|
|
Комментарии (2)
-
Сертификация и лицензирование крипто-продуктов open source
> Речь идет о сертификации open source крипто-продуктовТак. Понятно. Поле определилось. > Производитель этих продуктов, как правило, -- не фирма. И в любом случае он не имеет никакого желания даже читать правила лицензирования своей деятельности в России. Опять непонятно: мы говорим о сертификации или о лицензировании? Это -- совершенно разные вещи. Странно, что их постоянно путают. > С другой стороны, в силу открытости текстов и легальной возможности модификации нет никаких препятствий для проведения любых испытаний и оценки специалистами этих продуктов. Т.е. все-таки речь идет о сертификации... Понятно. Теперь непонятна цель. Зачем сертифицировать?
-
Проект федерального закона "Об электронной цифровой подписи"
В дополнение к ранее сделанным высказываниям. Ст. 2 Правовое регулирование отношений в области использования ЭЦП осуществляется в соответствии с настоящим Федеральным законом, Федеральным законом "Об информации, информатизации и защите информации", другими федеральными законами, принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации.К сожалению, в законе не сказано прямо, можно ли применять (предоставлять услуги) ЭЦП, не имея лизензии. А ФАПСИ сейчас, ссылаясь на действующее законодательство, выдает лицезии и на предоставление услуг в области шифрования (к которой относит и ЭЦП). В общем, ссылка на действующие законы и нормативные акты порождает ряд вопросов, на которые данный текст закона прямого ответа не дает. Правомерно ли будет после принятия такого закона предоставление банком услуги по системе "банк-клиент" с применением ЭЦП без соответствующей лицензии ФАПСИ (в том случае, если удостоверяющим центром будет другая организация)? Судя по отсутствию прямого запрета, вроде бы несертифицированные средства ЭЦП применять можно. Но об этом прямо не сказано. С другой стороны, в определении понятий написано: подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат подтверждения сертифицированным средством ЭЦП ... То есть что, несертифицированным средством и подтвердить подлинность ЭЦП нельзя? Как же тогда его применять? К сожалению, не прописаны требования к организациям, претендующим на получение лицензии Удостоверяющего центра. Нет список документов, предоставляемых для лицензирования, нет исчерпывающего перечня причин отказа в выдаче лицензии. Будет ли одна лицензия на любое количество обслуживанемых корпоративных систем и средств ЭЦП, или на каждую корпоративную систему и каждое средство ЭЦП - отдельная? В общем, поле для чиновного произвола остается обширным.
-
Проект федерального закона "Об электронной цифровой подписи"
Как-то очень странно, что согласно статье 9, пункту 1 удостоверяющий центр... создает по обращению пользователей закрытые и открытые ключи ЭЦП. Если закрытый ключ создан не самим обладателем ЭЦП, то как можно гарантировать его закрытость??? Это делает бессмысленным как сам закон, так и ЭЦП вообще. Особенно настораживает, что статья 17, пункт 1 относит любую информационную систему с выходом в интернет (а зачем нужна абсолютно закрытая система?) к системе общего пользования, при этом статья 5, пункт 2 запрещает любой такой информационной системе использовать не сертифицированные средства ЭЦП. А это делает закон бесполезным с точки зрения свободы выбора средств ЭЦП негосударственными организациями и частными лицами. И, конечно, справедливы упреки относительно неконкретности определения правовых последствий использования сертифицированных и не сертифицированных средств ЭЦП.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Взгляните на текст, и вы увидите ряд интересных особенностей. - Условием вхождения в систему документооборота ПФРФ — вполне государственной организации — ставится заключение с «ТехИнформКонсалтингом» — вполне частным обществом с ограниченной ответственностью — договора о использовании поставляемого этой компанией «сертифицированного средства» АРМ ФКМ «Верба» (см. тж. бланк заявления, приводимый на врезке). Говорят о сумме в $120, затребованной за лицензию на одно рабочее место.
- Далее, обратившись к информации, представленной на сервере «ТехИнформКонсалтинга» (www.protection.ru), можно обнаружить, что поставляемые этой компанией ФКМ («файловые криптоменеджеры») FcolseW «Верба» и FcolseOW «Верба-О» реализованы исключительно под Microsoft Windows 95/98/NT, которые, как известно, отнюдь не являются свободными продуктами, а лицензируются также только на коммерческих условиях по ценам, начинающимся где-то в районе $100.
Утверждая такой «регламент» государственная организация фактически открывает канал нерыночного получения доходов двум частным компаниям — одной российской, другой американской, принуждая своих контрагентов к приобретению прав на использование их программных средств. - Исследовав обстоятельства чуть глубже, можно увидеть еще одну интересную вещь. Из функциональности «сертифицированного средства» изъята процедура генерации пары ключей, являющаяся неотъемлемой функцией любого развитого криптопакета и присутствующая в линейке продуктов «Верба» (см. информацию на том же сайте). Говорят о сумме в $20, затребованной за генерацию каждой пары ключей.
И, наконец, обратите внимание, как органично общая коррупционная направленность документа сочетается с откровенным невежеством его составителей. - Из п. 3.4 следует, что криптография с открытыми ключами использована чисто номинально: фактически, система является централизованной, и от каждого участника требуется полное доверие к «центру». Не нужно иллюзий: включение в так регламентированную систему документооборота равносильно согласию на то, что любой крестик, поставленный на бумаге, будет рассматриваться как эквивалент вашей собственноручной подписи.
- В определениях читаем: «Закрытый ключ [...]используется для [...] шифрования. [...] Открытый ключ [...] предназначен для [...] расшифрования».
