Комментарии (2)
-
Проект (версия 1.1) Федерального закона
Проект интересен, но очень сырой. Абсолютно не проработаны требования к системам ЭДО как среде ЭДО. Было бы интересно обменяться некоторыми соображениями от имени украинских разработчиков соответствующих документов. Если есть интерес к сотрудничеству - пишите...
-
Проект (версия 1.1) Федерального закона
Уважаемый, Alexander Kolpakov! А на Украине существует аналогичный закон (проект закона)? Расскажите, пожалуйста, по подробнее или приведите соответствующие ссылки. Спасибо. -- Maxim E. Smirnoff
-
ВНУТРЕННИЙ РЕГЛАМЕНТ И ПЛАНЫ РАБОЧЕЙ ГРУППЫ
Уважаемые господа в настоящее время, я занимаюсь структурным анализом и проектированием законопроектов и перереложением их в стандарты IDIF, с вашего позволения я мог бы расчитывать на получение разработанных вами моделей данного законопроекта для продолжения Вашей дискусии. С уважением , Алексей К. Еmail [email protected]
-
Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"
1. Похоже на выдержки из Законопроекта, разрабатываемого сотрудниками МИФИ, которые одновременно являются и сотрудниками ФАПСИ. (С другой командой разработчиков <Гос. дума, комитет по информационной безопасности> никак не общаются, не считая их достаточно компитентными.)
2. Определение ЭЦП в п.2 допускает расширенное толкование, в том числе ЭЦП может считаться и точка в конце текста.
3. Серьезным недостатком является отнесение ЭЦП к средствам защиты информации. Это совпадает с желанием ФАПСИ определить ЭЦП как шифровальное средство и монополизировать ее разработку, внедрение, сопровождение и т.д. Именно с подачи ФАПСИ в Основных юридических "блоках" проекта закона Об ЭЦП появляются некие "сертифицированные" средства (п.4.1): Электронный документ приобретает юридическую силу при ... наличии в средстве электронной вычислительной техники или ином электронном средстве обработки, хранения и передачи информации, в памяти которого хранится электронный документ, сертифицированных средств защиты информации.
4. Непонятно почему в п.4.2 упомянут только автор документа. Необходимость формирования ЭЦП должна возникать при внесении в документ изменения любым лицом.
5. Сертификация ключей проверки подписи (п.4.4) -- лишь одна из технологий функционирующих в системах ЭЦП и ее появление в Законопроекте на первый взгляд кажется странным, однако следующим шагом контролирующих органов станет создание "уполномоченных" государством сертификационных центров.
6. П.5 те же яйца (что и п.4) только в профиль. Например, одно из условий юридической силы ЭЦП: она должна быть выработана средством электронной цифровой подписи, сертифицированным в установленном порядке.
7. П.8 (Порядок выработки закрытых ключей электронной цифровой подписи) и п.9 (Лицензирование деятельности по подтверждению подлинности электронной цифровой подписи) говорят сами за себя.
П. 8 открывает дорогу к созданию подконтрольных государству центров выработки и распределения ключей, а п.9 -- к созданию центров, в которых будут разрешаться спорные вопросы. Со временем обе эти задачи благородно возьмется выполнять ФАПСИ (см. п.12.2). Да, вот беда не нужен никому ключ от чужого дяди, а споры может разбирать и суд на основе процедуры, установленной законом. Кстати, об этой процедуре не сказано ни одного слова.
Вообще-то все уже прописано в ГК, Положении ЦБ об ЭЦП, Законе об информатизации, Письмах арбитражного суда, что и нужно свести в Законе. Не хватает только стандартов на оформление электронных документов, позволяющих использовать определенные стандартом процедуры формирования ЭЦП так, чтобы разные реализации стандартов ЭЦП были совместимы (т.е. есть процедура формирования, но нет процедуры проставления ЭЦП в документ).
-
Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"
цифровая подпись выработана средством электронной цифровой подписи, сертифицированным в установленном порядке.Действительно очень смешно :-D Интересно, кто-нибудь сможет определить при помощи какого средства я выработал вот такую цифровую подпись mEQL4QgCgyyBgzS7et2u8uryk. Более простой пример: цифра "5" выработана при помощи сертифицированного средства или нет? А вот еще: Документ в электронной форме отображения (электронный документ) -- сведения, представленные в форме, воспринимаемой средствами электронной вычислительной техники -- просто классическое, по своей бессмысленности определение. Интересно, а документ на бумаге воспринимается средствами электронной ВT? Нет? А если его отсканировать? В общем, в чем нельзя упрекнуть авторов законопроекта, так это в компетентности. Что же, давайте и дальше делать вид, что законотворец что-то понимает в тех вещах которые пытается регулировать. А мы будем делать вид, что никто и не занят разводом лохов среди лиц, находящихся под юрисдикцией Российской Федерации.
-
Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"
Увы, вопрос гораздо сложнее: большинство формулировок закона пишутся не для программистов, а для суда. Согласно данной формулировке, суд примет или не примет подпись к рассмотрению в зависимости от того, "сертифицированным средством электронной подписи" или чем иным эта подпись была сделана. Тексты законов нужно читать так же, как программы -- пословно, причем важна каждая запятая. Обычно законы пишут не дураки, а люди с различными интересами. Поэтому нужно критиковать не формулировки (держу пари, что в этих формулировках больше смысла, чем непосвященный видит с первого взгляда), а заложенные в эти формулировки принципы. А вот принципы очень даже стоит покритиковать -- по содержанию, а не по форме.
-
Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"
Анатолий! К сожалению, я не обладают достаточными знаниями и навыками, для анализа формулировок законопроекта и тем более "тайных смыслов", скрывающихся за ними. Я высказал свое, если угодно, дилетантское в юридическом смысле мнение, суть которого в следующем. По-моему, отличие хорошего закона от плохого определяется не тем насколько жестко или либерально он регулирует те или иные действия. Хороший закон " более полно, более адекватно отражает действительность, которую он пытается регулировать. Плохой закон строится на заблуждениях, неверном восприятии действительности каким-либо человеком или группой лиц. Такой закон просто не будет работать, или приведет к непредсказуемым последствиям. Предлагаемый законопроект, как раз и строится на каких-то диких легендах и мифах о цифровой подписи. Можно считать цифру неотчуждаемой от ее носителя, или программы, которой она создана. Можно разделять какие угодно другие заблуждения, но все это вряд ли это повлияет на объективные закономерности развития информационных технологий. Авторы либо просто не понимают сути цифровой информации, либо делают вид, что не понимают. Возможно, они и преследуют некоторые неочевидные цели, но с большой вероятностью они не сумеют их достигнуть, как это уже не раз случалось, потому как такие цели тоже, как правило, иллюзорны. Imho, проблема не в том, что какие-либо группы людей не анонсируют свои цели. Наоборот, скорее всего, они просто не могут их грамотно сформулировать (хотя бы для себя), не могут предложить реальных путей их достижения, в результате: "Хочется чего-то большого, а чего именно не понятно, наверное, закона о цифровой подписи." :-)
-
Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"
Авторы законов о цифровой подписи рассматривают не программистскую, а реальную жизненную (и окрашенную в юридические цвета) ситуацию. Когда они пишут "сертифицированное средство", то имеют ввиду и сертификационный орган, и средство (вовсе необязательно программное!). Замечу, что реальная жизнь компьютерной тусовки совсем не похожа на жизнь юристов и (сильно отличающихся от юристов) судей и адвокатов. Разный слэнг, разные ТИПЫ МЫШЛЕНИЯ. Поэтому законы обычно касаются ПРОЦЕДУР -- и, как правило, точно описывают свою область применения. Скажем, ежели Вы пишете на бумажке цифру "5", то суд вас потом по этому закону не защитит. А ежели на моей бумажке сертифицированными средствами (необязательно компьютерными!) написано 2345673456789 -- то суд меня защищать будет. И так далее: программисты отдыхают. Смею заверить, что в рядах любых команд писателей законов достаточное количество людей, понимающих про цифровую подпись. Но некоторые люди пытаются подтащить под это СИЛЬНУЮ КРИПТОГРАФИЮ, а другие -- любые пароли из трех букв. Первые аппелируют к разуму, а вторые -- к необходимости закрыть новым законом (то есть обеспечить разбирательства в суде по сделкам) существующие банкоматные сети и СВИФТ. Тоже, между прочим, логика. Вот на этом уровне и идут баталии...
