|
|
 |
Комментарии (2)
-
А Netscape, вероятно не подпал под органичения
Похоже, Netscape стал первой американской компанией, после радикального смягчения экспортных ограничений, начавшей предлагать в России стойкое Internet Crypto. На странице http://home.netscape.com/download/index.html вы можете загрузить Netscape Communicator 4.7, содержащий полноценные модули шифрования и цифровой подписи. Как и раньше, перед загрузкой сервер проверит IP адрес и имя вашей рабочей станции, но разрешит произвести загрузку NC не только с компьютеров, находящихся в США и Канаде, но и с компьютеров, зарегистрированных в домене ru. Кроме информации на странице загрузки, каких-либо других официальных комментариев от Netscape относительно этого я пока не видел.
-
Мicrosoft тоже не выдержал
Вслед за Netscape, который уже 2 недели предоставляет пользователям возможность загрузить с своего официфального сервера Netscape Communicator c 128 битным шифрованием, Мicrosoft сделал тоже самое. На http://www.microsoft.com/windows/ie/download/128bit/intro.htm можно совершенно свободно загрузить Windows High Encryption Pack для 4 и 5 версий Internet Explorer.
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
Как мне кажется, ФАПСИ все-таки будет "мягко, но ненавязчиво настаивать" на поставки в Россию w2k с урезанными крипто-возможностями - по крайней мере, в "коробочных вариантах". И Microsoft препятствовать этому, скорее всего, не будет - ведь прямых убытков она не понесет, да и для имиджа компании это ничем особенным не чревато. Тем более что технически осуществить это "урезание" будет достаточно просто (что бы там не говорили в российском представительстве компании), к тому же опыт подобных манипуляций у Microsoft уже есть - и в отношении непосредственно самой Windows (вспомнить хотя бы нашумевшую историю про "черный ход" в новом CryptoAPI с так называемыми "отладочными" универсальными ключами), так и экспортнх вариантов IE - французских и иже с ними.
Чем это чревато для пользователей новой системы? Да, в принципе, ничем. К новым крипто-возможностям некорпоративные пользователи как раньше не обращались, так и теперь обращаться не будут. Что о тех, кому эти возможности действительно нужны,- так они и раньше пользовались другими продуктами - такими, как OpenPGP, и Kerberos им пока что - именно пока что - не нужен. Для массового перехода частных пользователей на этот стандарт необходима его массовая и повсеместная поддержка. То есть пока никакой дискриминации отечественных потребителей в этом случае я не вижу. Что касается корпоративных пользователей - те, кто действительно работают не на UNIX, а на WNT, вряд ли сразу уйдут с этой платформы, так как подобные миграции для достаточно развитой инфраструктуры отнюдь не безболезненны.
Так из-за чего же весь этот сыр-бор "разрешат-не разрешат"?
Дело тут, по-моему в принципе. Потому как если фактической дискриминации в данном положении вещей не наблюдается, то это не означает, что с этим можно мириться. Так, того и гляди, дойдет до полного запрещения использования стойкого крипто в своей повседневной деятельности вплоть до вылавливания "нелегалов", которые не желают "дырявости" своей частной переписки. Хочется надеяться, все-таки не дойдет. Очень хочется"
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
Это уже что-то из области виртуальной реальности.
ФАПСИ не будет препятствовать началу продаж Windows 2000 Ну так его никто и не покупает, чего мешать то продавать. Я понимаю ФАПСИ заявило бы что оно не будет препятствовать продаже "пиратских" дисков с Windows2000, это было бы осмысленное заявление. Представительство Microsoft в Москве сделало ответный реверанс, сказав что не будет поставлять 128 битное шифрование совместно с Windows2000. Ну так и это очевидно, вряд ли оно может поставлять стойкое крипто т.к. High Encryption Pack не входит в коробку с Windows2000. Его надо загружать с сервера Microsoft. Так что глубокомысленность этого заявления соизмерима с заявлением ФАПСИ. Одним словом, обе эти конторы окончательно оторвались от действительности и разговаривают о чем-то таком личном, что посторонним их точно не понять.
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
Кстати, само московское представительство Microsoft шифрует данные при помощи RC4 с длиной ключа 56 бит (!) и использует для обмена ключами схему RSA с ключом 512 бит. Это легко увидеть если обратится по ссылке на их официальный сайт https://www.microsoft.com/rus/ Для аутентификации сервер используется следующий цифровой сертификат: Certificate:
Data:
Version: 1 (0x0)
Serial Number:
55:06:50:ae:4d:2b:d8:1b:27:8c:8d:8e:a7:a2:34:40
Signature Algorithm: md5WithRSAEncryption
Issuer: C=US, O=RSA Data Security, Inc., OU=Secure Server Certification Authority
Validity
Not Before: May 12 00:00:00 1999 GMT
Not After : May 11 23:59:59 2000 GMT
Subject: C=US, ST=Washington, L=Redmond, O=Microsoft, OU=mscom, CN=www.microsoft.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (511 bit)
Modulus (511 bit):
69:6f:91:11:a4:44:0c:fc:49:8e:e9:b8:ca:57:ea:
71:ee:6d:e1:d0:aa:e5:e3:59:be:ce:81:4c:05:02:
cf:83:4e:ca:07:71:82:21:ff:b2:76:f3:f4:c3:58:
8d:2a:f2:4a:c1:af:91:cb:83:e1:0b:8f:00:fe:0d:
74:3a:cb:4b
Exponent: 65537 (0x10001)
Signature Algorithm: md5WithRSAEncryption
0a:3e:5b:a0:27:01:56:6d:0b:62:b2:d6:a2:23:f0:3c:2b:a8:
63:54:96:38:74:39:48:f1:b3:dd:0d:e0:dd:b6:d1:b6:ef:8e:
5c:42:b0:d3:7f:7b:8c:d3:3b:6b:5d:d2:fa:ff:f0:9a:82:ad:
91:99:65:94:95:a1:de:68:29:48:3a:ac:98:91:3d:32:6e:58:
0a:de:fe:d4:e6:62:2c:4f:eb:51:77:00:39:6a:3e:e6:4b:7e:
19:34:16:c1:b8:7e:33:1f:cd:bd:2b:14:3b:66:ca:c3:07:ad:
cb:0c:17:f0:73:eb:0c:35:7a:84:8b:c3:3f:c5:fe:9f:52
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
По моему, многие не совсем правильно поняли суть дела. О ФАПСИ в очередной раз вытерли ноги и плюнули на них, а они этого даже не заметили. В первый самый момент, когда ФАПСИ направило в Microsoft свою цидулю, в лице Ольги Дергуновой был дан очень циничный и жесткий ответ: "Нарушать законы РФ мы не собираемся, но продажа WIN2000 начнется в срок." Все. Этим было сказано все. Кто такие ФАПСИ они знать не хотят.
Вот есть сайт MS, надо заходите и берите все, что Вам надо.
Хотя даже при условии ввоза программ с блоками шифрования НИКАКИХ законов РФ нарушено не было бы. Это я говорю как "доктор". Нет таких законов.
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
========================================================= Х В А Т А Й М Е Ш К И - В О К З А Л У Х О Д И Т !!! Здравствуйте! Microsoft вроде бы использует две технологии в своих продуктах для обеспечения безопасности Windows based сетей: 1. TLS (Transport Layer Security), протоколы HTTP-Sec, SSL, SOCK-sec; крипто алгоритмы DES, RC4,...; хэш (hash) алгоритмы MD5, SHA-1, .... Грубо говоря, сие означает, что программы сервера и клиента пишутся исключительно с применением вышеперечисленных крипто средств, а какие сети будут использоваться для общения сервера и клиента - не важно, это может быть и Internet, and Intranet, and Extranet. Важно то, что практически одинаковые крипто - результаты могут быть достигнуты и в среде Windows-95, и в Win-98,Win NT, и наконец -в Windows 2000(W2K). Классический пример - MS Internet Explorer. Получается - запрещать надо было 5 лет назад,начиная с Win-95, и W2K в данном случае не при чем... 2. VPN (Virtual Private Networking), протоколы: - PPTP
- IPSec
- L2TP/IPSec Здесь, в общем-то, несколько иная картина - специальные TCP/IP программы писать не надо ни для сервера, ни для клиента,а всю безопасность передачи данных через любую сеть обеспечивают VPN технологии. 2.1. Point-to-Point Tunneling Protocol (PPTP) реализован для Windows 95, 98, NT и Windows 2000 c практически одинаковыми возможностями, разница - в W2K, дополнительно к User_ID+Password authentication, реализована схема public key authentication. Конечно, можно спорить, была ли сильна Microsoft, в смысле сильного крипто, в 1996 году со своим 40-bit RSA RC4, но уже в 1997 году для граждан Канады и США был доступен 128-bit session key Crypto Service Pack... 2.2. Internet Protocol Security (IPSec) и его "попутчик" Internet Key Exchange (IKE, c реализацией 3-х authentication методов в лице Kerberos-5, Public/Private key and Passwords) - это можно найти только в Windows 2000, причем IPSec здесь реализован для работы в 2-х режимах, IPSec transport mode - для Client-to-Client, Client-to-Server и Server-to-Server коммуникаций, и IPSec tunnel mode - для Site-to-Site соединений. Перечисляю это все к тому, что можно было бы запрещать Windows 2000 из-за IPSес, кабы б с PPTP уже "разобрались бы"... 2.3. Тут совсем : "пришла беда - отворяй ворота". Layer 2 Tunneling Protocol (L2TP) упаковывает традиционные PPP frames для передачи их через сети X.25, IP, Frame Relay и потом их "подхватывает" IPSec протокол (IPSec tunnel для Site-to-Site соединений и IPSec transport для Client- Remote Access Server/or Gateway). ...Windows 2000, для целей IPSec encryption, поддерживает 56-bit DES (слабый крипто?) и 3DES (168-bit, сильный крипто?). При чем тут "сильные" и "слабые" длины ключей? Микрософт в своей новой операционке, W2K, первая в мире реализовала защищенные end-to-end соединения ВНУТРИ PRIVATE NETWORK, не говоря уже о соединениях через public network, с применением технологий VPN.... В этом то суть дела.... Виктор Ангелов.