Правда? — Понятно, что как только в глазах начали мелькать суммы, полученные умножением вымогаемой трехзначной (в долларовом выражении) суммы на количество потенциальных жертв вымогательства, ни желания, ни моральных сил прочитать даже популярную брошюрку о том, что такое криптография с открытыми ключами, и для чего используются ключи открытые и ключи закрытые, уже не остается. Обратите внимание, что эта коррупционная схема внедряется в условиях действующего, вполне либерального законодательства, оставляющего выбор технологии и средств ЭЦП на усмотрение сторон. Лично у меня по мере погружения в тематику (с 1995 г. по сей день) энтузиазм по поводу юридической регламентации процедур цифровой подписи и государственной поддержки создания их инфраструктуры сменился умеренным скепсисом. Я не считаю соответствующее специальное законодательство абсолютно необходимым, хотя готов допустить, что, при соблюдении ряда условий — к сожалению, длинного ряда — оно действительно способно подстегнуть процесс введения ЦП в деловой и гражданский оборот. Тем не менее, если закон «Об ЭЦП» и принимать, я думаю, одной из основных задач, которые он должен решать, является закрытие лазеек для внедрения схем нерыночного получения доходов от «сертифицированных средств». Однако - увы и ах. Комитет по безопасности (www.duma.gov.ru/csecure/) очередной раз рекомендовал разработчикам двух з/п "Об ЭЦП" доработать документы до вынесения на первое чтение. Я хочу привлечь внимание к аспекту, который я бы назвал мистическим. Так, правительственный законопроект предполагает, что «[п]ри создании ключей электронной цифровой подписи для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков и вреда, возникших в связи с [...] несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей таких ключей» (Ст. 5, §2), «забывая» — и это очень характерно — указать на то, кто будет возмещать «убыток и вред» при использовании «сертифицированных средств». Билль Тарачева-Шохина определяет порядок, согласно которому «[д]опускается использование не сертифицированных средств выработки ЭЦП» (Ст. 4, §2), но устанавливает, что «[в]ладелец закрытого ключа ЭЦП, использующий не сертифицированное средство ЭЦП, обязан обеспечить уведомление пользователей [...]. В противном случае владелец закрытого ключа ЭЦП, использующий не сертифицированное средство ЭЦП, несет ответственность за убытки, понесенные пользователями соответствующего открытого ключа вследствие использования не сертифицированного средства ЭЦП» (§3), опять-таки, «забывая» — вопреки всякой логике — распределить ответственность в случае использования «сертифицированных средств». Эти клаузы — в которых «сертификация» вводится как некий магический акт — совершенно мистическим образом возникают практически в каждой версии биллей, сколько не объясняй, к чему может привести мистика в имеющих силу закона документах, и сколько ее не вычеркивай. И каждый раз сквозь «сертификацию» просвечивает та или иная схема нерыночного получения доходов связанными с «сертификаторами» частными компаниями.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
А вообще-то ситуация с госорганом и частной компанией, обслуживающей третьих лиц решается обычно очень просто: делается список критериев, под который сразу попадает не меньше трех неаффилированных между собой частных организаций, а список оставляется открытым. Такая схема обычно смягчает указанную Максимом коррупционность (понятно, что просто тендер с победившей одной организацией тут не проходит -- ибо вынужденные платить третьи лица чихали на тот тендер, который проводят не они сами). Правда, в данном конкретном случае все упирается в отсутствие стандарта на криптосредства, чтобы третьим лицам можно было выбирать из нескольких разных вариантов. Отсутствие должного разнообразия стандартных крипторешений упирается в ту же сертификацию (обязательную для госорганизаций во всех вариантах проекта закона). Поэтому все происходит, как неоднократно предупреждалось на всевозможных встречах по обсуждению законопроекта: подобные схемы порождают коррупцию таким способом, что уйти от коррупции оказывается невозможным. Я думаю, "ТехИнвестКонсалтингу" не нравится ситуация, в которую попала эта организация -- уж слишком кривая схема. Но нынешние и проектируемые нормативные акты просто не дают возможности уйти от коррупционных схем. Одна надежда -- на пакет законов по дебюрократизации экономики (в этом пакете из 500 видов лицензий планируется оставить только 70). Но надежда, понятно, слабая -- ибо велики доходы от сертификационных схем...
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Здесь интересен такой вариант, -- что будет, если в просьбе на подключение будет написано: "...просит подключить нас к системе электронного документооборота ПФР для представления сведений индивидуального (персонифицированного) учета в электронной форме с использованием АРМ (файлового криптоменеджера) фирмы "Куку-фифи"... А отделение ПФР откажет (кстати, на каком основании?) -- какие в данном случае возникнут судебные перспективы?
-
Тамбовский центр тебе друг, товарищ и серый тификатор, тайга - закон, Шерстюк - прокурор
А вообще-то ситуация с госорганом и частной компанией, обслуживающей третьих лиц решается обычно очень просто: делается список критериев, под который сразу попадает не меньше трех неаффилированных между собой частных организаций, а список оставляется открытым.У нас это плохо проходит: они выкатят три "неаффилированные" между собой лавки (ТИК, КриптоПро и гальванизируют МО ПНИИЧАГО), а кто там с кем спит - мы же свечку не держали, хотя понятно, что грех свальный, и та же "Верба" ходит по рукам, как пьяная не пойми кто. Когда ее поломают публично, концов точно не найти будет. :) Правда, в данном конкретном случае все упирается в отсутствие стандарта на криптосредства, чтобы третьим лицам можно было выбирать из нескольких разных вариантов. Строго говоря, это не так. Стандартов достаточно. Я думаю, "ТехИнвестКонсалтингу" не нравится ситуация, в которую попала эта организация -- уж слишком кривая схема. А я думаю, очень нравится - ведь она таакаая криваая. :) Но нынешние и проектируемые нормативные акты просто не дают возможности уйти от коррупционных схем. Почему же? Как раз в Законе "Об ЭЦП" можно перекрыть коррупционные схемы, заложенные в других законах, применительно к этому конкретному кейсу. Вариант: - Стандартизация отделяется от сертификации. От узлов, которыми оперируют госорганы (+господрядчики), требуется использование сертифицированных решений. От их контрагентов требуются данные, соответствующие стандарту, и все.
- По каждой категории решений, используемых в "публичных" системах перво-наперво сертифицируется эталонная реализация - та, которой будут поверять совместимость других решений. Эталонная реализация предоставляется под двойной лицензией - 1) GPL-modelled для профессионалов, конечных пользователей и госпользователей и 2) коммерческой для разработчиков поп-софта (которые, затем, могут сертифицировать свои производные - понятно, что это дешевле, чем сертивикации from scratch-реализации). Сертификация проприетарных решений, не имеющих сертифицированного свободной модельной реализации, запрещается. (По сути, это просто требование опубликовать и отдать народу эталон, который все равно всегда есть (вектора чем-то считают контрольные?), и который все равно разработан на народный налогоплательщиковы деньги.)
- Сертификация вводится как ответственный институт. Эта почетная функция возлагается на ГТК, которая может кросс-лицензироваться с правительственными (ФАПСИ), военными (НИИ-27), частными или зарубежными сертификаторами, но - под свою ответственность.
- Использование вводится как ответственный институт. Пользователь отвечает за "прорывы", деля ответственность с поставщиком/сертификатором (если средство сертифицировано) или страхуя ее (если кто-то возьмется).
Я утверждаю, что это единственный подход (применимый, конечно, очень широко - ЦП просто очевидный пример), который придает сертификации решений хоть какой-то смысл. Одна надежда -- на пакет законов по дебюрократизации экономики (в этом пакете из 500 видов лицензий планируется оставить только 70). ...Которые покроют гораздо большую площадь тучных пастбищ, чем существующие 492. :) Например: 1. А - Автомобили, производство, заправка, обслуживание и переработка в металлолом, 2. Б - Банки, все услуги. ... 21. Ф - Фсе остальное. :)
-
Подключи мне, подключи...
Гораздо смешнее, если не "Ку-ку", а, допустим "КриптоПро": у нее такой же сертификат, такая же заявленная функциональность, те же аттестованные алгоритмы, и никакой совместимости :)))
-
Тамбовский центр тебе друг, товарищ и серый тификатор, тайга - закон, Шерстюк - прокурор
> та же "Верба" ходит по рукам, как пьяная не пойми кто. Когда ее поломают публично, концов точно не найти будет. :)А когда ломают открытый софт, то как выглядят найденные концы? Мне кажется, примерно так же... Поломка криптософта -- это примерно то же, что и любые другие найденные баги. Далее нужно понимать про две вещи: 1) как быстро и кто именно залатает дырку, 2) кто заплатит за непосредственный ущерб Насколько я понимаю, любые проприетари и открытые решения де-факто в сегодняшней ситуации тут эквивалентны (открытое решение лучше только тем, что покупная цена меньше -- хотя не нулевая, учитывая усилия на освоение и поддержку). Поэтому ломка "Вебры" тут не при чем :) "Верба" тут как неуловимый Джо -- ее не ломают, потому что она никому не нужна, ее внедрение определяется не сущностными, а политическими причинами.
-
Подключи мне, подключи...
