Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Может стоит вчитаться в главы 4,5 ГОСТа? 17.05.02 07:55 Число просмотров: 2179
Автор: cybervlad <cybervlad> Статус: Elderman
|
Добрый день, Александр.
> Влад претензии к госту не в отсуствии описания процесса
> генерации а в неполных требования к
> параметрам подписи. (в статье - кратной точки P,
Простите, но Вы сказали, что нет требований к случайности ключа. Именно в связи с этим я и заметил, что в разделе 4 ГОСТа насчет генерации ключа прямо написано, что эти вопросы тут не расмотрены, их надо делать по ИСО.
> проффесиональные разработчики Сергей М. и SERGO3 считают,
> что достаточно
> доказательной случайности ключа - не
> вижу смысла спорить с этим т. к. в госте ни того не
хм, это как это "доказательной случайности"? если свечку не держали, то где уверенность, что данные сняты с ДСЧ, а не выбраны мною по злобным соображениям?
> >В ГОСТе есть отсылка на ИСО/МЭК 14888-1 и
>
> Простите, но из написанного в ГОСТЕ нельзя сделать вывод
> что парараметы следует генерить по ИСО/МЭК. Кроме того это
Буквальная трактовка написанного в разделе 4 приводит именно к такому выводу. По-моему так (с) Винни-Пух.
> > Ну-ну. Александр, Вы знакомы с (например) французским
> > законодательством в этой области? Можно, конечно,
> сделать в
> > Гвинее-Бисау, только кто ж будет это покупать? ;)
> Кстати,
> > неориентированность на гостайну не освобождает от
> > сертификации ;)
>
> В общем-то мы ушли от темы.
> Я говорил о возможном способе обхода ограничений на
> лицензирование.
А я о том, что способ этот сомнителен. Не в каждой стране вам дадут заниматься разработкой криптософта на продажу.
> > > Яркий пример S-mail.com
> > Пользование этой лавочкой не является юридически
> значимым.
> Я приводил её не как пример замены ЭЦП а как пример обхода
> ограничеий на лицензию.
А смысл в этом? Ну, уехали Вы за границу, написали нечто. Но если Вы это не можете продать в Россию, какой же это способ обхода? Так, самоудовлетворение... ПРосто написать можно и здесь.
> > информатизации и защите информации") и кучу других
> > нормативных документов, разъясняющих это понятие. В
> > частности, к нему относится банковская тайна,
> персональные
> > сведения, коммерческая тайна и т.п.
>
> У большинства этих документов есть одно маленькая
> особенность они - подзаконные.
Да ну? Документ, в номере которого есть буковки ФЗ стал подзаконным?
Подзаконно положение ПКЗ-99. А вот закон о лицензировании, утвержденное недавно (в соответствии с этим законом) положение по лицензированию КТ - очень даже устойчивые документы.
> Полагаю фапси это прикрасно понимает и не судится ни с кем,
> просто чтобы не создавать прецедент. Вспомните,
Оно не судилось до сих пор по причине отсутствия рычага воздействия. С 1 июля он появляется (в виде нового КоАПП) - жарьте цыпочек, ждите в гости ;)
> когда она попыталась навязать свою систему банкам ей
> пришлось просто извиниться и отозвать письмо.
Это Вы о чем, простите? Если о попытке внедрить в московском регионе какую-то жутко дорогую эцп (названия не помню), то там ФАПСИ не причем, это ЦБ баловался.
> Впрочем, это всё уже далеко от темы, практика такова, что
> несертифицированными продуктами пользуются вовсю, и никого
> наказать за это не удалось
> Это реалия рынка.
Это дыра в законодательстве. Которая закрывается с 1 июля. Рынок диктует совсем другое...
> Посмотрите например отчёт ifin:
> http://www.ifin.ru/news/read/1922.stm
> Кстати банков пользующихся своими разработками -7
Александр, не надоело подменять понятия? Вы уже начнете отличать непосредственно прикладной софт по дистанционному управлению счетом от связанной с ним СКЗИ? Большинство разработок по дист. управлению счетом используют pluggable (как это по-русски?) криптографию. Та же "Северная казна" (www.kazna.ru, www.internetbank.ru) имеет собственную разработку "Интернетбанк", но для шифрования/эцп в этой системе используется СКЗИ фирмы Сигнал-Ком. Так что пока мне известен лишь один банк, пользующийся криптографией собственной разработки, это уже упомянутый ранее в дискуссии "Автобанк".
