Category: it

Category was added automatically. Read all entries about "it".

Джакарта, ЕГАИС, ИБ, еТокен, Токены

ОГЛАВЛЕНИЕ

Приветствую, читатели!
Материалов накопилось многое множетво, а листать-то не всегда есть время и желание. Решил тут вам оглавление запилить, чтобы все можно было найти.
Какой токен для ЕГАИС выбрать? Подборка текстов обзоров токенов Джакарта, Рутокен и т.д.

– Сравнение токенов: какой токен выбрать для использования в ЕГАИС-розница
– Характеристики крипто-ключа Джакарта от Аладдин Р.Д. (JaCarta ЕГАИС)
– Работа над ошибками, или какие у Джакарты отзывы. Только пользовательский опыт.
– Джакарта-2 ГОСТ. Чего ждать?
О ЕГАИС

– Введение: о ЕГАИС, принципы работы и т.д.
– Он сказал поехали и махнул рукой! Как разлетелись в разные стороны Gemalto и Аладдин Р.Д.
– ЕГАИС: была ли нечестная игра на старте проекта?
– 1000 и 1 сказка Аладдина
– 1000 и 2 сказки Аладдина
– Как ЕГАИС 3.0 отразится на алкогольном ритейле?
– Куда ЕГАИС заведет?
– Футуристические записки: куда развивается ЕГАИС
История ЕГАИС
Цикл материалов, посвященных развитию ЕГАИС: от идеи, формирования законодательно-правовой базы,

– Часть 1: 2005 - 2007
– Часть 2: 2007 -2009
– Часть 3: 2009 - 2018
Видео подборки

– Полезные видео РАР
– Конференция РАР, посвящённая фиксации в ЕГАИС производства пива, сидра, пуаре и медовухи
ГОСТы

– О переходах на новые ГОСТы. Наблюдение.
– Еще раз о переходе на новые ГОСТы
Немного о юридической и технологической базах
Пиво в ЕГАИС

– Останутся ли ИП в алкогольном бизнесе?
– Солод и хмель теперь будут подлежать лицензированию
– 8 маразмов о регулировании пива от ProfiBeer
ЕГАИС для лекарств, продуктов, сигарет и т.д.

– Продовольственный ЕГАИС. Меркурий
– Минпромторг анонсировал запуск аналога ЕГАИС для метанола
– Медицина будущего с помощью технологий ЕГАИС
– Духи не станут частью ЕГАИСа: общественные слушания проекта постановления Правительства
– Подключение фармы к аналогу ЕГАИС
– Тестовый запуск маркировки сигарет в России
– ЕГАИС для меха
Технологии, криптография, блокчейн

Технологии будущего: ЕГАИС на блокчейне
– Дополнительно вводная статья про АТОЛ
Джакарта, ЕГАИС, ИБ, еТокен, Токены

Борьба за рынки: что происходит на российском рынке токенов

Приветствую читатели!
За все то время, что я веду свой блог, рынок токенов и смарт карт изменил существенно свой облик. Я сейчас говорю о нашем российском рынке. Поэтому и появилась такая вот идея сравнить, что произошло, как изменилась расстановка сил игроков рынка, кто устоял, кто не смог и почему?


Когда я впервые написал свой первый пост в ЖЖ, был 2017 год. На тот момент рынок товенов уверенно был разделен на российский сектор и иностранных поставщиков. Российский сектор был представлен компаниями Актив Софт, Аладдин Р.Д., ISBC, Шипка. Иностранный игрок был один – Gemalto.

Российские компании орагнически условно разделили продуктовый рынок.

Так ISBC имеет небольшой объем токенов и смарт карт, преимущественно занимаясь более продвинутыми технологиями, расширяя продуктовый технологический портфель интересными инновациями.
Прямыми конкурентами остались Актив Софт и Аладдин Р.Д., который активно боролись за рынок ЕГАИС (что для меня ближе всего в рассмотрении), скорее всего они активно конкурируют и в других сфера (ДБО, например, смарт карты и т.д.)

