Страницы: < 1 2 3 4 5 6 7 8 9 10 >
Автор: malotavr | 24052 | 05.12.2010 00:05 |
> Еще раз приношу свой пардон Вам как несомненно подкованному во многих сферах ИБ (кроме Криптографии!!!) за нелицеприятное высказывание.
Почему же нелициприятное. Меня действительно очень мало интересуют вопросы стойкости криптоалгоритмов - но ровно до тех пор, пока в открытых источниках не появляются материалы, подтверждающие недостаточную стойкость опредеенных реализаций. Так вот, я очень сильно сомневаюсь, что кто-то, утверждащий, что встроеный криптосредства операционных систем - лажа, действительно имеет какие-либо объективные основания для подобных утверждений. Людей, работавших с криптографией, у нас много, а вот специалистов, профессионально занимавшихся криптоанализом на достаточном для подобных заявлений уровне, - мало, и многие из них отошли от дел в середине-конце 90-ых. Оснований верить подобным заявлениям у меня нет, а вот личный коммерческий интерес определеных руководителей определенного ведомства в продвижении этой идеи виден невооруженым глазом. Это не значит, что это утверждение ложно - просто на сегодняшний день органы государственой власти слишком сильно скомпрометировали себя, чтобы им можно было верить на слово. |
Автор: Прохожий | 24053 | 05.12.2010 01:27 |
2Вычислитель
...2.Уполномоченный федеральный орган:... 2) осуществляет функции главного (корневого) удостоверяющего центра в отношении аккредитованных удостоверяющих центров."... и все-таки идеи Матюхина потихоньку сочатся. Вопрос - а чего его ушли? На сайте Минсвязи висела рамочная норма для корневых УЦ (в том проекте были похожие идеи). Я думаю идея верная - а уж как там выйдет - поглядим! Ну никак не закончит Малотавр своей мелкотравчатой агитки в пользу ломаной-переломанной недо-крипты которую нам из-за кордона втюхивают как верх прогресса... Неужели В это можно верить без корысти? ...Область моей деятельности - те 90% оборота криптосредств, для которых ПКЗ-2005 имеет рекомендательный характер.. Вот это и ответ! Чем проще-тем лучче! И зачем вообще эта крипта нужна - неужели РАРа или ЗИПа на эти самоделки не хватит? Ну ни в жисть не поверю! Стойка идея продавать Русским трубу от граммофона вместо граммофона с трубой!!! |
Автор: malotavr | 24054 | 05.12.2010 02:29 |
> И зачем вообще эта крипта нужна - неужели РАРа или ЗИПа на эти самоделки не хватит? Ну ни в жисть не поверю!
В этом различие между нами: вы оперируете понятиями "верю/не верю", а я - "знаю/не знаю". Вы не знаете, как искать коллизии в SHA-1 и брутфорсить ключи AES, но утверждаете это возможно. Научитесь - обсудим, а до того - не вам рассуждать про мелкотравчатость. |
Автор: msm, Top Cross | 24055 | 05.12.2010 10:14 |
to malotavr :
" как вы тогда предлагаете строить ЭДО между клиентами российского аккредитованного УЦ и иностранными компаниями, обслуживаемыми иностранными УЦ?" На самом деле всё уже сделано :-) , например вот: и там же новость от 5.10 про трансграничность с белоруссией. И хочу заметить к трансграничности все что тут вы пишите не имеет никакого отношения. |
Автор: msergey, ЛабТЗИ | 24056 | 05.12.2010 11:56 |
Дискуссия от аргументов стала переходить на эмоции и взаимные упрёки. При таком "раскладе" ничего хорошего в итоге не будет...
Закон об ЭЦП безусловно важный и нужный (как впрочем и другие). Я считаю, что здешние дебаты не повлияют на новый законопроект. И пусть меня и упрекнут, но я выскажу свои мысли. Из разговора напрашиваются такие выводы: 1) Если беспокойство по поводу иностранных УЦ на территории, то понятно: они опытнее, у них более серьёзная политическая и финансовая поддержка. Поэтому нам на законодательном уровне нужна защита от них. 2) Если для получения политической защиты от иностранных УЦ на нашей территории является предлогом, чтобы "продавить" отечественную технологию в качестве обязательной при "гражданских" услугах (имеется в виду не военных или спецслужб), то понятно. Зная особенности нашего "менталитета": если какая-то технология будет использоваться всеми госструктурами, то она же станет политической и общеобязательной "по умолчанию" для других. Все иные технологии будут не нужны. 3) Если беспокойство по поводу иностранной технологии, то понятно: она более отработана на практике, чем наша. Да и уровень обученных на ней специалистов выше, чем наших. А кто мешал все эти годы вкладывать в развитие технологии? Кто мешал вкладывать в подготовку специалистов? Если закроемся законом, то проблема не уйдёт, она останется. Вот только лозунгов про угрозу безопасности страны при электронных услугах на иностранной криптографии не надо. Закупки и поставки для госнужд решаются и будут решаться не на серверах, а в кабинетах. Что касается социальных услуг, то здесь просто смешно. Тот кто может и знает как пользоваться ими электронно, те в них не нуждаются. А для тех, кому они больше всего нужны, те далеки от этого. И пропасть эта растёт с каждым годом! |
Автор: Zetor | 24059 | 05.12.2010 17:10 |
Добрый день всем!