-
Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"
... а вторые -- к необходимости закрыть новым законом (то есть обеспечить разбирательства в суде по сделкам) существующие банкоматные сети и СВИФТ. Тоже, между прочим, логика. Вот на этом уровне и идут баталии... А Вы не преувеличиваете? То что SWIFT не откажется от процедуры разбирательства спорных ситуаций в суде это возможно. Но сколько у него сейчас клиентов в стране? Полторы две тысячи не больше. И нужна ли им такая услуга? Думаю, вряд ли, учитывая, что значительная часть банков используют еще телексно-телетайпную связь, при которой вообще нельзя серьезно говорить безопасности, какая уж там цифровая подпись. А вот то что платежные системы с использованием пластиковых карт могут быть заинтересованы в таком законе, мне вообще кажется невероятным. Одним словом, возможно, что пока программисты отдыхают кто-то действительно пытается продвинуть свои интересы при помощи закона. Но главный вопрос, лично у меня, все равно остался: А насколько адекватно этот кто-то понимает в чем состоят его интересы? Не нафантазировал ли он опять себе молочных рек с кисельными берегами?
-
Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"
У меня есть большой опыт участия в рабочих группах Госдумы РФ. Смею заверить, что большинство участников рабочей группы очень хорошо понимают и отстаивают свои интересы. Так же они очень хорошо понимают и предотвращают отстаивания чужих интересов. До 50% времени в рабочих группах уходит именно на прояснение вопроса, чьи (часто ведомственные--госорганов, или групп населения, или отраслевые) интересы затрагивает тот или иной пункт Закона. И всегда находятся пара-тройка "экспертов" типа Вас, которые протаскивают "интересы" какой-либо технологической сферы. Это обсуждается далее так: интересы компаний, имеющие финансовые интересы в данной сфере. Скажем, если требовать сильного крипто в Законе, то обязательно вслух будут проговорены интересы тех компаний, которые этим крипто потом будут торговать, программистов, которые это крипто будут ставить и т.д. Далее эти интересы (и объемы рынка) будут сравнивать с интересами (и объемами рынка -- то бишь объемами транзакций) полутора тысяч свифтовцев, и вовсе необязательно после этого выиграют программисты. Если будут сидеть смарткарточники, то в дискуссии программисты будут отдыхать, и будет обсуждаться наезд карточников на свифтовский бизнес и бизнес карточек с магнитной полосой -- и так далее. Все это медленно и с расстановкой. Кроме того, сам Закон потом не будет даже отражать достигнутых содержательных договоренностей, а будет отражать интересы некоторых депутатов или глав ведомств, заинтересованных в усилении регулирования. Законописание -- удел гуманитариев, программисты отдыхают. Именно поэтому кто-то из шифропанков писал: "Не пиши Законы, пиши код." Это надежнее. После этого интересы программистов-технологов будет защищать код, а не суд. Иногда это лучше, иногда хуже. И т.д. и т.п. -- законописание (особенно в области крипто) довольно сложная тема, и кавалерийским "технократическим" наскоком ее не возьмешь.
-
Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"
Во время работы Форума РИФ'99 Гутабанк и Автобанк объявили о создании рабочей группы по продвижению технологий Электронной Цифровой Подписи ЭЦП в России.
-
DIVIDE OVERFLOW: СИТУАЦИЯ МОЖЕТ БЫТЬ НЕСКОЛЬКО СЛОЖНЕЕ, ЧЕМ СЛЕДУЕТ ИЗ АНАЛИЗА АГРОСКИНА
Виктор Агроскин в своей статье "Digital Divide" совершенно справедливо привлекает внимание к нездоровой ситуации вокруг еще несуществующей отрасли Internet-брокеринга в России, и, в частности, к угрозе сговора между "Двумя "Ф"": ФКЦБ и ФАПСИ за спиной участников рынка и их клиентов, направленного на то, чтобы отделить российский рынок капитала от рынков более развитых стран. Я бы хотел обратить внимание на некоторые технические детали. Агроскин пишет: "Ну а в чем проблема, чем плоха сертификация ФАПСИ?" Мне бы хотелось дать несколько другой, нежели предложенный Агроскиным, более технический и формальный, почти математический ответ на этот вопрос, перечислив некоторые из общепринятых требований к средствам гражданской криптографии и пояснив, почему к "сертифицированным ФАПСИ шифровальным средствам" нельзя относиться серьезно. Требование 1. Использование проверенных временем и прошедших горнило пристрастной коллегиальной критики криптографических алгоритмов. 1.1 На сегодня ФАПСИ настаивает на использовании своих алгоритмов, описанных в доморощенных ГОСТах и российских стандартах. История их создания темна, критерии принятия решений о тех или иных конструктивных особенностях неясны, а спецификации некоторых из них (например, стандарта на электронную цифровую подпись) по стилю напоминают скорее грязные черновики, чем законченные, подлежащие однозначной интерпретации формальные документы. 1.2 Ни один из них не привлек сколько-нибудь значительного внимания профессионального сообщества и ни одному из них не было уделено хотя бы одного процента того времени квалифицированных независимых экспертов, которое потрачено на анализ 3DES, IDEA, CAST, Blowfish, RSA, DH/ElGamal или других общеупотребимых криптографических алгоритмов. 1.3 Ни один из них не принят в результате открытого конкурса, подобного тому, который проходят сейчас кандидаты на новый федеральный стандарт симметричного шифра в США. Поэтому в ответ на вопрос об их стойкости честный профессионал может лишь пожать плечами. Требование 2. Использование опубликованных и однозначно интерпретируемых спецификаций протоколов и форматов передачи данных. 2.1 Я не видел таких спецификаций не только в официальных публикациях, но и в технической документации к отдельным продуктам. 2.2 В тех случаях, когда декларируется использование какого-либо известного протокола (SSL, S/MIME и т.п.), выясняется, что соответствующие алгоритмы не зарегистрированы для использования в этом протоколе. Хотя большинство из протоколов специфицируется открытыми комитетами или рабочими группами IETF, и никто не мешает производителям подать заявку на регистрацию дополнительного алгоритма. Требование 3. Открытость исходных текстов программ и модулей для независимой экспертизы. 3.1 На сегодняшний день публике не доступны исходные тексты ни одного из программных продуктов, имеющих сертификат ФАПСИ (и ни одной топологии аппаратных средств, если уж на то пошло). 3.2 Что скрывают производители? Свою некомпетентность? Несоответствие своих продуктов описаниям? Обнаружения "закладок", внедренных в сговоре с ФАПСИ и открывающих возможность несанкционированного доступа к якобы "защищенным" данным? -- Можно только догадываться. Требование 4. Ответственность производителя. 4.1 На сегодняшний день никакой ответственности за соответствие сертифицированного ФАПСИ продукта заявленным характеристикам (в частности, заявленной стойкости) производитель не несет. 4.2 В рекламе часто говорится: "гарантированная сертификатом ФАПСИ стойкость", однако, если клиент попытается выяснить, в какой сумме выражается эта "гарантия", в ФАПСИ его просто не поймут: "Мы же не страховая компания". 4.2 Что вам ответят на этот вопрос сами производители, можете выяснить сами, позвонив в любую из компаний, имеющих лицензии ФАПСИ. ....Этот список можно продолжить...