Что же касается единственного иностранного игрока, Gemalto, то тут ситуация подучилась крайне занимательная. Сначала неудобный скандальчик произошел с его партнером по бизнесу – Аладдин Р.Д., который перестал в одностороннем порядке продавать eToken, параллельно скопировав его в свой собственный продукт JaCarta. Gemalto заключает договор с Tesis и вроде бы все должно быть хорошо.

Отечественная криптография параллельно становится все более развитой и оформленной с точки зрения законодательства. За этот период мы вошли в фазу внедрения своих собственных национальных криптографических стандартов. Все компании обязаны им соответствовать и получать необходимые сертификаты соответствия в 6-ом отделе ФСБ России. Такие жесткие меры обусловлены курсом государства на импортозамещение и развитие собственной криптографической базы, которая будет независимой от внешних экономических и политических факторов.

Не все отечественные компании могут сказать, что они выпускают 100% российский продукт. Например, Рутокен (Актив) полностью наш токен: начиная от железа, заканчивая софтом. Про токен JaCarta (Аладдин Р.Д.) такое на 100% сказать не могу, потому как многие комплектующие по официальным источникам куплены за рубежом (Тайвань, Израиль и т.д.). Тем не менее оба эти производителя имеют жесткие соответствия согласно требованиям ФСБ России к СКЗИ, что и делает их конкурентоспособными.

К сожалению, Gemalto эту войну за российский рынок со временем проиграла. Мировой гигант не может соотвтетствовать всем и сразу. На сегодня Gemalto все так же продает на территории России токены eToken, однако они не являются сертифицированными ключами и могут быть использованы в ограниченных случаях.
Смотря на мировой опыт, мы можем сказать, что внедрение собственных стандартов криптографии и жесткие требования к иностранным производителям - это нормальная ситуация. Например, Китай пошел точно по такой же схеме разработки и внедрения внутригосударственных стандартов криптографии. Это позводило сохранить рынок для местного бизнеса и технологий. Индия пошла по иному пути, когда отсутствие регулирования СКЗИ позволяет продавать любые токены в любой торговой точке, например, в магазине «1000 мелочей»


Таким образом, наше законодательство обеспечило внутренний рынок работой еще на 10-20 лет вперед, способствуя развитию нашей школы криптографии, наших технологий и т.д.
Джакарта, ЕГАИС, ИБ, еТокен, Токены

PKI ФОРУМ 2018: лучшие презентации

Уже по традиции выкатываю материалы по итогам двух топовых мероприятий. Во-первых, всем советую следить за обновлениям и новостями PKI Форума, который прошел в Питере в конце сентября. Уже все презентации выложен на официальный сайт https://pki-forum.ru/materials2018

Для меня лично стали самыми интересными круглые столы, где преимущественно выступали представители высокотехнологичного российского бизнеса. Например, рекомендую к просмотру презентации круглого стола «Опыт, особенности, проблемы применения PKI, ЭП и ЭДО в органах власти и отраслях экономики России». Особенно заинтересовал Мегафон с презентацией «Опыт реализации PKI инфраструктуры в масштабах федеральной компании. Мобильная электронная подпись МегаФон». Я некоторое время назад писал об электронной подписи в мобильных устройствах. На мой взгляд, вещь, с одной стороны, прогрессивная и вроде как очевидная (все мы сейчас через телефон делаем), с другой стороны ну очень уже противоречивая. Время покажет! А пока презентация мегафона тут (https://pki-forum.ru/files/files/PKI%202018/Pozdnyakov_26.pdf)

В этой же секции интересный доклад от польских коллег в области электронного документооборота. Как всегда Европа продвигает зеленые технологии, а вместе с ними и новые возможности для paperless документооборота. Презентация Asseco по ссылке https://pki-forum.ru/files/files/PKI%202018/Mic_22.pdf Она очень небольшая, рассказывает очень сдержано о их технологии «on the fly». Много времени не займет, но интересно. 

