информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыСетевые кракеры и правда о деле ЛевинаВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / law
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Нда, спутал с каким-то другим, однозначно. 21.11.07 10:26  Число просмотров: 7758
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 21.11.07 10:33  Количество правок: 1
<"чистая" ссылка>
>

Нда, спутал с каким-то другим, однозначно.

> Опять таки, лицензия нужна, только если этим будет
> обрабатываться гос информация.

Я в свое время не обнаружил этой свЯзи. Закона два разных, но ссылок между ними не увидел. В одном про сведения, содержащие государственную тайну, которые должны шифроваться лицензированными средствами (алгоритм + конечный продукт). Другой про лицензирование отдельных видов деятельности. Не могу окончательно настаивать ни на какой точне зрения.
Самое главное не спутать с сертификацией. Шифровальные продукты (стало быть и алгоритмы, на которых построены эти продукты) должны быть сертифицированы, а для того чтоб заниматься деятельностью по разработке надо иметь лицензию. Но насколько я понял не взирая на то, разрабатывается ли продукт для защиты информации, содержащей государеву тайну или нет.
Помнится меня еще один интересный момент удивил. В законе делается явный акцент на то, что он распространяется на юридических лиц, а про частных лиц ни слова.
> RSA тоже "свободный" (срок действия патента истек в 2000-м
> году) в плане того, что кто угодно может его использовать
> (в том числе и в коммерческих продуктах). В OpenSSL есть

Как быстро 7 лет пролетело.

> EC-шифрование со 192-битным ключем по стойкости
> эквивалентно RSA-шифрованию с 2048-битным (ожидается, что
> ключи с такой длиной не будут взломаны примерно до 2030

Про эффективность ЕС я наслышан. Иначе на него никто бы и внимание обращать не стал.
<law>
Вопрос по ГОСТ Р 34.10-94. 20.11.07 05:04  
Автор: dr0n Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Насколько я понял, данный стандарт заменен на ГОСТ Р 34.10-2001. В связи с этим 2 вопроса: 1) Применяется ли еще старый стандарт? 2) Нужно ли получать какое-либо разрешение для использования этого стандарта в коммерческих целях? Этот же вопрос и касательно RSA.
Ну как тут ответишь? Наверняка найдется такой крендель,... 20.11.07 16:30  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 20.11.07 16:31  Количество правок: 1
<"чистая" ссылка>
> Насколько я понял, данный стандарт заменен на ГОСТ Р
> 34.10-2001. В связи с этим 2 вопроса: 1) Применяется ли еще

Ну как тут ответишь? Наверняка найдется такой крендель, который когда-то купил разработку на старом ГОСТе и до сих пор ее использует. В финансовой же сфере произошла плановая замена. Сначала МАГПРО обновили до версии 4.2 с поддержкой нового ГОСТа, потом при плановой смене ключей, естественно новая версия их сгенерила для нового алгоритма и при использовании этих новых ключей полностью заработал новый ГОСТ. Я в подробности не вникал, поскольку на уровне алгоритмов такой связи может и не быть, но на уровне софта есть связь алгоритма с ключем.

> старый стандарт? 2) Нужно ли получать какое-либо разрешение
> для использования этого стандарта в коммерческих целях?

Насколько мы тут обсуждали, лицензирование и алгоритм - вещи не совместимые в соответствии с нашим действующим законодательством. Короче не требуются разрешения ни на один алгоритм!
Но, деятельность, связанная с разработкой, распространением, ... шифровальных средств подлежит обязательному лицензированию. То есть надо разрешение на разработку получать. Это в соответствии с законом о лицензировании отдельных видов деятельности.

> Этот же вопрос и касательно RSA.

Считаю, что у нас в стране это алгоритм во многих местах применяется, для коммерции он не запрещен, но слышал от разработчиков, которые отказались от его использования в пользу IDEA (почти аналог, но свободный) в связИ с тем, что на использование RSA в продуктах "на продажу" и извлечения прибыли соответственно, есть ограничение со тороны то ли разработчиков, то ли норм международного права. Короче по полтинничку зеленых презедентов на лицензию надо отстегнуть, причем пачками, минимум тысяча лицензий в пачке.
IDEA блочный (то бишь симметричный) шифр - он никак не может быть аналогом RSA 20.11.07 18:46  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> > старый стандарт? 2) Нужно ли получать какое-либо
> разрешение
> > для использования этого стандарта в коммерческих
> целях?