> Гораздо смешнее, если не "Ку-ку", а, допустим "КриптоПро"Я эту ситуацию и имел в виду. Название ведь не важно... Нет, я могу "технически" понять ребят из Фонда -- поддерживать одну систему проще, чем две, а то и сотню (а почему бы и нет?). Но если предложить нормативное требование для Фонда иметь возможность обслуживать и принимать любое, наперед не известное, количество всех этих закрытых, полузакрытых и даже открытых криптосистем -- то тоже ерунда получается... Поэтому речь может идти о первоначальной стандартизации протоколов связи и крипто-обеспечения (затрудняюсь из-за неосведомленности в деталях назвать то, что надо стандартизировать, ведь это не только алгоритмы...) Далее -- решить вопросы, связанные с сертификацией всего этого третьей стороной(сторонами), уважаемой(уважаемыми) всеми (или, хотя бы участниками "процесса"). А уж потом конкретные реализации можно рекомендовать, и строить саму систему "криптообслуживания"... А то во имя сохранения одних прав и свобод ( для сохранения тайны сведений индивидуального учета ) попирать другие -- негоже.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Для того чтобы оценить всю прелесть ситуации, представляется целесообразным взглянуть на "истоки" ситуации. 1. Два года назад Старовойтов А.В. ген. директор ФАПСИ и одновременно владелец ТИК, кторый учередил "МО ПНИИЭИ". 2. Верба - недоделанное дитя МО ПНИИЭИ навязывается всем, как единственное сертифицированное ФАПСИ средство. 3. Сегодня ген. директор ФАПСИ Матюхин В.Г., у которого свой интререс в НТЦ АТЛАС и соответственно новоиспеченной конторе КриптоПро. 4. Сертификат на Вербу истек и возникает патовая ситуация. Продлить его - отдать деньги ТИК и Старовойтову, но тогда причем здесь ,Матюхин.Не продлевать - подписаться под тем, что ФАПСИ 5 лет толкало на рынок гнилье в виде Вербы, а сейчас то же самое гнилье, но под маркой КриптоПро. Выход - написать письмо, что там где Верба уже растет, пусть ее растет, но сертификат не продлевать. 5. ТИК хочет продавать Вербу, но продукт лишен привлекательности даже минимальной - сертифката то нет. Выход - найти способ навязать Вербу путем договоренности с кем-то кто может ее обязать покупать. 6. Старовойтов из Пензы, там продемонстрировал свое умение жить и работать при любой власти. До Тамбова из Пензы рукой подать (странно только почему не смог в Пензе договориться). 7. Верба все столь же гнилая, сколь и ранее получавет подпорку в виде обсуждаемого документа. 8. Дальнейшие комментарии не требуются 9. Остается только один вопрос в какой пропорции договорились делить деньги между ТИК и чиновниками из Тамбова, а главное с какими чиновниками из Тамбова (желательно пофамильно).
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Много флейма из ничего. Посмотрели мы этот АРМ ФКМ, не знаю что в нем гнилого - нормальный софт, сам поставился и хелп приличный. Да, оплатили 120 баксов с НДС + обучение. Обучение было у нас на месте с выездом их специалистов и Вербу они сами привезли. Сопровождать нас будет местный Техи- как его, филиал. А вот бухи экономию посчитали - это порадовало. При затратах меньше 160 баксов - экономия по баксу на работающего + сокращение затрат на архив. Над архивом придется думать, но на сидюке лучше чем на бумаге. Так что не знаю как у Вас, а у нас будут новости сообщу...
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Господа, а Тамбову повезло! Почитал сайт, почитал статью и решил сам разобраться в этом вопросе. Вот что мне удалось выяснить: Два года назад ПФР через Минэкономики проводил открытый тендер на закупку криптографических средств. По результатам тендера ПФР закупил "Вербу-О" и внедрил ее у себя, этим путем она и в Тамбов попала. По условиям тендера криптография поставляется с Генеральной лицензией на неограниченный тираж для внутренних нужд ПФР, ключи Фонд тоже сам изготавливает. А что предприятия? Они передают отчеты персучета по работникам в двух вариантах: только на бумаге или на бумаге и дискете. И для ПФР и для предприятия возникает задача поквартального создания, обработки и ввода огромного объема бумажных документов, в статье о московском ОПФР упоминается о 20 млн. документов в год. После обработки сведения по каждому лицевому счету храняться и на предприятии и в ПФР 60-70 лет. Затраты на содержание архива значительные (постоянно увеличиваются архивные площади, меры по хранению документов, охранно-пожарная сигнализация, копирование документов по судебным запросам и т.д.) и продолжают увеличиваться. Есть еще аспект - без ЭЦП отчет на дискете не имеет юридического статуса и предприятие нельзя подключить к какой-либо электронной системе документооборота. Просмотрев тамбовские документы я понял, что нараду с бумагой местный ОПФР обеспечивает возможность приема отчетности по страховым взносам в безбумажной технологии. Можно сдавать файлы с ЭЦП на дискете. Чтобы проставить ЭЦП надо купить за 120$ АРМ ЭЦП ФКМ + "Вербу-О" у производителя и получить БЕСПЛАТНЫЕ ключи в ОПФР Тамбова. НАКОНЕЦ-ТО !!! Просто класс!!! Будь я в Тамбове, нашему челябинскому предприятию с 38000 работающих надо потратить всего 120 баксов ОДИН РАЗ и потом ВСЕГДА сдавать отчетность в электронном виде да еще с перспективой предачи электронной почтой с шифрованием на той-же Вербе. Да мне все равно кто это сделал: тамбовский волк, прокурор Шерстюк, Матюхин или Старовойтов - электоронный вид отчета при разовых затратах в 120$, Верба мне экономит несколько ТЫСЯЧ баксов в год на архиве, стеллажах, папках, бумаге, картридже лазерных принтеров и т.д. Как я понял из материалов www.security.ru и www.protection.ru Верба есть под ДОС, Виндовс и Юникс и ее можно встроить в центральную АСУ предприятия и раздать в бухгалтерии филиалов, ее поддерживают и производители бухгалтерского ПО. Через "Янтарь" с Вербой можно платить в РКЦ, в Курганской области налоговая уже несколько лет принимает баланс подписанный и зашифрованный Вербой по электронной почте. Неужели это редкий для России пример поддержки разными федеральными структурами конкретной реализации стандарта на криптографию и реальное сокращение затрат предприятий на содержание нескольких разных ведомственных решений? К сожалению этого нет в статье, а есть "охота на ведьм" и очередной поиск жаренного... С уважением, Иванов.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
> После обработки сведения по каждому лицевому счету храняться и на предприятии и в ПФР 60-70 лет. Просто реплика не по существу: И много Вы знаете предприятий, которые существуют 60 лет? (Я знаю -- на таком как раз работаю, но это -- редкое исключение). > Верба мне экономит несколько ТЫСЯЧ баксов в год на архиве, стеллажах, папках, бумаге, картридже лазерных принтеров и т.д. Да неужели? С Вербой Вы бы не покупали тонер, бумагу, папки, закрыли бы архив и сломали бы стеллажи... Я еще не видел ни одного серьезного подсчета денежной выгоды от применения компьютеров... Это не значит, что они вредны и не помогают, но вот подсчитать -- не получается. Не то считают, если это вообще возможно подсчитать. А теперь по существу: говорилось не о выгоде для вас (вас с помощью Вербы будут "грабить" меньше -- замечательно), а о механизме бюрократического (и небескорыстного) принуждения и несвободе выбора. Плюс еще о некоторых технических вопросах.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