Collapse )
Джакарта, ЕГАИС, ИБ, еТокен, Токены

Технологии будущего: ЕГАИС на блокчейне

Преинтереснейшая событие, дорогие читатели!
Со следующего года в России систему поштучного учета алкогольной продукции ЕГАИС переведут на технологию блокчейн. Новая система будет работать по принципам распределенного реестра и позволит отслеживать каждую бутылку начиная с этапа производства и заканчивая продажей. Об этом рассказал пресс-секретарь Федеральной службы по регулированию алкогольного рынка Александр Куликов.
Александр Куликов:
«Система поштучного учета использует механизмы технологии блокчейн: движение каждой единицы продукции создает цепочку блоков неизменных транзакций, хранящихся в дублирующих центрах обработки данных в Росалкогольрегулирование и Гознаке».

Согласно планам Росалкогольрегулирования, данные будут уходить в два центра – саму организацию и Госзнак, где происходит идентификация каждого продукта с помощью штрих-кода, поэтому полностью децентрализованным механизмом, каким должен быть блокчейн, такую систему назвать нельзя.
По информации пресс-секретаря организации, программное обеспечение учета ЕГАИС позволяет поштучно учитывать каждый алкогольный продукт. Блокчейн упростит государственный контроль за оборотом алкогольной продукции, а значит, увеличит собираемость акцизов. Введение поштучного учета упразднит декларации и сопроводительные документы на алкоголь. Налоговая служба сможет отслеживать продвижение горячительных напитков без проверки множества бумаг, передает Интерфакс.
Сегодня поштучный учет алкогольных продуктов идет на этапах производства и розничных продаж. Тестовые испытания блокчейн-учета алкоголя пройдут в России с 1 июля. Однако некоторые производители, например, московский коньячный завод «КиН» уже использует поштучный учет. Крупные предприятия совершают тестовые отгрузки алкоголя, который отслеживается с помощью технологии блокчейн.
Не так давно французское правительство решило контролировать куплю-продажу некотируемых на бирже ценных бумаг с помощью блокчейн. Благодаря технологии регистрация внебиржевых сделок упростится.
Джакарта, ЕГАИС, ИБ, еТокен, Токены

Сказ о том, как АНБ Сатоши искало-искало, да и выискало...

Приветствую, читатель!
Интересный материал обнаружил на просторах интернета. И теперь думаю, что, все-таки это не просто так. Все вокруг этого биткоина не просто так. Итак, вычитал я на днях, что АНБ выяснило, кто такой Сатоши. Дело все в том, что Сатоши исчез, передав все ключи и т.д. своим товарищам по сети, которые к определенному моменту стали полноценной удаленной командой, полностью «обслуживающей» биткоин-систему.  Произошло это вроде как в 2011 году.  АНБ использовало для его обнаружения следующие инструменты: PRISM, MUSCULAR и стилометрию. Давайте разберем эти средства деанонимизации и как большой брат следит за нами.
В последнее время мне даже контекстная реклама пользуется средствами, далеко уходящими за пределы возможностей «умного поиска» Гугл. Но это уже отступления.
PRISM — Program for Robotics, Intelligent Sensing and Mechatronics. И тут знатокам или людям, интересующимся информационной безопасностью и конспирологией, сразу же всплывает имя Сноудена. Именно он рассекретил данные АНБ вообще о существовании подобной деятельность в США и за ее пределами. PRISM на самом деле это комплекс программ, которые прослушивают, отслеживают геолокацию по смартфонам, а также отслеживают электронные сообщения. Система позволяет также просматривать фото-файлы и быть «третьим» лишним в видеочатах. В общем, программа позволяет полностью отслеживать наши действия в интернете, в т.ч. и наши приватные беседы.  Во время запуска программа, полагаю, что это произошло где-то в 2007 году, когда была закрыта Terrorist Surveillance Program, более продвинутым аналогом которой стал PRISM. Власти США добились через суды, а также «внезапно» пересмотренное законодательство об иностранной и внутренней разведке, у Google, Yahoo, Facebook и проч. Возможности доступа к этой самой информации. Безусловно, без них это стало бы непосильной ношей для бюджета штатов.
Именно благодаря Эдварду Сноудену мы знаем о том, что каждый наш шаг м.б. или уже под всевидящим оком. Тем не менее это дало бешенный толчок к развитию анонемайзеров и шифровальщиков различного толка и уровня.
Чтобы глобально увидеть то, что видят сотрудники АНБ, посмотрите на эту карту, которая называется Boundless Hit Map, раскрашенная в разные цвета: от зеленого до красного. Красный – самый прослушиваемый и отслеживаемый, зеленый яркий – самый «неинтересный»
Фото взято из википедии: https://ru.wikipedia.org/wiki/Boundless_Informant#/media/File:Boundless_Informant_data_collection.svg