-
"Запрещенные алгоритмы" Ольги Дергуновой
========================================================= Здравствуйте,
я насчет "легкости" выкорчевывания "запрещенных алгоритмов" MS Windows 2000... В этой ОС слишком много запрещенных алгоритмов: - SSL/Transport Layer Security
- IPSEc (Virtual Private Networking)
- PPTP (VPN)
- L2TP\IPSec (VPN) Если SSL "выдрать" относительно просто (Internet Explorer чуть и не выдрали в судебном порядке в Win98), то IPSec уже вставлен как неотьемлемая часть TCP/IP stack, и инсталляция PPTP, IPSec and L2TP идет неотделимо от инсталляции Win 2000, и, судя по тому, что Микрософт даже не заикается о доработке IPSEc и L2TP для Windows 95, Win 98 and Win NT - выдрать все это хозяйство отнюдь не просто. В противном случае, Микрософт сделала бы добрый жест как в случае PPTP для Win-95, Win-98. "Выдирание" IPSec повлечет умирание интегрированного с ним Active Directory directory service, а это потянет за собой смерть security administration, access policies ....Тогда и от Win 2000 ничего не останется, это будет просто NT ver 4. Зачем Микрософт такая морока? Только-только у нее получилась приличная вещь (имеет смысл познакомиться с NT ver 3.5, которая 1994 года рождения - ужас!!!) - и ради чего ее уродовать? Виктор Ангелов.
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
angelov пишет:
_W2K в данном случае не при чем..._
Суета вокруг W2K возникла не потому, что это W2K, и не потому, что в нем крипто реализовано как-то по-другому, нежели в других продуктах, а потому, что в отношении Y2K производитель громогласно заявил о желании поставлять стойкие модули по всему миру. Раньше этот вопрос не возникал, поскольку было другое регулирование экспорта.
_Windows 2000, для целей IPSec encryption, поддерживает 56-bit DES (слабый крипто?) и 3DES (168-bit, сильный крипто?). При чем тут "сильные" и "слабые" длины ключей?_
IPSec с 3DES будет работать в Y2K только если поставить Strong CSP. С Base CSP репертуар алгоритмов защиты сетевого уровня (так же, как и всех остальных) ограничен алгоритмами с длиной ключа 56 бит (симметричный) / 512 бит (ассимметричный).
Там нет "_двух_ групп технологий", о которых вы пишете, там есть масса различных технологий и приложений, и все они работают через механизм CAPI/CSP, и репертуар доступных для конкретной инсталляции алгоритмов/длин ключей ограничен установленным(и) CSP(s).
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
====================================================== Здравствуйте, Максим! Бог с ними, с обещаниями Микрософт - каждая домохозяйка с детства знает, что без разрешения Госдепа США американский производитель серьезно-секретных вещей экспортировать их не может. Мне лично были бы понятны опасения ФАПСИ в отношении сильного крипто, если бы слабое крипто уже было бы прозрачно для этой организации. Неужели там уже свободно "крякают" DES-56? И прочих слабаков? Так, читаем дальше... Максим, в русском языке для выражения какой-либо мысли-идеи-бреда с помощью нескольких предложений принято группировать эти предложения в один абзац, дабы не было соблазна выдергивать одно предложение из общего контекста с дальнейшей целью проанализировать это предложение как самостоятельную единицу. Что входит в мой абзац: "...Windows 2000, для целей IPSec encryption,....(и т.д. см по тексту).При чем тут "сильные" и "слабые" длины ключей? Микрософт в своей новой операционке .... реализовала защищенные end-to-end соединения .... с применением технологий VPN...В этом то суть дела..." Из моего абзаца выдернуто не то что предложение, а два словосочетания - "сильный крипто" и "слабый крипто", и поехали обьяснять, что для поимения сильного нужно устанавливать сильный Service Pack. "Волга впадает в Каспийское море", "Лошади любят овес"... Попробую пояснить свой последний абзац моей реплики. Представьте, для примера, что в некоем городе Турунтаево обьявился Добрый человек, который обещает рассказать секрет вечной жизни 10-ти человекам с правильной бумагой-пропуском. Пусть Добрый человек будет аналогом Web-server, 10 человек- это Клиенты, разбросанные волей Господней по всей России и им же наделенные правильными пропусками (пусть это будет аналог крипто), а роль Интернета играют российские авиалинии. Далее, плохие люди-Редиски, которых Господь обделил "ксивой", решили сильно затруднить богопомазанным Клиентам получить свой сервис у Доброго человека. Зная, что Добрый человек живет в Турунтаево, Редиски заполонили авиарейсы в этот город своими людьми, их же наемники образовали громадные очереди на такси\автобусы из аэропорта "Турунтаево" в город, и к самому Доброму человеку-Web server стоит фальшивая километровая очередь. И посему законным 10 Клиентам получить сервис вряд ли удастся, как и реальным Web-клиентам реального Интернета - жертвам атак DoS (Denial of Service, - flooding computer with bogus threats, killing of user threads, filling up HDD or/and memory). Другое дело было бы, если бы да кабы было бы правило - при продаже билета в Турунтаево требовать оформленный с применением крипто пропуск, и при отсутствии оного - никаких продаж билетов и тем более полетов, а при наличии оного, даже у одного человек - отправлять рейс... Есть основания полагать, что в данном случае степень сильности крипто не играет существенной роли, ибо владелец счастливого пропуска никак не заинтересован демонстрировать его кому-либо, а сам механизм транспортировки пассажира (а-ля Virtual Private Networking) обеспечивает контакт с Добрым человеком только для имеющих на это право, и Редискам - Хакерам надо изобретать что-то эдакое... Идем далее... Далее в ответе на мою реплику идет: "Там нет "_двух _групп технологий" про которую мы, то есть я, пишем, то есть пишу. Кстати, Максим, сколько нас, как Вы думаете? Ведь в русском языке "вы" означает множественное число, в отличие от "Вы"... По теме конкретно - где "там нет"? Что подразумевается под "там"? Если речь идет об icons для домохозяек "Please, select Transport Layer Security, or VPN" в Windows 2000, то в этом "там" этих технологий действительно нет, но нет именно в таком заманчивом виде, сиречь в кнопочном варианте "вали кулем - потом разберем". Вообще-то самый простой способ узнать, что "там" есть и чего нет - это сделать простой запрос, например, "VPN+definition" к элементарной www.altavista.com, и сей сервер вывалит про VPN - начиная от словаря Интернет Сервис-Провайдера (ISP Glossary,
http://isp.webopedia.com/TERM/V/VPN.html) кончая историями типа той, как Микрософт комбинировала технологию Layer 2 Forwarding, created by Cisco Systems, с технологией PPP для получения собственной технологии L2TP, но в конце концов реализовав в Win 2000 стандарт L2TP, утвержденный IETF, Internet Engineering Task Force... А вопрос можно? Что это за " масса различных технологий и приложений", которую, по-Вашему, содержит Win 2000? E=mc*2??? До свиданий,
и пардон за язык,
но -
- с уважением,
Виктор Ангелов.