>> После обработки сведения по каждому лицевому счету храняться и на предприятии и в ПФР 60-70 лет. >Просто реплика не по существу: И много Вы знаете предприятий, которые существуют 60 лет? (Я знаю -- на таком как раз работаю, но это -- редкое исключение). :) И мне довелось работать на таком. Но Вы не раскрываете или не понимаете сути проблемы - архивные документы ПФР не уничтожает. Они храняться и занимают огромные площади, которые непрерывно растут - сам видел. И здесь дело не в предприятии, а в держателе лицевого счета - человеке, который имеет право на пенсию и живет 60-70 лет. >> Верба мне экономит несколько ТЫСЯЧ баксов в год на архиве, стеллажах, папках, бумаге, картридже лазерных принтеров и т.д. >Да неужели? С Вербой Вы бы не покупали тонер, бумагу, папки, закрыли бы архив и сломали бы стеллажи... Эксперимент ОПФР Тамбова дает мне такую надежду, а вдруг и наш ОПФР оценит электронный документ. > Я еще не видел ни одного серьезного подсчета денежной выгоды от применения компьютеров... Поймите! Основная выгода не в применении компьютеров, а замене носителя и технологии его обработки одной стоимости на другой носитель и другую технологию. И вторая технология для предприятия значительно дешевле. >Не то считают, если это вообще возможно подсчитать. А Вы попробуйте: 1. Работник бумахного архива - производительность до 100 сведений в день. (Для справки: АВТОВАЗ - 200000 человек) 2. Бланки индивидуальных сведений - 4 квартала.х 2 экз х 38000 человек моего предприятия = 304000 бланков 3. Картридж лазерного принтера с ресурсом печати от 3000 до 20000 листов- новый от 100 баксов, заправка 20-40 . 4.Стеллажи 1 стеллаж на ~3000 человек Х 6000 руб стеллаж 5.Коробка для папок - 50 руб штука 6.Папка - 4 руб штука. и так далее. Я не фанат-экономист, можно и остановиться. >А теперь по существу: говорилось не о выгоде для вас (вас >с помощью Вербы будут "грабить" меньше -- замечательно), И не только меня, но и Вас тоже - бремя бессмысленных затраты ПФР ложиться на всех членов Фонда, если Вы тоже в будующем российский пенсионер :) >а о механизме бюрократического(и небескорыстного) >принуждения и несвободе выбора. Насколько я понял был открытый тендер. И к участию приглашали - в этом ПФР строго выполняет статью закона. >Плюс еще о некоторых технических вопросах. Т.е. если кто в тендер не успел или тем паче проиграл, так призовем их и поругаем того кто выиграл. - Удобно...
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
>Взгляните на текст, и вы увидите ряд интересных особенностей. Взглянул, причем перечитал несколько раз Первое ощущение - "БРЕД", второе - "ЗАКАЗ", о каких особенностях идет речь не знаю. Статья построена по принципу Затравка => Эмоциональное Негодование => Праведный гнев => Выводы -> Документ (как правило не связанный с выводами статьи). Г-н Отставной может писать на любую тему, по выше указанному принципу, более того не исключено, что он пользуется шаблоном подставляя в текст названия разных отечественных фирм, причем второй американской на 99% всегда будет Microsoft. Еще раз убедился в том что Компьютерра - это форпост "желтизны" нашей компьютерной прессы (приличные издания такую чушь не публикуют). Стандартная ситуация - как только кто-то начинает, что-то делать - появляется "журналист" (он же крупный специалист по освещаемой тематике) с истошным воплем - Вымогатели, Коррупция, Родину продали ... Тут же не хитрым перемножением, данный журналист прикидывает сумму барышей в чужом кармане и с негодованием вопрошает у читателя – что деется то Товарищи! В общем статью я обсуждать не собираюсь, как впрочем и вступать в полемику с оными журналистами. А по теме дискуссии я согласен с приведенными ранее расчетами, что при квартальной сдаче отчетов годовые затраты предприятия на сдачу отчетов равны 1$ на 1 работника. Правда забыли учесть заработную плату бухгалтера который не менее месяца печатает, брошюрует и подписывает эту кипу бумаги, я видел эти серые лица в отчетную пору...
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Стандартная ситуация - как только кто-то начинает, что-то делать - появляется "журналист" (он же крупный специалист по освещаемой тематике) с истошным воплем - Вымогатели, Коррупция, Родину продали ... Правильно, сволочи журналюги, сто баксов стырить не дают. Лишить Отставнова аккредитации, отобрать пресс-карточу и объявить в международный розыск. Соберите сотню подписей у своих коллег.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Г-н Иванов: смещать только тему не нужно. Речь не шла о том, чтобы помешать Вам законтрактоваться с МО/ ТИК или как они там на этой неделе называются. Речь шла о том, чтобы рынок был открытый, и если к Вам придут три или тридцать поставщиков, Вы могли выбрать из них свой любимый ТИК. Вас ТИК с "Вербой" устраивает, а вот читателя тамбовского, который сдал мне эту схему - нет. Я на стороне Вас обоих. Неужели это редкий для России пример поддержки разными федеральными структурами конкретной реализации стандарта ... В том-то и беда, что нет. Обратите внимание, что необходимость "поддержки конкретной реализации" означает, что либо стандарта нет, либо его обходят, либо он кому-то мешает. Поскольку стандарт - это и есть возможность навернуть гайку М6 на любой болт М6 вне зависимости от производителя гайки и болта. Стандарт на чернила для подписи означает, что я могу подписать отчет ручкой BIC, ручкой Parker или поддержать отечественного производителя ручек, постольку, поскольку чернила у всех удовлетворяющего стандарту качества. В тот момент, когда мне говорят: "нет, только ручкой BIC, ее федеральное управление правительственной канализации и сантехники сертифицировало, а ручки BIC продаются, кстати, за углом" - мне становится интересно, как они все бабки поделили. ...ПФР через Минэкономики проводил открытый тендер на закупку криптографических средств... Очень клевый тендер, оплачивать поставки по которому должны третьи лица. Давайте, я такой тоже проведу.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
>Много флейма из ничего. Посмотрели мы этот АРМ ФКМ, не >знаю что в нем гнилого - ... Как говаривал кот Матроскин, подтому и подписи нет, что анонимка. Представились бы что ли. А гниль в Вербе вовсе не в дизайне, а в качестве защиты. Если есть навыки по отладке программ, посмотрите как генерируются ключи, ну право очень смешено.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
> Если есть навыки по отладке программ, посмотрите как генерируются ключи, ну право очень смешно. Леша, а покажи. У меня есть навыки, но нет MS-специфического дебаггера, я там в вызовах путаюсь. Или хоть расскажи вкратце. Поскольку я догадываюсь, как оно там все на самом деле, но 100% уверенности нет.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Благодарю уважаемого Wolf'а за усилия по поддержанию приличий в дискуссии. Однако напоминаю, что Либертариум ресурс модерируемый, поэтому оскорбительные реплики вычищены.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Есть в Вербе такая штука, как мастер диск с главным ключом. Замечу, что диск этот получает администратор системы от поставщика и сделан он как бы некопируемым обысными средствами. Можно только из АРМ сделать резервную копию. Для того чтобы абонентские ключи сделать, дитск этот надо в комп воткнуть. Есть у этого ключа контрольная сумма, котрую Верба рассчитывает. Выдрали оттуда алгоритм расчета, и вот что обнаружили. Сколь ко бы абонентских ключей не генерировали у всех одна и та же контрольная сумма (как у главного). То есть случайности уже очевидно нет. Далее взяли этот главный ключ и подправили. Верба не аработала, подсчитали для него контрольную сумму, воткнули куда надо, все ОК. Но только теперь все новые абонентские ключи стали иметь эту коньтрольную сумму. Потом самое интересное (было все это в банке, котрый Вербу легально прикупил). В очередных переговорах с МО ПНИЭИ всплылы вопрос о том что у ключей серийный номер другой (вопрос с стой стороны). Как черт возьми догадались. Ковыряли ее и дальше и тут возникло такое, что только с Криптоном из Анкада сравнить и можно (далее прадон не доля печати). P.S. посмотри PCWeek от 15 мая (N 17 по моему), такая же поганка как в ПФ РФ закручивается вокруг МНС, только фигурантом там Анкад (смешно не правда ли ...)