Итак, Сатоши, будучи спецом уровня БОХ, явно знал о том, что Большой Брат неустанно следит за людьми в сети, поэтому со 100% вероятностью использовал анонимайзеры и, возможно, даже не почтовые Google или Yahoo.
Однако, давайте продолжим дальше. Что же такое MUSCULAR?
Благодаря самопожертвованию Сноудена и об этом мы тоже узнали. Это совместный проект Штатов и Английского правительсва.
Фото взято из википедии
https://upload.wikimedia.org/wikipedia/commons/f/f2/NSA_Muscular_Google_Cloud.jpg



До того, как Google узнал о том, что MUSCULAR существует и уже «работает» с ним, все передаваемые данные внутри облака Google не использовал шифрование, а во вне пользовался протоколом SSL. Именно этот факт (официально!) был признан причиной проникновения АНБ и ЦПСВ (Центр правительственной связи Великобритании) к данным миллионов пользователей.
По некоторым данным MUSCULAR обрабатывает в два раза больше точек, чем уже упоминаемая мной PRISM.
Итак, дальше к поискам Сатоши присоединились настоящие интернациональные разведчики.
Почему именно MUSCULAR, а не что-либо еще. А потому, что лингвистический элементарный анализ текстов господина Накомото свидетельствовал сначала об использовании американских слов, но затем исключительно британского английского. Это важно.
Далее приведу выдержку из текста, который меня и побудил рассказать об этом: а именно, как с помощью лингвистики и стилометрии АНБ разыскивала Сатоши. Далее идет написание имени «Сатоси» в соответствии с оригиналом статьи Если АНБ вычислило Сатоси Накомото, то как?

http://telegra.ph/Esli-ANB-vychislilo-Satosi-Nakamoto-to-kak-08-30-3
«… Э Проведённый в 2011 году лингвистический анализ всех онлайновых сообщений от имени Сатоси Накамото (≈80 тыс. слов на форумах и в письмах рассылки) показал, что этот человек отлично владеет английским языком, пишет в ярком и чётком стиле и допускает очень мало опечаток. В самом первом сообщении он использовал американский английский, но после этого полностью переключился на классическое правописание с использованием таких слов как colour вместо color, grey вместо gray и так далее, украшая тексты изысканными фразами вроде bloody hard.
Одновременно с лингвистическим анализом был проведён анализ программного кода. Он позволил сделать вывод, что разработчик программы — «программист мирового уровня с глубоким знанием C++ и обширным бэкграундом в области криптографии, экономики и P2P-систем».
Одновременно с независимыми специалистами свою работу по деанонимизации легендарного криптографа провело АНБ. Они использовали методы стилометрии.
Что такое стилометрия на практике? Как известно, люди склонны повторяться в текстах. Даже самый умный человек может иногда использовать одну и ту же фразу дважды. Особенно это касается технических терминов и формулировок, где шаблонность высказываний особенно высока.
Эту особенность использовали в АНБ. По словам Мьюса, специалисты применили стилометрический метод под названием «авторский инвариант». По определению, это количественная характеристика литературных текстов или некий параметр, который однозначно характеризует своим поведением произведения одного автора или небольшого числа «близких авторов», и принимает существенно разные значения для произведений разных групп авторов. Авторский инвариант традиционно применяется в задаче идентификации авторства текста.
В данном случае известные тексты Сатоси сравниваются с триллионами образцов текстов других авторов в интернете. В частности, АНБ определило 50 самых популярных слов (фраз?) в текстах Сатоси. Затем его тексты разбили на 5000 текстовых фрагментов, для каждого из которых была рассчитана частотность этих 50-ти слов. Результатом стало уникальный идентификатор каждого фрагмента из 50-ти цифр. Затем, объясняет Мьюс, каждое из полученных чисел было помещено в 50-мерное пространство и спроецировано на плоскость с использованием метода главных компонент. В результате получили некий цифровой отпечаток текстов Сатоси Накамото, который устанавливает его авторство.
Получив отпечаток, АНБ поставило задачу установить личность автора. Для этого они просканировали массивный архив электронных писем, сохранённый в процессе прослушки почтовых систем Google, Yahoo и других (система PRISM). Кроме того, с цифровым отпечатком сравнили данные, полученные в процессе архивирования всего интернет-трафика из дата-центров Google, Yahoo, Amazon и Facebook через закладки на оптоволоконных кабелях около дата-центров — система MUSCULAR.
В итоге, с уникальными отпечатками Сатоси сравнили письма и чаты одного миллиарда человек, чтобы выявить его личность. Как сообщается, процесс занял менее месяца и дал положительный результат.»