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
angelov () wrote: 1. Бог с ними, с обещаниями Микрософт - каждая домохозяйка с детства знает, что без разрешения Госдепа США" Бог с ними, но, насколько я понял, обсуждается сегодняшнее положение дел (практически снятые ограничения), заявленная стойкость в продуктах MS и реакция на это заявление со стороны ФАПСИ. Соответствие реализации заявлениям и возможные предположения о тайном сотрудничестве MS с Госдепом (NSA, FBI и т.д.) я бы отделил в отдельный тред и не принимал бы в нем участия: для меня самой закрытости исходников достаточно, чтобы я никогда всем этим не пользовался в серьезных целях. 2. Мне лично были бы понятны опасения ФАПСИ в отношении сильного крипто, если бы слабое крипто уже было бы прозрачно для этой организации. Неужели там уже свободно "крякают" DES-56? И прочих слабаков? Здесь вопрос о степени свободы. Читать трафик, закрытый даже 40-битным шифрованием, в массовом порядке значительно сложнее, чем открытый. Сложнее и для ФАПСИ, и для более богатых их западных коллег. В то же время, на мой взгляд, очевидно, что отдельное сообщение прочитать несложно. Дальше можно только предполагать. 2.1 Возможно, в ФАПСИ хотели бы, чтобы оставалась возможность прочитать любое отдельное сообщение (фрагмент трафика). 2.2. Возможно (более интересный вариант) - чтобы оставалась возможность продемонстрировать нестойкость того или иного решения, или просто сослаться на уже продемонстрированную нестойкость, чтобы навязать пользователю свою продукцию/услуги в ситуации, когда пользователь защищает "чужие" данные. Может быть" Это все - предположения. 3. Из моего абзаца выдернуто не то что предложение, а два словосочетания - "сильный крипто" и "слабый крипто", и поехали обьяснять, что для поимения сильного нужно устанавливать сильный Service Pack. "Волга впадает в Каспийское море", "Лошади любят овес" Т.е. суть абзаца была лишь в том, что SSL/TLS/SMIME "не страшные", а PPTP/L2TP "страшные", потому что" Но я не понимаю, почему. И SSL, и L2TP защищают топологию (в частности) "точка-точка", просто в разных слоях сетевой модели. Помимо всего прочего, технология VPN по PPTP была и в более ранних продуктах MS (W98, NT4), и я не вижу здесь никакого радикального отличия W2K. Что касается предотвращения DoS-атак посредством VPN, то, во-первых, я не понимаю, какое это имеет отношение к разборкам между MS и ФАПСИ. ФАПСИ у нас, что, патентованный организатор DoS-атак? Или крутой поставщик antiDoS средств? До сих пор все отношение ФАПСИ и работающих под ее крышей производителей к DoS-атакам было таким: не используйте IP-сети (столь же правильно, сколь и бесполезно). 4. Попробую пояснить свой последний абзац моей реплики. Другое дело было бы, если бы да кабы было бы правило - при продаже билета в Турунтаево требовать оформленный с применением крипто пропуск, и при отсутствии оного - никаких продаж билетов и тем более полетов, И точка проверки пропусков перемещается в кассы продажи билетов, они и становятся мишенью для атаки. А если даже не становятся, сама необходимость распределенной (касс-то много) проверки пропусков сожрет больше ресурсов, чем любая атака ;) Точно так же, в любой VPN-сети поверх IP шлюз является первой уязвимой точкой для DoS-атак. 5. Что это за " масса различных технологий и приложений", которую, по-Вашему, содержит Win 2000? E=mc*2??? Помимо упомянутых SSL/TLS/SMIME и L2TP, это (в штатной поставке) как минимум NTFS EFS, шифрование паролей" В общем, берем полную установку W2K, отрисовываем дерево вызовов, и видим, сколько программ завязано на модули CAPI. Много. Еще интереснее, что обращения к CAPI содержат ряд приложений-отдельных продуктов от MS. Например, Office2000 в варианте SR1, использует хэш и подпись для проверки "кода авторизации", полученного после регистрации. Ну и т.д. Спасибо.
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
========================================================= Здравствуйте, Максим ! У Вас начало реплик прямо как на митинге: "angelov пишет", "angelov wrote". Остается ожидать "angelov будет писать"...
В общем - "контора пишет...": По существу дела. Мне и в голову не приходило, но теперь то я вижу, что Вы, батенька, даже и держали в руках очень хорошую книгу: "Windows 2000 Server Deployment Planning Guide" Для примера - вот что "там", у Микрософт, есть из "массы различных технологий и приложений" (цитирую из книги): Chapter 17 "Determining Windows 2000 Network Security Strategies".
........
Preparing for Windows 2000 Network Security Technologies. In some cases, Windows 2000 network security technologies are dependent on other Windows 2000 security technologies. For example, the virtual private networking Layer Two Tunneling Protocol (L2TP) uses IPSec to provide security from the remote client to the VPN server. The IPSec security negotiation requires certificates to authorize the connection. Therefore, a certification server is required with the appropriate configuration. Typically, a Windows 2000 certificate server is joined to a domain. The domain specifies Group Policy with public key infrastructure (PKI) settings for computers to auto-enroll in this certificate authority to get a computer certificate for IPSec. L2TP creates the necessary IPSec policy to ensure the L2TP traffic is secure. However, administrators might want to also secure other traffic between all servers and lients. This requires the configuration of IPSec on each client and server. Because IPSec is configured using a policy, after you create the policy in Active Directory", you can apply it to all computers on a group or domain basis. You can deploy certificates and IPSec policy to all domain computers by centralized administration using Group Policy in Active Directory. For more information about planning for the deployment of Windows 2000 certificates, see "Planning Your Public Key Infrastructure" in this book. For more information about Active Directory planning, see "Designing the Active Directory Structure" in this book.
............ Deploying VPNs. If you are planning to deploy VPNs, there are various issues you need to consider, such as: -Which security protocol to use - Point-to-Point Tunneling
Protocol (PPTP) or Layer Two Tunneling Protocol (L2TP). -Whether to use IPSec (if L2TP is selected). -What certificates to use when connecting with L2TP/IPSec. -Where to locate the VPN server - in front of your firewall,
behind it, or beside it. -How to use Connection Manager to give users predefined
settings. -How to use VPNs as part of your remote access policy.
...........
Конец цитирования. Книгу эту, в тыщу страниц, можно поиметь уж как с месяц и бесплатно на:
http://www.microsoft.com/technet/win2000/dguide/home.asp Чем она хороша - обыкновенно у Микрософт слишком большая разница, по точности и актуальности, между "книжной" документацией и Help'ом. Здесь - приятное исключение, и через Windows 2000 Server Help можно получить сведения об употребляемых технологиях не прибегая к трассировке вызовов модулей и манипуляциям "Start Service"\"End Service". Да и отрисовка дерева вызовов чаще всего дает единственный результат: "много". Просто - масса модулей!!! И практически ничего - про технологии... И тогда чаще всего вспоминают, что - "когда ничего не помогает, приходится читать документацию..." До свиданий, Максим. C уважением отваги и бесстрашия,
Виктор Ангелов.
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
angelov() wrote: По существу дела. Мне и в голову не приходило, но теперь то я вижу, что Вы, батенька, даже и держали в руках очень хорошую книгу: "Windows 2000 Server Deployment Planning Guide". Не держал. Мне ее не удосужились прислать, да и непонятно, зачем бы мне ее читать: это же "Руководство по планированию разворачивания"" Я не собираюсь нигде разворачивать W2K Server. Я вообще не специалист по Windows-технологиям, на то у меня (как консультанта) есть свои консультанты. 17-ю главу, впрочем, не то, чтоб "читал", но просмотрел внимательно в свое время, не в связи с интересом к Windows, а в связи с интересом к "защите" и тому, как ее понимает один из производителей софта (точнее, как "впаривает"). Для примера - вот что "там", у Микрософт, есть из "массы различных технологий и приложений" (цитирую из книги): Моя реплика относилась к тому, что на MSCAPI основано много чего, причем отнюдь не только "технологии", которые относятся к сетевым службам. Та же EFS работает локально и использует CAPI. Ну и к чему была эта длинная цитата про сетевые "технологии"? Что, MS будет мне рассказывать на своем идиолекте о том, что такое IPSec или L2TP? У меня, вроде как, спецификации есть" Книгу эту, в тыщу страниц, можно поиметь уж как с месяц и бесплатно на:
http://www.microsoft.com/technet/win2000/dguide/home.asp Я думаю, это - полезная ссылка для всех, кому это надо профессионально или в связи с собственными интересами. Чем она хороша - обыкновенно у Микрософт слишком большая разница, по точности и актуальности, между "книжной" документацией и Help"ом. Чем она плоха - так это обычным для MS "склеиванием" маркетингового и технологического дискурсов. У "специалистов по технологиям Windows", вскормленных на MS-овских доках и книжках аффилиированных авторов, обычно жуткая каша в голове. Причем - даже у настоящих Специалистов, которые знают Windows от и до. Книгу я не читал, но мнение имею; собственно, процитированного отрывка достаточно, чтобы таковое составить. Здесь - приятное исключение, и через Windows 2000 Server Help можно получить сведения об употребляемых технологиях. "Технология" здесь - ничего не значащее слово, поскольку вопрос именно в том, какой модуль к какому обращается. Не факт, что отдокументировано все и отдокументировано корректно. Если - да, то MS можно только поздравить с движением в правильном направлении. Раньше они точностью в таких вопросах не отличались. А в вопросах, цепляющих не только технологические, но и "политические" моменты, предпочитают темнить и сейчас (см. недавнее интервью Дергуновой нам ("Компьютерре", http://www.computerra.ru). Да и отрисовка дерева вызовов чаще всего дает единственный результат: "много". Это смотря кто и чем отрисовывает. Просто - масса модулей!!! И практически ничего - про технологии... Конечно. Поскольку "технология" в устах MS - маркетинговое слово, типа "русского артикля" "@#$". "У нас там технологии, @#$ !". Есть распространенный язык для обсуждения криптографии и ее применений: протоколы и примитивы (алгоритмы). По отношению к примитивам всегда можно задать вопрос: какие примитивы используются в реализации того или иного протокола тем или иным производителем в том или ином продукте. Собственно, все вопросы к Ms про "запрещенные алгоритмы" сводились к вопросам о конкретных примитивах, собранных в конкретные библиотеки. Ответы шли на уровне трепа о "технологиях".