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Потом самое интересное (было все это в банке, котрый Вербу легально прикупил). В очередных переговорах с МО ПНИЭИ всплылы вопрос о том что у ключей серийный номер другой (вопрос с стой стороны). Как черт возьми догадались. Догадались элементарно. Предзаданная сумма ключа означает, что ключевое пространство сужено, а банк начал генерировать ключи, которые в это суженное ключевое пространство не попадают. Для пользователя сокращение ключевого пространства, разумеется, означает снижение стойкости по сравнению с заявленной. Оценку (по полу) снижения стойкости можно получить, глянув на аглоритм CRC. Кстати, если стойкость по полному ключевому пространству заявлена в сопровождающей документации или сертификатах, налицо намеренная дезинформация/недобросовестная реклама со стороны поставщика или Лиц. комиссии ФАПСИ. Ковыряли ее и дальше и тут возникло такое, что только с Криптоном из Анкада сравнить и можно (далее прадон не доля печати). Это почему же? Наоборот, материалы по взлому "Криптона" давно пора опубликовать. Если, кстати, вместо того, чтобы играть с ФАПСИ в подковерные игры, их опубликовали бы своевременно, сегодня проблем было бы гораздо меньше.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Господин Иванов! Я весьма рад, что Вас, вернее ваше предприятие может устроить данная схема работы с ПФ. Но как быть малым предприятиям с численностью в 3-5-15 сотрудников? Вопрос о частных предпринимателях пока даже не будем трогать. Но где гарантия, что через год ПФ не установит правило сдачи информации в эл.виде по примеру налоговой инспекции? И что, в таком случае для организации с численностью свыше 10 челове тоже выгодно приобретение Вербы? Как я вижу, вопрос главным образом упирается не в саму идею сдачи данных в эл.виде, боже упаси, тут я с вами обои руками ЗА, а в методы и способы реализации этой идеи. Попробуйте привести экономические выкладки для ЗАО или ООО в 10 человек, показывающие выгоды приобретения Вербы. А потом посчитайте, сколько в Вашем городе малых предприятий, умножте на 120$ и скажите- кому повезло, Тамбову или фирме-разработчику? И момент второй. Да, Вы заплатите 120$, получите программу, получите бесплатно от ПФ связку ключей, но через год ПФ заставит Вас менят ключи, и тогда Вы заплатите еще 20$ за новую связку, но уже не ПФ, а фирме-разработчику, которая будет для Вас генерировать эту новую связку. И что, Вас устраивает тот факт, что ваши ключи уже даже не гепотетически будут доступны третьему лицу? Не устраивает? Тогда приобретайте отдельно модуль генерации ключей у фирмы-разработчика, за отдельную плату, ибо этот модуль генераци ключей в базовую версию поставки за 120$ не входит... Так кому повезло, Тамбову, нам всем или фирме-разработчику?
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Уважаемый Maksim, все к сожалению ен так просто. Если читать сертификат, то там заявлено исключительно о качестве алгоритомв шифрования и подписи и не слова о качестве алгоритма управления ключами и и качестве их генерации. До сегоднящнего дня ключевая структура Вербы в полном изложении загрифована и получить ее у ТИК или остатков МО ПНИЭИ официально практически невозможно. Наличие грифа не позволяет к сожаленнию публиковать все. Однако направление в котором надо копать следующее. ВЗЯТЬ ВЕРБУ ИЛИ КРИПТОН И ПРОВЕРИТЬ СТАТИСТИЧЕСКОЕ КАЧЕСТВО КЛЮЧЕЙ (СЛУЧАЙНОСТЬ, РАВНОВЕРОЯТНОСТЬ И САМОЕ ГЛАВНОЕ ОЦЕНИТЬ КОЛИЧЕСТВО КЛЮЧЕЙ, КОТОРОЕ МОЖЕТ БЫТЬ СГНЕНЕРИРОВАНО ОДНИМ ДЕВАЙСОМ ТИПА КРИПТОН ИЛИ ОДНИМ АРМ ГЕНЕРАЦИИ ТИПА ВЕРБА).
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Уважаемый Maksim, все к сожалению ен так просто. Если читать сертификат, то там заявлено исключительно о качестве алгоритомв шифрования и подписи и не слова о качестве алгоритма управления ключами и и качестве их генерации. Это... забавно. До сегоднящнего дня ключевая структура Вербы в полном изложении загрифована и получить ее у ТИК или остатков МО ПНИЭИ официально практически невозможно. NIL. По крайней мере для "Вербы-О" все опубликовано в прошлогодней книжке Домашева и др. Наличие грифа не позволяет к сожаленнию публиковать все. NIL. Ст.15.3 ФЗ "О правовой охране программ..." специально оговаривает этот случай: "Лицо, правомерно владеющее экземпляром программы ... вправе без согласия правообладателя ... декомпилировать или поручать декомпилирование программы [если] информация, необходимая для взаимодействия независимо разработанной данным лицом программы ... с другими программами, недоступна из других источников". Ровно твой случай: вопрос совместимости (возможности взаимодействия). Однако направление в котором надо копать следующее. ВЗЯТЬ ВЕРБУ ИЛИ КРИПТОН И ПРОВЕРИТЬ СТАТИСТИЧЕСКОЕ КАЧЕСТВО КЛЮЧЕЙ (СЛУЧАЙНОСТЬ, РАВНОВЕРОЯТНОСТЬ И САМОЕ ГЛАВНОЕ ОЦЕНИТЬ КОЛИЧЕСТВО КЛЮЧЕЙ, КОТОРОЕ МОЖЕТ БЫТЬ СГНЕНЕРИРОВАНО ОДНИМ ДЕВАЙСОМ ТИПА КРИПТОН ИЛИ ОДНИМ АРМ ГЕНЕРАЦИИ ТИПА ВЕРБА). Смотри, допустим я хочу зарезать ключевое пространство ГОСТ в восемь раз, чтобы оставить себе возможность атаки перебором 2^32 вариантов. Если я не полный идиот, я напишу что-то вроде (извини псевдокод): keygen(key) { int key[3]; const FAPSI_key[3] = blablabla; key[0] = rand(); for (i=1, i<=3, i++) {key[i] = upperhalf(gostblock(key[i-1]*2^32+key[i-1]), FAPSI_key);} return(key); }; И это простейший случай, а можно ведь и биты перемешать :) Какой длины прогон надо сделать, чтобы оценить статистическое качество ключей? Я так понимаю, порядка 2^mid(32,64). Это на поллимона машинного времени.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
> Два года назад ПФР через Минэкономики проводил открытый тендер на закупку криптографических средств. По результатам тендера ПФР закупил "Вербу-О" и внедрил ее у себя, этим путем она и в Тамбов попала. Интересно, может быть кто-нибудь ответит: 1. Какие еще независимые разработчики криптографического ПО участвовали в этом тендере? 2. Почему результаты конкурса и, в итоге, -- договора между двумя лицами становятся обязательными для третьих лиц? 3. Какие еще программные комплексы, кроме Вербы, выигрывали подобные тендеры и внедрялись федеральными структурами? Поясню, чтобы было понятно: я не против Вербы или еще кого-нибудь... Мне не нравится монополизм и то, что монополия у нас почему-то всегда "государственная", чиновничья. Будь я на месте директора такого предприятия в 38 тысяч работающих (sic!), я бы из принципа продолжал вести дело с ПФР на бумаге, и бумаге и печатью похуже качеством, -- пусть и они мучаются вместе со мною с этими тоннами, до тех пор, пока мне не предоставят возможность выбора поставщика криптографического ПО (в рамках открытого стандарта на форматы) по моему усмотрению, а не расплодившихся сверх меры чиновников.