Далее, Агроскин предполагает, что "единственное достоинство, которое имеет смысл обсуждать всерьез "высокая степень защиты информации, действительно недоступная пользователям экспортных версий американских программных продуктов и сертификатов электронных подписей." Здесь есть недосказанность. Хотя США и являются наиболее крупным производителем программного обеспечения, на них свет клином не сошелся; более того, режим экспортных ограничений на стойкое крипто "выбросил" многие компании, специализирующиеся на этих перспективных технологиях, за пределы Северной Америки. За пределами США (в том числе и россиянам) доступны такие продукты, как пакеты PGPi и GNU Privacy Guard, реализующий стойкую криптографию по протоколам OpenPGP и IPSec и норвежский браузер Opera, реализующий стойкую криптографию по протоколу SSL. Более того, для ряда американских продуктов существуют "заплатки", убирающие "экспортные закладки", ограничивающие длину ключа. Агроскин лишь упомянул об их наличии, а мне хочется дать хотя бы одну конкретную ссылку, поскольку для кого-то из читателей вопрос о стойкости шифрования может стоять и в практической плоскости. Например, для популярных продуктов Netscape Navigator и Netscape Communicator (на всех платформах, включая столь любимую народом Wintel) существует программа Fortify , восстанавливающая способность их "экспортных" версий к безопасной коммуникации по протоколам SSL и S/MIME. Таким образом, проблемы недоступности программных продуктов, реализующих стойкое крипто, на сегодня просто нет. Соответственно, и указанного "достоинства", которым, по Агроскину, гипотетически могли бы обладать продукты от ФАПСИ, тоже нет, и обсуждать его не имеет смысла. "Во-вторых, экспорт надежных сертификатов разрешен и теперь, для банков, финансовых институтов, электронных торговцев, общественных организаций, медицинских и дочерних американских компаний - кроме банков и финансовых институтов, расположенных в Афганистане, Венесуэле, Доминиканской республике, Индии, Ираке, Иране, Каймановых островах, Китае, Колумбии, на Кубе, в Ливии, Мексике, Нигерии, Пакистане, Панаме, Парагвае, Российской Федерации, Румынии, Северной Корее, Сербии, Сирии, Судане, на Тайване, в Таиланде, Черногории и в Чили. Ограничения для электронных торговцев, общественных организаций, медицинских и дочерних американских компаний значительно слабее, и Россию не включают. " Проблемы недоступности сертификатов (в том числе, и для финансовых организаций) тоже нет, так как сети сертифицирующих организаций развернуты не только в США. В частности, популярность в России приобрели сертификаты, выпускаемые пользующейся высокой репутацией фирмой Thawte, Inc., которая базируется в ЮАР и имеет представителей во многих странах, включая близкую к нам Эстонию. Сертификаты ключей самой Thawte входят в базовые поставки большинства браузеров, включая продукты той же Netscape Corp. и новомодный Internet Explorer от Microsoft, Inc. *** Несмотря на эти уточнения, и несмотря на то, что я не в силах верифицировать политические предположения Агроскина, я склонен согласиться с основным выводом статьи. В нынешних условиях глобального делового пространства за любой попыткой выполнить digital divide неизменно последует divide overflow. Если стандартенфюрерам от ФАПСИ удастся оккупировать пространство технологической инфраструктуры российского сектора рынка ценных бумаг, то рынок ценных бумаг (включая российских инвесторов) будет жить сам по себе, а Россия -- сама по себе
-
Надежные и известные сертификаты для серверов
Максим, я взял список ограничений на экспорт длинных сертификатов с сайта http://www.thawte.com . Все-таки мне показалось, что российским финансовым институтам они надежных сертификатов не продают? В общем, требование к сертификатам у меня простое - сертификат должен узнаваться стандартным браузером, установленным в любой точке мира. Список предустановленных в мою копию Навигатора Certificate Authorities включает Deutsche Telecom. Пойду посмотрю, кому они продают....
-
Надежные и известные сертификаты для серверов
Сходил на Дойче Телеком. Никому они не продают, кроме немцев. И вообще по-английски не разговаривают. Зато среди предустановленных сертификатов обнаружились http://www.globalsign.net/ из Бельгии. У них про ограничения ничего не сказано. Но и про длину сертификатов не сказано. Кто-нибудь знает, какие сертификаты от CA's доступны в Европе?
-
Основные положения устава Российской криптологической ассоциации
Несколько вопросов и предложений к уважаемому Президенту и членам Совета директоров РКА по документу "Основные положения устава Российской криптологической ассоциации." 1. Я предлагаю придать документу статус "Проекта устава..." и предложить его на обсуждение участникам РКА. Кроме того, вероятно, следует определить срок, до которого принимаются предложения по доработке устава, иначе процесс будет бесконечным. 2. п.II.2 ..._на основе соблюдения интересов отечественных производителей, разработчиков и поставщиков современных информационных, телекоммуникационных и криптографических решений_. Давайте определимся чего, все же, мы хотим: чтобы не было богатых или чтобы не было бедных? Я не имею ничего против отечественного производителя, но считаю, что этот пункт делает РКА промышленной ассоциацией, защищающей, прежде всего, интересы криптологов и программистов, а не пользователей крипторешений. В какой-то части, интересы производителей и пользователей будут совпадать, в какой-то они совпадать не будут. Мне интересно мнение руководителей РКА. Как по вашему: развитие отрасли сможет сформировать спрос на криптографию или же для развития крипто сначала необходимо обеспечить востребованность решений, а затем развивать производство решений удовлетворяющих этим требованиям?
-
Основные положения устава Российской криптологической ассоциации
1. Замечания Cмирнова мне кажутся правильными и глубокими. И, конечно же, все, что Вика сюда кладет, имеет статус неофициально публикуемых проектов. Насколько я понимаю смысл состоявшегося на РусКрипто'99 обсуждения, обсуждаться все это может на собрании Ассоциации на РусКрипто'2000 в начале февраля. 2. По поводу trade ass'n - тоже правильно, и на мой взгляд, это основная угроза проекту РК(К)А. У нас уже есть как минимум три организации, создававшиеся как широкие ассоциации, но превратившиеся по сути дела в узкие группы производителей: "Конфидент", "СМЕРШ/Спаймаркет" и Академия Криптографии ;) 3. Вроде бы, на упомянутом обсуждении было предложено добавить в число целей/задач защиту/представление интересов российских/русскоязычных потребителей крипто, и консенсуально принято. Я думаю, что это не попало в публикуемые проекты по чисто техническим причинам
-
Декларация Президента РКА
Приветствую глубоноуважаемого госп. Волчкова с назначением на эту высокую должность!!! Есть, правда, единственное, но настойчивое пожелание - РКА не должна остаться пустым звуком. С чего начать ? Это мы еще по истории КПСС учили - с информационного обеспечения. Любого - печатного, непечатного, цензурного или виртуального. Надеюсь, энтузазизма госп. президенту хватит. Чем можем - поможем. Фронтовые товарищи из ЭЛиПСа.
-
Основные положения устава Российской криптологической ассоциации
Все документы, которые я выкладываю, имеют официальный статус. Если обратили внимание, название данного документа "Основные положения устава...", а не "Устав..." или "Проект устава...". Данный документ (Основные положения Устава...) будет доработан на совете директоров РКА 11 января 2000г. и станет проектом Устава. Пока идут активные консультации по его содержанию. Устав будет принят на Учредительном собрании в феврале 2000 года. На Учредительном собрании будут возможны минимальные изменения -- основное обсуждение идет сейчас, в частности, в дискуссии в Московском Либертариуме (это сейчас де-факто официальный сайт будущей РКА).
-
Замечания и предложения к "Основным положениям..." и "Декларации..."
"Дельта" между произносившимся на оргсобрании и опубликованными документами весьма существенна; возможно, именно это заставило Левенчука высказаться со стороны в том смысле, что наблюдается движение в сторону trade ass"а.
Не имея ничего против trade ass"ов (в данном контексте), я все же понял исходный замысел и настроения публики несколько по-другому: в смысле движения к научно-инженерному обществу. Два дня я задумчиво читал тексты и слушал пленку, и вот какие замечания и предложения у меня накопились. Прошу обсудить.
. . .
>I. Общие положения
>Российская Криптологическая Ассоциация (далее РКА) является негосударственной некоммерческой организацией.
1. Название. А) Мне очень понравилась идея с аббревиатурой РККА. Б) При обсуждении звучало "криптологическая". Предлагаю: "Российская криптологическая и криптографическая ассоциация".
2. Формулировка. Предлагаю "забить" принцип индивидуального членства прямо в общие положения.
