Комментарии (0)
-
Официальный сайт ЕЖЕ
Приветствую. Как все-таки приятно быть первым высказавшимся. Однако, речь поведу о серьезном. ЕЖЕдвижение существует так долго, что корни его ушли во тьму догигабайтных винтов, его задачи и цели похоже полностью совпали с желаниями постояльцев (участников ЕЖЕ). Но, уже сейчас ясно, что тот запас возможностей, которыми располагала идея буквально в эти дни оказывается исчерпанным или слабореализуемым. Элитная тусовка, ЕЖЕлист будоражится в основном вопросами "знатности рода" и "скандалами Рунета". Действительно серьезные вопросы поднимаются редко. Правда, создание Академии слегка подхлестнуло этот процесс, но весьма ненадолго. Прискорбно, но факт, что удрученные флеймом участники ЕЖЕлиста все чаще отписываются от него. ЕЖЕправда, как полуофициальный орган ЕЖЕдвижения недавно изменил внешний вид, но не изменил сути, опять же подрастеряв некоторых участников, переставших анонсировать свои материалы в Голую ЕЖЕправду. На мой взгляд, ей не хватает аналитических материалов по Рунету, собственных обзоров и редакционных статей. Т.е. нужно расширять зону действия ЕЖЕправды, а не сужать ее неоднозначным дизайном. Т.е. из "ленивого" самопостящегося скрипта ее-таки надо превращать в СМИ. Одно радует сильно. Список проектов ЕЖЕ постоянно пополняется, а в последнее время - весьма часто. Этот процесс нужно поддерживать всячески. ЕЖЕ будет жить долго, но есть два пути. 1) Жить, развиваясь. 2) Жить, загибаясь. Мне кажется, что 1-й путь предпочтительнее :) Поправьте меня, если я не прав, но помните, что критикующий должен все-таки что-то предлагать, иначе это - бессмысленные мудрствования (сиречь - флейм).
-
Стена Ежековская
еже.ру интересен в большей своей части лишь своим же участникам. То есть нет практически никакого контакта с публикой. И этот вопрос надо срочно решать. Чем я сейчас с Шиловым и занимаюсь - http://www.ezhe.ru/police. Именно этот проект послужит мощным толчком к разрушению "стены" между ЕЖЕ.ру и своими недолговечными (пока) посетителями.
-
Официальный сайт ЕЖЕ
Лично я, испытывая уважение и симпатию к ЕЖЕпроекту в целом, и к большинству его участников в частности, долгое время сожалел, что ЕЖЕдвижение не реализует и 1/10-й своего потенциала. Однако в последнее время меня убедили, - наоборот, хорошо, что не реализует. Ибо пока это, фактически, профсоюз, объединяющий людей по вполне формальному признаку - периодичности обновления своего сайта. Но чем больше будут реализовываться возможности, заложенные в этом проекте, тем больше профсоюз будет превращаться в партию. Причем партию-монополиста, ибо пока в Рунете нет какой-либо другой, альтернативной партии. И тогда ЕЖЕдвижение при каких-то обстоятельствах может быть, например, использовано для достижения неких целей, для борьбы с инакомыслящими, для травли неугодных. Невозможно? Увы, в истории "офф-лайна" немало подобных примеров. Эффективные механизмы захватывания власти давно уже отработаны: объявить себя и своих сторонников "беленькими", а противников "черненькими", подкрепить это раздчей благ (земли ли, постов, чинов, акций, мантий...) сторонникам и колеблющимся, - и дело сделано... Так что пусть себе "элитная тусовка" занимается "пузомерством", - главное, чтобы она не переходила той черты, которая отделяет "собрание коллег" - от "авангарда интернет-пролетариев", "передового отряда рабочего класса" (компьютерщиков), сплотившихся под каким-либо флагом ради реализации неких, пусть даже кажущихся великими, идей. Николай Ефремов
-
Официальный сайт ЕЖЕ
Николай, а Вам не кажется, что в Ваших словах звучит больше обиды на ЕЖЕ, нежели конструктивизма? Более надуманного предположения, чем то, что ЕЖЕ может превратиться в партию, я еще ни от кого не слышал. Как Вы себе это представляете? Кто может манипулировать (использовать) очень даже независимыми ЕЖЕками? Кроме того, нетерпимость к давлению на принципы почти все участники совсем недавно продемонстрировали. Хм... Вам ли не знать. Ворошилов Игорь
-
Официальный сайт ЕЖЕ
Николай, сначала нужно развести значения упомянутых Вами слов: профсоюз и партия. На мой взгляд, ЕЖЕ ни в коей мере не является ни профсоюзом (картель работовзятелей для набивания себе цены у работодателей), ни партией (организацией, мечтающей захватить власть в обществе). ЕЖЕ является классической саморегулируемой организацией. Подробности -- в моей статье "ЕЖЕ -- одна из первых саморегулируемых организаций в Рунете". Если что будет непонятно, то можно обратиться к разделу Московского Либертариума "Саморегулирование и контрактные юрисдикции". А пока могу констатировать, что Вы глубоко не правы...
