| Проект "Свободные голосования" http://gplvote.andyhost.ru/forum/ |
|
| Вопросы безопасности http://gplvote.andyhost.ru/forum/viewtopic.php?f=21&t=12 |
Страница 1 из 2 |
| Автор: | Андрей [ 21 июн 2011, 12:37 ] |
| Заголовок сообщения: | Вопросы безопасности |
С учетом того, что система предоставляет лишь базовый функционал, необходимо определить какие действия пользователя будут производиться исключительно через сайт системы. Действия, которые должны производиться только через сайт системы: - регистрация пользователей; - вход в систему (клиентский ssl сертификат, sms подтверждение и карты с кодами как дополнительные средства безопасности); - перевыпуск клиентского ssl сертификата; - подписывание пользователей; - регистрация пользователем делегатов без собственного голоса; - голосование; - делегирование голоса; - отмена делегирования голоса; - установка рейтингов делегатам; - регистрация субъектов голосования; - регистрация голосований в контексте субъекта голосования; - просмотр результатов голосований; Действия, которые будут требовать отдельной электронной подписи: - голосование; - делегирование голоса; - отмена делегирования голоса; - регистрация субъектов голосования; - регистрация голосований в контексте субъекта голосования; "Отдельная электронная подпись" означает что у пользователя на компьютере будет установлена программа для подписывания текстов его электронной подписью. Система, например, при голосовании выдает ему строку для подписывания: "Пользователь: Иванов Иван Иванович (144452); Субъект голосования: ТСЖ г.Н-ск, ул.Советская, д. 10 (1234); Голосование: Вопрос об уборке территории (5667); Время: 2014-01-20; Голос: За (1)", которая должна быть понятна пользователю на обычном текстовом уровне. Пользователь копирует эту строку в программу подписи, формирует подпись для этой строки и копирует ее на страницу голосования в броузере для подтверждения своего голоса. Здесь есть два момента. Во-первых, понятно что метод не самый удобный, но такая подпись будет нужна лишь для трех самых важных действий. Во-вторых, на первом этапе, думаю, что-бы не заморачиваться с написанием своей программы подписи, лучше использовать существующее ПО GnuPG как наиболее надежное и распространенное. При этом процедура формирования электронных ключей GnuPG для пользователя будет производиться исключительно на компьютере пользователя. Через интернет в систему будут передаваться лишь публичные ключи. Так-же и система (или ее части) будут иметь собственные ключи для подписи сообщений и действий системы. Использую публичные ключи системы любой пользователь сможет убедиться что сообщения исходят именно от системы. |
|
| Автор: | Андрей [ 21 июн 2011, 16:53 ] |
| Заголовок сообщения: | Re: Вопросы безопасности |
Еще подумалось. Возможно, для начала, действительно, имеет смысл организовать регистрацию пользователей с использование GnuPG. А аутентификацию производить по пересылаемой в систему зашифрованной и подписанной копии паспорта, например. |
|
| Автор: | Альберт [ 21 июн 2011, 17:40 ] |
| Заголовок сообщения: | Re: Вопросы безопасности |
А что собой представляет оборудование для электронной подписи...? |
|
| Автор: | Андрей [ 21 июн 2011, 18:53 ] |
| Заголовок сообщения: | Re: Вопросы безопасности |
Альберт писал(а): А что собой представляет оборудование для электронной подписи...? Это не оборудование, а программа. |
|
| Автор: | Андрей [ 21 июн 2011, 19:03 ] |
| Заголовок сообщения: | Re: Вопросы безопасности |
Вообще, электронная подпись основана на системе открытого и закрытого ключа. То, что зашифровано закрытым ключем, можно расшифровать открытым. Т.е. закрытый ключ пользователь хранит так, что-бы ни у кого больше не было к нему доступа (обычно он еще и паролем защищается). И все, для чего необходимо знать что данная информация отправлена именно этим пользователем, он шифрует своим закрытым ключем и отправляет вместе с той-же информацией в открытом виде. Тот, кто хочет удостовериться что эта информация отправлена именно этим пользователем, берет его открытый ключь, который объявлен открытым именно для этого пользователя и расшифровывает зашифрованную часть. Если открытая часть и расшифрованная совпадают, значит эту информацию точно отправил данный пользователь и она пришла в неизменном виде. В реальности, конечно, способ используется немного другой, но суть не отличается от того что я описал. |
|
| Автор: | Андрей [ 22 июн 2011, 11:20 ] |
| Заголовок сообщения: | Re: Вопросы безопасности |
Хранение персональных ключей шифрования можно организовать на SD картах небольшого объема. После записи на них ключей карта блокируется от записи и переключатель разблокировки удаляется механически. |
|
| Автор: | Альберт [ 22 июн 2011, 13:46 ] |
| Заголовок сообщения: | Re: Вопросы безопасности |
На первый взгляд вполне удобно...а где для сравнения сейчас применяется подобная система...? |
|
| Автор: | Андрей [ 22 июн 2011, 13:52 ] |
| Заголовок сообщения: | Re: Вопросы безопасности |
Альберт писал(а): На первый взгляд вполне удобно...а где для сравнения сейчас применяется подобная система...? Больше она применяется в личных целях. Для шифрования переписки по емэйл, для шифрования бесед через аську или джабер. Вообще, gnupg - система "взрослая" и весьма распространенная. |
|
| Автор: | Альберт [ 22 июн 2011, 20:41 ] |
| Заголовок сообщения: | Re: Вопросы безопасности |
Убежден...система должна иметь дружелюбный интерфейс и процедуру использования...надо ориентироваться на средних лет старушку.(55-65).. до которой ещё не добрался маразм...))) |
|
| Автор: | Андрей [ 22 июн 2011, 20:44 ] |
| Заголовок сообщения: | Re: Вопросы безопасности |
Вот с одной стороны вы пишете что хотите социальную сеть сделать в системе, а с другой, что она должна быть простой.  Я вас понимаю, и все время говорю о том что основа должна быть очень простой. А социальная сеть - как необязательное приложение.Социальная сеть - как раз то, чем не смогут пользоваться большинство людей. |
|
| Страница 1 из 2 | Часовой пояс: UTC + 3 часа [ Летнее время ] |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|