Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
"Качество" сертификации видно из скандала с iBank. 18.04.02 02:34 Число просмотров: 3039
Автор: М. Марков Статус: Незарегистрированный пользователь
Отредактировано 18.04.02 02:42 Количество правок: 1
|
О какой сертификации можно говорить, если пропускаются такие дырки как с iBank?
И вообще если в ФАПСИ энают о подобных ошибках зачем тянуть их в новый ГОСТ?
...
Прочитал весь спор, мне очень понравились замечания "эксперика", надо было Комлину
поручить ей статью писать :). Всё гораздо понятнее и чётче чем у автора.
cybervlad - тебе не хватает внимательности и такта,
например насчёт условий r'=1 при k/=0 всё очевидно, надо только всмотреться в формулы,
чтобы потом не краснеть.
...
Насчёт рекламы - посмотри в форуме первые версии статьи,
там нет ни слова рекламы. Лан Крипто приведён явно для примера
т.к. их алгоритм "Нотариус" действительно не содержит подобных ошибок.
Надо же что-то приводить...
Да и что нового он сказал - все рос. специалисты про Лебедева знают.
...
Серьёзная ли ошибка?
цитата из ГОСТа.
Внедрение системы ЭЦП на базе настоящего стандарта обеспечивает защиту передаваемых сообщений то
подделки, искажения и однозначно позволяет доказательно подтвердить подпись лица, подписавшего
сообщение.
По крайней мере для подиси (x',1) защита от искажения не обеспечивается.
Т.е. ошибка есть однозначно. Не забывайте ведь цифровая подпись не ограничивается
банковским делом.
Кто будет крайний в случае подделки?
Однозначно, ФАПСИ. (т.е. государство, т.е. с нас сдерут). Т.к. в госте оно гарантировало:
При совпадении значений r и u получатель принимает решение о том, что полученное сообщение подписано
данным отправителем и в процессе передачи не нарушена целостность сообщения, т.е. М =М.
А чего и бояться, всё равно не изх своего кармана платить,
в худщем случае бюджетникам зарплату задержат
> Аналитическому подходу и наблюдательности можно только
> позавидовать и снять шляпу. Однако, не надо держать за
> полных кретинов разработчиков и сертифицирующие
> лаборатории. Вы уверены, что при сертификационных
> испытаниях не выставляются доп. требования, такие как
> 1<k<q например? В этом случае механизм мошенничества
> при k=1 становится невозможным. Кстати, условие r=a для
> утверждения k=1 является необходимым, но недостаточным.
> Например, если a>q. А уж выбор p,q,a при сертификации
> точно проверят по всем параметрам.
> Одним словом, материал очень интересный, но на практике (к
> счастью!) все это сделать очень проблематично.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