Итого. Предлагаю формулировку: Российская криптологическая и криптографическая ассоциация (далее РККА) является негосударственной некоммерческой организацией с индивидуальным членством.
>II. Цели и задачи
>1. Всемерное способствование развитию в России открытой криптографии и смежных с нею наук.
3. Слово "способствование" не кажется благозвучным.
4. Из текста, "сползло" вниз все, что связано с популяризацией и выпало все, связанное с интересами пользователей.
Итого. Предлагаю формулировку:Содействие развитию, в России криптографии и криптологии, популяризации и широкому применению достижений этих и смежных с ними научных и инженерных дисциплин.
>2. Интеграция России в единое информационное пространство на основе соблюдения интересов отечественных производителей, разработчиков и поставщиков современных информационных, телекоммуникационных и криптографических решений.
5. Формулировка. Непонятно, что куда интегрируется.
6. Опять-таки выпали интересы пользователей (корпораций и лиц), о которых так долго говорили"
Итого. Предлагаю формулировку:Содействие вхождению российских граждан, предприятий и организаций в глобальное информационное пространство при защите интересов российских пользователей, исследователей, разработчиков, поставщиков и производителей информационных, телекоммуникационных и криптографических решений.
>3. Создание, внедрение и популяризация современных информационных технологий.
7. Предлагаю исключить "создание" и "внедрение" и оставить его производителям и поставщикам. Популяризацию предлагаю поднять выше, как указано выше, пардон за каламбур.
Итого. Предлагаю исключить.
>4. Поддержка перспективных отечественных работ, связанных с криптографией, защитой информации и информационными технологиями, как в теоретической области, так и практических разработок.
8. Очень неконкретный пункт. Я бы предложил исключить, тем более, что в разделе III как бы перечислены все конкретные меры по "поддержке". А что еще, овацией встречать все перспективное? ;)
>5. Продвижение современных систем и средств обработки и защиты информации на мировые рынки.
9. Вроде бы, тоже не дело Ассоциации. Если Ассоциация будет успешно функционировать, они как бы сами и будут продвигаться (если речь идет об отечественных разработках). Я бы предложил исключить.
>III. Деятельность РКА >Для выполнения поставленных целей РКА: >1. Проводит выставки семинары и конференции, по тематике, отвечающей целям и задачам РКА.
Нет замечаний.
>2. Публикует сборники работ по указанной тематике.
Нет замечаний.
>3. Организует исследования в области криптографии, информатики и телекоммуникаций.
10. Непонятно. Гранты раздает или рекомендует проекты к получению таковых? Тогда экспертный совет и ученого секретаря нужно или что-то подобное. Или как еще исследования организовывать можно?
>4. Ведет информационную базу данных по разработкам, отвечающим интересам РКА.
11. Тоже непонятно. БД вести можно, если силы и желание будет, но зачем это отдельным пунктом в Устав? Ниже, в п.7 уже указано: "Издает и распространяет " справочные материалы " в электронном виде".
>5. Участвует в мероприятиях, цели и задачи которых совпадают с целями и задачами РКА.
12. Чисто технически: я бы объединил это с п.1, т.е. "Проводит, а также принимает участие в организации и проведении"", далее по тексту п.1 в род. падеже.
>6. Взаимодействует с государственными структурами для обеспечения законодательной поддержки развития Российских информационных, криптографических и телекоммуникационных технологий.
13. Непонятно, а с негосударственными, что, не взаимодействует? А с международными?
>7. Издает и распространяет справочные и учебные материалы по заявленной тематике, как в бумажном, так и в электронном виде.
>IV. Средства организации
>1. Финансовые средства РКА формируются из членских взносов членов РКА, а также пожертвований юридических и физических лиц.
>2. Размер членских взносов определяется руководством РКА.
>3. Членские взносы уплачиваются один раз в год.
14. Предлагаю все же стандартную процедуру: руководство осмечивает предстоящий год и предлагает размер годового взноса, утверждаемый на Общем собрании. Это стандартный "предохранитель от отсечения".
>V. Членство в организации
>1. Членом РКА может быть любой гражданин, соблюдающий устав организации и платящий членские взносы.
15. Гражданин чего? А иностранные граждане? А лица без гражданства?
16. Нужно ли забивать "почетное членство"?
>2. Членство в РКА носит добровольный характер.
Нет замечаний.
>3. Прием в РКА осуществляется на основе письменного заявления.
Нет замечаний.
>VI. Органы управления и сотрудники РКА
>1. Высшим органом управления является собрание членов РКА.
17. "Проводимое не реже раза в год?..
>2. Собрание РКА избирает совет директоров РКА, управляющий деятельностью РКА в течении года.
>3. Для решения оперативных вопросов советом директоров назначается Президент РКА.
>4. В помощь Президенту выделяются секретарь и бухгалтер.
18. Я бы не стал так ограничивать свободу действий. Мало ли какая оплачиваемая должность может появиться (модератор онлайновых дискуссий, литредактор "Трудов"" и т.п.). Сейчас это не нужно, но разумно сразу включить такую возможность, чтоб не переписывать Устав каждый год.
>5. Должности секретаря и бухгалтера являются оплачиваемыми, зарплата устанавливается советом директоров РКА.
>6. Директора РКА и Президент РКА осуществляют свою деятельность на общественных началах.
>Декларация президента Российской криптологической ассоциации
>1. Российская криптологическая ассоциация (РКА) создается с целью способствовать проведению открытых исследований по криптологическим проблемам для применения их результатов при разработке новых технологий общегражданского назначения.
Нет замечаний.
>2. РКА объединит усилия русскоязычных криптографов в области научных исследований и обучении специалистов с целью усиления их влияния на международной арене.
Нет серьезных замечаний.
>3. РКА обеспечит создание саморегулирующегося сообщества специалистов в области криптологии с целью обеспечения баланса интересов общества и государственных служб.
19. Есть замечание. Стратегически Ассоциация, естественно, будет способствовать этому процессу. Тактически сейчас основным и самым важным оргпроцессом IMHO будет привлечение членов из числа руководителей и сотрудников сильных криптофирм. Такой пункт в Декларации может дать повод понять весь процесс как создание trade ass"а вокруг "ЛАН-Крипто" и кого-то отпугнуть.
Поскольку, вроде бы, об этом речь не шла и в замысле это не присутствовало, я прошу подумать о том, чтоб этот пункт исключить. . . .
20. Помимо прочего, все-таки очень хочется понять формат январского собрания. Соберутся ли все активные члены, как предполагалось в декабре, или только Совет? Берется ли Совет (и лично Волчков) вынести на собрание на РК"2000 (или сразу после) готовый к голосованию проект Устава?
-
Место РКА в саморегулировании криптоотрасли
Прежде всего хотелось бы поблагодарить всех, кто так или иначе принял участие в обсуждении проблемы создания РКА. Более полный ответ на конструктивную критику г-на Левенчука прозвучит в моем интервью, которое должно появиться на Либертариуме в ближайшее время. Пока же хочу заметить следующее: 1.Название КРИПТОЛОГИЧЕСКАЯ, означает более широкий охват тематики в работе РКА.КРИПТОГРАФИЯ есть часть КРИПТОЛОГИИ, которая кроме чисто криптографических задач - построение алгоритмов и их анализ, также занимается вопросами теоретического (математического, физического и т.д)и юридического обеспечения информационных технологий с использованием элементов криптографии, а также вопросы связанные с реализацией таковых систем, их внедрением и эксплуатацией. 2.Компании производители не могут быть членами ассоциации, так как уже указывалось что членами РКА могут быть только физические лица. Кроме того членство в РКА носит добровольно-заявительный характер, а вовсе не разрешительный, поэтому говорить о неких требованиях к членам ассоциации (сверх изложенных в уставе)вряд ли стоит. Вопросы о возможном неэтичном поведении (надо кстати определить что этично, а что нет) членов РКА скорее следует открыто обсуждать на собраниях РКА, нежели создавать внутри РКА некие контролирующие структуры, хотя если последние будут необходимы, возможно рассомтреть и этот вопрос. В принципе же для решения подобных задач достаточно совета директоров ассоциации. И теперь совсем коротко: 3.РКА безусловно будет выполнять роль независимых экспертов и третейского судьи во внесудебных конфликтах. 4.РКА не задумывалась и не будет превращена в trade association, подобно ныне существующим организациям (например КОНФИДЕНТ. 5. Если у Вас имеются конструктивные предложения по формированию РКА предлагаю делитсья ими (ну хотя бы со мной). С Уважением А. Волчков.