Таким образом АНБ знает и молчит, кто же это самый самый богатый неизвестный человек на земле. А нам предстоит только догадываться =)
Джакарта, ЕГАИС, ИБ, еТокен, Токены

Вебинар про блокчейн



Друзья, читатели и почитатели  Посмотрел я вебинар от Актива по теме «Как работает блокчейн». По мнению специалиста из Актива, «хайп», который «поймал» блокчейн и биткой, влияют очень негативно на саму технологию, уровень доверия к ней со стороны простого обывателя. Появилось огромное кол-во непрофессиональных стартапов, который пытаются адаптировать блокчейн ко всему, что движется и не движется. Очень рекомендую к просмотру, так как простым, понятным языком и без «хайпа» описаны фундаментальные основы блокчейна.
Небольшая, потому что она всего 2-х годичная, справка о российском блокчейне, которая маст ноу, как говорится:
Около года назад уже, а если рядовой пользователь со мной согласится, активно обсуждать эт все в «большой прессе» начала только в этом году. Ну да ладно. Итак, около года назад такие «титаны» как МДМ Банк, Тильноф, Киви, Открытие и Бинбанк организовали консорциум по развитию блокчейна в России.

В октябре 2016 Сбер и ФАС запустили пилот проги по обмену документами на базе блокчена Digital Ecosystem. Уже в этом году совсем недавно было анонсировано о проекте «Цифровая экономика», который должен использовать в своей основе также технологию блокченйна.

2 Июня этого года ЦБ заявил о создании своей собственной криптовалюты. В вебинаре корректно опустили слово «национальный» и «рубль», которое использовал в своем официальном открытом сообщении ЦБ. Мне кажется, звучит весьма патетично и немного печально, так как по заявлению ТАСС, цитирую, «Криптовалюта будет представлять собой виртуальный аналог рубля. По замыслу авторов проекта, виртуальный рубль — национальная валюта, которая может быть не только бумажной, но и электронной.» Думаю, электронный рубль нужен только тем, кто хочет его создать.
Прошу прощения, читатель, немного я отклонился от темы своего поста. О «крипторабл» напишу немного позже.


Итак, друзья, вот ссылка на вебинар:
Рекомендую к просмотру тем, кому интересно получить инфу на понятном русском.

Что еще интересного затронули, это как сохранить свое цифровое золото при себе. Как мы знаем, криптовалют много. Проблему сохранности одной из них (Эфириум) как раз рассказал спикер, это инцидент The DAO, когда хакер похитил около 50 000 0000 долларов, из-за уязвимых мест в коде. И со всеми этими хакерскими атаками, это не может не быть актуально.

PS
О крипторубле и о цифровой экономике в самом ближайшем будущем.
Джакарта, ЕГАИС, ИБ, еТокен, Токены

Мифы и легенды Будущего

Приветствую читатель!

