Добрый день.

Я посмотрел Вашу новую SDK. Увидел в нем то что вы называете
"NCALayer — приложение для решения проблемы работы Java апплетов в браузерах (см. NPAPI и Google)."

Ребята вы серьезно это предлагаете нам сделать?

Ладно, я понимаю ваше желание переложит проблему на других. Ведь все остальные ИС должны будут сделать по сути одну и ту же работу. Мне кажется это не совсем рациональным использованием людских ресурсов. Я готов был простить вам и это.

Но как на счет безопасности.

Программисту который напишет этот модуль, ничего кроме его совести, не помешает получить доступ к закрытым ключам и паролям от них для всех юридических и физических лиц РК использующих его систему.
О какой безопасности может здесь идти речь?

Вы не должны были такое опасности даже потенциально допускать. Мне кажется Вы не до конца все хорошо обдумали когда рекомендовали это решение.

-----------------------
С наилучшими пожеланиями
Рустем Жунусов
www.lastdaywaiting.com

это глобальная проблема из-за "корпорации добра". а это решение ужасное, но а какое у вас решение есть?
да и по сути, чем отличается уровень возможностей и доступа у разработчика в случае использования аплета и этой прослойки?

Добрый день

------------- да и по сути, чем отличается уровень возможностей и доступа у разработчика в случае использования аплета и этой прослойки?

Прости. Я что-то не смог понять вопрос. Или имеется виду разница между вариантом с использованием апплета в браузере и вариантом когда апплет вызывается из прослойки которой сделана на подобий примера NCALayer. То тут разница огромная . В браузере у меня есть только JavaScript. Даже зная путь к файлу с закрытым ключем я не смогу его прочитать без ведома пользователя, у меня есть только методы вашего апплета. Если же мой код запущен прослойке которую я контролирую , то здесь я могу запросто его прочитать и отправить куда нужно по тихому. Ведь эта прослойка будет по ходу просто java-программой.
Кстати Вы представьте что все ИС создали такие прослойки для апплета. Сколько таких ИС у нас в Казахстане?
10, 20, 50? И это значит что если клиент использует все эти ИС то у него на компе будет столько же 10, 20, 50 установлено программ-прослоек. Так ? Не красиво все это.

---------- Но а какое у вас решение есть?
В идеале вообще желательно отказаться от прослоек и самого java-applet. На что его заменить это другой большой вопрос. Тут много искать и пробовать придется, а потом много кода придется писать.
Есть еще вариант Вам самим написать прослойку для апплета. Эту прослойку будут все клиенты скачивать и устанавливать , также как качают сейчас корневые сертификаты с вашего сайта. А все остальные ИС будут цеплятся к нему. Тут гораздо меньше понадобиться писать.

-----------------------
С наилучшими пожеланиями
Рустем Жунусов
www.lastdaywaiting.com

ну так ведь любой может написать свой аплет, используя чисто криптопровайдер и так же делать. в чем разница? это ведь неподконтрольно нуц. поэтому-то и популяризируются защищенные носители, тот же удостоверение личности, чтобы хотя бы закрытые ключи не увели. а насчет кучи прослоек - конечно некрасиво, я скажу даже возмутительно, никто ведь не хочет лишнюю работу, а у рядового пользователя вообще мозги придется собирать.
а этот идеал еще не найден, пока только есть еще более больные фантазии.
ну эту прослойку как раз таки и пихают на нуц, чтобы она была универсальной. чтобы устанавливалась и все были счастливы. кстати, задатки универсальности уже есть, эта прослойка может предоставить доступ к публичным методам любого класса, который укажете при запуске. Можно подключить classpath. По умолчанию там kz.gov.pki.knca.applet.MainApplet. Запускать с такими параметрами
java -jar NCALayer.jar full.package.and.classname

Ребята, а почему бы не сделать opensource проект и выложить на github его. И решить раз и навсегда проблему с подписанием сертификатов.
А то каждый пишет свой велосипед, когда можно написать одно решение для всех и сделать его стандартом по всему миру. Оно будет открытое, значит вирусы сразу исключаются.
Оно будет единое, значит все костыли и велосипеды перестанут писать.

Возникает ощущение надвигающегося ужасного конца.

Позитив из Германии.

Документация по German ID card.
www.ausweisapp.bund.de/en/startseite/
www.personalausweisportal.de/EN/Service/.../downloads_node.html

Спектр услуг, получаемый лёжа на диване.
www.personalausweisportal.de/EN/Citizens...plications_node.html

Исходный код раздаётся. Здесь же можно оценить простоту инсталляции приложения.
www.ausweisapp.bund.de/en/download/

Свободное программное обеспечение и используемые технологии.
www.persoapp.de/fuer-entwickler/

Бельгия
eid.belgium.be/en

Возможно не помешает воспользоваться готовыми решениями.

Позитив от Let's Encrypt
Бесплатные ключи с автоматической установкой теперь определяются в большинстве браузеров.
letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html