Законопроект об электронной подписи: поправки ко 2 чтению, октябрь 2010 - Форум по вопросам информационной безопасности

> Еще раз приношу свой пардон Вам как несомненно подкованному во многих сферах ИБ (кроме Криптографии!!!) за нелицеприятное высказывание.

Почему же нелициприятное. Меня действительно очень мало интересуют вопросы стойкости криптоалгоритмов - но ровно до тех пор, пока в открытых источниках не появляются материалы, подтверждающие недостаточную стойкость опредеенных реализаций.

Так вот, я очень сильно сомневаюсь, что кто-то, утверждащий, что встроеный криптосредства операционных систем - лажа, действительно имеет какие-либо объективные основания для подобных утверждений. Людей, работавших с криптографией, у нас много, а вот специалистов, профессионально занимавшихся криптоанализом на достаточном для подобных заявлений уровне, - мало, и многие из них отошли от дел в середине-конце 90-ых.

Оснований верить подобным заявлениям у меня нет, а вот личный коммерческий интерес определеных руководителей определенного ведомства в продвижении этой идеи виден невооруженым глазом. Это не значит, что это утверждение ложно - просто на сегодняшний день органы государственой власти слишком сильно скомпрометировали себя, чтобы им можно было верить на слово.

2Вычислитель
...2.Уполномоченный федеральный орган:... 2) осуществляет функции главного (корневого) удостоверяющего центра в отношении аккредитованных удостоверяющих центров."...
и все-таки идеи Матюхина потихоньку сочатся.
Вопрос - а чего его ушли?

На сайте Минсвязи висела рамочная норма для корневых УЦ (в том проекте были похожие идеи).

Я думаю идея верная - а уж как там выйдет - поглядим!

Ну никак не закончит Малотавр своей мелкотравчатой агитки в пользу ломаной-переломанной недо-крипты которую нам из-за кордона втюхивают как верх прогресса...

Неужели В это можно верить без корысти?
...Область моей деятельности - те 90% оборота криптосредств, для которых ПКЗ-2005 имеет рекомендательный характер..

Вот это и ответ!
Чем проще-тем лучче!
И зачем вообще эта крипта нужна - неужели РАРа или ЗИПа на эти самоделки не хватит?
Ну ни в жисть не поверю!

Стойка идея продавать Русским трубу от граммофона вместо граммофона с трубой!!!

> И зачем вообще эта крипта нужна - неужели РАРа или ЗИПа на эти самоделки не хватит? Ну ни в жисть не поверю!

В этом различие между нами: вы оперируете понятиями "верю/не верю", а я - "знаю/не знаю". Вы не знаете, как искать коллизии в SHA-1 и брутфорсить ключи AES, но утверждаете это возможно. Научитесь - обсудим, а до того - не вам рассуждать про мелкотравчатость.

to malotavr :
" как вы тогда предлагаете строить ЭДО между клиентами российского аккредитованного УЦ и иностранными компаниями, обслуживаемыми иностранными УЦ?"
На самом деле всё уже сделано :-) , например вот:
http://www.top-cross.ru/Company/index.html#webnotary
и там же новость от 5.10 про трансграничность с белоруссией.
И хочу заметить к трансграничности все что тут вы пишите не имеет никакого отношения.

Дискуссия от аргументов стала переходить на эмоции и взаимные упрёки. При таком "раскладе" ничего хорошего в итоге не будет...

Закон об ЭЦП безусловно важный и нужный (как впрочем и другие). Я считаю, что здешние дебаты не повлияют на новый законопроект. И пусть меня и упрекнут, но я выскажу свои мысли. Из разговора напрашиваются такие выводы:
1) Если беспокойство по поводу иностранных УЦ на территории, то понятно: они опытнее, у них более серьёзная политическая и финансовая поддержка. Поэтому нам на законодательном уровне нужна защита от них.
2) Если для получения политической защиты от иностранных УЦ на нашей территории является предлогом, чтобы "продавить" отечественную технологию в качестве обязательной при "гражданских" услугах (имеется в виду не военных или спецслужб), то понятно. Зная особенности нашего "менталитета": если какая-то технология будет использоваться всеми госструктурами, то она же станет политической и общеобязательной "по умолчанию" для других. Все иные технологии будут не нужны.
3) Если беспокойство по поводу иностранной технологии, то понятно: она более отработана на практике, чем наша. Да и уровень обученных на ней специалистов выше, чем наших. А кто мешал все эти годы вкладывать в развитие технологии? Кто мешал вкладывать в подготовку специалистов? Если закроемся законом, то проблема не уйдёт, она останется.

