BCO System Cryptographic Plugin

[Grigory Fateyev]

Добрый день!

Возможно ли установить сиё чудо "BCO System Cryptographic Plugin" в
линукс? Этот плагин необходим для ЛК Банка ВТБ-Бизнес, сайт
https://bo.vtb24.ru/login (если немного подождать, вылезет
предупреждение в шапке). Надоело в винду грузиться за каждым чихом.

Спасибо!
--
Best regards!

[Дмитрий Фёдоров]

чт, 25 июл. 2019 г. в 17:49, Grigory Fateyev <gfb...@gmail.com>:

>
> Возможно ли установить сиё чудо "BCO System Cryptographic Plugin" в
> линукс? Этот плагин необходим для ЛК Банка ВТБ-Бизнес, сайт

Нужно было думать об этом раньше, когда выбирали банк.
Банки с ДБО без винды и джавы существуют, подсказывать не буду.

[Victor Wagner]

Помнится, когда у меня встала аналогичная проблема - нужно было
использовать VPN-протокол который в linux не поддерживался толком,
я поставил на своем ноутбуке windows в kvm-виртуальную машину,
пробросил туда криптографичекий токен как USB-устройство и все у меня
работало.

Более того (хотя вам в данном случае, это, похоже, не надо) эта
виртуальная машина прекрасно роутила траффик той линукс-системы, в
которой она выполнялась и я ходил по ssh и http на машины в офисной
сети из самого линукса.

То есть без перезагрузки можно обойтись за счет использования
виртуализации.

Можно ли в случае личного кабинета банка обойтись без использования
неудобного браузера - не уверен.

(да, конечно сначала я попробовал попатчить sstp_client для того, чтобы
он работал с токеном. Но сломался на том, что там требовалась
двухтактная авторизация через токен - сначала на уровне протокола sstp,
а потом на уровне pppd, который sstp-клиент запускает поверх себя после
установления соединения. И вот патчение pppd на предмет
криптографической аутентификации уже превысило тот лимит времени,
который я был готов выделить на эту задачу).

--

[Коротаев Руслан]

Дмитрий Фёдоров <dm.fe...@gmail.com> пишет:

> Нужно было думать об этом раньше, когда выбирали банк.
> Банки с ДБО без винды и джавы существуют, подсказывать не буду.

А может подскажите?

Я в своё время пробовал разобраться с «отчественной криптографией» и
ничего не понял. Там помимо токена, нужно покупать лицензию криптопро и
без windows это нормально работать не будет. Как я понял, это криптопро
постоянно что-то сканирует, куда-то посылает, оно пытается понять в
каком окружении находится — виртуалка или реальное железо, от этого
зависит тип лицензии. Короче, что-то как-то...

Если хотите, можете написать названия банков в личку. Но если есть
нормальный банк, который выдает сертификаты ДБО, которые можно загрузить
в токен (рутокен или алладин), а токен в свою очередь можно подключить к
firefox через PKCS#11 [1], то указать название такого банка в рассылке
будет не реклама, а помощь всем людям, которые опасаются мошенников.

[1]: https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/API/pkcs11

--
Коротаев Руслан
https://blog.kr.pp.ru

[Victor Wagner]

On Thu, 25 Jul 2019 14:06:01 +0000
Коротаев Руслан <subs...@mail.kr.pp.ru> wrote:

> Дмитрий Фёдоров <dm.fe...@gmail.com> пишет:
>
> > Нужно было думать об этом раньше, когда выбирали банк.
> > Банки с ДБО без винды и джавы существуют, подсказывать не буду.
>
> А может подскажите?
>
> Я в своё время пробовал разобраться с «отчественной криптографией» и
> ничего не понял. Там помимо токена, нужно покупать лицензию криптопро
> и без windows это нормально работать не будет. Как я понял, это