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
===================================================== Здравствуйте, Максим !!! Спорщик Вы еще тот - то утверждаете, что у Микрософт нет двух групп технологий про кои я сдуру заикнулся, а есть - "там есть масса различных технологий и приложений". То есть сами утверждаете, что технологии то вообще-то есть, но они различные. Теперь у Вас - "там" технологии вообще нет, в хорошем смысле этого слова, а для обсуждения криптографии и ее применения достаточно оперировать протоколами и алгоритмами. Согласен с первой частью - для обсуждения криптографии достаточно языка протоколов и алгоритмов, например: - hash алгоритмы MD-5, SHA-1
- cripto алгоритмы DES-56, 3DES-168, IDEA-128, Fortezza,... - протоколы SSL Record,SSL Handshake, SSL Change Cipher Spec, SSl Alert, ... А вот для обсуждения применения криптографии языка алгоритмов и протоколов уже недостаточно, ибо алгоритмы и протоколы - это продукты прикладной математики и кибернетики, а вопросы применения результатов прикладных наук всегда относились к технологии, ибо см. Oxford Dictionary: "technology - knowledge or use of the mechanical arts and applied sciences", лучше и не скажешь, прямо-таки "Hard+Soft", то есть технология - не такое уж и ругательное слово, и относительно вышеперечисленных протоколов и алгоритмов мы можем иметь следующее и вполне удобное: применяем их на LAN - имеем SSL технологию, а применяем их через Интернет - имеем TSL, Transport Layer Security, технологию. А то что это слово "затаскали" в различного рода тусовках и административных "трепах" - ну дык это не удивительно, придите с конкретным вопросом хоть в ЖЭК, хоть в Микрософт, и если на него не хотят или не могут ответить конкретно, то и будут отвечать, вроде бы и по делу (Oh, yes,sec technologies - в MS; да, наша технология генерации пара- лучшая в районе, это в ЖЭКе), а по существу - треп...Да что в Микрософт ходить, вы почитайте проектные документы по СОРМ-2, ведь треп пошибчее будет, не технологического, а протокольного уровня... Что касается настоящих Специалистов по MS Windows, то их нужно определять следующим образом. Пусть кандидаты в настоящие Спецы сдают сертификационные экзамены на MCSE. Потом выбираем тех из них, кто провалил экзамены. Из проваливших экзамены выбираем тех, кто не смог или неправильно (по мнению MS) ответил на вопросы типа: Q32. How many IP addresses can be bound to a single NIC in Windows NT Server? a. five
b. four
c. three
d. two
e. one Q33. Which of the following can resolve the nament.course.com to an IP address, a. DNS server
b. WINS server
c. DHCP server
d. all of the above
e. only a and b Q34. Which of the following steps are required if you want to configure Microsoft Mail for remote access: a. Install Hyper Terminal
b. Install Dial-Up Networking?
c. Install Microsoft Remote Mail?
d. Configure the server on which the postoffice resides После этого смотрим на конкретные ответы провалившихся кандидатов в Спецы и...некоторым присваиваем звание MS Engineer-Спеца. Пора закругляться... Так как же все-таки насчет "технологий"? Ну в хорошем смысле этого слова? Я тут нашел бумагу от MS, хорошую бумагу, всего в 10 страниц, но с более-менее толковым изложением позиций Микрософт по VPN технологиям:
http://www.microsoft.com/technet/win2000/win2ksrv/technote/msppna.asp C уважением к несдающимся,
Виктор Ангелов.
-
Windows 2000 будет поставляться в Россию в усеченном варианте
Здравствуйте! Печальные, конечно, новости. Я имею ввиду "вырезание" стойких криптоалгоритмов из Windows 2000. Однако - есть и чему радоваться. Например, оставляют в Win 2000 поддержку устройств идентификации личности. И уже задерживать кого-нибудь компетентным Органам нужно будет аккуратно - с подбитым глазом Клиента трудно будет получить доступ к его компьютеру- читающее устройство не разберется с сетчаткой и радужной оболочкой заплывшего от синяков глаза. И волновать Клиента нельзя - "вокодер" (см. А. Солженицына) не узнает его изменившийся голос и тоже блокирует компьютер. Но, как и всегда, есть и чему не стоит радоваться - если иголки под ногти будут загонять грамотно и не повредят узоры пальцев, то сканер FingerPrint верно возьмет неповторимый рисунок и первый шаг на пути доступа к компьютеру Клиента будет сделан. Если, конечно, точно известно, что на компе сделана только "пальцевая" идентификация.... Опять же, есть чему и радоваться - в Win 2000 оставляют, как таковые, технологии Transport Layer Security (протоколы SSL, HTTP-Sec, SOCK-Sec) и Virtual Private Networking (протоколы IPSec, PPTP, L2TP), которые, при грамотном употреблении, даже после выкорчевывания из Win 2000 сильного крипто, сильно осложнят выполнение фискальных задач Органов. Для грамотного употребления новой Операционной Системы нужна документация, и ее можно найти и бесплатно "скачать" целиком или по частям-главам с сайта Микрософт:
http://www.microsoft.com/technet/win2000/dguide/home.asp Сей документ (Microsoft Windows2000 Server Resource Kit Deployment Planning Guide) хорош тем, что описывает логику "работы" не только Network Security технологий, но и всех реализованных в Win 2000 технологий, и еще - приведены рекомендации по планированию и проведению установки. Есть там и вещи, отсутствие которых может огорчить организации, озабоченных безопасностью своих сетей, я имею ввиду Windows 2000 Test Lab и 2000 Pilot. А если эти две штуки еще и реально работают, то "ваще" слов нет.... А нижеследующая ссылка - на краткий, в 12 стр, но вполне хороший, обзор по VPN технологиям MS, эту доку лучше промять перед чтением deployment guide:
http://www.microsoft.com/technet/win2000/win2ksrv/technote/msppna.asp C наступающим праздником РККА!!!! Regards,
Victor Angelov
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
РБК, 09.03.2000, Москва 10:59:56. Компания Microsoft, наконец, добилась разрешения на продажу Windows 2000 в Китае. Опасения вызывал тот факт, что новые законы, регулирующие распространение технологий кодирования информации, могут воспрепятствовать выходу Windows 2000 на рынок Китая. Напомним, что эта ОС содержит в себе мощную 128-битную технологию шифрования информации. Теперь же, после урегулирования всех вопросов, названа дата начала продаж Windows 2000 в Китае,- 20 марта.
-
Ольга Дергунова: "Принято решение о вычленении 128-битных алгоритмов"
========================================== Здравствуйте! Начну с цитаты классика: "...Во-вторых, крипто - это крутой хайтек, причем такой, который связан больше с математикой и чистой идеацией, а меньше - с "железными и кремниевыми" технологиями." В 1998-м году (July) одна контора, Elecronic Frontier Foudation, построила нечто, состоящее из PC, прицепленного к массиву специально сконструированных чипов. Эта машина была способна перебирать DES-ключи со скоростью 80 млрд ключей в секунду,и, в среднем за 60 часов, машина находила ключ к тексту, криптованного с помощью DES-56. Аппарат обошелся всего в 250000 "зеленых".... Еще раньше, в 1997-м, RSA Data Security обьявила награду в $10,000 за "кряк" DES-криптованного сообщения. Кооперативными усилиями 14,000 пользователей Интернет, распределив 72,000,000,000,000,000 (72, кажется, квадрильона) возможных вариантов, за 5 месяцев сообщение успешно дешифровали, найдя ключ через пробу "всего" 18 из 72-х квадрильонов ключей... Если попробовать связать сии фактики с историей "вычленения" (слово классно-сексуальное!!!) 128-битных алгоритмов", а также вспомнить, что DES был сделан на IBM еще в 1976-м году, во времена расцвета мощи КГБ СССР, то похоже на то, что КГБ давненько умел "крякать" DES-56, по причине принятия его на вооружение DoD, Department Of Defence U.S., в 1977-м году. Получается - очень даже похоже, интересно бы знать фактически, даже помня про то, что "Будешь много знать - ..."... Однако, дело получается еще более интересным. При внимательном рассмотрении крипто технологий Windows 2000 можно заметить, что 3DES (Triple -DES)алгоритм использует ключ длиной всего в 56 бит, просто алгоритм криптует исходный текст 3 раза с тремя различными ключами... Пусть "вырежут" из Windows 2000 длинные ключи, используемые системой для authentication, ну получит ФСБ "тепленькими" 160 бит of hash, ну получит представление об используемой схеме message digest, а дальше то что? Неужели ФСБ опять "впереди планеты всей" - умеет "крякать" 3DES? Тогда - с почтением к товарищам ученым, доцентам с кандидатами, Виктор Ангелов. ===================
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
Здравствуйте! Что-то увяла наша дискуссия о технологиях в криптографии, эдак многие и вправду могут подумать, что для обсуждения вопросов криптографии вполне достаточно оперировать алгоритмами и протоколами. Попробую еще раз показать, что это - далеко не так. Начну с того, что на сегодняшний день существуют 2 подхода к криптованию данных: a. symmetric or secret-key (private-key) cryptography
b. asymmetric or public-key cryptography a. Симметричная криптография - это технология, в которой для криптования и декриптования (encryption and decryption) используется один и тот же ключ (a secret key\private key). В этой технологии используются стандарты и алгоритмы: Data Encryption Standard (DES)
Triple-DES (3DES)
International Data Encryption Algorithm (IDEA)
Password Usage Сами по себе стандарты и используемые в них алгоритмы весьма хороши, c точки зрения простоты использования и, особенно DES, в скорости работы при реализации алгоритмов ввиде наборов чипов (hardware, в программной реализации IDEA более "проворен" чем DES). То, что DES 1976-ого "года рождения" с его 56-тью битами ключа буржуи научились "крякать" еще два года назад (1998, а КГБ CCCР - возможно и еще раньше - кто знает?), это недостаток, конечно, но главные недостатки всех 4-х вышеперечисленных алгоритмов и стандартов - технологического плана: 1.Единственный ключ, используемый и Отправителем, и Получателем, надо как-то надежно передать через Интернет (key distribution problem);
2.Если кто-то "спер" этот ключ, используемый, скажем, мной и моим другом, то этот "кто-то" может спокойно выступать в переписке от моего имени и мой друг не заподозрит подмены, он ведь уверен, что ключ знают только он и я, и если мой друг успешно декриптовал сообщение, то вроде бы только я один мог его послать (source authentication problem);
3.Этот "кто-то" может перехватить мое платежное поручение банку и поставить свои реквизиты на получение денежных средств (message integrity problem) Приведенных 3-х недостатков вполне достаточно, так думается, чтобы понять - да, в протоколах могут использоваться соответствующие стандарты и алгоритмы, и можно обсуждать их достоинства и недостатки как таковых, но совершенно непрактично в криптографии обходить стороной вопросы применяемых технологий, а посему: b. asymmetric or public-key cryptography - это технология, впервые обнародованная by Diffie and Hellman, и в которой для криптования и декриптования используются разные ключи, конкретно - пара ключей, public key and the private key, и каждый из них может как криптовать, так и декриптовать исходный материал, называемый в криптографии plaintext. Далее, троица из MIT (Rivest, Shamir and Adelman) в 1977-м, через год после рождения DES, изобрела крипто алгоритм (RSA public key algorithm) и технологию его применения (RSA public key cryptography), коротко - RSA, то, что сейчас является стандартом де-факто в Интернете - RSA Internet encryption and authentication technology. Идея MIT'овской троицы, RSA, заключалась в замене единственного DES ключа на пару ключей - public key and a private key. Каждый, и отправитель, и получатель, имеют свою собственную пару (public-private key pair), и свободно дают, кому не лень, свой public key, оберегая в секрете свой private key. В принципе, по технологии обнародованной by Diffie and Hellman, сообщение может быть криптовано любым, public или private, ключом из пары, и декриптовано соотвествующим противоположным ключом из пары.