Вот только лозунгов про угрозу безопасности страны при электронных услугах на иностранной криптографии не надо. Закупки и поставки для госнужд решаются и будут решаться не на серверах, а в кабинетах. Что касается социальных услуг, то здесь просто смешно. Тот кто может и знает как пользоваться ими электронно, те в них не нуждаются. А для тех, кому они больше всего нужны, те далеки от этого. И пропасть эта растёт с каждым годом!

Добрый день всем!

Не могу остаться в стороне). Я согласен Вычислителем, msm.

Я не зарегался на сайте гос. услуг только потому что там используется не ГОСТ. Если говорить о стойкости возможно RSA не хуже, но разве реализация на портале сертифицирована?? Кто проверял??? Если Они так нарушают, то что будет дальше с моими ПДн?? А согласие на обработку Они моё взяли (ГАЛОЧКОЙ?!?!)?

На счет криптографии в Windows или иных не отечественных алгоритмов, если на то пошло пусть вся криптуха будет сертифицирована и поставляться на материальном носителе + вся документация на Русском. То уже Windows простая контора не сможет продать, нужна лицензия.

Да и имеются реализации отечественных алгоритмов распространяемых бесплатно, почему не взять их к примеру.

Хотя принятие повсеместно ЭЦП по умолчанию одновременно и радует и пугает. Специалисты в этой области уже за всем уследить не могут и запомнить, да и сам уже за всем законодательством в защите информации не успеваю, в ввиду его особой «чёткости», что уже говорить об обычных к данному делу не касающихся людей.

Тем самым, чем строже и чётче будет законодательство, и тем самым не позволит всяким левым фирмам заниматься столь щепетильным вопросом как ЭЦП, тем будет лучше, а то такая вакханалия начнётся.

С уважением, Zetor!

> На самом деле всё уже сделано :-) , например вот:

Фигня, забудьте. Я знаю, что такое DVCS, но на сегодняшний день в России нет правовой основы для их испоьзования.

Вот вам простая задачка. Пусть мы признаем квалифицированную ЭП субъекта А равнозначой его собственоручной подписи, и рассмотрим обработку банком Б платежных поручений этого субъекта.

Банк Б получает платежное поручение с какой-то хренью вместо квалифицированой ЭП клиента А и сертификат VSD с квалифицированной подписью некоторого субъекта В, утверждающий, что данная хрень якобы является ЭП клиента Б. Вопрос: на каком основании банк Б должен признать эту хрень равнозначной собственноручной подписи клиента А?

На сегодняшний день услуги "'электроного нотариуса" юридически ничтожны, поэтому не вижу смысла это обсуждать.

to malotavr:
На тему DVCS и "нет правовой основы" вы видимо что то недопонимаете. Коротко суть трансграничного обмена выглядит так (вот картинка для наглядности - кстати это работающая картинка http://www.top-cross.ru/Company/DVCS-service-RU-Unizeto.gif):
1. Резидент РФ получил RSA ЭЦП.
2. Формально не понимает и не верит этой ЭЦП, поскольку он может не иметь специальных средств и заглянув в ФЗ-11 видит что вообщето RSA ЭЦП и сертификат может применятся в РФ, но для этого надо понять что всё это выполнено в соответствии с иностранным законодательством. Если специально этим вопросом не заниматься, то вы не в жизнь неотличите квалифицированные серт от не квалифицированного. Раз сам не знаешь , то надо спросить кто знает и кому веришь (например в по договору).
3. Идет обращение в DVCS (в запросе ЭЦП ГОСТ) - все легитимно.
4. У DVCS есть договор на криптоуслуги с иностранным DVCS и запрос пользоваателя транслируется в DVCS RSA, там идёт проверка ЭЦП и формируется ответ за подписью иностранного DVCS.
5. DVCS РФ ловит ответ, формирует свой ответ на основе полученного из-за бугорья подписывает ЭЦП ГОСТ и отдает пользователю.
6. пользователь имеет юрсильный ЭД на основании которого он верит исходной ЭЦП RSA.
Вопрос - что тут не легитимно или что не хватает в нормативке. Просто я этой тематикой очень плотно занимаюсь с 2003 наверное года, в 2006 году была "боевая" система взаимодействия с зоной ЕС. Поэтому вы видимо не то знаете про DVCS. Если есть желание я специально вам расскажу и покажу, но в данной ветке все эти беседы про DVCS - оффтопик, поверте на слово , всё это работает, ни коем образом не касается УЦ иностранных государств и не касается в прямую проблем ФЗ О подписи. Что в старом , что в законопроекте Статья признания иностранных ЭЦП почти одинаковая и споров не вызывает.