-
Ответ на реплику
Sorry, Игорь, но во-первых, никакой обиды на ЕЖЕ у меня нет - повторю, что испытываю уважение и симпатию к ЕЖЕпроекту в целом, и к большинству его участников в частности; во-вторых, никаких предположений я не делал - а высказал свое мнение, что пузомерство - безобидное занятие. А не безобидным, IMHO, было бы превращение ЕЖЕдвижения в партию - и не потому, что это будет плохая партия, а потому, что это будет - партия-монополист ; в-третьих, при чем тут конструктивизм? Я вовсе не собираюсь использовать Либертариум для того, чтобы доносить какие-либо свои мнения или предложения до членов ЕЖЕдвижения - для этого есть ЕЖЕлист. Я лишь высказал теоретическое мнение, что кроме тех вариантов, которые назвали Вы - 1) Жить, развиваясь; 2) Жить, загибаясь, - есть еще и третий: просто жить. И он вовсе не самый плохой :))) С уважением к Вам и читателям - Николай Ефремов
-
Ответ на реплику
Николай, должен разочаровать: если ЕЖЕ будет развиваться в партию, то партия-монополист не сможет получиться. Во-первых, нужно еще понять, где этой партии брать власть. Пока такой территории не обнаружилось. Во-вторых, найдется много желающих создать альтернативные партии. Уже сейчас в Рунете можно найти много желающих порулить -- и пораздавать доменные имена, и поставить свою цензуру на сайты и еще много всякого разного. Поглядите на "Саморегулирование в Рунете". Этот список я на днях сильно дополню... И все-таки, Николай, если хотите говорить теоретически, то будьте внимательны к словам, и употребляйте их по-возможности не метафорически. Не нужно оценок, пишите суждения.
-
ЕЖЕ – одна из первых саморегулируемых организаций в Рунете
Браво! Анатолий, это, пожалуй, самое полное и вместе с тем краткое описание ЕЖЕдвижения, которое я когда либо встречал в Сети. Ворошилов Игорь (ака Шилов)
-
Основные положения устава Российской криптологической ассоциации
Несколько вопросов и предложений к уважаемому Президенту и членам Совета директоров РКА по документу "Основные положения устава Российской криптологической ассоциации." 1. Я предлагаю придать документу статус "Проекта устава..." и предложить его на обсуждение участникам РКА. Кроме того, вероятно, следует определить срок, до которого принимаются предложения по доработке устава, иначе процесс будет бесконечным. 2. п.II.2 ..._на основе соблюдения интересов отечественных производителей, разработчиков и поставщиков современных информационных, телекоммуникационных и криптографических решений_. Давайте определимся чего, все же, мы хотим: чтобы не было богатых или чтобы не было бедных? Я не имею ничего против отечественного производителя, но считаю, что этот пункт делает РКА промышленной ассоциацией, защищающей, прежде всего, интересы криптологов и программистов, а не пользователей крипторешений. В какой-то части, интересы производителей и пользователей будут совпадать, в какой-то они совпадать не будут. Мне интересно мнение руководителей РКА. Как по вашему: развитие отрасли сможет сформировать спрос на криптографию или же для развития крипто сначала необходимо обеспечить востребованность решений, а затем развивать производство решений удовлетворяющих этим требованиям?