> Сертификация меньшее зло, но её нет и не будет в обозримом
> будущем. Когда эцп доберётся до массового потребителя.
Александр, простите, но Ваши заявления в области, которой Вы не занимаетесь, звучат, как бы это помягче сказать... Вобщем, сертификация есть и будет ;)
Что до массовости ЭЦП, то существует альтернативное (и авторитетное) мнение на этот счет: http://www.cnews.ru/finance/cbr/
> > "криптографический" выговаривает с третьей попытки.
> Именно
> > их интересы защищает государство через лицензирование.
>
> В цивилизованных страннах этот вопрос решили проще - дав
> грамотное и детельное описание схемы ЭЦП вплоть до
> примеров кривых с параметрами.
Вы о чем, простите? Не читаете, что я пишу? Какие, нафиг, кривые и выбор их параметров? Люди не понимают, что такое криптография, ключи и т.п. Когда начинаешь пытаться объяснить про y=a^x (даже без mod p) - машут руками, чтобы не грузил. Даже с высшим техническим образованием. Для большинства населения это такая же тарабарщина, как всякие там изотопы из Вашей основной специальности ;) Зайдите в свой банк и спросите клиентов, что такое ЭЦП, нужно ли им объяснение способа выбора точек на каких-то там элл. кривых. У меня ощущение, что Вы живете в каком-то НИИ и вобще не выходите в народ ;)
> Сертификация должна быть добровольной.
Никогда!
Давайте отменим сертификацию продуктов питания, медикаментов. Я организую производство аспирина, купите у меня? ;)
Альтернатива в выборе сертификатора быть должна, это да. Но делать необязательной сертификацию товаров и услуг, которые потребитель не может оценить на предмет скрытой угрозы, не допустимо.
> Если выговорите о меём мнении, то да я купил бы
> серитфицированный продукт. Но сертифицированный той
> организацией которая в состоянии грамотно полностью и
> без ляпов описать метод.
И Вы знаете такую организацию? ;)
> Совершенно верно!!! Пока нельзя доказать что это сделали
> именно Вы (или вероятнее всего Вы) Вас не посадят. Вас
> даже не арестуют ибо
> нельзя обвинять человека на основании недоказанных
> предположений (ст. 205 УПК РСФСР или 220 нового УПК РФ).
Правильно. Вот и здесь автор платежки - владелец ключа. Пока не доказано обратное. А оно не доказано, ибо из выводов экспертов следует только гипотетическая возможность.
> Поэтому растратчик (мошенник) с этой стороны неуязвим, т.к.
> доказуемая вероятность того что это сделал он много меньше,
> чем вероятность подделки со стороны.
> Понимаете о чём речь? Ведь мошеннику ни надо ничего
> доказывать вообще. ( доказывает его вину прокуратура
Неправильно. Ключом он владел? Да. Платежка им подписана? Да. Все, он неправомерно слил денежки. Вот как раз он и должен доказывать, что он просто болеет и бухает, а так белый и пушистый.
> )Достаточно адвокату просто спросить обвинителя или
> эксперата,
> что вероятнее подделка подписи любым (неустановленныи)
> лицом или её изготовление потерпевшим.
И к гадалке ходить не надо - вероятнее изготовление подписи владельцем ключа. Кстати, а кого Вы называете потерпевшим? ;)
> ( В арбитраже конечно такое не пройдёт, но о нём и речи не
> шло ибо пока следствием не установалено лицо подделавшее
> подпись иск предъявлять некому ).
А что, речь уже об уголовном деле? Кто против кого?
> Ни один судья (или даже следователь) не рискнёт (не
> вправе) посадить владельца ключа пока не будет
> доказательств
> сговора с выбиравшим параметр или (как Вы правильно
> заметили в переписке) связи с получателем денег.
> Найти их трудно.
Да зачем это все искать? Директор фирмы предъявляет претензию бухгалтеру (которому доверен ключ) в неправомерном перечислении денег. Какой сговор с разработчиком, о чем Вы?
> P. S. Кстати Влад, Вы получили моё вчерашнее письмо о
> копировании? Если нетрудно ответьте побыстрее.
Не получил.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
