Если еще в новом законе "Об
ЭЦП" все-таки сделают подход с разными видами подписи (обычная, гарантированная, квалифицированная и т.д.), через несколько лет может настать счастье в ДБО :-)
1. Это первый шаг к тому, чтобы ГОСТы были включены в RFC "официально"
2. Когда будут официальные RFC, производители операционных ситсем смогут включить реализации алгоритмов в них.
3. Если в ОС будет
реализация ГОСТов, и при принятии "правильного" закона об ЭЦП можно будет защиту в ДБО реализовывать на штатных средствах, а не покупать/встраивать СКЗИ
Ну забавно конечно, однако особого оптимизма почему - то не вызывает,
RFC оно RFC и есть, а как у нас принято в стране Законы то хорошие, но вот с исполнением - хроническая проблема... %-(
Ну забавно конечно, однако особого оптимизма почему - то не вызывает,
Знаете, в чем разница между пессимистом и оптимистом?
Один считает, что бутылка наполовину пустая, а другой - что на половину полная.
Мне в
свое время совместно с коллегами пришлось несколько месяцев доказывать VISA Int, что наши гостовские алгоритмы, как минимум, не хуже ихних DES/3DES/AES и DSA.
Доказал, со ссылками на Шнайера, Райвеста и еще пару вменяемых мужиков :-)
Но если бы тогда был RFC, можно было не взрывать себе
мозг в течение длительного времени. Вот и все.
Цитата: От пользователя: Adams
RFC оно RFC и есть, а как у нас принято в стране Законы то хорошие, но вот с исполнением - хроническая проблема.
Перечитайте еще раз список из 3 пунктов выше. А то
почему-то все в куче - кони, люди, РФЦ, законы...
Я не отрицаю, что местами я пессимист, Но и Вы местами тоже...:-)
(например по поводу криптостойкости и длины ключей).
По поводу Конелюдей и РПЦ... :-) :
может я просто не догоняю где полезно можно применить данные сведения, кроме как приведения еще одного аргумента в споре
с Visa Int.
Думаете в разговорах с ФСБ (РКН, ФСТЭК) поможет?
3. Если в ОС будет реализация ГОСТов, и при принятии "правильного" закона об ЭЦП можно будет защиту в ДБО реализовывать на штатных средствах, а не покупать/встраивать СКЗИ
С этим тезисом не согласен. СКЗИ должны проходить
соответствующую сертификацию. С текущим законодательством в сфере защиты информации - средства в ОС эту сертификацию пройти не смогут в принципе.
Еще не забываем про ограничения стран экспортеров криптосредств, например США.
Длина ключа в ГОСТ Р 34,10 2001 (ЭЦП) 256 бит, а экспорт криптосредств из США с длиной ключа больше 112бит ограничен.
при принятии "правильного" закона об ЭЦП можно будет защиту в ДБО реализовывать на штатных средствах
Это было бы отлично :-) В идеале этот правильный закон должен перестать требовать сертификацию конкретных криптографических
продуктов, дать карт-бланш производителям. В рекламной листовке написал, что твой продукт поддерживает криптографию по ГОСТ - и велкам ту раша. Однако сомнительно.
Ради интереса поискал - не нашел RFC ни по DES, ни по IDEA. RFC - нет, а суслик - есть ! :-)
А Вы в курсе новых веяний в области законодательства об ЭЦП?
Вы про усиленную подпись? Да, согласно проекту, сертификация СКЗИ для усиленной подписи не требуется, НО есть требования, которым должна соответствовать СКЗИ для усиленной
подписи.
Кем и каким образом будет проверятся СКЗИ на соответствие этим требованиям?
Кем и каким образом будет проверятся СКЗИ на соответствие этим требованиям?
А у нас много уполномоченных органов по СКЗИ? :-)
Ответ очевиден.
На самом деле, "буржуйские изделия" сертифицировались в РФ, ничего страшного. Был
сертификат на использование windows (NT, кажется, какой-то версии, не помню уже) в ядерной промышленности. Сейчас, если хочется использовать циску в качестве межсетевого экрана, за вполне вменяемые деньги она "сдается на вивисекцию" и выходит оттуда с сертификатом соответствия РД ГТК по МСЭ (и
НДВ).
Майкрософт неоднократно публично заявляла, что всяко сотрудничает с ФСБ и ФСТЭК, предоставляет исходники на исследование, как раз в целях потенциального использования пропуктов Microsoft в "критичных" областях.
Далее, ну вот CryptoPRO CSP же сертифицирован. И ведь по сути -
это такой же криптопровайдер, как и те, которые идут штатно в составе Windows.
Был сертификат на использование windows (NT, кажется, какой-то версии, не помню уже) в ядерной промышленности.
Да в ОС Windows можно обрабатывать данные содержащие гостайну с соблюдением ряда условий. Да вот только соблюдение этих
условий ставит крест на использовании ПК с ОС в повседневной жизни.