Не могу остаться в стороне). Я согласен Вычислителем, msm. Я не зарегался на сайте гос. услуг только потому что там используется не ГОСТ. Если говорить о стойкости возможно RSA не хуже, но разве реализация на портале сертифицирована?? Кто проверял??? Если Они так нарушают, то что будет дальше с моими ПДн?? А согласие на обработку Они моё взяли (ГАЛОЧКОЙ?!?!)? На счет криптографии в Windows или иных не отечественных алгоритмов, если на то пошло пусть вся криптуха будет сертифицирована и поставляться на материальном носителе + вся документация на Русском. То уже Windows простая контора не сможет продать, нужна лицензия. Да и имеются реализации отечественных алгоритмов распространяемых бесплатно, почему не взять их к примеру. Хотя принятие повсеместно ЭЦП по умолчанию одновременно и радует и пугает. Специалисты в этой области уже за всем уследить не могут и запомнить, да и сам уже за всем законодательством в защите информации не успеваю, в ввиду его особой «чёткости», что уже говорить об обычных к данному делу не касающихся людей. Тем самым, чем строже и чётче будет законодательство, и тем самым не позволит всяким левым фирмам заниматься столь щепетильным вопросом как ЭЦП, тем будет лучше, а то такая вакханалия начнётся. С уважением, Zetor! |
Автор: malotavr | 24060 | 05.12.2010 17:46 |
> На самом деле всё уже сделано :-) , например вот:
Фигня, забудьте. Я знаю, что такое DVCS, но на сегодняшний день в России нет правовой основы для их испоьзования. Вот вам простая задачка. Пусть мы признаем квалифицированную ЭП субъекта А равнозначой его собственоручной подписи, и рассмотрим обработку банком Б платежных поручений этого субъекта. Банк Б получает платежное поручение с какой-то хренью вместо квалифицированой ЭП клиента А и сертификат VSD с квалифицированной подписью некоторого субъекта В, утверждающий, что данная хрень якобы является ЭП клиента Б. Вопрос: на каком основании банк Б должен признать эту хрень равнозначной собственноручной подписи клиента А? На сегодняшний день услуги "'электроного нотариуса" юридически ничтожны, поэтому не вижу смысла это обсуждать. |
Автор: msm, Top Cross | 24061 | 05.12.2010 18:57 |
to malotavr:
На тему DVCS и "нет правовой основы" вы видимо что то недопонимаете. Коротко суть трансграничного обмена выглядит так (вот картинка для наглядности - кстати это работающая картинка 1. Резидент РФ получил RSA ЭЦП. 2. Формально не понимает и не верит этой ЭЦП, поскольку он может не иметь специальных средств и заглянув в ФЗ-11 видит что вообщето RSA ЭЦП и сертификат может применятся в РФ, но для этого надо понять что всё это выполнено в соответствии с иностранным законодательством. Если специально этим вопросом не заниматься, то вы не в жизнь неотличите квалифицированные серт от не квалифицированного. Раз сам не знаешь , то надо спросить кто знает и кому веришь (например в по договору). 3. Идет обращение в DVCS (в запросе ЭЦП ГОСТ) - все легитимно. 4. У DVCS есть договор на криптоуслуги с иностранным DVCS и запрос пользоваателя транслируется в DVCS RSA, там идёт проверка ЭЦП и формируется ответ за подписью иностранного DVCS. 5. DVCS РФ ловит ответ, формирует свой ответ на основе полученного из-за бугорья подписывает ЭЦП ГОСТ и отдает пользователю. 6. пользователь имеет юрсильный ЭД на основании которого он верит исходной ЭЦП RSA. Вопрос - что тут не легитимно или что не хватает в нормативке. Просто я этой тематикой очень плотно занимаюсь с 2003 наверное года, в 2006 году была "боевая" система взаимодействия с зоной ЕС. Поэтому вы видимо не то знаете про DVCS. Если есть желание я специально вам расскажу и покажу, но в данной ветке все эти беседы про DVCS - оффтопик, поверте на слово , всё это работает, ни коем образом не касается УЦ иностранных государств и не касается в прямую проблем ФЗ О подписи. Что в старом , что в законопроекте Статья признания иностранных ЭЦП почти одинаковая и споров не вызывает. |
Автор: Прохожий | 24063 | 05.12.2010 20:44 |
2malotavr 24054