-
Место РКА в саморегулировании криптоотрасли
Если члены РКА -- только профессионалы, то обычно такие организации называются Институты, и являются профессиональными СРО. Одной из задач таких СРО является сертификация членов на соответствие профессии (написание экзаменационной программы -- но не организация обучения), а также отслеживание движения своих членов по разным местам работы (чтобы проштрафившийся член не мог скрыть своего проступка на новом месте работы). Ясное дело, что в таких организациях членство нужно получать после сдачи экзаменов. Другое дело, что все это мировые образцы, которые имеют отношение к саморегулированию -- которые, конечно, работают. У вас же, скорее всего, получается что-то вроде криптографического Гринписа: общество по спасению редких видов криптографии, Foundation или Alliance по-"ихнему", точка приема целевых пожертвований (а жертвователи называются обычно членами). Служит для пропаганды, собирает членские взносы (взамен выдает значки, футболки, подписку на бюллетень), а остаток денег тратит на достижение пропагандистских целей (от учреждения призов до печати призывов и объявлений в популярных журалах).
-
Место РКА в саморегулировании криптоотрасли
Конструктивное предложение по преобразованию РКА в СРО: считать, что в РКА могут находиться только те производители (юрлица), которые для своих криптомодулей: -- публикуют исходные тексты; -- обеспечивают перед продажей криптомодулей их двухмесячную публичную экспозицию; -- не ссылаются на лицензию ФАПСИ как гарантию надежности для своих продуктов; -- используют ключи не короче 256бит; А если не соблюдают эти правила, то из РКА их выгоняют. С другой стороны, они имеют право публично хвастаться своим присутствием в РКА, а РКА создает специальный комитет по систематической проверке выполнения своими членами этих простых правил.
-
Место РКА в саморегулировании криптоотрасли
Даже если не принимать во внимание то, что юрлица не могут являться членами РКА, объединяющую только физических лиц, предложенные требования мне видятся не обоснованными. используют ключи не короче 256бит. А почему именно 256 бит, а не 128 или 512? Принимая во внимание современные средства криптоанализа и вычислительной техники можно сказать, что хорошие алгоритмы с такой длиной ключа принципиально не различаются по стойкости. Imho цифра 256 появилась из-за разного рода спекуляций относительно крутости алгоритма ГОСТ 28147. публикуют исходные тексты. Никто не станет возражать против публикации исходных текстов. И все же исходники это не сама цель, а средство верификации программы. Цель же заключается именно в верифицируемости. Например, пару килобайт кода состоящего из команд процессора Intel x86 верифицировать существенно легче, чем мегабайт запутанных С-шных исходников. Кроме того, изучение исходников дело, безусловно, полезное, но хлопотное и дорогостоящее. Насколько мне известно, платить за анализ исходников никто не собирается, а заниматься этим ради интереса, возможно, кто-то и будет, но совсем в небольших объемах. обеспечивают перед продажей криптомодулей их двухмесячную экспозицию. Отечественные программные реализации крипто хорошо продавались лет пять назад. Затем их цена стабилизировалась на $25 за штуку. Сегодня вообще опустила до $5. Буржуйские программы шифрования и цифровой подписи уже давно распространяются бесплатно. Дольше всех, вероятно, продержалась RSA Security, но и она сейчас предлагает BSAFE-овские компоненты бесплатно. Продавать программы общего назначение, такие как средства шифрования соединений, средства сетевой аутентификации, программы шифрования и цифровой подписи сообщений электронной почты, вообще, какой-то архаичный вид бизнеса. Это все равно, что мыть золото на давно выработанном прииске. Но мы то с вами понимаем, что никакого золота в Альпах нет, и что действительно необходимо, так это искать новые виды услуг, основанных на криптографии. Не надо держать пользователей за идиотов. Пользователь всегда хорошо осознает за что именно он платит: за сертификат, за лейбл известной фирмы, за совместимость с существующей информационной системой (или непрофессионализм тех кто в свое время не подумал о защите инвестиций и с потрохами отдался разработчику конкретной системы), за адаптацию модулей к своим потребностям и т.д. За предварительную экспозицию никто платить не станет. По крайней мере, если во время этой экспозиции не было каких-либо реальных действий. Мне всегда нравилась любимая фраза разработчиков "А мы предоставляем исходники нашим клиентам по их запросу". Ну и что с того. Может быть такие клиенты эти исходники просто положили на полку "про запас". Похоже, что РКА действительно может стать криптологическим Гринпис-ом, будет торговать цифровыми майками и кепками, а на вырученные средства поддерживать вымирающие алгоритмы. Хотя это тоже кое-что. Я готов отдать этак $25-30 за годовой сертификат X509 заверенный РКА. Вещь в хозяйстве полезная. Я вам по секрету скажу, что из мой опыт свидетельствует о том, что настоящие криптографы никогда не шифрую свою почту, они архивируют ее winzip-ом с паролем. А так можно хоть с коллегами будет нормально переписываться.
-
Место РКА в саморегулировании криптоотрасли
ОК -- готов изменить требование длины ключа 256бит на любую другую цифру (512? 1024? 2048?). Требование двухмесячной экспозиции перед продажей на двухмесячную экспозицию с призовым фондом $10 000 и последующей бесплатной раздачей. Другое дело, что отдельно -- Foundation, отдельно -- СРО. Фонд, безусловно, может быть направлен на защиту от вымирания отечественного крипто путем его пропаганды. А вот СРО могло бы помочь в невымирании отечественного крипто путем повышения его конкурентоспособности с западными продуктами, устанавливая соответствующие стандарты. Но можно, конечно, обойтись и без СРО вообще. Обходились же раньше :)
-
Основные положения устава Российской криптологической ассоциации
Устав РКА просто замечательный, добавить к нему нечего. Советская Конституция, впрочем, тоже была самая демократическая. Возможно, РКА состоится, даже как неформальная организация. В этом случае она будет выражать исключительно интересы "ЛАН-Крипто". В этом я не вижу ничего предосудительного. Хуже, если энергия, время и средства разных людей будут затрачены впустую. Когда-то, в 1995-1997 годах, ФАПСИ наезжал на ЛАН-Крипто, да и не только, очень конкретно. В той ситуации всем "неподкрышным" конторам имело смысл хоть как-то, хоть где-то объединиться, "чтоб не пропасть поодиночке". Теперь же, после смены руководства, ФАПСИ убавило прыть и просто махать флагом "мы тоже уже" смысла не имеет. Если верить мировому опыту, действительно бескорыстное спонсирование науки и образования частными коммерческими структурами возникает на определенном этапе развития как страны и отрасли в целом, так и конкретной фирмы в частности, когда последняя удовлетворила все свои потребности. Что касается моего личного мнения о РКА, оно осторожное и нейтральное. Чем конкретно я мог бы поучаствовать в РКА? Я мог бы предоставить свои публикациями о защите информации (но не об алгоритмической криптографии). Их около 30-ти, опубликованы они в разное время в разных изданиях, не все из них сохранили свою актуальность... Вместе с тем редакции разрешили мне их размещать в WWW, но после выхода статей в твердых копиях соответствующих изданиях. Сразу оговорюсь, что в статьях рассказывается, в том числе, и об опыте нашей фирмы и о ее продуктах.