-
Основные положения устава Российской криптологической ассоциации
1. Замечания Cмирнова мне кажутся правильными и глубокими. И, конечно же, все, что Вика сюда кладет, имеет статус неофициально публикуемых проектов. Насколько я понимаю смысл состоявшегося на РусКрипто'99 обсуждения, обсуждаться все это может на собрании Ассоциации на РусКрипто'2000 в начале февраля. 2. По поводу trade ass'n - тоже правильно, и на мой взгляд, это основная угроза проекту РК(К)А. У нас уже есть как минимум три организации, создававшиеся как широкие ассоциации, но превратившиеся по сути дела в узкие группы производителей: "Конфидент", "СМЕРШ/Спаймаркет" и Академия Криптографии ;) 3. Вроде бы, на упомянутом обсуждении было предложено добавить в число целей/задач защиту/представление интересов российских/русскоязычных потребителей крипто, и консенсуально принято. Я думаю, что это не попало в публикуемые проекты по чисто техническим причинам
-
Декларация Президента РКА
Приветствую глубоноуважаемого госп. Волчкова с назначением на эту высокую должность!!! Есть, правда, единственное, но настойчивое пожелание - РКА не должна остаться пустым звуком. С чего начать ? Это мы еще по истории КПСС учили - с информационного обеспечения. Любого - печатного, непечатного, цензурного или виртуального. Надеюсь, энтузазизма госп. президенту хватит. Чем можем - поможем. Фронтовые товарищи из ЭЛиПСа.
-
Основные положения устава Российской криптологической ассоциации
Все документы, которые я выкладываю, имеют официальный статус. Если обратили внимание, название данного документа "Основные положения устава...", а не "Устав..." или "Проект устава...". Данный документ (Основные положения Устава...) будет доработан на совете директоров РКА 11 января 2000г. и станет проектом Устава. Пока идут активные консультации по его содержанию. Устав будет принят на Учредительном собрании в феврале 2000 года. На Учредительном собрании будут возможны минимальные изменения -- основное обсуждение идет сейчас, в частности, в дискуссии в Московском Либертариуме (это сейчас де-факто официальный сайт будущей РКА).
-
Замечания и предложения к "Основным положениям..." и "Декларации..."
"Дельта" между произносившимся на оргсобрании и опубликованными документами весьма существенна; возможно, именно это заставило Левенчука высказаться со стороны в том смысле, что наблюдается движение в сторону trade ass"а.
Не имея ничего против trade ass"ов (в данном контексте), я все же понял исходный замысел и настроения публики несколько по-другому: в смысле движения к научно-инженерному обществу. Два дня я задумчиво читал тексты и слушал пленку, и вот какие замечания и предложения у меня накопились. Прошу обсудить.
. . .
>I. Общие положения
>Российская Криптологическая Ассоциация (далее РКА) является негосударственной некоммерческой организацией.
1. Название. А) Мне очень понравилась идея с аббревиатурой РККА. Б) При обсуждении звучало "криптологическая". Предлагаю: "Российская криптологическая и криптографическая ассоциация".
2. Формулировка. Предлагаю "забить" принцип индивидуального членства прямо в общие положения.
Итого. Предлагаю формулировку: Российская криптологическая и криптографическая ассоциация (далее РККА) является негосударственной некоммерческой организацией с индивидуальным членством.
>II. Цели и задачи
>1. Всемерное способствование развитию в России открытой криптографии и смежных с нею наук.
3. Слово "способствование" не кажется благозвучным.
4. Из текста, "сползло" вниз все, что связано с популяризацией и выпало все, связанное с интересами пользователей.
Итого. Предлагаю формулировку:Содействие развитию, в России криптографии и криптологии, популяризации и широкому применению достижений этих и смежных с ними научных и инженерных дисциплин.
>2. Интеграция России в единое информационное пространство на основе соблюдения интересов отечественных производителей, разработчиков и поставщиков современных информационных, телекоммуникационных и криптографических решений.
5. Формулировка. Непонятно, что куда интегрируется.