2malotavr 24054
Интересно откуда ВЫ взяли
цит.
Вы не знаете, как искать коллизии в SHA-1 и брутфорсить ключи AES, но утверждаете это возможно....
Это предположение или следует из какого-то Вашего опыта общения со мной или с кем-либо еще?
Кто и где это определил органолептически, или как-то это можно с Вашего монитора считывать?
Занятно...
Вы меня ни с кем не путаете из своих знакомых?
Что еще из ложного компромата предложите чтобы оппонента уесть?
Может не стоит переходить на пустые утверждения подобного рода?
Вообще БрутФорсить нехорошо - не по джентельменски. (если я правильно понял этот пиджин инглиш русскими буквами)

Если продукт достоин применения - никакой попытке грубого взлома путем перебора ключей он не должен опасаться - это аксиома для этих...которые брутфорсят...
Да Бог с ними (раз уж они все в середине 90х удалились на покой!).
Одна надёжа на Малотавра!
Уж извините...не сдержался...
Живите Вы мирно - кто мешает?

Вы зря пересказываете RFC 3029: я его знаю не хуже вас, а вы за описанной в нем информационной технологией потеряли юридическую сторону вопроса. А зря - сперва стоит изучить основы законодательства о нотариате, а потом уже браться за их воплощений криптографическими методами.

> 6. пользователь имеет юрсильный ЭД на основании которого он верит исходной ЭЦП RSA.

На этом шаге технология DVCS уперлась в правовой тупик, и готов поспорить, что слово "юрсильный" вы написали чисто механически.

Жаргонизмы "имеющий юридическую силу" и "юридически значимый" применительно к ЭЦП (ЭП) означают "равнозначная собственноручной". Так?

Условия признания равнозначности ЭЦП (ЭП) определяются законодательством РФ. В действующем ФЗ-1 одним из условий признания собственоручности ЭЦП названа положительность проверки _этой_ подписи криптосредством. В предложенном вами варианте положительный результат проверки _этой_ подписи у получателя подписанного документа отсутствует. Зато есть некоторый субъект "DVCS РФ", который своей подписью заверил полученный документ.
Внимание, вопрос: кто такой "DVCS РФ" и кто его уполномочил заверять чужие документы?

Во-первых, даже чисто теоретически заверять чужие документы дозволено определенному кругу субъектов права, несущих на основании закона личную гражданско-правовую ответственность за достоверность заверенного документа. Этим субъектом может быть нотариус, в отдельных случаях - руководитель отдела кадров, командир воинской части, капитан морского судна и т.п. - лица, действующие в пределах устаовленой законом компетенции и в этих пределах осознающие и подтверждающие достоверность заверенного документа. А DVCS в понимании RFC 3029 - нечто, механически выполняющее детерминированную последловательность действий, с помощью которой оно подтверждает не достоверность, а всего лищь математическую коректность подписи, и, вследствие этого, не несущее ответствености за достоверность документа с корректной подписью. В отличие от законодательства столь нелюбимых вами иностранных государств, российское законодательство такого не позволяет.

Во-вторых, заверение документов третьим лицом, имеющим соответствующие полномочия, допускается российским законодательством только в случаях, прямо предусмотренных законодательными актами российской федерации.

Никакой другой роли третьих лиц в заверении документов российское законодательство не преддусматривает.

Поэтому на выходе из "DVCS РФ" у вас получился отнюдь ни "юрсильный ЭД", а нечто, с точки зрения законодательства юридически ничтожное.

В обсуждаемом законопроекте у DVCS возникает ровно та же проблема - эта технология в предлагаемом вами варианте противоречит основам российского законодательства.

А вот обеспечение взаимного признания сертификатов двух УЦ - например, буьем аккредитации этих УЦ - указанную проблему решает.

Нельзя бросаться с шашкой наголо на защиту суверенитета и государственой безопасности, не понимая до конца правовую сорону вопроса.