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Браво kenq в самую точку. Сделаем еще один логичный шаг. Верба победила на тендере, значит ТИК за нее деньги уже получил, следовательно ПФ должен раздавать Вербу при подключении БЕСПЛАТНО. Я понимаю желание ТИК получить деньги дважды, но мы то здесь при чем.
-
Закон
Коллеги, а что в реальности вышло из Думы после первого чтения в виде Закона об ЭЦП? То, что лежит здесь? Какой вариант?
-
Проект федерального закона "Об электронной цифровой подписи"
Предложенный Проект гораздо опаснее, чем это может показаться на первый взгляд. Кажется авторы Проекта совершенно забыли про пластиковые карты. Задумайтесь: на основании чего совершаются банковские транзакции по пластиковым картам ? На основании электронных документов либо вообще без подписи (в случае магнитных карт), либо с использованием все тех же ЭЦП. После принятия этого закона, часть таких операций станет незаконной, а для оставшимся достанется титаническая процедура по сбору и сертификации открытых ключей
-
Поправки к законопроекту "Об электронной цифровой подписи"
Господа! Чисто конкретно: мне дано задание подготовить пакет поправок к з/проекту (вариант Правительства) <сабж>. Намеченный срок предоставления - понедельник-вторник. Если я буду иметь Ваши предложения (желательно - максимально конкретные : статья, пункт s/<криво>/<прямо>/), я постараюсь включить и их в этот пакет. Разумеется, окончательное решение, даже о том, что именно предлагать вниманию Думы принимаю отнюдь не я. Но: "Делай что должно и пусть будет. что будет" - это как раз для нас и как раз для сейчас. Благоволите дублировать на адрес: [email protected]
-
Поправки к законопроекту "Об электронной цифровой подписи"
> Если я буду иметь Ваши предложения (желательно - максимально конкретные : статья, пункт s/<криво>/<прямо>/), я постараюсь включить и их в этот пакет. ... Делай что должно и пусть будет. что будет" - это как раз для нас и как раз для сейчас. Я, конечно, недостаточно наивен, чтобы думать, что мое предложение пройдет даже на этапе Вашего текста (не решитесь, даже если согласны...), но все-таки предложу, потому что я должен это сделать, так как считаю, что здесь затрагивается соответствие закона Конституции: Ст. 8 п. 1: убрать фразу "Деятельность удостоверяющего центра подлежит лицензированию в соответствии с законодательством Российской Федерации о лицензировании отдельных видов деятельности." а также все упоминания в Проекте о "лицензировании".
-
По-моему, пункта 1.4 вполне достаточно для сомнений во всей системе:
Если требования к безопасности сообщаются только организациям, имеющим лицензию на работы в данной области, то, во-первых, неясно, как смогут получить лицензию другие организации (они не смогут адаптировать свои внутренние условия к этим требованиям), во-вторых, потребители вообще не могут судить, насколько разумны эти требования и, следовательно, насколько безопасна сертифицированная продукция. Впрочем, обе эти проблемы заложены скорее всего вполне сознательно и целенаправленно. Организации, не нравящиеся ФАПСИ, отстраняются от работ по безопасности (как понравиться государственной конторе, каждый читатель может придумать самостоятельно), а потребители "безопасной" продукции оказываются беззащитны перед всё тем же ФАПСИ.
-
А каковы юридические основания для охвата этим перечнем
организаций независимо от форм собственности? Указ Ельцина N1400 касался только государственных организаций и исполнения государственных заказов. Вероятно, я пропустил какие-то законодательные акты, расширившие сферу полномочий этого указа. Если же не пропустил, то приведенный перечень неправомерен.
-
Здесь в самом начале чётко указано:
защита сведений, составляющих государственную тайну. То есть по крайней мере этим постановлением безудержная экспансия полномочий ФАПСИ не обосновывается.
-
Ссылками на бандитов можно обосновать даже введение инквизиции
Поэтому общепринятое в нормальном мире правило -- гражданам разрешается всё, а запрет требует обоснований. В данном же указе требуется обосновывать как раз разрешение. Похоже, при некотором ресурсе доброй воли и денег можно добиться его отмены Конституционным судом. Вопрос только в том, хватит ли у отечественных потребителей разума потратить деньги один раз на судебное разбирательство, а не тратить постоянно скромные суммы на оплату лицензий ФАПСИ (сумма на неё входит в цену лицензированных продуктов) и нескромные на компенсацию утечек информации через заготовленные по требованию ФАПСИ дырки.
-
Свободное использование сильного крипто
Мне подкинули новый аргумент: оказывается, распространение требований ФЗ "О лицензировании..." и подзаконных актов на программное обеспечение намертво конфликтует с ФЗ "Об авторском праве..." и ФЗ "О правовой охране...", поскольку последние резервируют право определять, кто может использовать/распространять/публиковать программы, как исключительное право автора или другого правообладателя. Соответственно, попытка любого ведомства ограничить использование ПО является прямой узурпацией исключительных прав (введением цензуры), которая незаконна и ничтожна с того момента, когда приняты соответствующие акты. Есть хороший шанс отменить все это через ВС, а затем разорить ФАПСИ гражданскими исками.
-
Свободное использование сильного крипто
> Есть хороший шанс отменить все это через ВС, а затем разорить ФАПСИ гражданскими исками. Максим, есть возможность отменить весь институт лицензирования, начиная с выпечки хлеба и заканчивая крипто. Ну, заодно, можно и то, что Вы предлагаете... Неужели не видно, что лицензирование не только по одному пункту -- несоотвествием части первой статьи 34 и части 3 статьи 56 Конституции РФ, а вообще -- неправомерно в правовом поле? Что это -- выдуманная (законом о "предпринимательской деятельности" начала 90-х) чужеродная пост-социалистическая категория, не подкрепленная ничем -- ни Конституцией, ни здравым смыслом, висящая в воздухе благодаря волюнтаризму третьего абзаца 49-й статьи ГК. Quousque tandem! Carthaginem esse delendam!
