ли это технически доказать?

 

[LexaEng]

+100 к высказываниям Demon™-а
чтобы доказать что банковская программа дырява - нужно заключение экспертов, которые найдут и смогут продемоснтриролать суду тот механизм действий, при котором прога пропустит левую подпись к вашему счету.
ЗЫ наверн надо сразу брать чемодан бабла и идти к тому программеру(ам) которые писали софт))

 

[Demon™]

Интересует именно этот вопрос - можно ли это технически доказать?

Ну, как уже сказали, тут экспертное заключение нужно. Можно попробовать отдел К (или как он там сейчас называется) подключить. Не знаю, правда, занимаются ли они такими вещами...

 

[Nusferatus]

Интересует именно этот вопрос - можно ли это технически доказать?

Да, можно. На основании криптоанализа ключа и исследовании самой программы на предмет "дыр" можно получить заключение о вероятностях подбора или обхода системы защиты ПО и прилинковать его к делу.

 

[Lady Winter]

Ну, как уже сказали, тут экспертное заключение нужно. Можно попробовать отдел К (или как он там сейчас называется) подключить. Не знаю, правда, занимаются ли они такими вещами...

Не поверите, но мне известно, что тут экспертное заключение нужно)))))
Вопрос именно в возможности проведения такой экспертизе. Отдел К тоже понятно, интересует возможность самостоятельной экспертизы.
Есть мысли позвонить в КНииТ...

 

[Lady Winter]

Да, можно. На основании криптоанализа ключа и исследовании самой программы на предмет "дыр" можно получить заключение о вероятностях подбора или обхода системы защиты ПО и прилинковать его к делу.

Вот это я и хотела как раз услышать!
Спасибочки! ;-)

 

[Romario]

эээ если честно я так понял что программа клиент-банк, которая установлена у автора, помимо его ключей также работала с ключами другого человека того банка, если это так то тут нет никакой уязвимости так и должно быть. А вот если эта програ съела ключи другого банка который использует другие алгоритмы ширования, то тут все двояко либо прграммер скомуниздил исходник, либо это судьба

 

[alex]

Насколько я понимаю программа пустила не "чужие" ключи откуда-то. А ключи автора были каким-то образом скопированы и использованы с другого компьютера без его ведома. Тут никакой вины программы клиент-банка нет, есть тысяча и один способ залезть в комп человека со стандартной виндой и это проделать.

Если действительно транзакция проведена с другими ключами, это легко проверить. Транзакция подписывается ключом клиента и отправляется в банк. Они обязаны её предъявить по запросу - подписанную зашифрованную и в открытом тексте расшифрованную. Если ту же самую транзакцию подписать еще раз ключом клиента, должно получиться ровно то же самое.
Мне банк на каждую транзакцию присылает квитки - короткие циферки, как бы подпись транзакции. Это может быть использовано для сверки.

Я лично считаю подделку ключа совершенно невообразимой. Таких дырок в банковских прогах всё-таки не бывает. Другой вопрос - как данный ключ попал к клиенту. Вот куда надо смотреть. Сам он его генерировал в установленной программе или ему банк выдал готовый ключ? Тут могут быть совершенно дикие нарушения безопасности.
Например мне Газпромбанк выдал записанный на диск дистрибутив с уже сгенерированными ключами и я так понимаю общим для всех паролем. Любой человек мог по пути в банке его скопировать и делать любые транзакции от моего имени. По сути такая ЭЦП недействительна.

 

[Grayel]

А договор газпромбанк вам дал? Где прописаны правила хранения ключей? Мало ли как при установке они были вам переданы. Нельзя зарытый ключ хранить в базе клиент банка, или в реестре. - это нарушение, и трактоваться оно будет не в вашу пользу. С паролями история та же, некоторые клиент-банки позволяют незадавать их совсем - но ответственность за это несете тоже вы.

P.S. Вряд ли дело в Банковском ПО.

Кстати, не Росбанк?

 

[Федор]

Если ту же самую транзакцию подписать еще раз ключом клиента, должно получиться ровно то же самое.
...
Я лично считаю подделку ключа совершенно невообразимой. Таких дырок в банковских прогах всё-таки не бывает.
...
Например мне Газпромбанк выдал записанный на диск дистрибутив с уже сгенерированными ключами и я так понимаю общим для всех паролем. Любой человек мог по пути в банке его скопировать и делать любые транзакции от моего имени. По сути такая ЭЦП недействительна.

1. Повторная подпись может (и должна, если ЭЦП реализовывал не полный профан) быть другой. Проверить ее можно только проведя расшифровку ЭЦП по открытому ключу. Повторяемый результат ЭЦП - первый шаг к ее взлому, поэтому обычно этот шанс у взломщика отбирают.
2. Каких только дырок в программах не бывает... :blush2:
3. И это - одна из самых уязвимых дыр.

 

[alex]

А договор газпромбанк вам дал? Где прописаны правила хранения ключей? Мало ли как при установке они были вам переданы. Нельзя зарытый ключ хранить в базе клиент банка, или в реестре. - это нарушение, и трактоваться оно будет не в вашу пользу.

Как хранить у себя ключи, поверьте - я разберусь.
А вот передаваться мне они вообще не должны, а должны генериться у меня, и публичный ключ отправляться банку. Тогда это будет действительно мои ключи, а так это всё шляпа.

 

[Черный Лотос]

Я так и не понял, что случилось, а автор молчит.

 

[Demon™]

Насколько я понял, провели транзакцию по их счёту с другого компа. Хотят доказать, что утечки ключей не было, а виной явилось несовершенство защиты канала связи.