-
Место РКА в саморегулировании криптоотрасли
Действительно, дело не в количестве бит. Нестойкое крипто это вообще американское изобретение. Кстати, на мой взгляд, вполне эффективное изобретение для сдерживания технологий обеспечения конфиденциальности. Конечно же, и в нашей стране использовались и вероятно используются шифры, которые можно дешифровать, но происходит это по сугубо техническим причинам. А какое количество бит должен содержать ключ " вопрос не простой. Шифровать 40 битным ключом лучше, чем не шифровать информацию вообще (В январе 1997 года взломать такой шифр стоило все же более чем 3х часов работы 250 компьютеров). Шифровать ключом 56 бит лучше, чем ключом 40, а шифровать ключом 64 бита, вообще очень не плохо. Граница, разделяющая длину ключа для вскрываемых шифров и шифров, допускающих только теоретическое дешифрование, постоянно растет, но в ближайшие несколько лет для распространенных и признаваемых хорошими алгоритмов, она, безусловно, не достигнет 128 бит. Вопрос о дизайне шифров тоже важен. И это не менее серьезная проблема, чем длина ключа.
-
Место РКА в саморегулировании криптоотрасли
Ага -- такая длинная реплика как раз показывает, что проблема с нестойким крипто и длиной ключа не является совсем уж надуманной. Вот и можно было бы создать СРО -- "Клуб производителей стойкого крипто". Может быть, не вместо РКА, а вместе с РКА. Смысл СРО -- это те конторы, которые обязуются присматривать друг за другом на предмет поддержания общей высокой планки в обслуживании потребителей. Скажем, приглядывать за тем, чтобы у них крипто было действительно сильным, определить внутри СРО параметры того, что является действительно сильным крипто, и принимать только тех, у кого крипто сильное по этим параметрам. И член этой СРО будет иметь право говорить потребителям "У меня действительно сильное крипто, меня коллеги-конкуренты проверяют на предмет этой силы..."
-
Место РКА в саморегулировании криптоотрасли
Проблема нестойкого действительно существует. Но это не проблема отечественных производителей. Скорее наоборот. Пока Microsoft с Netscape-ом предлагают нестойкое крипто у отечественного производителя программ шифрования и цифровой подписи есть рынок сбыта. Когда экспортные ограничения отменят, этот рынок, скорее всего, неимоверно сузится. И тогда проблема будет как раз с стойким крипто. По-моему, именно эту проблему надо сегодня рассматривать. Куда смогут приложить свои таланты и навыки отечественные криптографы при таком развитии событий? Надо ли работать с международными алгоритмами или надеяться, что федеральное агентство и другие органы власти вдруг начнут выполнять 334 указ и остановят ввоз импортных решений? Имеет ли смысл заниматься разработкой программ или более целесообразно уйти на вторичный рынок? Как сделать из крипто востребованную услугу? Прелесть ситуации заключается в том, что множество бизнесов морально готовы работать в Internet. Они даже уже умеют делать Web-приложения, а не только информационные сайты и единственное чего им действительно не хватает, так это нормальных средств защиты информации. Так вот, каждый криптолог сегодня стоит перед выбором. Либо он сумеет совместно с другими специалистами предоставить нужные и качественные услуги на открывающемся рынке, не важно какие конкретно, это может быть как серьезные теоретические исследования, так и элементарная работа с конечным пользователем, либо он останется сидеть в своей башне из слоновой кости. По этому поводу, я не могу удержаться от следующей цитаты из Брюса Шнайера: "Смысл криптографии - в решении проблем. (По сути, в этом состоит и смысл использования компьютеров, о чем многие пытаются забыть.) Криптография решает проблемы секретности, проверки подлинности, целостности и человеческой нечестности. Вы можете выучить все о криптографических алгоритмах и методах, но они представляют только академический интерес, если не используются для решения какой-нибудь проблемы."
-
Совет директоров РКА
Уважаемые директора РКА! Иногда, по ночам, я перечитываю стандарты Internet, известные как IETF RFC. Так вот, в документе за номером 2410 "The NULL Encryption Algorithm..." < http://www.ietf.org/rfc/rfc2410.txt>; я вычитал совершенно замечательный пассаж, который и предлагаю вашему вниманию: "NULL is a block cipher the origins of which appear to be lost in antiquity. Despite rumors that the National Security Agency suppressed publication of this algorithm, there is no evidence of such action on their part. Rather, recent archaeological evidence suggests that the NULL algorithm was developed in Roman times, as an exportable alternative to Ceaser ciphers. However, because Roman numerals lack a symbol for zero, written records of the algorithm's development were lost to historians for over two millennia."
-
Временное положение о "Российской криптологической ассоциации"
Возможно, при проведении конференции РусКрипто"99 имело место одно небольшое упущение. Никто не научил наших уважаемых криптологов пользоваться столь очевидным преимуществом цивилизации как Internet. Иначе как объяснить полное их отсутствие на как бы официальной странице РКА. Ни в коем случае не подвергая сомнению профессионализм участников конференции, рискну предположить что некоторая их часть просто не имеет навыков и привычки работы в онлайн сообществах. У меня предложение к директорам ассоциации. Уважаемые господа, подумайте над решением этой проблемы. Давайте поможем нашим коллегам работать в ассоциации. Для кого-то будет достаточно одной консультации, кто-то, быть может, нуждается в организации подключения к сети, кому-то просто надо предложить посещение офиса с компьютером, на котором можно посмотреть материалы ассоциации. Спасибо, Maxim E. Smirnoff
-
Анатолий Лебедев: Я не знаю, что такое ваши шифровальные средства...
В позиции Анатолия Лебедева есть существенный изъян. Он утверждает -- ФАПСИ не может работать эффективно, например определить грань между шифрованием и кодированием. ЛАН-Крипто, де-факто, пользуется слабостью ФАПСИ. Возможно временной, связанной с общей неразберихой. Очевидно, что ФАПСИ пока еще не может найти свою новую роль в новом обществе. ЛАН-Крипто ищет и находит изъяны в опять-таки не устоявшемся законодательстве, пользуется юридическими лазейками и т.д. Но все-таки беспардонно, вызывающе дурит ФАПСИ своими лингвистическими изысками. Да будь ЛАН-Крипто в Штатах, суд давно признал бы "Весту" шифровальным средством. А гипотетическую "Весту N" c ключом в 40 бит не стали бы покупать. И лицензия Гостехкомиссии Лебедеву мало помогает -- как только он наступает ФАПСИ на больную мозоль, у него снова возникают проблемы.
-
Анатолий Лебедев: Я не знаю, что такое ваши шифровальные средства...
-----BEGIN PGP SIGNED MESSAGE----- > В позиции Анатолия Лебедева есть существенный изъян. > ...Да будь ЛАН-Крипто в Штатах, суд давно признал > бы "Весту" шифровальным средством. Естественно, поскольку в США другая правовая модель. Для континентальной модели позиция Лебедева... хм, как показывает практика, удовлетворительная. > Очевидно, что ФАПСИ пока еще не может найти свою > новую роль в новом обществе. > Как насчет правительственной связи и информации? > Непаханое поле вообще, правительство неинформировано и > бессвязно. -----BEGIN PGP SIGNATURE----- Version: PGP 6.0.2 iQCVAwUBOIGeWnGCEHWOiJDhAQHipwQAwy/9kGufVomdkpSoJUW4l6Fb2TJDsHVM z/n97Orsr9FRaN7E8WhkRfOjoGhDw9R8Mo9osG0nR1/EBaeOqPPJzZJH6ifCv33S pZJJoHQcnbsWAgJ1ikaOgSUFJMyYSrCFuJxbi6EUSqk1GAp+diwISy+xC/j2WNl5 9QGQGnM61Jw= =7uCn -----END PGP SIGNATURE-----
-
Совет директоров РКА
-----BEGIN PGP SIGNED MESSAGE----- Спасибо. Чертовски хотелось бы увидеть также: - - объявление-приглашение на РусКрипто'2000 (с http://www.lancrypto.com/ruscrypto-2000.htm); - - уведомление Совета директоров о времени и месте проведения общего собрания. -----BEGIN PGP SIGNATURE----- Version: PGP 6.0.2 Comment: charset: mswindows-cp1251 iQCVAwUBOIGgBnGCEHWOiJDhAQGiugP/eiRHgBpcxcCEx5lPD38EssW7HOLS28VN 2kfZz+/9Z+J7vYzUbBMOY4cyq5KwD1byzGRt2CD24SArF+XUmhK3CLg0FuP5hYyx wAvXmXUTT4W3MII1qJv8u8dWmjKrEEogJyIcF4Z2oBrwtzxLoTxc2zX34y+KgvOs H7XFx/AwGnU= =ZJVn -----END PGP SIGNATURE-----
-
Анатолий Лебедев: Я не знаю, что такое ваши шифровальные средства...