6. Опять-таки выпали интересы пользователей (корпораций и лиц), о которых так долго говорили"
Итого. Предлагаю формулировку:Содействие вхождению российских граждан, предприятий и организаций в глобальное информационное пространство при защите интересов российских пользователей, исследователей, разработчиков, поставщиков и производителей информационных, телекоммуникационных и криптографических решений.
>3. Создание, внедрение и популяризация современных информационных технологий.
7. Предлагаю исключить "создание" и "внедрение" и оставить его производителям и поставщикам. Популяризацию предлагаю поднять выше, как указано выше, пардон за каламбур.
Итого. Предлагаю исключить.
>4. Поддержка перспективных отечественных работ, связанных с криптографией, защитой информации и информационными технологиями, как в теоретической области, так и практических разработок.
8. Очень неконкретный пункт. Я бы предложил исключить, тем более, что в разделе III как бы перечислены все конкретные меры по "поддержке". А что еще, овацией встречать все перспективное? ;)
>5. Продвижение современных систем и средств обработки и защиты информации на мировые рынки.
9. Вроде бы, тоже не дело Ассоциации. Если Ассоциация будет успешно функционировать, они как бы сами и будут продвигаться (если речь идет об отечественных разработках). Я бы предложил исключить.
>III. Деятельность РКА >Для выполнения поставленных целей РКА: >1. Проводит выставки семинары и конференции, по тематике, отвечающей целям и задачам РКА.
Нет замечаний.
>2. Публикует сборники работ по указанной тематике.
Нет замечаний.
>3. Организует исследования в области криптографии, информатики и телекоммуникаций.
10. Непонятно. Гранты раздает или рекомендует проекты к получению таковых? Тогда экспертный совет и ученого секретаря нужно или что-то подобное. Или как еще исследования организовывать можно?
>4. Ведет информационную базу данных по разработкам, отвечающим интересам РКА.
11. Тоже непонятно. БД вести можно, если силы и желание будет, но зачем это отдельным пунктом в Устав? Ниже, в п.7 уже указано: "Издает и распространяет " справочные материалы " в электронном виде".
>5. Участвует в мероприятиях, цели и задачи которых совпадают с целями и задачами РКА.
12. Чисто технически: я бы объединил это с п.1, т.е. "Проводит, а также принимает участие в организации и проведении"", далее по тексту п.1 в род. падеже.
>6. Взаимодействует с государственными структурами для обеспечения законодательной поддержки развития Российских информационных, криптографических и телекоммуникационных технологий.
13. Непонятно, а с негосударственными, что, не взаимодействует? А с международными?
>7. Издает и распространяет справочные и учебные материалы по заявленной тематике, как в бумажном, так и в электронном виде.
>IV. Средства организации
>1. Финансовые средства РКА формируются из членских взносов членов РКА, а также пожертвований юридических и физических лиц.
>2. Размер членских взносов определяется руководством РКА.
>3. Членские взносы уплачиваются один раз в год.
14. Предлагаю все же стандартную процедуру: руководство осмечивает предстоящий год и предлагает размер годового взноса, утверждаемый на Общем собрании. Это стандартный "предохранитель от отсечения".
>V. Членство в организации
>1. Членом РКА может быть любой гражданин, соблюдающий устав организации и платящий членские взносы.
15. Гражданин чего? А иностранные граждане? А лица без гражданства?
16. Нужно ли забивать "почетное членство"?
>2. Членство в РКА носит добровольный характер.
Нет замечаний.
>3. Прием в РКА осуществляется на основе письменного заявления.
Нет замечаний.
>VI. Органы управления и сотрудники РКА
>1. Высшим органом управления является собрание членов РКА.
17. "Проводимое не реже раза в год?..
>2. Собрание РКА избирает совет директоров РКА, управляющий деятельностью РКА в течении года.
>3. Для решения оперативных вопросов советом директоров назначается Президент РКА.
>4. В помощь Президенту выделяются секретарь и бухгалтер.
18. Я бы не стал так ограничивать свободу действий. Мало ли какая оплачиваемая должность может появиться (модератор онлайновых дискуссий, литредактор "Трудов"" и т.п.). Сейчас это не нужно, но разумно сразу включить такую возможность, чтоб не переписывать Устав каждый год.