> Насколько мы тут обсуждали, лицензирование и алгоритм -
> вещи не совместимые в соответствии с нашим действующим
> законодательством. Короче не требуются разрешения ни на
> один алгоритм!
> Но, деятельность, связанная с разработкой,
> распространением, ... шифровальных средств подлежит
> обязательному лицензированию. То есть надо разрешение на

Опять таки, лицензия нужна, только если этим будет обрабатываться гос информация.

> Считаю, что у нас в стране это алгоритм во многих местах
> применяется, для коммерции он не запрещен, но слышал от
> разработчиков, которые отказались от его использования в
> пользу IDEA (почти аналог, но свободный) в связИ с тем, что

RSA тоже "свободный" (срок действия патента истек в 2000-м году) в плане того, что кто угодно может его использовать (в том числе и в коммерческих продуктах). В OpenSSL есть RSA, в GnuTLS есть RSA, да и вообще он много где есть (в том числе и в упомянутой PUBLIC DOMAIN crypto++). Использовать другой шифр можно к примеру из-за бОльшей производительности:
EC-шифрование со 192-битным ключем по стойкости эквивалентно RSA-шифрованию с 2048-битным (ожидается, что ключи с такой длиной не будут взломаны примерно до 2030 года). Хоть операции на эллиптических кривых сами по себе и несколько сложнее, но их нужно производить над на порядок меньшими числами, что приводит к бОльшему быстродействию EC-систем по сравнению с RSA-системами при одинаковой стойкости.

> на использование RSA в продуктах "на продажу" и извлечения
> прибыли соответственно, есть ограничение со тороны то ли
> разработчиков, то ли норм международного права. Короче по
> полтинничку зеленых презедентов на лицензию надо
> отстегнуть, причем пачками, минимум тысяча лицензий в
> пачке.
Лицензия нужна, если компания разрабатывает средство... 28.11.07 17:06  
Автор: AntonK Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Опять таки, лицензия нужна, только если этим будет
> обрабатываться гос информация.

Лицензия нужна, если компания разрабатывает средство шифрования (как правильно подметили - см. закон о лицензировании отдельных видов деятельности). Если хочется чтобы этим продуктом обрабатывалась гос тайна, либо конфиденциальная информация, то продукт обязательно надо сертифицировать. Причем интересный момент - стоит выйти на рынок со средством шифрования, как тут же появляется милиция или ФСБ, которые начинают требовать лицензии на производство, распространение и техническое обслуживание шифровальных средств (3 лицензии!!!). Если лицензий нет, то тут же лихо заводят дело об административном нарушении и взыскивают до 2000 МРОТ с предписанием исправить все. Не знаю на сколько долго это может длиться, но вполне реально с их стороны довести фирму до юридического закрытия.

Забавный момент - если продукт назвать не "средство шифрования", а как-то мудрено без слова "шифрование", то лицензировать ничего не надо. :)
Нда, спутал с каким-то другим, однозначно. 21.11.07 10:26  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 21.11.07 10:33  Количество правок: 1
<"чистая" ссылка>
>

Нда, спутал с каким-то другим, однозначно.

> Опять таки, лицензия нужна, только если этим будет
> обрабатываться гос информация.

Я в свое время не обнаружил этой свЯзи. Закона два разных, но ссылок между ними не увидел. В одном про сведения, содержащие государственную тайну, которые должны шифроваться лицензированными средствами (алгоритм + конечный продукт). Другой про лицензирование отдельных видов деятельности. Не могу окончательно настаивать ни на какой точне зрения.
Самое главное не спутать с сертификацией. Шифровальные продукты (стало быть и алгоритмы, на которых построены эти продукты) должны быть сертифицированы, а для того чтоб заниматься деятельностью по разработке надо иметь лицензию. Но насколько я понял не взирая на то, разрабатывается ли продукт для защиты информации, содержащей государеву тайну или нет.
Помнится меня еще один интересный момент удивил. В законе делается явный акцент на то, что он распространяется на юридических лиц, а про частных лиц ни слова.
> RSA тоже "свободный" (срок действия патента истек в 2000-м
> году) в плане того, что кто угодно может его использовать
> (в том числе и в коммерческих продуктах). В OpenSSL есть

Как быстро 7 лет пролетело.