RSA несколько ограничили сие вольнодумство/вольтерианство - сообщение следует криптовать с использованием public key получателя и тогда оно может быть декриптовано только с использованием private key получателя. Это - то, что называют RSA encryption. RSA криптование позволяет решить первую и третью из проблем безопасности, упомянутых выше (key distribution problem + message integrity problem). Оставшуюся source authentication problem RSA предложили решать следующим образом: сообщение криптуется (is encrypted, locked) с использованием private key отправителя и декриптуется (is decrypted, unlocked) с использованием public key того же отправителя. Это - то, что называют RSA signing. Получается следующая картина - если заменяем DES encryption на RSA signing (а это есть фактически RSA криптоалгоритм + технология применения ключей отправителя), то любой, кто успешно декриптовал мое сообщение, может быть уверен, что оно притопало именно от меня. Далее, я могу использовать RSA encryption (RSA криптоалгоритм + технология использования ключей получателя) для криптования этого же, уже помеченного (RSA-signed) сообщения с использоваием public key получателя, дабы еще и самому быть 100% уверенным, что только желаемый мною получатель сможет прочесть мое сообщение. Все это хорошо, но встает еще одна проблема, и опять же - технологического плана. Дело в том, что RSA алгоритм работает много медленне DES, и это еще при том, что я должен сделать 2 медленные криптографические операции при передаче каждого сообщения - RSA encryption и, отдельно, RSA signing. А сообщение то может быть и большим, скажем, длиной чуть меньше 2^64 бит... И используемые компьютеры - не у всех суперкомпы... Что придумали для решения этой проблемы:
При отправке сообщения, для его криптования использовать временный, свежесгенерированный DES ключ, и использовать его только для передачи этого сообщения. Для другого сообщения - генерируем новый DES ключ, поэтому ключи такого типа называют DES session key. Из самого сообщения делать своего рода "выжимку", "экстракт" сообщения такого свойства - если человек есть аналог сообщения, то "экстракт" (the hash) есть аналог узора на пальцах в смысле уникальности. Имеющиеся hash-алгоритмы (SHA-1, MD-5) позволяют путем спецвычислений делать маленький, скажем 160 бит, "отпечаток пальцев" с большого сообщения, и если отправитель этого сообщения "заверит" (RSA signing) эти 160 бит и отправит их получателю, то будем иметь то, что называют digital signature, или еще можно встретить название - a keyed hash. Приведенных сведений вполне достаточно, чтобы описать технологию применения RSA в случае, например, когда я посылаю сообщение своему другану: Что должен сделать я: 1.сгенерировать DES session key
2.закриптовать мое сообщение, используя этот DES ключ
3.закриптовать этот же ключ, используя RSA encryption, то есть используя public key получателя
4.вычислить hash сообщения
5.подписать (digital signature) полученный hash, используя RSA signing, то есть используя мой private key
6.отправить получателю: DES-криптованное сообщение, раз; RSA-криптованный DES ключ, это два; RSA signed hash, это три. Что должен сделать друг-получатель: 1.Декриптовать полученный и криптованный DES ключ, используя свой private key
2.Декриптовать полученное сообщение, используя этот DES ключ
3.Сделать hash декриптованного сообщения и запомнить его
4.Декриптовать переданный мной hash, используя МОЙ PUBLIC KEY
5.Сравнить запомненный hash c полученным
6.В случае совпадения полученного hash с вычисленным на месте - все в порядке, мин нет!!! Подобные процессы выполняются на любом компе, использующем security options of MS Internet Explorer or Netscape Communicator/Navigator, или на компе, использующем PGP (Pretty Good Privacy) технологию (за разницей - в PGP вместо DES используется 128 битовый IDEA и для частного употребления RSA 512-2048 bits вроде бы не требуется патента), только в качестве друга-получателя будут выступать Web-server или E-mail программа, и за одним существенным дополнением - поскольку в процессе участвуют двое и может обьявиться своего рода самозванец, третий, утверждающий, скажем, что он - это я, то все public keys, участвующие в процессах, принято заверять, сертифицировать (RSA signing), третьей стороной, которой вынуждены доверять все участники обмена. Эта третья сторона называется CA - Certificate Authority (VeriSign, AT&T, US Postal Service, Microsoft, Netscape, ...), и суть ее работы сводится к сертификации (персональных деталей (identity) личности или организации + public key этой identity). При этом используется private key, принадлежащий CA, а сам сертификат называют Digital Certificate. Поэтому и число разновидностей Digital Certificates соответсвует числу типов владельцев public keys: Personal (Client), Server (Site), E-mail and finally CA сертификаты. Легко сделать summary: Public Keys употребляются для криптования посылаемого сообщения, для верификации Digital Signature и authentication отправителя; Private Keys - для декриптования криптованного сообщения и для посылки Digital Signature. Что-то вроде Заключения: Техническую реализацию вышеупомянутых технологий или элементов можно найти практически во всех протоколах (IPSec, L2TP, PPTP), используемых в VPN технологиях MS Windows 2000 для обеспечения безопасности сетевых коммуникаций. Более того, в Windows 2000 предусмотрена возможность "шлепать" собственные сертификаты для клиентов of сервисов этой операционной системы, достаточно только получить "корневой" сертификат от какого-нибудь уважаемого CA - Certificate Authority, и уж потом выступать как CA для своих клиентов.
Я это все к тому, что по крайней мере странно читать заявления некоторых спецов, что выкорчевать серьезную криптографию из Windows 2000 не представляет большого труда, и, что более странно, эти спецы не предлагают свои услуги. Также - удивляет, скажем, простодушное отношение к технологиям вообще и к технологиям Microsoft в частности со стороны моего оппонента по дискуссии. Мой оппонент хотел бы получить от Микрософт списки вызываемых модулей и списки библиотек. И ключ от квартиры, где деньги лежат... Я так думаю, в Микрософт бешено хохотали, получив такой запрос (Oh, those Russians!!!). Я надеюсь, что сие робкое роптание не послужит причиной "вырезания" уважаемым Редактором Либертариума моей реплики из дискуссии, я ведь все таки не "поднялся" до выяснений, у кого "в голове каша"... До свиданий.
Виктор Ангелов. Где можно найти подробности: очень путние словари: http://www.freeswan.org/freeswan_trees/freeswan-1.2/doc/glossary.html
http://www.netarrant.com/comm/support/glossary.htm все, или, как утверждают авторы, почти все о PGP:
http://www.stack.nl/~galactus/remailers/index-pgp.html
http://www.eskimo.com/~joelm/pihelp.html RSA:
http://www.alumni.caltech.edu/~yang/jy_crypto.html Web security:
http://www.microsoft.com/technet/security/web.asp
http://www.securityportal.com/research/www-auth/ Как "крякали" DES:
http://www.eff.org/descracker.html Certificate Overview:
http://www.collegeboard.org/aes/sss/html/docs/overview.htm NetScape Admin Guide:
http://developer.netscape.com/docs/manuals/cms/41/adm_gide/kycrt_in.htm
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
...
Более того, в Windows 2000 предусмотрена возможность "шлепать" собственные сертификаты для клиентов of сервисов этой операционной системы, достаточно только получить "корневой" сертификат от какого-нибудь уважаемого CA - Certificate Authority, и уж потом выступать как CA для своих клиентов
...