Как мне понравился материал, который выпустил Касперский на своем Хабре. Я как раз закончил читать некоторую более фундаментальную литру по этому вопросу, а не только заметки в интернете. Однако ж меня порадовал и восхитил Касперский, я бы назвал это таким шагом к просветительству, а то, что оно еще и на спецплатформе появилось явно говорит о том, что к этому вопросу поддятигаваются все больше романтиков-любителей, отдаленно понимающих суть вопроса. Я решил этим постом поделиться, так как уверен, что многие мои читатели также УЖЕ много слышали слова "блокчейн", "биткоин", но возможно также нашли не совсем корректную информацио об этом.

Итак, Касперский, вилимо, собрал "лучшие" заблуждения на просторах интернета и разобрал их простым и понятным языком. Выделю несколько самых, на мой взгляд, интересных и занимательных.

Пкрвый и самый забачный миф - это то, что блокчейн это всемирный компьютер, который будет за всеми следить в дальнейшем, контролировать нас всех и вообще. А еще, что этот самый блокчен производит милионные операция, помогая друг другу.

Факт: о нет. Даже больше, каждый пользователь, который участвует в блокчейне и его компьютер проделывает аналогичную операцию, что и миллион других компьютеров одновременно. И да, по мнению экспертов Касперского, от сверхэффективности это далеко.

Что думаю я: да, возможно это и не эффективно, но каждый в блокчейне за себя, соответственно нет никаой надобности синергироваться и увеличивать взимные кооперации.

Миф 2, "философский"
Конечность блокчейна. Многие думают, что постоянно растущая сеть может навредить нормальному течению жизни простых смертных на Земле. Однако, в материале наглядно показано, что в скором времени, у нас не будет запаса памяти для блокчейна и это есть конец.

Мое мнение: возможно, но возможно же и дальнейшее развитие хранения информации.

Миф 3 О нерушимости
Интересная инфографика с https://blockchain.info/pools



Итак, заблуждение состоит в том, что децентрализованность системы, как раз индивидуализм и анонимность, дают гарантии ее неуязвимости.
На деле ситуация обстоит следующем образом: с развитием блокчейана и повышением его сложности добытчики цифрового золота стали объединяться в сообщества, или пулы (pool), что дает им возможность увеличить мощность друг за счет друга и иметь доход, который делиться среди всех членов этого пула. Вспомнилось: от каждого по способности каждому по потребности =) Не знаю, почему. Лирика)

Основных крупных пулов 4, и как считают экспреты Касперского, нужно получить доступ к этим 4 и будет накрыта вся система.

Мое мнение, Большой брат найдет пути использования блокчейна и создаст иллюзию полного отсутствия, но по факту правтически 100% присутствия в системе. Что уж говорить, если криптовалюта и технология блокчен стали пользоваться популярностью среду супер крупного бизнеса. А супер крупный бизнес есть часть системы.

На это все, буду рад новым читателям и новым обсуждениям. А еще приходите комне на страничку в фэйсбук!

Джакарта, ЕГАИС, ИБ, еТокен, Токены

Немного о блокчейне еще раз

Приветствую, читатель!
Я немного еще добавлю ифнормации от экспертов по вопросу о блокчейне.

В предыдущие разы я уже писал о перспективах этого направления. Теперь вот решил затронуть и опубликовать критический взгляд, так сказать:

Оригинал: https://habrahabr.ru/post/331706/

Технология «блокчейн» прекрасна и перспективна. Всё в ней было бы совсем замечательно, если бы несколько досадных нюансов:
Очень долго. Время добавления транзакции в цепочку биткоина, например, оценивается от минуты до получаса. В Ethereum добавляется быстрее, но в любом случае довести время до долей секунды невозможно. Нечего и думать о том, чтобы сделать добавление данных в блокчейн частью OLTP-транзакции.
Майнинг — это очень ресурсоёмко. Он, собственно, и нужен для того, чтобы добавить в архитектуру вычислительную сложность.
Очень дорого. Следствие ресурсоёмкости.
Технология отвратительно масштабируется как вверх, так и вниз. Если нужно построить систему, которая будет регистрировать миллиарды записей ежедневно, блокчейн не годится. Также блокчейн будет стрельбой из пушки по воробьям, если его пытаться приспособить для надёжного логирования какой-нибудь мелкой ерунды.
Хотелось бы иметь технологию, которая бы одновременно и реестры позволяла вести непрошибаемо надёжным образом, и была бы как-то попроще и подешевле.