>5. Должности секретаря и бухгалтера являются оплачиваемыми, зарплата устанавливается советом директоров РКА.
>6. Директора РКА и Президент РКА осуществляют свою деятельность на общественных началах.
>Декларация президента Российской криптологической ассоциации
>1. Российская криптологическая ассоциация (РКА) создается с целью способствовать проведению открытых исследований по криптологическим проблемам для применения их результатов при разработке новых технологий общегражданского назначения.
Нет замечаний.
>2. РКА объединит усилия русскоязычных криптографов в области научных исследований и обучении специалистов с целью усиления их влияния на международной арене.
Нет серьезных замечаний.
>3. РКА обеспечит создание саморегулирующегося сообщества специалистов в области криптологии с целью обеспечения баланса интересов общества и государственных служб.
19. Есть замечание. Стратегически Ассоциация, естественно, будет способствовать этому процессу. Тактически сейчас основным и самым важным оргпроцессом IMHO будет привлечение членов из числа руководителей и сотрудников сильных криптофирм. Такой пункт в Декларации может дать повод понять весь процесс как создание trade ass"а вокруг "ЛАН-Крипто" и кого-то отпугнуть.
Поскольку, вроде бы, об этом речь не шла и в замысле это не присутствовало, я прошу подумать о том, чтоб этот пункт исключить. . . .
20. Помимо прочего, все-таки очень хочется понять формат январского собрания. Соберутся ли все активные члены, как предполагалось в декабре, или только Совет? Берется ли Совет (и лично Волчков) вынести на собрание на РК"2000 (или сразу после) готовый к голосованию проект Устава?
-
Место РКА в саморегулировании криптоотрасли
Прежде всего хотелось бы поблагодарить всех, кто так или иначе принял участие в обсуждении проблемы создания РКА. Более полный ответ на конструктивную критику г-на Левенчука прозвучит в моем интервью, которое должно появиться на Либертариуме в ближайшее время. Пока же хочу заметить следующее: 1.Название КРИПТОЛОГИЧЕСКАЯ, означает более широкий охват тематики в работе РКА.КРИПТОГРАФИЯ есть часть КРИПТОЛОГИИ, которая кроме чисто криптографических задач - построение алгоритмов и их анализ, также занимается вопросами теоретического (математического, физического и т.д)и юридического обеспечения информационных технологий с использованием элементов криптографии, а также вопросы связанные с реализацией таковых систем, их внедрением и эксплуатацией. 2.Компании производители не могут быть членами ассоциации, так как уже указывалось что членами РКА могут быть только физические лица. Кроме того членство в РКА носит добровольно-заявительный характер, а вовсе не разрешительный, поэтому говорить о неких требованиях к членам ассоциации (сверх изложенных в уставе)вряд ли стоит. Вопросы о возможном неэтичном поведении (надо кстати определить что этично, а что нет) членов РКА скорее следует открыто обсуждать на собраниях РКА, нежели создавать внутри РКА некие контролирующие структуры, хотя если последние будут необходимы, возможно рассомтреть и этот вопрос. В принципе же для решения подобных задач достаточно совета директоров ассоциации. И теперь совсем коротко: 3.РКА безусловно будет выполнять роль независимых экспертов и третейского судьи во внесудебных конфликтах. 4.РКА не задумывалась и не будет превращена в trade association, подобно ныне существующим организациям (например КОНФИДЕНТ. 5. Если у Вас имеются конструктивные предложения по формированию РКА предлагаю делитсья ими (ну хотя бы со мной). С Уважением А. Волчков.
