Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Может стоит вчитаться в главы 4,5 ГОСТа? 17.05.02 07:55 Число просмотров: 2179
Автор: cybervlad <cybervlad> Статус: Elderman
|
Добрый день, Александр.
> Влад претензии к госту не в отсуствии описания процесса > генерации а в неполных требования к > параметрам подписи. (в статье - кратной точки P, Простите, но Вы сказали, что нет требований к случайности ключа. Именно в связи с этим я и заметил, что в разделе 4 ГОСТа насчет генерации ключа прямо написано, что эти вопросы тут не расмотрены, их надо делать по ИСО.
> проффесиональные разработчики Сергей М. и SERGO3 считают, > что достаточно > доказательной случайности ключа - не > вижу смысла спорить с этим т. к. в госте ни того не хм, это как это "доказательной случайности"? если свечку не держали, то где уверенность, что данные сняты с ДСЧ, а не выбраны мною по злобным соображениям?
> >В ГОСТе есть отсылка на ИСО/МЭК 14888-1 и > > Простите, но из написанного в ГОСТЕ нельзя сделать вывод > что парараметы следует генерить по ИСО/МЭК. Кроме того это Буквальная трактовка написанного в разделе 4 приводит именно к такому выводу. По-моему так (с) Винни-Пух.
> > Ну-ну. Александр, Вы знакомы с (например) французским > > законодательством в этой области? Можно, конечно, > сделать в > > Гвинее-Бисау, только кто ж будет это покупать? ;) > Кстати, > > неориентированность на гостайну не освобождает от > > сертификации ;) > > В общем-то мы ушли от темы. > Я говорил о возможном способе обхода ограничений на > лицензирование. А я о том, что способ этот сомнителен. Не в каждой стране вам дадут заниматься разработкой криптософта на продажу.
> > > Яркий пример S-mail.com > > Пользование этой лавочкой не является юридически > значимым. > Я приводил её не как пример замены ЭЦП а как пример обхода > ограничеий на лицензию. А смысл в этом? Ну, уехали Вы за границу, написали нечто. Но если Вы это не можете продать в Россию, какой же это способ обхода? Так, самоудовлетворение... ПРосто написать можно и здесь.
> > информатизации и защите информации") и кучу других > > нормативных документов, разъясняющих это понятие. В > > частности, к нему относится банковская тайна, > персональные > > сведения, коммерческая тайна и т.п. > > У большинства этих документов есть одно маленькая > особенность они - подзаконные. Да ну? Документ, в номере которого есть буковки ФЗ стал подзаконным?
Подзаконно положение ПКЗ-99. А вот закон о лицензировании, утвержденное недавно (в соответствии с этим законом) положение по лицензированию КТ - очень даже устойчивые документы.
> Полагаю фапси это прикрасно понимает и не судится ни с кем, > просто чтобы не создавать прецедент. Вспомните, Оно не судилось до сих пор по причине отсутствия рычага воздействия. С 1 июля он появляется (в виде нового КоАПП) - жарьте цыпочек, ждите в гости ;)
> когда она попыталась навязать свою систему банкам ей > пришлось просто извиниться и отозвать письмо. Это Вы о чем, простите? Если о попытке внедрить в московском регионе какую-то жутко дорогую эцп (названия не помню), то там ФАПСИ не причем, это ЦБ баловался.
> Впрочем, это всё уже далеко от темы, практика такова, что > несертифицированными продуктами пользуются вовсю, и никого > наказать за это не удалось > Это реалия рынка. Это дыра в законодательстве. Которая закрывается с 1 июля. Рынок диктует совсем другое...
> Посмотрите например отчёт ifin: > http://www.ifin.ru/news/read/1922.stm > Кстати банков пользующихся своими разработками -7 Александр, не надоело подменять понятия? Вы уже начнете отличать непосредственно прикладной софт по дистанционному управлению счетом от связанной с ним СКЗИ? Большинство разработок по дист. управлению счетом используют pluggable (как это по-русски?) криптографию. Та же "Северная казна" (www.kazna.ru, www.internetbank.ru) имеет собственную разработку "Интернетбанк", но для шифрования/эцп в этой системе используется СКЗИ фирмы Сигнал-Ком. Так что пока мне известен лишь один банк, пользующийся криптографией собственной разработки, это уже упомянутый ранее в дискуссии "Автобанк".