1.Совершенно необязательно именно на cryptopro. Есть еще несколько фирм
которые продают реализации отечественной криптографии. Для файрфокса
лучшее решение по-моему у Лисси. Насколько я пониамаю список фирм можно
посмотреть в разделе Authors RFC 4357.
2. Криптопро выпускает продукты для ОС, отличных от Windows. Модуль для
linux у них точно есть. Правда почему-то с интерфейсом виндового CSP.
Возможно, впрочем, они ее позиционируют как чисто серверное решение.
3. Насколько я помню, реализация PKCS11 в libnss не содержит того
профайла, который необходим для использования российской криптографии.
В свое время разные люди разными способами пытались этот туда
пропихнуть, но радостных воплей по поводу успеха я не слышал.
PKCS11 это очень большой и развесистый стандарт.

> криптопро постоянно что-то сканирует, куда-то посылает, оно пытается
> понять в каком окружении находится — виртуалка или реальное железо,
> от этого зависит тип лицензии. Короче, что-то как-то...
>
> Если хотите, можете написать названия банков в личку. Но если есть
> нормальный банк, который выдает сертификаты ДБО, которые можно

В любом случае, придется купить лицензию на какой-нибудь российский
СКЗИ, подлежащий поэкземплярному учету. Потому что без сертификата (в
смысле бумажки такой) на этот СКЗИ российский суд не будет принимать
претензий по поводу электронной подписи.

[artiom]

КриптоПРО - отдельный пакет.
Токены к нему отношения не имеют.
Как минимум, на Linux я использовал RuToken и JaCarta.

25.07.2019 17:06, Коротаев Руслан пишет:

[Коротаев Руслан]

artiom <arti...@yandex.ru> пишет:

> КриптоПРО - отдельный пакет.
> Токены к нему отношения не имеют.
> Как минимум, на Linux я использовал RuToken и JaCarta.

Да, я в курсе что рутокен можно использовать на linux. На портале какого
банка вы смогли залогинтся используя только рутокен, без криптопро и
прочих криптопровайдеров?

[artiom]

Я использовал его не для логина в банк, а для логина администратора в
разрабатываемом комплексе, но через стандартную библиотеку для pkcs11
(либо слегка доработанную) и свой клиент, её использующий.
С банками не знаю.
Лично по-моему, токен - это overkill для банка, хотя может я и не прав.
Если вы там не держите миллионы, он не нужен.
А если вы держите миллионы в российском банке, - тем более.

25.07.2019 21:58, Коротаев Руслан пишет:

[Artem Chuprina]

artiom -> debian-...@lists.debian.org @ Thu, 25 Jul 2019 23:18:12 +0300:

> Я использовал его не для логина в банк, а для логина администратора в
> разрабатываемом комплексе, но через стандартную библиотеку для pkcs11 (либо
> слегка доработанную) и свой клиент, её использующий.
> С банками не знаю.
> Лично по-моему, токен - это overkill для банка, хотя может я и не прав.
> Если вы там не держите миллионы, он не нужен.
> А если вы держите миллионы в российском банке, - тем более.

Я так подозреваю, что в режиме для предприятий не важно, держите вы в
российском банке три миллиона или три рубля. Банк требует только такой
авторизации, и фсё. Причем, скорее всего, он бы, может, и рад иначе, да
от него этого требует Центробанк.

Физлицам проще.

[artiom]

А, ясно.
Но тогда и банк выбирает предприятие.
Проще действительно отдельную машину с виндой держать с "КриптоПРО"
только для захода в кабинет банка.
Либо попробовать токен пробросить в виртуалку.
Это ж USB, ему должно быть не важно, что не физическая машина.


26.07.2019 08:30, Artem Chuprina пишет:

[Artem Chuprina]

artiom -> debian-...@lists.debian.org @ Fri, 26 Jul 2019 09:06:00 +0300:

> А, ясно.
> Но тогда и банк выбирает предприятие.

Ну, да. Но ИП, например, это тоже предприятие. Расчетный счет ИП — это
не то же самое, что счет физлица, и тут вполне можно словить
отечественную, гм, криптографию по полной программе, со всеми поборами.