-
Место РКА в саморегулировании криптоотрасли
Если члены РКА -- только профессионалы, то обычно такие организации называются Институты, и являются профессиональными СРО. Одной из задач таких СРО является сертификация членов на соответствие профессии (написание экзаменационной программы -- но не организация обучения), а также отслеживание движения своих членов по разным местам работы (чтобы проштрафившийся член не мог скрыть своего проступка на новом месте работы). Ясное дело, что в таких организациях членство нужно получать после сдачи экзаменов. Другое дело, что все это мировые образцы, которые имеют отношение к саморегулированию -- которые, конечно, работают. У вас же, скорее всего, получается что-то вроде криптографического Гринписа: общество по спасению редких видов криптографии, Foundation или Alliance по-"ихнему", точка приема целевых пожертвований (а жертвователи называются обычно членами). Служит для пропаганды, собирает членские взносы (взамен выдает значки, футболки, подписку на бюллетень), а остаток денег тратит на достижение пропагандистских целей (от учреждения призов до печати призывов и объявлений в популярных журалах).
-
Место РКА в саморегулировании криптоотрасли
Конструктивное предложение по преобразованию РКА в СРО: считать, что в РКА могут находиться только те производители (юрлица), которые для своих криптомодулей: -- публикуют исходные тексты; -- обеспечивают перед продажей криптомодулей их двухмесячную публичную экспозицию; -- не ссылаются на лицензию ФАПСИ как гарантию надежности для своих продуктов; -- используют ключи не короче 256бит; А если не соблюдают эти правила, то из РКА их выгоняют. С другой стороны, они имеют право публично хвастаться своим присутствием в РКА, а РКА создает специальный комитет по систематической проверке выполнения своими членами этих простых правил.
-
Место РКА в саморегулировании криптоотрасли
Даже если не принимать во внимание то, что юрлица не могут являться членами РКА, объединяющую только физических лиц, предложенные требования мне видятся не обоснованными. используют ключи не короче 256бит. А почему именно 256 бит, а не 128 или 512? Принимая во внимание современные средства криптоанализа и вычислительной техники можно сказать, что хорошие алгоритмы с такой длиной ключа принципиально не различаются по стойкости. Imho цифра 256 появилась из-за разного рода спекуляций относительно крутости алгоритма ГОСТ 28147. публикуют исходные тексты. Никто не станет возражать против публикации исходных текстов. И все же исходники это не сама цель, а средство верификации программы. Цель же заключается именно в верифицируемости. Например, пару килобайт кода состоящего из команд процессора Intel x86 верифицировать существенно легче, чем мегабайт запутанных С-шных исходников. Кроме того, изучение исходников дело, безусловно, полезное, но хлопотное и дорогостоящее. Насколько мне известно, платить за анализ исходников никто не собирается, а заниматься этим ради интереса, возможно, кто-то и будет, но совсем в небольших объемах. обеспечивают перед продажей криптомодулей их двухмесячную экспозицию. Отечественные программные реализации крипто хорошо продавались лет пять назад. Затем их цена стабилизировалась на $25 за штуку. Сегодня вообще опустила до $5. Буржуйские программы шифрования и цифровой подписи уже давно распространяются бесплатно. Дольше всех, вероятно, продержалась RSA Security, но и она сейчас предлагает BSAFE-овские компоненты бесплатно. Продавать программы общего назначение, такие как средства шифрования соединений, средства сетевой аутентификации, программы шифрования и цифровой подписи сообщений электронной почты, вообще, какой-то архаичный вид бизнеса. Это все равно, что мыть золото на давно выработанном прииске. Но мы то с вами понимаем, что никакого золота в Альпах нет, и что действительно необходимо, так это искать новые виды услуг, основанных на криптографии. Не надо держать пользователей за идиотов. Пользователь всегда хорошо осознает за что именно он платит: за сертификат, за лейбл известной фирмы, за совместимость с существующей информационной системой (или непрофессионализм тех кто в свое время не подумал о защите инвестиций и с потрохами отдался разработчику конкретной системы), за адаптацию модулей к своим потребностям и т.д. За предварительную экспозицию никто платить не станет. По крайней мере, если во время этой экспозиции не было каких-либо реальных действий. Мне всегда нравилась любимая фраза разработчиков "А мы предоставляем исходники нашим клиентам по их запросу". Ну и что с того. Может быть такие клиенты эти исходники просто положили на полку "про запас". Похоже, что РКА действительно может стать криптологическим Гринпис-ом, будет торговать цифровыми майками и кепками, а на вырученные средства поддерживать вымирающие алгоритмы. Хотя это тоже кое-что. Я готов отдать этак $25-30 за годовой сертификат X509 заверенный РКА. Вещь в хозяйстве полезная. Я вам по секрету скажу, что из мой опыт свидетельствует о том, что настоящие криптографы никогда не шифрую свою почту, они архивируют ее winzip-ом с паролем. А так можно хоть с коллегами будет нормально переписываться.