А зачем подписывать ключ у уважаемого СA? Это возможный вариант, но не обязательный, тем более что в последнее время я как-то не нахожу у уважаемых СA такую услугу. Единая иерархия CA эта какая-то древняя идея в духе CCITT. Причем идея, imho, очень вредная. А учитывая последнюю моду на кросс-сертификацию возможно через пару лет, вообще останется только один CA, он же самый уважаемый СА--
xtens
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
============================================== Приветствую Вас категорически -один CA останется тогда, когда наступит мировой коммунизм, то есть когда вымрут нотариальные и адвокатские конторы, ибо пока что CAs выполняют в E-commerce вполне аналогичные функции этих контор. "Это возможный вариант,но не обязательный, тем более что в последнее время я как-то не нахожу у уважаемых СA такую услугу." О каком продукте конкретно идет речь? ("не обязательный" вариант - для каких конкретно Сертификационных Серверов?) А "как-то" найти такую услугу у CA - очень просто, особенно если Вы имеете дело с Netscape Certificate Server или MS IIS (в моей реплике, напомню, речь шла о MS): http://www.microsoft.com/TechNet/iis/train9.asp
http://developer.netscape.com/docs/manuals/cms/41/adm_gide/kycrt_in.htm Если не нравятся эти продукты, можно использовать давно проверенный:
http://www.zdnet.com/pcweek/reviews/0414/14xcert.html "Единая иерархия CA" - я не знаю, признаться, что это такое,что это за идея, imho. Много на белом свете идей... Если растолкуете - буду очень признателен,только, пожалуйста, с разьяснением сути и - в чем эта идея "очень вредная" (например, вредная для здоровья или для обсуждения под водку?). Я знаю про употребление "деревянной" структуры CAs при наличии в корне (root) такого CA, который "знает" все кратчайшие пути для кросс-сертификации, дабы не гонять понапрасну по всем инстанциям Клиентов с их сертификатам, полученным у разных CAs. А вообще-то эта "последняя мода", кросс-сертификация, уже лет 5 как последняя... Виктор Ангелов.
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
Здравствуйте, Виктор.
один CA останется тогда, когда наступит мировой коммунизм, то есть когда вымрут нотариальные и адвокатские конторы, ибо пока что CAs выполняют в E-commerce вполне аналогичные функции этих контор
Не совсем так. Я как-то писал в этом форуме, что digital certificate любителю пива должен выдавать клуб любителей пива, девушке на выдане -- брачное агентство и т.д., однако на практике есть Verisign, Thawte и еще пара десятков существенно более мелких CAs, которые явно тяготеют если не к объединению, то к координации [скудного] набора предлагаемых услуг. Фантазии этих CAs хватает на связывание открытого ключа и dns имени сервера или e-mail владельца сертификата. Согласитесь, если бы мы использовали сертификаты в дискуссии на этом форуме, Вам было бы куда интереснее увидеть сертификат изданный каким-либо учебным заведением, подтверждающий профессиональный уровень оппонента, чем верисайновскую гарантию того, что адрес электронной почты собеседника, действительно user@home.
Спектр нотариальных услуг Verisign ограничивается проверкой регистрации организации. Для Y2K такой сервис выглядит как-то убого. И, кстати, про e-commerce. Вернее про то о чем в e-commerce постояннно забывают, по крайней мере в России. Непосредственно о предоставлении "электронных" услуг (всех кто занимается и-коммерцией, почему-то интересуют электронные платежи, т.е. не то как можно предоставлять услуги через Internet, а как получать за это деньги). Я уже где-то здесь писал, что сертификаты, куда интереснее использовать именно при предоставлении услуг через инет. Е-mail от доктора с диагнозом заболевания, приобретет вес, если он подписан цифровой подписью, а ключ, заверен сертификатом какой-либо медицинской ассоциации, и если врач схалтурил, то он будет отвечать за свое письмо, а ассоциация за то что выдала ему сертификат, ну и т.д. Одним словом сертификаторам пока есть куда расти, никакие они не нотариусы и тем более не адвокатские конторы. После приобретения Verisign-ом Network Solutions этот уважаемый CAs можно с полным правом обзывать доменным регистратором, которым видимо он всю жизнь и хотел стать. Про услуги: я хочу подписать сертификат своего CA у Verisign и не нахожу как это сделать, поэтому использую в MS Certificate Sеrvices самоподписанный сертификат для заверения всяких других сертификатов (это же можно было делать и в MS Certificate Sеrver, который поставлялся с NT Option Pack). Впрочем, этот продукт не опрадывает мои ожидания, и на сегодня старый добрый ssleay (openssl) справляется с задачами CA куда лучше, imho. Про иерархию CA: я говорю о том что дерево CAs нарисованное в X.509 в 1988 году, действительно может вырасти, причем в мире будет только одно дерево с корнем в уже упомянутом verisign. Чем это плохо? Да тем, что когда у root-а этого дерева поедет крыша и он, например, решит что в сертификате должен быть обязательный атрибут ICQ UIN всем придется с этим считаться и ставить себе аську. (в этой связи, про скандалы с распределением доменных имен лучше и не вспоминать). Кстати, в младших версиях Internet Explorer и Netscape Navigator нельзя было добавлять сертификаты CAs. Был фиксированный список сертификатов "прошитый" заводом-изготовителем, а сертификаты других authority вызывали у броузеров поток гневных предупреждений. --
xtens
-
ФАПСИ не будет препятствовать началу продаж Windows 2000
================================================= Здравствуйте, Максим!!! Спасибо за подробный ответ. Видимо, я уж слишком в буквальном смысле истолковал Вашу фразу о "Единой иерархии СА", конкретно - слово "единой" я отождествил с "единственной для всех"... В принципе, я согласен с Вашими доводами относительно бедного набора нотариально-адвокатских функций CAs. Однако, в примере с любителем пива - почему "digital certificate
любителю пива должен выдавать клуб любителей пива"? Именно - почему ДОЛЖЕН то? Почему я, как любитель пива, не могу выбрать в качестве СА ту контору, которую считаю нужным или просто она мне нравится ? Например, брачное агенство. Да и вообще я считаю, что пиво надо "сертифицировать" водочкой, а не бумажно\цифровым сертификатом, в том смысле, что любительство пива - это процесс, вся приятность которого заключается в возможности повторения его и завтра, и послезавтра, а сертификат любителя пива - это нечто, фиксирующее заслуги, а какие могут быть у меня заслуги перед моими со-кружниками, со-бутыльниками, если завтра-послезавтра мы соберемся опять и начнем с нуля? А засертифицировать мои анкетные данные (DN of subject, X.509) и Public Key Info я могу и обыкновенным способом... Пардон за задержку с ответом. Have a good weekend!!!
Victor.
-
Эволюция института CA
Давайте разберемся, что такое сертификаты и как их использовать. В самом общем виде получение вами некой заверенной сертификатом информации означает: "<Лицо, знающее секретную информацию А> подтверждает истинность некоего <Утверждения>, сделанного <Лицом, знающим секретную информацию Б>". В качестве <Утверждения> может фигурировать: "<Лицо, знающее секретную информацию Б>, является Васей Пупкиным, паспорт.... выдан..."
"<Лицо, знающее секретную информацию Б>, является гомеопатом с 25-летним стажем" и т.п. Такая структура, если ее желательно использовать для связи с реальным миром (деньги, медицина) предполагает наличие связки на каком-то уровне. В вершине дерева должно стоять типа: "<Лицо, которому можно доверять> подтверждает истинность некоего <Утверждения>, сделанного <Лицом, знающим секретную информацию Б>". При этом природа доверия к <Лицу, которому можно доверять> принципиально должна носить нецифровой (или не тольео цифровой) характер. Начиная от этого утверждения, можно строить цепочки сертфикатов для разных лиц, с учетом особенностей различных Утверждений. В настоящее время роль этих первых утверждений играет факт наличия сертификатов от ряда СА, встроенных в фирменный браузер. Расширение круга этих утверждений делается при получении вами сертификата, которому вы доверяете в силу некой дополнительной информации. Таким образом, эволюция СА может пойти уймой путей. Например, один обязательный официальный СА на страну (юрисдикцию) для выдачи паспортов физ.лицам. И от этого вы не уйдете, пока не изменится природа суверенного права.
-
Казаки-разбойники
-----BEGIN PGP SIGNED MESSAGE----- А вот отклик независимого эксперта, присланный в редакцию Терры Киберплатовским ПиаРом. Его я тоже попросил напечатать: http://www.computerra.ru/2000/20/44.html
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.2
Comment: charset: mswindows-cp1251 iQCVAwUBOUfvlHGCEHWOiJDhAQE9GQP/flQe8lZGu/EQIcgr6pC7fvvZ3dhLK7jc
WxQT6miRlQcaLepvQ6SlBp4cGsbCQ52JAPftYupvP34LYD1ijG3AoO3NTLWQb6Z3
KOXbHqhMBcIpGg25YJHwslv6rBG6Suwl+9E9A62upE/tbrtfrhWOB7vS96Wd2z/E
otuHKJ/vgvA=
=cVkj
-----END PGP SIGNATURE-----
-
Проект Закона"Об электронной цифровой подписи" (Версия от 15.05.2000г.)
Интересно как будет решаться вопрос с лицензированием? Если центр обязан любому лицу дать возможность удостовериться в принадлежности открытого ключа ЭЦП, (в том числе) с использованием общедоступных информационных каналов - то это практически попадает под статью лицензии телематических служб - обеспечение доступа к справочно-информационным ресурсам. Эту лицензию выдает Минсвязи (Гостелеком).
Кто установит границу между лицензией на телематику и ЭЦП? Или придется получать обе?
-
Проект Закона"Об электронной цифровой подписи" (Версия от 15.05.2000г.)
> Интересно как будет решаться вопрос с лицензированием?
И опять это лицензирование!
См. реплику cmw:18842
По-моему, есть шанс обратившись в Конституционный суд закончить эту тему навсегда. Или нет?
-
C помощью обычного ноутбука и специальной программы можно прослушивать чьи угодно разговоры прямо из уличной телефонной будки
Читал, читал, смотрел,смотрел ну думаю дайкось выскажусь, а то очень все здесь похоже на сериал "Улицы разбитых фонарей" с одной стороны и на "Матрицу" с другой. А какой антураж - у врага отбита дискета, найден модифицированный модем и т.д.