> EC-шифрование со 192-битным ключем по стойкости
> эквивалентно RSA-шифрованию с 2048-битным (ожидается, что
> ключи с такой длиной не будут взломаны примерно до 2030

Про эффективность ЕС я наслышан. Иначе на него никто бы и внимание обращать не стал.
Тот же crypto++ находится в public domain 20.11.07 11:17  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Насколько я понял, данный стандарт заменен на ГОСТ Р
> 34.10-2001. В связи с этим 2 вопроса: 1) Применяется ли еще
> старый стандарт? 2) Нужно ли получать какое-либо разрешение
> для использования этого стандарта в коммерческих целях?
> Этот же вопрос и касательно RSA.

ГОСТ там есть но вроде бы симметричный, ну и RSA (хотя EC вроде быстрее при одинаковой стойкости за счет меньшей длины ключа) - куда ж без него. Лицензировать их использование в коммерческих продуктах не нужно, а вот лицензировать алгоритмы, применяемые в софте для госучреждений нужно лицензировать.
Тут двояко: лицензировать необходимо при использовании при наличии соотвествующей информации. А без такой информации в госучреждениях и использовать криптоалгоритмы не надо. 20.11.07 12:06  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Надо себе задать вопрос - есть ли объект защиты - тогда и криптовать лиц алгоритмами и системами*.
Если нет - нечего городить себе проблемы на одно место :) И госкомпании активно отнекеваются такой режимной информаии. Однопользовательское место денег не мало стоит, а сетевые решения - вообще заоблочны по цене. Ни одна распределенная сеть не лицензирована. Нет полной лицензированной инфраструктуры.

Коммерческим без разницы, если они не хранят или обрабатывают режимную гос информацию. Но там допуск не дадут пока лицензии на информационную систему не будет.

В ГОСТ есть закрытый раздел (массив подстановок, вроде), который выдается официально спецорганами, поэтому циска не сертифицирована, в ней нет вроде госта или официально полученного массива.

* причем не обязательно системы ограничения доступа криптуют (лицензировать тяжело), они, по скромным уверениям разработчиков, кодируют хранимую информацию :)
Все вышесказанное уже не в тему. Может Дрон хочет себе... 20.11.07 16:44  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 20.11.07 16:45  Количество правок: 1
<"чистая" ссылка>
> Надо себе задать вопрос - есть ли объект защиты - тогда и
> криптовать лиц алгоритмами и системами*.
> Если нет - нечего городить себе проблемы на одно место :) И
> госкомпании активно отнекеваются такой режимной информаии.
> Однопользовательское место денег не мало стоит, а сетевые
> решения - вообще заоблочны по цене. Ни одна распределенная
> сеть не лицензирована. Нет полной лицензированной
> инфраструктуры.
>
> Коммерческим без разницы, если они не хранят или
> обрабатывают режимную гос информацию. Но там допуск не
> дадут пока лицензии на информационную систему не будет.

Все вышесказанное уже отклонение от темы. Может Дрон хочет себе шифровалку изваять. Алгоритмы хочет надежные, а не сам придумывать. ГОСТ не потому, что узаконеный, а потому, что кроме ГОСТа и РСА ничего не слышал. Да мало ли чего, почему если чел интересуется используемостью и лицензированием, то сразу для госпредприятий что-то создавать.

> В ГОСТ есть закрытый раздел (массив подстановок, вроде),
> который выдается официально спецорганами, поэтому циска не
> сертифицирована, в ней нет вроде госта или официально
> полученного массива.

Я тоже досконально с ГОСТои не знакомился, а слышал только что дело в отличиях ассиметричный алгоритмах, типа в новом применили эллиптические кривые.

> * причем не обязательно системы ограничения доступа
> криптуют (лицензировать тяжело), они, по скромным уверениям
> разработчиков, кодируют хранимую информацию :)

* По хорошему хранимую парольную информацию надо бы не просто закодировать, а зашифровать. А уж делать так или нет, все зависит от совести разработчиков систем ограничения доступа.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach