Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Может стоит вчитаться в главы 4,5 ГОСТа? 16.05.02 07:55 Число просмотров: 1999
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Обратите внимание если бы в ГОСТе было хотя бы требование
> случайности выбора секретного ключа,
В ГОСТе есть отсылка на ИСО/МЭК 14888-1 и прямо сказано, что процесс генерации ключей в данном документе (ГОСТ Р3410) не рассматривается. Вы же сами ратовали за отмену самодеятельности в российской криптографии и следование международным стандартам. Вот и пожалуйста - ключики делать будем не по ГОСТ, а по ИСО ;)
> Их кстати легко обойти "сделав" продукт вне террритории РФ
> и не предназначая его для работы с гостайной и т.п.
Ну-ну. Александр, Вы знакомы с (например) французским законодательством в этой области? Можно, конечно, сделать в Гвинее-Бисау, только кто ж будет это покупать? ;) Кстати, неориентированность на гостайну не освобождает от сертификации ;)
> Яркий пример S-mail.com
Пользование этой лавочкой не является юридически значимым. Вы ни в одной стране мира не сможете доказать авторство документа, опираясь на СКЗИ из s-mail. Так что это утешение для параноиков. Но настоящие параноики (типа меня ;)) все-таки предпочитают для защиты личной переписки иметь локальную версию gnupg, а не передавать данные на сервер какому-то доброму дяде, который непонятно из каких соображений взялся (совершенно бесплатно!) оказывать мне услуги по защите информации. Сыр, мышеловка и другие ассоциации навевает...
> "1.5. Обязательной сертификации подлежат средства, в том
> числе иностранного производства, предназначенные для защиты
> информации, составляющей государственную тайну, и другой
> информации с ограниченным доступом, а также средства,
> использующиеся в управлении экологически опасными
Обратите внимание на выделенный фрагмент. А потом внимательно почитайте "трехглавый закон" ("об информации, информатизации и защите информации") и кучу других нормативных документов, разъясняющих это понятие. В частности, к нему относится банковская тайна, персональные сведения, коммерческая тайна и т.п.
> объектами. Перечень средств защиты информации, подлежащих
> обязательной сертификации, разрабатывается Гостехкомиссией
> России и согласовывается с Межведомственной комиссией по
> защите государственной тайны. В остальных случаях
> сертификация носит добровольный характер (добровольная
> сертификация) и осуществляется по инициативе разработчика,
> изготовителя или потребителя средства защиты информации."
> "ПОЛОЖЕНИЕ о сертификации средств защиты информации по
> требованиям безопасности информации"
Вы на год издание этого опуса внимание обратили? В юриспруденции опасно ориентироваться лишь на одн документ, надо смотреть комплексно. В частности, есть еще закон "О лицензировании отдельных видов деятельности" (128-ФЗ от 08.08.2001), постановление Правительства РФ "О лицензировании деятельности по техн. защите конфиденциальной информации" (N 294 от 30.04.2002), постановление Правительства РФ "О лицензировании отдельных видов деятельности" (N 135 от 11.02.2002).
Александр, я все никак не могу понять, куда Вы клоните в своих исследованиях. Сначала ругаетесь, что в ГОСТ не оговоренно все и программист может ошибиться. Когда Вам говорят, что от этого избавляются другими методами (орг. меры, лицензирование, сертификация), Вы начинаете возмущаться, что государство в лице ФАПСИ делает себя незаменимым и начинаете говорить о способах обхода сертификации. Если Вы лично "имеете накачанные мускулы" и предпочитаете "жить по законам леса" (т.е. каждый сам за себя), то подумайте о тех, кто вообще шарахается от слова "ключ", не понимает разницы между кодом и шифром, а слово "криптографический" выговаривает с третьей попытки. Именно их интересы защищает государство через лицензирование.
Что до рассматриваемой Вам схемы, то могу сказать только одно: пока Вы не покажете, каким образом случайно может пострадать несчастная фирма "Рога и Копыта" от действий внешних злоумышленников, это все не имеет смысла. Чего бы там приглашенные эксперты не на определяли в процессе "Фирма "Рога и Копыта" против РФ/ФАПСИ", суд вправе принимать или не принимать доводы сторон. Таким образом, заявление что "по данной подписи кто-то мог сделать подпись другого документа" не является полным доказательством и основание для отказа от авторства документа. У меня вот известный орган есть, но меня же не сажают за изнасилование на основании того лишь факта, что я имел возможность это сделать ;)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