1.Системыудаленного мониторинга электронныъх АТС давно известны, их можно перепрограммировать и управлять ими с помощью обычного а не "модифицированного" модема.
2. Можно в принципе и снимать информацию, для этого нужно только уметь выделять сигналы сигнализации (все протоколы описаны) и переводить цифру в звук. Часть информации можно получать например через блок тарификации - как то направленгие звонка, длительность соединений, сценарий звонка и т.д.
3. Фактически речь идет не о гениальности хакера, а о том, что кто то получил доступ к внутренней информации провайдера и производителя (коды програмиирования, способ управления станцией и т.д.)
4. Достаточно большому (если не подавляющему) количеству граждан все это не грозит, хотелось бы посмотреть как "модифицированный" модем и "дискета" попробуют управлять декадно-шаговой станцией. С Уважением Wolf
-
Проект Закона"Об электронной цифровой подписи" (Версия от 15.05.2000г.)
Лицензирование в условиях России - это монополизация рынка, переделы сфер влияния и денежных потоков заведомо нерыночными и некорректными способом. Россия к собственному бизнесу относится по схеме "умного" зятя - вырву себе глаз, пускай у тещи будет зять кривой. Как это в "Кин-дза-дза" Гедеван Александрович сказал: "Вы самые умные, да? Вы сами догадались, или Вам кто-то сказал?". Это к тому, что институт лицензирования далеко не гарантирует качества и новизны продукта, а насчет доверия государству в России сейчас при ходится очень сильно сомневаться. Тогда какую задачу решает введение института лицензирования?
-
Проект Закона"Об электронной цифровой подписи" (Версия от 15.05.2000г.)
> Тогда какую задачу решает
> введение института лицензирования?
Я с упорством Катона старшего буду повторять: Ceterum censeo licentium esse delendam :)
И отсылать на http://www.libertarium.ru/libertarium/18842
Государственные мужи привыкли, что все управляется государством. Они и в бреду не могут помыслить о том, что может быть как-то иначе. И непрерывно вводят лицензирование всего и вся.
Возражения о том, что в Америках и прочих заграницах то же самое (в США водительские права тоже лицензией называются, например), -- не принимаются. У них другие конституции, у нас -- такая. Которая запрещает любые ограничения незапрещенной экономической деятельности.
В данном случае (в проекте Закона "Об электронной цифровой подписи") нужно исключить любые упоминания о лицензировании, ввести полную свободу организации Центров. Единственная возможность для Государства -- необязательная сертификация этих Центров, с обязательной ответственностью за это. Но эта возможность отнюдь не запрещает существование независимых, не сертифицированных Центров. Решать кому доверять, а кому нет -- дело личное. В случае судебных разбирательств, к деятельности сертифицированных Центров будет просто больше доверия со стороны суда.
А то, что институт лицензирования ничего не гарантирует...
Так он и не должен. Это же просто платная и тягомотная передача непринадлежащих Государству прав частному лицу (и карание всех остальных), и прекрасная возможность для коррупции.
-
C помощью обычного ноутбука и специальной программы можно прослушивать чьи угодно разговоры прямо из уличной телефонной будки
Медвежья жуть!
Интересно, DAMPS они тоже исхитрились прослушивать?
-
C помощью обычного ноутбука и специальной программы можно прослушивать чьи угодно разговоры прямо из уличной телефонной будки
Из статьи: "Имя и внешность задержанного, а также описание его ноу-хау, засекречены"
Из книги Клиффорда Столла "Яйцо кукушки": "Я подозреваю, что за занавесой секретности они ничего не делали" (о спецслужбах США)
Сравните...
Даже если все сказанное -- чистая правда (а я сомневаюсь, здесь спецслужбисты очень похожи на рыбаков, уж очень прихвастнуть любят и запугать величиной напавшей "акулы"), то не думаю, что они начнут кампанию по переоборудованию АТС, скорее будут требовать денег на слежку за потенциальными "нарушителями"... И все под грифом "Совершенно секретно".
-
C помощью обычного ноутбука и специальной программы можно прослушивать чьи угодно разговоры прямо из уличной телефонной будки
А более подобно написать ?
-
О мерах по соблюдению законности в области разработки, производстава, реализации и эксплауатации шифровальных средств, а также предоставления услуг в области шифрования информации
Что за Ч У Ш Ь. В пункте 4.
А какова ответственность "физического лица",
если оно "эксплуатирует средства сильной криптографии,
не имеющие сертификата ФАПСИ"?
И вообще, как можно доказать, что я использую вообще
средство криптографии, а не просто посылаю всякую
абракадабру по сети. Ну хобби у меня такое, ну и что?
-
О мерах по соблюдению законности в области разработки, производстава, реализации и эксплауатации шифровальных средств, а также предоставления услуг в области шифрования информации
аноним,
16.11.2000 в ответ на:
комментарий
(анонимный, 25.08.2000)
В ответ на предыдущую реплику:
Читать надо внимательнее. Сертификат тут не причем. Речь идет о лицензии, то есть РАЗРЕШЕНИИ. В Вашем случае - на эксплуатацию СКЗИ.
Доказать использование криптосредств, конечно, сложно, но можно.
На сколько можно судить вы собираетесь или уже используете что-то типа PGP, поскольку он халявный. Используйте на здоровье, он все равно дырявый:-))) А лучше не забивайте себе голову ерундой. Ваша личная переписка набок никому не нужна. Ежели же СКЗИ нужны Вам для работы то купите нормальное ПО у солидного производителя (оно хоть и дорогое, зато надежное) сообщите об этом куда следует, получите бумажку и шифруйте хоть порнуху от начальства. А PGP выкиньте на помойку, где ему и место.
-
О мерах по соблюдению законности в области разработки, производстава, реализации и эксплауатации шифровальных средств, а также предоставления услуг в области шифрования информации
> Читать надо внимательнее.
Странно, что находятся люди, которым все ясно и понятно :) > Ваша личная переписка набок никому не нужна
Очень оптимистическое утверждение. А вдруг нужна? И вообще это не дискуссионный вопрос, это просто не должно обсуждаться (в приличном обществе, по крайней мере). > Ежели же СКЗИ нужны Вам для работы то купите нормальное ПО у солидного производителя (оно хоть и дорогое, зато надежное) сообщите об этом куда следует, получите бумажку и шифруйте хоть порнуху от начальства.
Дорогое отнюдь не означает надежное. Это -- первое. А второе, -- недостаточно "сообщить куда надо". Надо еще пройти тягомотную процедуру и заплатить. Только вот за что заплатить? Вот в чем вопрос...
В нормальном государстве агентство "Правительственной связи и информации" занимается Правительственной связью и информацией (там, кстати, проблем "выше крыши") и не лезет в гражданский мир с благородной целью "не пущать", и обирать, заодно. > Используйте [PGP] на здоровье, он все равно дырявый
Господи! Как много развелось экспертов в стойкости криптосистем! Не поделитесь ли Вашим криптоанализом?
-
О мерах по соблюдению законности в области разработки, производстава, реализации и эксплауатации шифровальных средств, а также предоставления услуг в области шифрования информации
Специалисты по крипто и праву, подскажите! Использовались ли в практике работы с PGP в России отсылки (в договорах, регламентах и т.п.) к какой-либо третьей стороне как к эксперту, третейскому судье и т.п? Кто в России может согласиться выступать как такой эксперт при судебных спорах по PGP? Какая-нибудь фирма, биржа, ассоциация? Есть ли потребность в создании такой инстанции, например, в виде третейского суда, специализирующегося на этой проблематике?
-
О мерах по соблюдению законности в области разработки, производстава, реализации и эксплауатации шифровальных средств, а также предоставления услуг в области шифрования информации
> Использовались ли в практике работы с PGP в России отсылки (в договорах, регламентах и т.п.) к какой-либо третьей стороне как к эксперту, третейскому судье и т.п?
Обычной практикой составления юридических документов гражданского права является написание простой отсылки, типа: "споры Сторон разрешаются в соответствии с действующим законодательством" :(
Мое общение с юристами (и более -- с составленными ими документами) привело меня к убеждению, что в стране практически отсутствует юридическое образование. По крайней мере, я еще не видел ни одного договора, который можно было бы с чистой совестью назвать "Юридически Грамотным Документом" -- логическим, непротиворечивым, без недомолвок и дырок, четко и однозначно описывающим процесс претворения договора в жизнь. Так что я буду приятно удивлен, если кто-нибудь поведает о такой практике, о которой Вы спросили.
На счет третейского суда: а что это такое? Я имею в виду в реальности, "по жизни". Иных примеров, кроме как "третейского суда" уголовного авторитета, мне что-то ничего в голову не приходит :) Постановления и обычных судов зачастую не выполняются, а уж о добровольном самоограничении и речи не идет.
Если российские Стороны доводят дело до конфликта, то тут не поможет ни эксперт, ни третейский суд... В случае с одним моим знакомым не помог даже "наезд" бандитов с пулеметами :)
Извиняюсь, что немного не по теме...
-
О мерах по соблюдению законности в области разработки, производстава, реализации и эксплауатации шифровальных средств, а также предоставления услуг в области шифрования информации
В некоторых отраслях в России, как ни странно, существет нормальный третейский суд. Например, на рынке ценных бумаг. Суд при бирже может отключить от биржи, что означает конец бизнеса, так что решения исполняются (после всех аппеляций и протестов, конечно). Вообще бандиты сейчас скорее играют роль энфорсмента, а не суда. По крайней мере, в среднем бизнесе. Разбираются по договору да по закону. А решения в силу приводят уже по понятиям.
-
Каким быть новому стандарту шифрования?