-
Казаки-разбойники
Отличный стиль изложения! только непонятно, о чем идет речь. Евгений, Хайфа [email protected]
-
C помощью обычного ноутбука и специальной программы можно прослушивать чьи угодно разговоры прямо из уличной телефонной будки
Ноутбук, дискета, телефонная розетка (или, при необходимости, уличный таксофон) - это всё, что нужно. .... Свое изобретение хакер оценивал умеренно: продавал каждый комплект по пять тысяч долларов. Как интересно - ноутбук - за пять килобаксов. Надо понимать - вполне обычный. Необычных не бывает. Значит программа. ТОлько тупой американец мог купить 30 копий программы :) Вместе с ноутбуками. некий американский гражданин приобрел разом 30 таких комплектов. Интересно также, как велось прослушивание станции (35-11)-37-XX-XX - оборудование чуть ли не дореволюционное. Короче, отдохнет там ноутбук. Утка, одним словом. Вопрос в другом. Сейчас реально - практически каждый нехороший гражданин, имеющий доступ к сегменту сети может перехватывать весь траффик, проходящий по этому сегменту. И это не будет считаться преступлением! В то же время, хе-хе, такие действия пытаются запретить ФСБ. Забавно. Переговоры из моей аси появляются в другом конце города. И это - нормально. Да? :) Нет уж - запрещать, так запрещать. Но. Извините, а как преступников-то отслеживать, да даже не отслеживать - так их не отследишь, а собирать доказательную базу? А? Запретив прослушивание? Иль мы поголовно за укрывательство? В Англии не мудрствуя лукаво, взяли и порешили - полиция - имеет право. На перехват траффика. Т.е. - понадобилось - перехватили. И никто им по голове стучать не будет. От ФСБ прячемся? В то время, когда самый ближний - и есть твой первый враг? :) Смяшно..
-
C помощью обычного ноутбука и специальной программы можно прослушивать чьи угодно разговоры прямо из уличной телефонной будки
> В то же время, хе-хе, такие действия пытаются запретить ФСБ. Никто и не пытается запретить ФСБ проводить свои "мероприятия". Просто они должны быть законно оформлены. Что предполагает присутствие третьего, назависимого лица, дающего право на, условно назовем, -- "прослушивание", результаты коего могут быть потом доказательны. Таким лицом должен быть независимый суд. Вседозволенность же и неподконтрольность спецслужб, как показывает наш жизненный опыт, никогда до добра не доводила. Это слишком мощная организованная сила, в отличие от прочих "любителей", чтобы позволить ей делать то, что ей или ее представителям кажется в данный момент "правильным" для общества. > От ФСБ прячемся? В то время, когда самый ближний - и есть твой первый враг? Смяшно.. Если мою переписку случайно или намеренно прочтет кто-то посторонний -- не велика беда, хотя это и нарушение моих прав и свобод, но если государственная машина создает сама себе такие условия и так диктует нормы, при которых ее чистые руками и такие родные и близкие всем представители получают, за мой счет, кстати, бесконтрольно читать мою корреспонденцию, то эту ситуацию я, иначе, как попиранием моих прав и свобод на государственном уровне назвать не могу. А если перейти на уровень ощущений или эмоций, и припомнить историю, то ФСБ вообще-таки еще отмываться и отмываться от наследства ВЧК/НКВД/МГБ/КГБ. И когда мне говорят про необходимость "отслеживания преступников", я как-то не верю. И когда мне говорят, что ФСБ -- родное, белое и пушистое -- ой! И не смешно все это...
-
Сертификация и лицензирование крипто-продуктов open source
Сертификация все равно нужна, но лишь для того, что бы определить действительно ли сертифицируемый криптопродукт является таким стойким как его рекламируют авторы. Т.е. нечто независимой рценки экспертов. Ну и классность какую нить можно за это присуждать. А что же касается лицензирования.... то тут ситуация несколько другая. Никакое гос. учреждение не даст сертификат на использование криптопродукта, если государство не оставит за собой какой нибудь мастер-ключь для чтения зашифрованных сообщений. ИМХО.
-
Сертификация и лицензирование крипто-продуктов open source
> Сертификация все равно нужна, но лишь для того, что бы определить действительно ли сертифицируемый криптопродукт является таким стойким как его рекламируют авторы. Давайте промоделируем ситуацию: есть фирма "A", выпустившая продукт "B" с фирменным механизмом шифрации. Государственная Сетификационная Служба (ГСС, впрочем она может быть и не "Г" -- не важно) проверила всесторонне продукт (за проверку заплачено) -- изьянов не нашла и выдала фирме "A" Сертификат -- бумагу такую глянцевую с голограммами и виньетками. Все ходят радостные и активно используют сертифицированный, т.е. надежный продукт. Как им кажется -- надежный. Тут появляется фирма "E" или просто гражданин "С" и доказывают, что криптозащита, примененная фирмой "A" -- не более чем фикция... Что прикажете делать с: фирмой "A", с ГСС, с глянцевой бумагой? Не буду строго доказывать, просто примите на веру: сертификация в области крипто не гарантирует ничего. А раз не гарантирует, то зачем она нужна? > А что же касается лицензирования.... то тут ситуация несколько другая. Верно, другая. Лицензирование как ограничение предпринимательской деятельности просто-напросто неконституционно. А уж запрет разработок вообще противоречит законам природы (мыслить запретить невозможно).
-
Сертификация и лицензирование крипто-продуктов open source
Затем и нужна, дабы оправдывать существование Государственной сертификационной службы. Вообще, смысл существования любой бюджетной структуры определяется подтвержденными высшей исполнительной и законодательной властью целями, которые эта структура сама себе назначает. Таков закон бюрократии: кормиться-то с чего?
-
Сертификация и лицензирование крипто-продуктов open source
Полагаю, вопрос обширнее - лицензирование как форма запретительства касается не только данного предмета обсуждения, идет не всегда явный процесс захвата сфер деятельности, это вообще-то могло бы стать направлением работы законодателей, но они у нас слишком послушные;
-
Новый закон о лицензировании.
Что в себя включает "деятельность по технической защите конфиденциальной информации"? Ведь под это понятие можно притянуть практически любые виды деятельности в области защиты информации.
-
Новый закон о лицензировании.
> Что в себя включает "деятельность по... Да какая разница! Неконституционный* закон, полный "глюков" и весьма далекий от права... Оне, видите ли, запрещают заниматься разработкой авиационной техники, шифровальных (криптографических) средств, вооружений! Разработка -- это мыслительный процесс. Мыслить запретить невозможно! Я дома у себя могу спокойно сидеть и разрабатывать что угодно, хоть ядерное оружие. А если, не дай Бог, конечно, при этом что-то загорится, так я что: тушить огонь не имею права? (деятельность по предупреждению и тушению пожаров подлежит лицензированию) Почему негосударственные (частные) охранную и сыскную деятельность нужно лицензировать, а "государственную" -- нет? (кстати, в нарушение ст. 8 ч. 2 Конституции РФ) Особенно меня порадовало: запрещено без наличия лицензии "воспроизведение (изготовление экземпляров) аудиовизуальных произведений и фонограмм на любых видах носителей" Вах! И этот бред принят Государственной Думой, Советом Федерации и подписан Президентом? Я еще раз глубоко разочаровался в их мыслительных способностях. *) -- Почему закон неконституционен? Он просто противоречит ст. 34 ч. 2 и ст. 56 ч. 3 Конституции. Ссылкой на ст. 55: "К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации..." тут не отделаешься -- часть 3-я 56 статьи не позволяет, которая запрещает вводить любые ограничения предпринимательской деятельности даже при чрезвычайном положении. Дальшейший пассаж Закона тоже умилителен и характерен для современного законотворчества: "... и регулирование которых не может осуществляться иными методами, кроме как лицензированием." А доказательства? Доказывать когда-нибудь наши законодатели будут или нет?