В принципе, на этом можно было бы публикацию закончить и предложить уважаемой публике пофантазировать в комментах о том, как можно сделать супернадёжную запись трензакций в условиях тотального недоверия всех ко всем без того, чтобы бессмысленно прожигать процессорные мощности никчёмным подбором хеш-функций. Но для того, чтобы единственным ответом на вопрос не было банальное «это невозможно» или что-нибудь про сайдчейны, попробую предложить свой вариант.
Сразу оговорюсь, что речь вовсе не о том, «как нам реорганизовать биткоин». Пусть биткоин остаётся таким, какой он есть, а мы поговорим о том, как сделать что-то функционально аналогичное блокчейну, но пригодное к использованию для самых разных нужд в частности в корпоративных системах. Дешёвое и сердитое.
Для начала внимательно посмотрим на саму задачу. Во-первых, мы уже имеем сам защищаемый от фальсификации реестр. Во-вторых, нам не очень важна распределённость системы. Удобнее всего, если система защиты реестра будет централизованной. В идеале — на том же самом сервере, что и сам реестр. Распределённость реестра и системы его защиты тоже может быть во многих случаях полезна, но начать нужно с простого. С принципа защиты.

Априорно считаем, что всё происходящее на серверах — в полной власти администраторов, и эти администраторы с их человеческими страстями — слабое звено. Поэтому функция контроля целостности реестра частично возлагается на рабочие места пользователей. Реализуется принцип «не доверяй, проверяй». Администратор может сделать что угодно с расположенными на сервере данными, но он не в силах отследить, куда и по каким компьютерам (а также смартфонам, планшетам, флешкам и т.п.) расползлись контрольные суммы, фиксирующие целостность реестра. В клиентское приложение (или, возможно, в отдельное специальное контролирующее приложение) встраивается функция, которая при обнаружении факта нарушения целостности реестра зажигает красную лампочку и позволяет сформировать криптографически достоверное обвинительное заключение.
Защищаемый реестр и его контрольные суммы:


Для каждой записи реестра подсчитывается собственный хеш (H0i), а также автоматически наращивается бинарное дерево хешей второго, третьего и так далее порядков (H1, H2,...). После того, как очередная запись занесена в реестр, клиентскому приложению возвращается сама занесённая запись, а также такой набор хешей более высоких уровней, чтобы он полностью покрывал все предыдущие записи реестра. Например, при добавлении шестой записи возвращается D5, H05, H12 и H20 (удобнее смотреть на картинке ниже). При добавлении 15-й записи, соответственно, возвращается D14, H014, H16, H22 и H30. Получив ответ от сервера, клиентское приложение:
Проверяет соответствие Di тому, что оно собиралось занести в реестр.
Самостоятельно рассчитывает H0i и проверяет, равно ли получившееся тому, что прислал сервер.
Запоминает себе в локальную базу полученный от сервера ответ.
Для того, чтобы исключить подделку ответа сервера и прочие неприятности, этот ответ можно защитить электронной подписью сервера.
Экспресс-проверка неизменности собственных записей клиента
Когда клиент добавил в реестр очередную запись, он может сверить новый полученный срез хешей со срезами, полученными при предыдущих обращениях. Поскольку с предыдущего обращения могли нараститься дополнительные уровни, для сверки хешей может потребоваться некоторое количество дополнительны данных от сервера. Например, если клиент сначала добавил D5, а потом добавил D14, то для сверки H20 с H30 он запрашивает с сервера значение H13, затем на основании H12 и H13 вычисляет H21, после чего на основании H20 и H21 рассчитывает H30, которое сравнивает с полученным. Если значения не совпадают, включается красная лампочка и сигнал тревоги.