Правильно ли я понял, что суть Вашей реплики в 1) Не столько Лебедев хорош, сколько ФАПСИ у нас плохое; 2) Шифрование или нет -- определять должен суд, а не ФАПСИ?
-
Анатолий Лебедев: Я не знаю, что такое ваши шифровальные средства...
Беда с этими фапсерами, обычно их спрашиваешь "Где работаешь", а он -- "Не важно", тут я громко (чтобы все слышали)-- "Стесняешься сказать?", а он стесняется и уходит. По теме реплики: "пользуется слабостью ФАПСИ. Возможно временной" -- нет ничего более постоянного чем временное. "Очевидно, что ФАПСИ пока еще не может найти свою новую роль в новом обществе" -- видимо не там ищет. "Но все-таки беспардонно, вызывающе дурит ФАПСИ" -- дурить можно только дурака, сказал не я а кот Базилио. "Да будь ЛАН-Крипто в Штатах" -- оно там уже есть. "как только он наступает ФАПСИ на больную мозоль" -- нормальные люди либо мозоли выводят, либо ноги на дороге не расставляют. "Он утверждает -- ФАПСИ не может работать эффективно" -- а Вы утверждаете что может?
-
Анатолий Лебедев: Я не знаю, что такое ваши шифровальные средства...
>> В позиции Анатолия Лебедева есть существенный изъян. >> ...Да будь ЛАН-Крипто в Штатах, суд давно признал >> бы "Весту" шифровальным средством. > Естественно, поскольку в США другая правовая модель. Для > континентальной модели позиция Лебедева... хм, как показывает > практика, удовлетворительная. Не знаю, как насчет континента, но для для "острова ЛАН-Крипто" модель не только удовлетворительная, но просто отличная. >> Очевидно, что ФАПСИ пока еще не может найти свою >> новую роль в новом обществе. > Как насчет правительственной связи и информации? > Непаханое поле вообще, правительство неинформировано и > бессвязно. Мне, к сожалению, правительство даже бессвязно не докладывает о своей неинформированности. P.S. Недавно прочитал на anekdot.ru: Идет цирковое представление. Выходят воздушные гимнасты. С галерки доносится истошный вопль: "Педерасты! Они носят облегающее трико! Они педерасты!" Гимнасты обиделись и ушли. Выходят клоуны. С галерки доносится истошный вопль: "Педерасты! Они красятся! Они педерасты!" Клоуны обиделись и ушли. Выходит конферансье: "А сейчас впервые будет исполнен смертельный номер. Прыжок из-под купола цирка без страховки." С галерки доносятся истошные вопли: "Педерасты! Куда вы меня тащите! Педерасты!" ...ФАПСИ, конечно, организация, с виду серьезная. Но и у них чувство обиды сменяется чувством юмора...
-
Анатолий Лебедев: Я не знаю, что такое ваши шифровальные средства...
МОГУ СКАЗАТЬ ТОЛЬКО ОДНО (SIR FAPSIR В СВОЕЙ РЕПЛИКЕ САМОДОСТАТОЧЕН) - ФАПСИ БЛЕСТЯЩЕ ОТПОЗИЦИОНИРОВАНО КАК СЕКСУАЛЬНОЕ МЕНЬШИНСТВО В КРИПТОЛОГИИ.
-
Латентное шифрование
Для меня лично, есть один, действительно не понятный момент в позиции федерального агентства. Если шифровать информацию без лицензии и несертифицированными средствами нельзя, то почему агентство не препятствует ввозу на территорию страны программного обеспечения, которое это делает. Того же Windows-а, например. Поймите одну простую вещь. Ведь сегодня никто не спрашивает у пользователя, хочет он что-то шифровать или не хочет. Производители программного обеспечения давно уже за нас решили, что и как следует шифровать. Когда вхожу в локальную сеть, например при помощи Windows 95 и старше, никто не считает нужным предупредить меня о том, что мой пароль будет зашифрован при помощи алгоритма DES. Ну да ладно, оставим DES56 в покое, но когда я загружаю Windows NT SP4, эта замечательная операционка, опять же ни слова мне не говоря, расшифровывает некоторый объем данных вполне 128битным алгоритмом RC4, причем не зависимо от экспортных ограничений и пр. Обычные программы давно и активно что-то там шифруют, а пользователь выступает всего лишь в роли латентного шифровальщика. Он вроде бы только кнопку ОК, нажимает, а на самом деле производит страшно предосудительную операцию. Получается, что это только LanCrypto нельзя шифровать, а другим можно причем и без лицензии и несертифицированными средствами. Тогда вопрос в том, кто же на самом деле пользуется слабостью агенства. Вероятно, в первую очередь зарубежные производители софта и операционных систем. Вот с ними и следует работать этой уважаемой организации, раз уж оно взвалило на свои плечи тяжкое бремя лицензирования и сертификации. Опять же Штаты на днях экспортные ограничения отменили.
-
Дискриминационная политика ФАПСИ.
(Чтой-то сбойнуло на старом добром libertarium первые две реплики не прошли, ФАПСИ наверное балуется). Уважаемый xtens, Вы затронули важную тему. Fapsir писал: > В позиции Анатолия Лебедева есть существенный изъян. > ...Да будь ЛАН-Крипто в Штатах, суд давно признал > бы "Весту" шифровальным средством В США действует масса законов, направленных против всяческой дискриминации, в том числе против дискриминационной политики федералов против частных компаний. Иными словами, если бы политика АНБ в отношении какой-либо фирмы, производящей защиту информации, отличалась от политики по отношению к остальным, АНБ немедленно подвергнулось бы преследованию со стороны закона. Иными словами, сейчас в России есть фирмы, неимеющие никаких лицензий, т.е. выпускающих то, что по мнению ФАПСИ является шифровальным средством, однако, преследованиям они не подвергаются. Я объясняю это тем, что данные фирмы используют либо условно бесплатные шифровалки типа PGP, либо просто старый добрый ГОСТ. "ЛАН Крипто" же зарекомендовала себя, как компания с мощной командой разработчиков технологий, причем зачастую принципиально новых. Уже давно признано, что стандарт на ЭЦП, оразработанный фирмой в 1992 году, на сегодняшний день явлется наиболее эффективным. Именно это на мой взгляд и раздражает ФАПСИ. Что же касается Microsoft и иже с ними, даже ФАПСИ понимает, что требовать от китов бизнеса, чей месячный фонд заработной платы кроет годовой бюджет ФАПСИ, как бык овцу, получения лицензии право же трудновато.
-
Самоотверженная работа сотрудников ФАПСИ вернула в бюджет недостающую для покрытия дефицита сумму.
20 января сего года, благодаря героическим усилиям сотрудников управления лицензирования, и лично его начальника господина О.Беззубцева, в бюджет страны возврашено 100 минимальных окладов (чуть более 8000 р.. Эту сумму должна выплатить фирма "ЛАН Крипто", по решению московской территориальной коммисии антимонопольного комитета. Компания "ЛАН Крипто" внесет эти деньги в качестве штрафа, за то что не на всех ее информационных материалах содержался номер лицензии Гостехкоммисии. P.S. Столь значительный успех ФАПСИ омрачен только одним, за время ведения дела в антимонопольном комитете на зарплату господина Беззубцева и его сторудников затрачена сумма в несколько раз большая, нежели возвращенная в бюджет.
-
Декларация Президента РКА
Алексей, рад был узнать о рождении ассоциации и о том, что ее возглавил уважаемый мною человек. Надеюсь, что на новом поприще ты сумеешь проявить свои лучшие качества и как всегда будешь способствовать развитию свободомыслия и защите подлинно гуманитарных ценностей в одной из самых закрытых и недемократичных областей человеческого знания. Евгений Горячев
-
W2K подпала под импортные ограничения
Похоже что, все только начинается. В связи с тем, что развивающиеся события напрямую задевают интересы пользователей, крайне интересно было бы узнать что такого написано в упоминавшемся "...запросе ФАПСИ к зарубежным производителям ПО..." и какие последовали или последуют ответы.