> Сертификация меньшее зло, но её нет и не будет в обозримом > будущем. Когда эцп доберётся до массового потребителя. Александр, простите, но Ваши заявления в области, которой Вы не занимаетесь, звучат, как бы это помягче сказать... Вобщем, сертификация есть и будет ;)
Что до массовости ЭЦП, то существует альтернативное (и авторитетное) мнение на этот счет: http://www.cnews.ru/finance/cbr/
> > "криптографический" выговаривает с третьей попытки. > Именно > > их интересы защищает государство через лицензирование. > > В цивилизованных страннах этот вопрос решили проще - дав > грамотное и детельное описание схемы ЭЦП вплоть до > примеров кривых с параметрами. Вы о чем, простите? Не читаете, что я пишу? Какие, нафиг, кривые и выбор их параметров? Люди не понимают, что такое криптография, ключи и т.п. Когда начинаешь пытаться объяснить про y=a^x (даже без mod p) - машут руками, чтобы не грузил. Даже с высшим техническим образованием. Для большинства населения это такая же тарабарщина, как всякие там изотопы из Вашей основной специальности ;) Зайдите в свой банк и спросите клиентов, что такое ЭЦП, нужно ли им объяснение способа выбора точек на каких-то там элл. кривых. У меня ощущение, что Вы живете в каком-то НИИ и вобще не выходите в народ ;)
> Сертификация должна быть добровольной. Никогда!
Давайте отменим сертификацию продуктов питания, медикаментов. Я организую производство аспирина, купите у меня? ;)
Альтернатива в выборе сертификатора быть должна, это да. Но делать необязательной сертификацию товаров и услуг, которые потребитель не может оценить на предмет скрытой угрозы, не допустимо.
> Если выговорите о меём мнении, то да я купил бы > серитфицированный продукт. Но сертифицированный той > организацией которая в состоянии грамотно полностью и > без ляпов описать метод. И Вы знаете такую организацию? ;)
> Совершенно верно!!! Пока нельзя доказать что это сделали > именно Вы (или вероятнее всего Вы) Вас не посадят. Вас > даже не арестуют ибо > нельзя обвинять человека на основании недоказанных > предположений (ст. 205 УПК РСФСР или 220 нового УПК РФ). Правильно. Вот и здесь автор платежки - владелец ключа. Пока не доказано обратное. А оно не доказано, ибо из выводов экспертов следует только гипотетическая возможность.
> Поэтому растратчик (мошенник) с этой стороны неуязвим, т.к. > доказуемая вероятность того что это сделал он много меньше, > чем вероятность подделки со стороны. > Понимаете о чём речь? Ведь мошеннику ни надо ничего > доказывать вообще. ( доказывает его вину прокуратура Неправильно. Ключом он владел? Да. Платежка им подписана? Да. Все, он неправомерно слил денежки. Вот как раз он и должен доказывать, что он просто болеет и бухает, а так белый и пушистый.
> )Достаточно адвокату просто спросить обвинителя или > эксперата, > что вероятнее подделка подписи любым (неустановленныи) > лицом или её изготовление потерпевшим. И к гадалке ходить не надо - вероятнее изготовление подписи владельцем ключа. Кстати, а кого Вы называете потерпевшим? ;)
> ( В арбитраже конечно такое не пройдёт, но о нём и речи не > шло ибо пока следствием не установалено лицо подделавшее > подпись иск предъявлять некому ). А что, речь уже об уголовном деле? Кто против кого?
> Ни один судья (или даже следователь) не рискнёт (не > вправе) посадить владельца ключа пока не будет > доказательств > сговора с выбиравшим параметр или (как Вы правильно > заметили в переписке) связи с получателем денег. > Найти их трудно. Да зачем это все искать? Директор фирмы предъявляет претензию бухгалтеру (которому доверен ключ) в неправомерном перечислении денег. Какой сговор с разработчиком, о чем Вы?
> P. S. Кстати Влад, Вы получили моё вчерашнее письмо о > копировании? Если нетрудно ответьте побыстрее. Не получил.
|
|
|