Серым цветом показаны данные, отсутствующие на клиенте. При добавлении первой своей записи (D5) клиент в своей локальной базе сохранил данные, выделенные зелёным, а при добавлении следующей записи (D14) получил данные, выделенные синим. Выделенное жёлтым запрашивается с сервера защиты дополнительно.
Сплошная проверка участка реестра
Клиент запрашивает с сервера участок реестра и проверяет, возможно ли от полученных данных выйти на те значения хешей, которые сохранены в его локальном хранилище.
В результате имеем:
Скорость добавления данных в реестр. Майнить коины оказывается незачем. Увеличение производительности вплоть до того, что данные в защищённый реестр можно записывать внутри OLTP-транзакции.
Надёжность. Незаметно удалить запись из реестра невозможно. Сложность искажения данных равна сложности подбора полной хеш-коллизии.
Простота реализации. Прекрасная масштабируемость «вниз».
Прекрасная масштабируемость «вверх». Даже если в реестре сто миллиардов записей, количество уровней бинарного дерева оказывается равным 36. Если используется хеширование SHA-256, передаваемые с сервера данные хешей составляют менее 2 килобайт.
Хоть ведение реестра становится централизованным (что для случая криптовалюты в стиле биткоина не очень хорошо), вполне возможна распределённая архитектура на основе репликации и оперативного переключения со скомпрометированных узлов на те, которые не были уличены в подлоге.


Еще раз ссылка на оригинал: https://habrahabr.ru/post/331706/
Джакарта, ЕГАИС, ИБ, еТокен, Токены

Криптобудущее: Сбербанк о блокчейн

Приветствую читатель!

Наконец-то мы побороли боязнь будущего и неведомого) и пришли к выводу, что бороться с ветряными мельницами (это я к закону об электронных деньгах и что "криптовалюта есть суррогат") совершенно бесполезно. Наука, мир, технологии и прогрес, так скзать, бегом бегут и друг друга подгоняют.

Сбербанк в последнее время стал активно высказываться в позитивном ключе о том, что блокчен это ж ВЕСЧЬ ОГО-ГО какая) Сегодня даже в агентстве "Прайм" был диалог от лица  старшего вице-президента Сбербанка, руководителя «Сбербанк КИБ» Игоря Буланцева. Он утверждал, что интерес компаний к сделкам с использованием блокчен растет в геометрической прогрссии. Не удивительно, подумал я, ведь по последним новостям уже Индия принимает и легализует биткоины.

На мой взгляд, пока наши чиновники не понимают, как с этого иметь доход, блокчен и биткоин будут клеймиться на каждом углу. Но вот уже шаги в сторону налогов на биткоины стали появляться) Я думаю, что посвящу этому еще одно своем исследование. О том, как же принимается биткоин в мире. А пока про Сбер и Ко)

По мнению представителя Сбербанка именно сделка с «Северсталью» на основе технологии блокчейн вызвала большой интерес со стороны других компаний, а у них — желание развивать этот продукт. Появление больших перспектив у этой технологии связанно с тем, что недоверие к ней падает, появляется больше результатов тестирования в серьезных сделках и т.д.

Буланцев рассказал, что использование технологии блокчейн в банковской сфере позволит сократить время на осуществление операций, повысить их прозрачность и эффективность. Потенциал использования технологии огромен: это и вопросы систематизации и объединения процесса KYC, и страхование и ведение реестра залогового имущества, эскроу-счета, банковские гарантии, ведение электронного документооборота, ведение реестра ценных бумаг, векселей, баз кредитных историй, сделок с недвижимостью и так далее, цитирует его «Прайм».
«Сейчас мы ведем переговоры со всеми заинтересованными сторонами, в том числе с госорганами, о возможности дальнейшего распространения технологии. Кроме того, мы исследуем рынок криптовалют и зарождающийся сейчас рынок ICO. Наша цель — обладание высокопрофессиональной экспертизой по всем этим направлениям», — резюмирует топ-менеджер.
Год назад под патронажем ЦБ был создан банковский консорциум для развития блокчейн. В него вошел и Сбербанк. Хотя прежде в России негативно относились к этой технологии. На ПМЭФ в этом году было заявлено, что ЦБ работает над национальной криптовалютой.

Источник: http://fingazeta.ru/technology/sberbank-blokcheyn-s-nami-205776/