Неоднократно слушал об ошибках в действующем ГОСТ-е.
Очень нужно (для работы) точное их описание.
Никто не даст ссылку?
Для общей пользы, однако.
-
Каким быть новому стандарту шифрования?
Напишите на e-mail [email protected]
я вышлю файл. Алексей Волчков
-
Проект федерального закона "Об электронной цифровой подписи"
Сказать, что проект разработан в духе международных аналогов, это легко.
А на самом деле, лучше их прочитать: например Немецкий проект, соответствующей Директиве http://www.kuner.com/data/sig/sig_august_16.html
-
Проект федерального закона "Об электронной цифровой подписи"
Очень достойный законопроект - к его написанию не приложили руку люди из ФАПСИ и КГБшных компьютерных фирм!
Однако до ЭЦП в России еще далеко как до Луны - мы не в Голландии и не в Америке ( а там тоже проблем еще масса)!!
Люди!!! идите в www.europki.org в www.terena.nl/projects/pki и не хлебайте лаптем digital signature und PKI/CA!!!!
-
Проект федерального закона "Об электронной цифровой подписи"
Очень нужный и важный закон. Еще в 1999 году я вывешивал на своем сайте предложения по организации сетевого нотариата и сетевого арбитража (http://www.crosswinds.net/~legaladviser/netnotariat.htm и http://www.crosswinds.net/~legaladviser/netarbitr.htm)
В дополнение к настоящему законопроекту предлагаю внести изменения и дополнения в Основы законодательства о нотариате, поскольку они совершенно не предусматривают какой-либо возможности использования ЭЦП, а также в ФЗ "О государственной регистрации прав на недвижимое имущество и сделок с ним". В настоящее время именно учреждения по регистрации прав на недвижимое имущество, с одной стороны, наиболее подготовлены к использованию ЭЦП (в силу своей компьютеризованности), а с другой стороны, именно для них ЭЦП будет наиболее востребована, т.к. это позволит сократить штат сотрудников, занимающихся ненужной механической работой и ускорить процедуру регистрации.
Очень прошу рассмотреть мое предложение по этому вопросу.
При необходимости могу подготовить необходимое заключение (я работаю юристом в агентстве недвижимости СПб).
С уважением, Р.Н.Юрьев (Егоров),
[email protected]
-
Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках cоответствия
А где средства для защиты от копирования печатных документов
-
Проект федерального закона "Об электронной цифровой подписи"
Очень удачный проект закона, хочется выразить признательность разработчикам. Не заметил каких-либо внутренних противоречий. При этом закон открывает широкие возможности повсеместному применению ЭЦП без дополнительных тормозов в виде необходимости лицензирования и сертификации всего подряд. Несколько моментов: Стоит добавить в текст право владельца закрытого ключа получать/иметь сертификаты соответствующего открытого ключа от нескольких Центров сертификации одновременно. Возможно, это право имеется "по умолчанию"? Куда-то пропали совсем статьи 7, 12, 13, 14, 22. Надо бы уточнить нумерацию. Статья 21, пункт 3. Стоило бы обусловить ответственность владельца закрытого ключа за несанкционированный доступ к ключу тем, что а) закрытый ключ не был скомпрометирован на момент получения документа пользователем открытого ключа, и б) Центр сертификации выполнил свои функции в соответствии с Законом. Если же пользователь открытого ключа не убедился в его действительности, то сам и виноват. А если Центр не отработал - то владелец секретного ключа тоже невиновен. Андрей Язев, "Петербургский Межбанковский Финансовый Дом"
[email protected]
-
Проект федерального закона "Об электронной цифровой подписи"
Четверка. Но с большим жирным минусом. Есть предположение, что в текст под конец вписали ряд параграфов, которые старательно и долго из него вычеркивали, причем еще и вляпали кучу "багов".
[4].2 Пользователь информационной системы может быть обладателем любого количества электронных цифровых подписей,
Правда?
[5.]2 При создании ключей ЭЦП для использования в информационной системе общего пользования должны применяться только сертифицированные средства ЭЦП. Возмещение убытков и вреда, возникших в связи с созданием ключей ЭЦП несертифицированными средствами ЭЦП, может быть возложено на создателей и распространителей таких ключей."
Это не юридический язык, это из устава пионерской организации: "Юный пионер должен быть верен делу Ленина, слушаться старших и собирать металлолом. Если вместе с металлоломом он прихватит стабилизатор от ракеты с секретного завода, пусть пеняет на себя".
Если есть желание различить использование "сертифицированного" и "несертифицированного", нужно а) указать, что есть "убытки и вред" (а также "порча"?), возникающие "в связи с созданием ключей" (формулировка крайне расплывчатая), и б) показать распределение ответственности как в одном ("сертифицированном"), так и в другом ("несертифицированном") варианте. Пока получается, что если "средство ЭЦП" "сертифицировано" (произнесено заклятье), то за "убытки и вред" (порчу) отвечает непонятно кто и, вроде бы, никто не отвечает. Я надеюсь, законотворец не имеет это в виду?
[8].1 [...] Указанная организация при оформлении лицензии должна представить обоснование своей способности нести гражданскую ответственность в размере, не менее чем в 1 тысячу раз превышающем максимальный предел цены сделки, который данный центр может указывать в сертификате ключа подписи.
Правда? А если "цена сделки" (whatever it means) не указана? А если сертификаты, выдаваемые "указанной организацией" не предназначены для заверения ключей, используемых при заключении сделок?
12. [...] Обладатель электронной цифровой подписи обязан: не использовать для электронной цифровой подписи открытые и закрытые ключи, если ему известно, что эти ключи где-либо используются или использовались ранее.
Ась? А это наверняка списано с инструкции по пользованию туалетом в одном уважаемом ведомстве из пяти букв: "Пользователь туалета обязан: не использовать туалетную бумагу, если ему известно, что эта бумага кем-либо использовалась ранее". Что сие означает, понять трудно.
[17.]1. Если корпоративная информационная система доступна для пользователей информационной системы общего пользования или корпоративная информационная система предоставляет своим пользователям доступ в информационную систему общего пользования, она должна соответствовать требованиям, установленным настоящим Федеральным законом для систем общего пользования.
Сия сентенция в свете современных технологических реалий бессмысленна. "Корпоративная" система может быть построена поверх "публичной", не теряя своей "корпоративной" чести, а "публичная" может шлюзоваться в "корпоративную", также не лишая ее "корпоративной" невинности.
Различие, которое законотворец пытается провести, должно определяться в юридико-организационном (регламентация отношений), а не в техническом (возможность "доступа") аспекте. А именно, если есть договор или иное частноправовое соглашение, охватывающее всех участников — система "закрытая", "корпоративная", "ассоциативная", "клубная"; если такового нет, и отношения регулируются или конфликты разрешаются исключительно на публичноправовых основаниях, систему надлежит признать "открытой", "публичной" и т.п. ...Поторопился. Все-таки, тройка. Хотели, как лучше, а получилось, как у Черномырдина :(
-
Проект федерального закона "Об электронной цифровой подписи"
Вобщем, этот законопроект не представляет собой чего-то сверх нового. Интерес вызывает следующее - смогут ли государственные структуры обеспечить должное функционирование цетров доверия (Certification Authority)? Не ясно, какие технические требования должны быть соблюдены. Даже нет ссылок на гостехкомиссию. В статье N5 есть замечание, по поводу использования несертифицированных средств, и в случае каких-либо проблем с этими средствами, ответственность (естественно, материальную) несут изготовители данных средств. Возникает вопрос, а несут ли ответственность изготовители сертифицированных средств? Исходя из положений суровой Российиской действительности, есть сомнения в том, что сертифицированный изготовитель будет отвечать перед законом.
Лицензирование и сертифицирование в сфере высоких технологий и тем более криптографических средств наталкивается на огромное количество разнобразных препонов. Следует отметить, что сертифицированием криптографических продуктов занимается ФАПСИ. Не секрет, что в этих продуктах есть "дырка" для спецслужб.
Наилучшим выходом из этой проблемы является предоставление на всеобщее обозрение исходных кодов ПО центров сертификации и клиентской части. Только к таким продуктам может быть оказано доверие.
А в общем и целом, закон нужный и важный.
-
Сертификация и лицензирование крипто-продуктов open source
Давно пора сертифицировать открытые продукты для использования в гос.учреждениях в том числе. Ибо это явная экономия бюджетных денег - денег налогоплательщиков.
-
Сертификация и лицензирование крипто-продуктов open source
> Давно пора сертифицировать открытые продукты
> для использования в гос.учреждениях в том числе.
> Ибо это явная экономия бюджетных денег...
Я что-то не понял: речь идет только о криптографических продуктах или обо всех программах open source?
Потому что сертификация -- проверка третьими лицами соответствия чего-либо каким-либо известным требованиям, так вот сертификация всего программного обеспечения даже для государственных учреждений как-то непонятна...
-
Сертификация и лицензирование крипто-продуктов open source
Речь идет о сертификации open source крипто-продуктов, таких как OpenSSH, GnuPG, OpenSSL, средства криптования файловых систем в свободных ОС etc. Даже о криптовании паролей. Производитель этих продуктов, как правило, -- не фирма. И в любом случае он не имеет никакого желания даже читать правила лицензирования своей деятельности в России. С другой стороны, в силу открытости текстов и легальной возможности модификации нет никаких препятствий для проведения любых испытаний и оценки специалистами этих продуктов. Замечу, что разработка GnuPG ( http://www.gnupg.org/) спонсируется Министерством экономики и технологий Германии.
|
