vpn-key-tls на debian

[vdm]

Предыстория: Решили перейти на Сбербанк, вся компьютерная инфраструктура построена на основе дистрибов на Debian (Восновном Ubuntu), конечно отзвонились в сбер, уточнили все ли операционки поддерживаются - ответили что да, мы как полные идиоты поверили, открыли счет, получили токен - а не тут то было, поддерживается только винда. У нас нет компьютеров с windows в организации, и ради одного токена заодить его совсем нет желания да и возможности. Вообщем не удалось осуществить даже первый вход. Вот и думаем теперь - то ли закрывать счет у сбера и открывать в нормальном банке, то ли переходить на СМС (малоприемлемо), то ли искать возможность работы с этим ключем.

Вследствии вышеизложеного вопрос: Какова вероятность того, что получится работать из под дистрибов семейства Debian (ubuntu) с этим ключем? И главное как?

 

[Dmitriy]

VPN-Key-TLS работает только под управлением ОС Windows. Возможность использования иных ОС не предусмотрена.
Linux поддерживается другим нашим продуктом - ФПСУ-IP/Клиентом, который, в свою очередь, используется в связке с клиент-банком Сбербанка.

 

[vdm]

То есть возможности поднять это в Linux нет никакой возможности? В виртуалке, как я понимаю так же не будет корректно работать? Про wine даже не спрашиваю - прикрутить не удалось.

Как заменить эту зелёную несуразность на ФПСУ-IP/Клиент в сбербанке - это возможно в принципе?

 

[noldor]

Как заменить эту зелёную несуразность на ФПСУ-IP/Клиент в сбербанке - это возможно в принципе?

Присоединяюсь к вопросу. С использованием зеленки организовать удобную систему на базе текущей инфраструктуры не получается.
- Сервер 2008 R2 она не поддерживает.
- На виртуалках в HyperV не подцепляется.
- Сделать копию на второй токен не разрешают.

 

[Dmitriy]

Вопросы о процедуре перехода с одного банковского продукта на другой Вам лучше задавать специалистам банка.

 

[vdm]

Тому человеку, который дал добро на эту "зелёнку" надо оторвать то, чем он думает , если он вообще чем то думал, когда внедряли ЭТО...
А вот почему разработчикам не стыдно за свой продукт совсем не понятно - вроде серьёзные вещи делают.
Кстати не получилось без боя и на чистой winXP запустить - рядовому пользователю с этой гадостью, без помощи специалиста сложновато будет.
Надеюсь этот топик не удалят и хоть кто-то нагуглит и не станет брать этот продукт, если всёравно оно у него работать не будет.

 

[Alex_N]

Уважаемый vdm!
Конечно этот топик удаляться не будет - мы ответственно воспринимаем критику.
Но есть огромное пожелание к Вам и к тем, кто оставляет свои критические высказывания на форуме - давайте переходить в конструктивное русло. Это поможет и нам лучше реагировать на пожелания Пользователей и Вам быстро и эффективно решать свои задачи.
Что конкретно не устраивает в том продукте, которым Вы пользуетесь?
Что-то нужно изменить или что-то нужно добавить?
Предлагайте размещать опросы на сайте для выявления общих пожеланий.... Давайте обращаться с предложениями в соответствующие службы Заказчика продукта, чтобы донести до него пожелания конечных Пользователей.
Если Вы считаете, что у многих Пользователей есть потребность в использовании VPN-key-TLS в других операционных системах - будем обсуждать техническую возможность, при наличии которой перейдем к практической реализации задачи.

Прошу учитывать, что по некоторым продуктам техническое задание на разработку ставит Заказчик, применительно к VPN-key-TLS - это Сбербанк, от требований которого мы и отталкиваемся. Возможно не все варианты применения им рассматриваются, т.к. в первую очередь продукты разрабатываются для использования в наиболее распространенных конфигурациях. Как Вы понимаете, учесть пожелания каждого Пользователе не всегда удается, хотя к этому и нужно стремиться.

 

[noldor]

Конструктивными говорите? Хорошо, мой вопрос.

1. Как подключить зеленку к терминальному серверу Win 2008 R2, где у нас стоит 1С и с ней удаленно работает бухгалтер?
2. Как запустить на Win7 под Hyper V, куда потенциально могу перевести бухгалтера с R2?
3. Как мне запустить ваш продукт в режиме терминальной сессии? Если я не пожалею и куплю для удаленной работы бухгалтера отдельный компьютер и лицензию винды на него?

Вы сейчас скажете, что пусть главбух возьмет флешку себе. И что если там два ключа с ключём гендира, то купите второй и сгенерите главбуху свою.
НО, нам это не удобно - бухгалтер со своей флешкой может оказаться не доступен, у него иногда ломается интернет, иногда нужно срочно подписать документы, а его нет.
Удобно - это когда флешка торчит в серверной, запертой на ключ, а вся работа строится через терминальную сессию, а вы это не можете обеспечить.
И предложить удобную альтернативную схему не можете. Скопировать ключ на второй токен не говорите как, политика безопасности меня от меня.
Как дальше жить? И почему я согласился на Сбербанк, когда ВТБ за зарплатный проект предлагал все даром и без такого гимороя?
У меня были разные банки, но схема Сбербанка самая не удобная.

Сочувствую коллегам с Linux, которые поверили в оферту на официальном сайте.

 

[noldor]

Почитав про "ФПСУ-IP/Клиент" не смог понять, решит ли переход на него вопрос удаленного подключения к флешке, торчащей в сервере или нет.
И почему нельзя было сделать подключение по SSL как у большинства банков, убрал бы сертификаты на криптодиск, ткнул его в сервер и все, нет проблем.