Интересно откуда ВЫ взяли цит. Вы не знаете, как искать коллизии в SHA-1 и брутфорсить ключи AES, но утверждаете это возможно.... Это предположение или следует из какого-то Вашего опыта общения со мной или с кем-либо еще? Кто и где это определил органолептически, или как-то это можно с Вашего монитора считывать? Занятно... Вы меня ни с кем не путаете из своих знакомых? Что еще из ложного компромата предложите чтобы оппонента уесть? Может не стоит переходить на пустые утверждения подобного рода? Вообще БрутФорсить нехорошо - не по джентельменски. (если я правильно понял этот пиджин инглиш русскими буквами) Если продукт достоин применения - никакой попытке грубого взлома путем перебора ключей он не должен опасаться - это аксиома для этих...которые брутфорсят... Да Бог с ними (раз уж они все в середине 90х удалились на покой!). Одна надёжа на Малотавра! Уж извините...не сдержался... Живите Вы мирно - кто мешает? |
Автор: malotavr | 24065 | 05.12.2010 22:22 |
Вы зря пересказываете RFC 3029: я его знаю не хуже вас, а вы за описанной в нем информационной технологией потеряли юридическую сторону вопроса. А зря - сперва стоит изучить основы законодательства о нотариате, а потом уже браться за их воплощений криптографическими методами.
> 6. пользователь имеет юрсильный ЭД на основании которого он верит исходной ЭЦП RSA. На этом шаге технология DVCS уперлась в правовой тупик, и готов поспорить, что слово "юрсильный" вы написали чисто механически. Жаргонизмы "имеющий юридическую силу" и "юридически значимый" применительно к ЭЦП (ЭП) означают "равнозначная собственноручной". Так? Условия признания равнозначности ЭЦП (ЭП) определяются законодательством РФ. В действующем ФЗ-1 одним из условий признания собственоручности ЭЦП названа положительность проверки _этой_ подписи криптосредством. В предложенном вами варианте положительный результат проверки _этой_ подписи у получателя подписанного документа отсутствует. Зато есть некоторый субъект "DVCS РФ", который своей подписью заверил полученный документ. Внимание, вопрос: кто такой "DVCS РФ" и кто его уполномочил заверять чужие документы? Во-первых, даже чисто теоретически заверять чужие документы дозволено определенному кругу субъектов права, несущих на основании закона личную гражданско-правовую ответственность за достоверность заверенного документа. Этим субъектом может быть нотариус, в отдельных случаях - руководитель отдела кадров, командир воинской части, капитан морского судна и т.п. - лица, действующие в пределах устаовленой законом компетенции и в этих пределах осознающие и подтверждающие достоверность заверенного документа. А DVCS в понимании RFC 3029 - нечто, механически выполняющее детерминированную последловательность действий, с помощью которой оно подтверждает не достоверность, а всего лищь математическую коректность подписи, и, вследствие этого, не несущее ответствености за достоверность документа с корректной подписью. В отличие от законодательства столь нелюбимых вами иностранных государств, российское законодательство такого не позволяет. Во-вторых, заверение документов третьим лицом, имеющим соответствующие полномочия, допускается российским законодательством только в случаях, прямо предусмотренных законодательными актами российской федерации. Никакой другой роли третьих лиц в заверении документов российское законодательство не преддусматривает. Поэтому на выходе из "DVCS РФ" у вас получился отнюдь ни "юрсильный ЭД", а нечто, с точки зрения законодательства юридически ничтожное. В обсуждаемом законопроекте у DVCS возникает ровно та же проблема - эта технология в предлагаемом вами варианте противоречит основам российского законодательства. А вот обеспечение взаимного признания сертификатов двух УЦ - например, буьем аккредитации этих УЦ - указанную проблему решает. Нельзя бросаться с шашкой наголо на защиту суверенитета и государственой безопасности, не понимая до конца правовую сорону вопроса. |
Просмотров темы: 28921