Цитата: От пользователя: Cybervlad
Сейчас, если хочется использовать циску в качестве межсетевого экрана, за вполне вменяемые деньги она "сдается на вивисекцию" и выходит оттуда с сертификатом
соответствия РД ГТК по МСЭ (и НДВ).
Один нюанс. Сертифицируется конкретный единичный экземпляр цисковской железки, а не все модели.
Цитата: От пользователя: Cybervlad
Далее, ну вот CryptoPRO CSP же сертифицирован. И ведь по сути - это такой же
криптопровайдер, как и те, которые идут штатно в составе Windows.
Подозреваю, что исходники CryptoPro всё-таки намного проще, чем исходники Windows. Да и процесс этот не быстрый. Напомню, КриптоПро для висты была сертифицирована почти в тот же момент, как вышла Windows7 (точнее за
полтора месяца до RTM). Сертифицированной КриптоПро для Windows 7 нет.
P.S. Пошёл жуткий офф. По теме - ослабление требований к защите информации можно только приветствовать, но ни проект закона об ЭЦП, ни новые RFC на эти послабления даже не намекают.
Сертифицируется конкретный единичный экземпляр цисковской железки, а не все модели.
Совершенно верно, потому что это ЖЕЛЕЗО. С софтом проще - проверил единожды, после чего можно спокойно тиражировать, указывая размер модуля и
контрольную сумму.
Кстати, и для железа можно сертифицировать "производство", прецеденты есть.
Цитата: От пользователя: Димон-Подбитый-Глаз
Подозреваю, что исходники CryptoPro всё-таки намного проще, чем исходники Windows.
А причем здесь "весь виндус"? Если
Майкрософт включит реализацию ГОСТа в "стандартный" криптопровайдер, то его проверить ничуть не сложнее, чем КриптоПро ЦСП.
Цитата: От пользователя: Димон-Подбитый-Глаз
Пошёл жуткий офф.
Мне так не кажется :-) Тема-то не "поапплодируем новому РФЦ", а все-таки о том,
что нам от этого РФЦ потенциально полезного. И смежные вопросы :-)
Цитата: От пользователя: Димон-Подбитый-Глаз
ослабление требований к защите информации можно только приветствовать, но ни проект закона об ЭЦП, ни новые RFC на эти послабления даже не намекают.
1.
Проект з-на об ЭЦП как раз таки намекал (правда, насколько мне известно, его снова решили завернуть на переделку).
2. РФЦ непосредственно на внутрироссийские требования по ЗИ никак не влияет. Но его наличие будет полезным в ситуации "можно использовать несертифицированные криптосредства,
реализующие ГОСТ".
Тема-то не "поапплодируем новому РФЦ", а все-таки о том, что нам от этого РФЦ потенциально полезного.
Вот этого я к сожалению и не догнаял... :-(
Кроме того, что Новый Юный Линус Торвальдс включит реализацию ГОСТ в свое
бессмертное творение... :-)
Может даже кто-то в Мелкомягких задумается, и спросит АНБ разрешения включить реализацию в код, а вот одобрит ли это АНБ - вопрос...
С софтом проще - проверил единожды, после чего можно спокойно тиражировать, указывая размер модуля и контрольную сумму.
Да. Только после выпуска нового hotfix'а и service pack'а эти значения могут поменяться. И снова стартует процесс
сертификации...
Цитата: От пользователя: Cybervlad
Если Майкрософт включит реализацию ГОСТа в "стандартный" криптопровайдер, то его проверить ничуть не сложнее, чем КриптоПро ЦСП.
Всё же "стандартный" криптопровайдер интегрирован поглубже, чем КриптоПро.
Цитата: От пользователя: Cybervlad
"можно использовать несертифицированные криптосредства, реализующие ГОСТ"
Этот момент вызывает определённые вопросы. Если криптосредства не будут сертифицироваться, то где гарантии, что они корректно реализуют ГОСТ и иные
требования описанные в проекте.
Цитата: От пользователя: Cybervlad
1. Проект з-на об ЭЦП как раз таки намекал (правда, насколько мне известно, его снова решили завернуть на переделку).
Лучше доделать закон, чем выпускать в таком виде и пожинать его плоды на
протяжении первых лет.
Я немного далёк от банковских технологий. Поэтому очень интересно что по вашему изменится в ДБО с выходом этого закона? Что мешает реализовывать новые сервисы с текущим законодательством?
The OpenSSL project team is pleased to announce the release of version 1.0.0 of our open source toolkit for SSL/TLS....
The most significant changes are:
o New generalised public key API supporting
ENGINE based algorithms.
o New generalised public key API utilities.
o New ENGINE supporting GOST algorithms.
o SSL/TLS GOST ciphersuite support.
o PKCS#7 and CMS GOST support.
Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь.
Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на
эту же страницу)