 

[vdm]

Что конкретно не устраивает в том продукте, которым Вы пользуетесь?

Он не работает.

Что-то нужно изменить или что-то нужно добавить?

Добавить поддержку операционных систем отличных от windows. (хотя бы дистрибов на debian)

Если Вы считаете, что у многих Пользователей есть потребность в использовании VPN-key-TLS в других операционных системах - будем обсуждать техническую возможность, при наличии которой перейдем к практической реализации задачи.

Мне пришлось перейти на неудобные СМСки, так и не поработав с помощью токена, в банке при переформлении сказали, что я не первый - у многих на windows даже не поднималось. Дословно фраза банковского работника по отношению к этому ключу: "...Да жтож это такое с флешками то постоянно..."

прошу учитывать, что по некоторым продуктам техническое задание на разработку ставит Заказчик, применительно к VPN-key-TLS - это Сбербанк, от требований которого мы и отталкиваемся. Возможно не все варианты применения им рассматриваются, т.к. в первую очередь продукты разрабатываются для использования в наиболее распространенных конфигурациях. Как Вы понимаете, учесть пожелания каждого Пользователе не всегда удается, хотя к этому и нужно стремиться.

Знаю огромное количество организаций, полностью работающих на дистрибах, основанных на *nix, туда же вообщем то относится и макось (правда ни одна из этих организаций не использует сбербанк), я конечно понимаю, что для многих синоним операционка = windows, но линукс используют по "статистике инета" более 2% пользователей, только десктопных систем. А с учетом того, что образовательные учреждения переходят на открытые операционки, таких пользователей будет всё больше. Я уж не говорю, о призыве нашего правительства переходить на открытое ПО во всех областях, а так же не считаю серверные *nix ы.

 

[Alex_N]

Добрый день!
Давайте я несколько поясню ситуацию. Сбербанк использует два наших продукта в своих системах Клиент-Банк.
1) В старой версии Клиент-Банк используется ПАК "ФПСУ-IP/Клиент" , который является "толстым" клиентом и состоит из устройства VPN-key(хранит и вырабатывает ключи шифрования) и ПО "ФПСУ-IP/Клиент"(которое обеспечивает межсетевое экранирование и шифрование в VPN). Цифровой подписью данный Клиент не занимается, она реализована в самом приложении "Клиент-банк".
Указанный продукт "прикладонезависим" - он обеспечивает прозрачное для любого приложение VPN-соединение с сервером доступа "ФПСУ-IP". Мы разработали версии под все основные ОС- Windows, Linux, MacOS, Android. Поддержкой полностью занимается ООО "АМИКОН".
2) В новой версии Клиент-Банк используется VPN-key-TLS - "тонкий" клиент, в котором все криптографические преобразования осуществляются непосредственно в устройстве. Его поддержка в ОС реализована через Smart-card интерфейс, что не требует установки дополнительных драйверов.
Единственная особенность - для корректной работы продукта используется запускаемое с VPN-key-TLS "операционнозависимое" приложение, позволяющее WWW-браузеру обращаться к устройству. Полагаю, что именно в нем и проблема с запуском в различных средах.
Сразу поясню - данный продукт разрабатывался в интересах Сбербанка, которым была поставлена задача обеспечить работу "тонкого" клиента во всех пользовательских версиях Windows. О разработке Клиента для серверных вариантов Windows, Linux или MacOS предложений не поступало.
Хочу отметить, что в данном проекте ООО "АМИКОН" выступает как производитель аппаратной части, прошивки и другие приложения совместно со Сбербанком разрабатывает наш партнер - ООО "Фирма" Инфокрипт" (http://www.infocrypt.ru). Кроме того, они оказывают техническую поддержку его программной части.
Мы передали Ваши вопросы и пожелания разработчику - ждем ответ.
В будущем, рекомендуем обращаться непосредственно в ООО "Фирма" Инфокрипт" для решения возникающих проблем и вопросов по работе VPN-key-TLS.

 

[vdm]

В будущем, рекомендуем обращаться непосредственно в ООО "Фирма" Инфокрипт" для решения возникающих проблем и вопросов по работе VPN-key-TLS.

Ну раз инфокрипт ЭТО сделало, то тогда почти всё понятно - посмотрев на их сайт, у меня возникла мысль, что он заброшен, и этой фирмы больше не существует, а все её разработки перешли к вам. В любом случае, держите в курсе, уж очень неудобно с СМСками работать.

А по поводу сбербанка, и его требований - заинтересованная в качественном выполнении заказа сразу бы обртила на это внимание - говорю это по своему опыту из свое сферы - иногда такие недоработанные ТЗ приходят, что и выполнять их не хочется в таком виде - предлагаем свои предложения и дополнения обычо в таких случаях

 

[tt24]

Греф, видимо не парится, аджайл там, блокчейн... А ключ сделать кроссплатформенным не может... В каком отделении карточку выпускали, туда и идите...

В будущем, рекомендуем обращаться непосредственно в ООО "Фирма" Инфокрипт" для решения возникающих проблем и вопросов по работе VPN-key-TLS.

Ну раз инфокрипт ЭТО сделало, то тогда почти всё понятно - посмотрев на их сайт, у меня возникла мысль, что он заброшен, и этой фирмы больше не существует, а все её разработки перешли к вам. В любом случае, держите в курсе, уж очень неудобно с СМСками работать.

А по поводу сбербанка, и его требований - заинтересованная в качественном выполнении заказа сразу бы обртила на это внимание - говорю это по своему опыту из свое сферы - иногда такие недоработанные ТЗ приходят, что и выполнять их не хочется в таком виде - предлагаем свои предложения и дополнения обычо в таких случаях