-
W2K подпала под импортные ограничения
В данной ситуации возможны на мой взгляд следующие варинаты: 1. Оптимистичный: Побулькает, побулькает и затихнет, а W2K будет поставляться as is. 2. Реалистичный: Microsoft даст денег ФАПСИ "проверит" и разрешит,а W2K будет поставляться as is. 3. Пессимистичный: Microsoft даст денег ФАПСИ "проверит" и не разрешит,а W2K будет поставляться as is, но только не в Россию. 4. Циничный: Все равно мало кто W2K покупает легально, а пиратам на ФАПСИ плевать, а W2K будет поставляться as is, но только на пиратских дисках. P.S. Если приспичило, купите W2K через Inetrnet, посмотрим, как в сети таможня работает. P.P.S. Если совсем приспичило, купите криптопровайдер отечественного производства (хотя бы от "ЛАН Крипто") и работайте наздоровье, это законно.
-
W2K подпала под импортные ограничения
> Если совсем приспичило, купите криптопровайдер отечественного > производства (хотя бы от "ЛАН Крипто") и работайте наздоровье, > это законно. Вообще-то, я не обнаружил уважаемую фирму "ЛАН Крипто" (или какую-либо другую отечественную фирму) в списке разработчиков Cryptographic Service Provider http://www.microsoft.com/security/tech/cryptoapi/cspdev.asp. Но если в арсенале "ЛАН Крипто" есть такое решение, то я с интересом с ним ознакомлюсь, тем более что на сегодня у меня есть насущная необходимость в приватной переписке с одной подружкой, временно находящейся за пределами нашей страны, и меня крайне интересуют такие решения. (К сожалению, я не могу напрягать девушку установить какое-либо специальное ПО и поэтому, меня интересуют только средства, полностью совместимые с cтандратами Internet). Теперь про варианты: "Оптимистичный". Вряд ли поставка W2K может "побулькать и затихнуть". Если я, например, приобрету W2K Server, то не понятно что меня удержит от организации на его базе certificate authority. Не потребуют же от меня лицензию на использование несертифицированного средства? Те же самые рассуждения, относятся и к "реалистичному" варианту, так как в конечном счете, что там происходит в отношениях ФАПСИ-Microsoft не так и важно, ну не напишет же Microsoft в лицензии, что этот продукт нельзя использовать в коммерческих целях? Вообще-то смешно будет, конечно. "Пессимистичный" вариант. По простому, это называется скандал. Хотя вариант вполне вероятный, вопрос в том готов ли кто-либо персонифицировать такой скандал и сказать: "да, это я, именно тот человек, который зачислил Россию в группу 7 стран с террористическим режимов, в которые не поставляется W2K". "Циничный" вариант. Из раздела "щас, как-же, дождетесь..." Сегодня практически каждая более-менее солидная организация уже освоила некоторые суммы на приобретение ПО, в частности производства Microsoft. А софт этой уважаемой фирмы стоит увы не дешево. Вот насколько я не люблю собственноручно приобретать софт, и то как-то приспичило и пришлось выбить из родной организации $1K на покупку MSProxy, и даже год держать его на балансе. Я думаю на W2K деньги найдут многие, так что здесь такой вариант тоже не пройдет. У нас какой ни есть, все же можно сказать рынок: либо вы вносите продукт в прайс-лист, либо отваливаете и пропускаете того кто в очереди следующий...
-
Лицензия от спецслужб, хорошо ли это для бизнеса
Хотелось бы в свете дискуссии на тему о лицензировании обсудить вот какой вопрос. Дает ли с точки зрения маркетинга наличие лицензии преимущества той компании у которой она есть ? Сразу понятно, что часть потребителей, особенно тех, кто завязан на госструктуры, наличие лицензии привлекает. Однако не отпугнет ли лицензия ФАПСИ тех потребителей, кто от ФАПСИ не зависит и любви к нему не питает. Для примера, представьте себе, что покупая продукт фирмы Check Point, Вы читаете - "Одобрен к применению Моссад, лицензия Моссад " ..., сертификат Моссад " ...", или в разделе about программы PGP - "Рекомендовано АНБ ...".
-
W2K подпала под импортные ограничения
Даю пояснения. В чем в чем, а уж в написании бумаг с ФАПСИ мало кто поспорить может. Поэтому, если им "денег дать", то они уж объяснят популярно, почему W2K можно ввозить в Россию, скорее ради этого (да плюс еще ради привлечения внимания к себе, то с 1995 года о них забыли) и затеяна вся бодяга. Исходя из этого я говорил о варианте реалистичном. С другой стороны позиция MS "а пошли Вы ...", может привести к тому, что ФАПСИ в очередной раз сядет в лужу, и не получив ни денег, ни славы вынуждено будет объяснить нам, что вот ввозить можно (кстати в рамках закона сам берусь объяснить почему можно, но только не публично), а эксплуатировать ...Здесь опять возможно два варианта, в зависимости от политики компании. Самая лучшая опять же - "А пошел ты ...", пусть ФАПСИ попробует доказать, что то что легально ввезено нельзя использовать (замается однако)и здесь мы приходим к варианту оптимистичный. Если же политика компании, купившей W2K, такова, что ей очень хочется (или необходимо) лизнуть сапог генралам, надо обратиться за разрешением, "дать денег" и получить оное. Только слеудет помнить, что пинают только ту собаку, которая сапог лижет, других боятся.
-
W2K подпала под импортные ограничения
>... то они уж объяснят популярно, почему W2K можно > ввозить в Россию... Так это и требуется, и не только для W2K но и для других Internet решений, и не только ввозить, но и разрабатывать и эксплуатировать. Я надеюсь, что у представительства MS хватит управленческих талантов положительно решить эту проблему. А это, по существу, означало бы что легализуются любые совместимые решения, см. реплика, т.к., например, сертификаты X.509, выработанный MS CertSrv и OpenSSL, просто неразличимы при соответствующем заполнении полей. И "ЛАН Крипто" сможет предлагать свой CSP, если он у нее есть, конечно.
-
W2K подпала под импортные ограничения
Нет, уважаемый xtens, в ФАПСИ конечно сидят "круглые" генералы, но все-таки не "полные". Объяснят они почему W2K ввозить можно, а вот про другое не скажут ничего, здесь еще "денег надо". Это из серии почему банкоматы одной фирмы ввозить можно, а другой ни-ни. Или из серии почему S.W.I.F.T может шифровать, а Вы нет. Уж поверьте, это они объяснить смогут.
-
Директорам РКА
Уважаемые директора РКА! А может кто-нибудь из вас сходит 27 января на семинар РОЦИТ "Сетевая безопасность в Интернете", только не как частное лицо, а от имени и по поручению РКА, примет участие в круглом столе, доклады послушает, сюда что-нибудь об этом мероприятии напишет. Кстати список докладов: 1. Алексей Лукацкий, НИП "Информзащита" ( http://www.infosec.ru) "Технологии обнаружения атак в сети Internet" 2. Алексей Фисенко, РосБизнесКонсалтинг ( http://www.rbc.ru) "Концепция обеспечения сетевой безопасности в РИА РБК" 3. Елена Никонова, Сигнал-КОМ ( http://www.signal-com.ru) "Проблемы использования протокола SSL в Интернет-приложениях" 4. Игорь Дмитриев, МО ПНИЭИ ( http://www.security.ru) "Информационная безопасность при ведении бизнеса в Интернет" 5. Михаил Кадер, Cisco Systems ( http://www.cisco.ru) "Безопасность с точки зрения Cisco"
-
Дерегулирование Internet Crypto
Мнение человека, чью подпись желают вмдеть под письмом. 1. Письмо нужное 2. Даже открытое письмо к и.о. президента так не пишут Что я имею в виду. Стиль письма должен быть менее полемичен,и более конструктивен. 3. Согласен, что валить в одну кучу все не стоит. Наиболее актульным сейчас представляется вопрос о позиционировании Интернета среди субъектов регулирования -что это СМИ, Услуга связи и т.д.
|