-
Новый закон о лицензировании.
Мировой
опыт показывает, что существует только один способ однозначного определения
объекта регулирования в области защиты информации: производится по следующей
схеме:
Деятельностью в
области защиты информации является:
-
Разработка нормативных документов по защите информации
-
Осуществление мероприятий по защите информации
-
Разработка систем и средств защиты информации
-
Производство систем и средств защиты информации
-
Распространение систем и средств защиты информации
-
Эксплуатация систем и средств защиты информации
-
Сопровождение и обслуживание систем и средств защиты
информации
-
Оказание услуг по защите информации
-
Обучение в области защиты
информации
Деятельность по
защите информации, содержащей сведения, составляющую государственную тайну
подлежит обязательному лицензированию, за исключением деятельности по обучению в
области защиты информации.
Лицензирование
деятельности по защите информации, содержащей сведения, составляющие
государственную тайну, осуществляется уполномоченными, государственными органами
в пределах их компетенции, определяемой законами и иными нормативными актами.
Деятельность по
защите конфиденциальной информации лицензированию не
подлежит.
При защите
конфиденциальной информации собственник информации вправе сам вести деятельность
по защите информации, совместно с иными лицами или перепоручать ее иному
лицу.
Деятельность по
защите открытой информации лицензированию не подлежит.
Тем не менее, в
новой редакции закона О лицензировании отдельных видов деятельности
предусмотрено лицензирование следующих видов деятельности, связанных с защитой
информации шифровальными средствами:
-
деятельность по распространению шифровальных
(криптографических) средств;
-
деятельность по техническому обслуживанию шифровальных
криптографических) средств;
-
предоставление услуг в области шифрования информации;
-
разработка,
производство шифровальных средств, защищенных с использованием шифровальных
(криптографических) средств информационных систем, систем и комплексов
телекоммуникаций.
Определения шифровальных средств в российских нормативных документах пока
нет. По существу использования термина в законе О федеральных органах
правительственной связи и информации он подразумевает шифровальную технику,
применяемую для защиты важной информации в сетях правительственной,
шифрованной, засекреченной или другой специальной связи.
Именно в таком смысле,
как легко убедиться, употребляет его в этом законе
законодатель.
Однако, это совсем не
устраивает ФАПСИ. Агентство всеми силами пытается протолкнуть в нормативные
документы максимально расширительное толкование термина.
Так, в некоторых своих
разъяснениях служба лицензирования ФАПСИ ссылается на то, что термин шифрование
определен в примечаниях в старому стандарту шифрования данных СССР ГОСТ
28147-89. Однако, это весьма жалкая попытка.
Определения терминов в примечаниях к стандарту
ГОСТ28147-89 приводят к порочному кругу:
Шифрование определяется через Шифр,
Шифр - через Ключ,
Ключ - через Криптографическое преобразование,
Криптографическое преобразование - снова через Шифрование.
Круг
замкнулся.
Как
следует из правил логики, из порочного круга определений можно вывести любое
утверждение и его отрицание.
То
есть эти определения не определяют ничего.
Точно
также, как выше СКЗИ определялись через СКЗИ.
Таким
образом, точного определения понятий шифровальные средства, равно как и ,
криптографические средства в настоящее время не существует.
Во избежание в
дальнейшем огромного количества злоупотреблений, которые имели место в данной
области за последние 6 лет следует определить объект лицензирования строго и
однозначно. И конечно же, исключить из него такие нелепости, как отнесение к
шифровальным средствам электронной подписи, которая никак не изменяет исходную
информацию.
Именно от этого и
попытается уклониться ФАПСИ всеми доступными
средствами.
Можно, например,
отнести к шифровальным средствам все те устройства, которые реализуют стандарт
ГОСТ 28147-89 или другие государственные стандарты шифрования или
рекомендованные ФАПСИ агоритмы шифрования и сертифицированы ФАПСИ.
Это полностью
согласуется с типовыми требованиями ФАПСИ к лицензиатам. В этих требованиях по
существу заложено отрицание возможности существования чисто программных
шифровальных средств. Требуется как минимум обязательная защита от перехвата
информации по электромагнитным излучениям, специальные меры по защите от съема
информации по побочным каналам (электропитание и т.п.), специальные меры
контроля за исправностью устройства, реализующего преобразование информации и т.
д. То есть все те строгие требования, которые обычно предъявляются к
шифровальной технике в системах правительственной или шифрованной связи гос.
органов. Это и была на тот момент официальная позиция ФАПСИ.
Только
жгучее желание захватить рынок гражданских средств криптографической защиты
информации массового применения и , особенно, средств цифровой аутентификации
(подписи) электронных документов под свой контроль заставляет их юлить и
изворачиваться для максимального расширения подконтрольной им области
информационных технологий.
-
Новый закон о лицензировании.
Неплохой анализ, но страдающий нелогичностью, и в самом начале. Сравним первое высказывание: > Деятельность по защите информации, содержащей сведения, составляющую государственную тайну подлежит обязательному лицензированию Со вторым: > При защите конфиденциальной информации собственник информации вправе сам вести деятельность по защите информации, совместно с иными лицами или перепоручать ее иному лицу. И теперь вопрос: прекрасно видно, что второе высказывание для случая Государства выглядит следующим образом: "При защите государственной тайны государственный орган, ответственный за ее сохранение, вправе сам вести деятельность по защите информации, совместно с иными лицами или перепоручать ее иному лицу." Логично? Тогда, скажите, зачем приплетать сюда лицензирование??? Зачем создавать лишние сущности? Лишние бюрократические структуры и пирамиды безответственных работников госаппарата? Я сейчас не говорю о правовой стороне дела, а только -- о разумности и экономичности. В конечном счете -- об эффективности. Вы (вместе с Государством) предлагаете, чтобы одна организация хранила гостайны с помощью третьего лица, которое первому ничего не обещало, а заплатила и показалась третьей организации (лицензиару), которое не ответственно перед первым, как и вообще ни перед кем... Если лопнет эта защита, кто будет отвечать: Хранитель тайны? Нет. Он использовал лицензированный, якобы проверенный, продукт (я надеюсь, Вы не путаете сертификацию и лицензирование?). Будет отвечать Лицензиар? Ни в коей мере. Он-то тут причем? Лицензиары ни за что не отвечают, они только права передают (им не принадлежащие, кстати) и деньги получают за эту работу. Лицензиат? У него все тип-топ -- все бумаги в порядке и голограммы отсвечивают... Кто отвечать будет? Правильно -- некто, показавщий нестойкость защиты, а те, кто сваял эту "туфту", кто им разрешил это сделать, кто ее применял -- останутся белыми и пушистыми... Вот Вам и все лицензирование... Когда я слышу этот термин, моя рука тянется к револьверу... :) Свобода, либертарианство, если хотите, и государственное лицензирование деятельности -- несовместимы. Пора уж выбрать, господа...
|