-
Место РКА в саморегулировании криптоотрасли
ОК -- готов изменить требование длины ключа 256бит на любую другую цифру (512? 1024? 2048?). Требование двухмесячной экспозиции перед продажей на двухмесячную экспозицию с призовым фондом $10 000 и последующей бесплатной раздачей. Другое дело, что отдельно -- Foundation, отдельно -- СРО. Фонд, безусловно, может быть направлен на защиту от вымирания отечественного крипто путем его пропаганды. А вот СРО могло бы помочь в невымирании отечественного крипто путем повышения его конкурентоспособности с западными продуктами, устанавливая соответствующие стандарты. Но можно, конечно, обойтись и без СРО вообще. Обходились же раньше :)
-
Основные положения устава Российской криптологической ассоциации
Устав РКА просто замечательный, добавить к нему нечего. Советская Конституция, впрочем, тоже была самая демократическая. Возможно, РКА состоится, даже как неформальная организация. В этом случае она будет выражать исключительно интересы "ЛАН-Крипто". В этом я не вижу ничего предосудительного. Хуже, если энергия, время и средства разных людей будут затрачены впустую. Когда-то, в 1995-1997 годах, ФАПСИ наезжал на ЛАН-Крипто, да и не только, очень конкретно. В той ситуации всем "неподкрышным" конторам имело смысл хоть как-то, хоть где-то объединиться, "чтоб не пропасть поодиночке". Теперь же, после смены руководства, ФАПСИ убавило прыть и просто махать флагом "мы тоже уже" смысла не имеет. Если верить мировому опыту, действительно бескорыстное спонсирование науки и образования частными коммерческими структурами возникает на определенном этапе развития как страны и отрасли в целом, так и конкретной фирмы в частности, когда последняя удовлетворила все свои потребности. Что касается моего личного мнения о РКА, оно осторожное и нейтральное. Чем конкретно я мог бы поучаствовать в РКА? Я мог бы предоставить свои публикациями о защите информации (но не об алгоритмической криптографии). Их около 30-ти, опубликованы они в разное время в разных изданиях, не все из них сохранили свою актуальность... Вместе с тем редакции разрешили мне их размещать в WWW, но после выхода статей в твердых копиях соответствующих изданиях. Сразу оговорюсь, что в статьях рассказывается, в том числе, и об опыте нашей фирмы и о ее продуктах.
-
Место РКА в саморегулировании криптоотрасли
Действительно, дело не в количестве бит. Нестойкое крипто это вообще американское изобретение. Кстати, на мой взгляд, вполне эффективное изобретение для сдерживания технологий обеспечения конфиденциальности. Конечно же, и в нашей стране использовались и вероятно используются шифры, которые можно дешифровать, но происходит это по сугубо техническим причинам. А какое количество бит должен содержать ключ " вопрос не простой. Шифровать 40 битным ключом лучше, чем не шифровать информацию вообще (В январе 1997 года взломать такой шифр стоило все же более чем 3х часов работы 250 компьютеров). Шифровать ключом 56 бит лучше, чем ключом 40, а шифровать ключом 64 бита, вообще очень не плохо. Граница, разделяющая длину ключа для вскрываемых шифров и шифров, допускающих только теоретическое дешифрование, постоянно растет, но в ближайшие несколько лет для распространенных и признаваемых хорошими алгоритмов, она, безусловно, не достигнет 128 бит. Вопрос о дизайне шифров тоже важен. И это не менее серьезная проблема, чем длина ключа.
-
Место РКА в саморегулировании криптоотрасли
Ага -- такая длинная реплика как раз показывает, что проблема с нестойким крипто и длиной ключа не является совсем уж надуманной. Вот и можно было бы создать СРО -- "Клуб производителей стойкого крипто". Может быть, не вместо РКА, а вместе с РКА. Смысл СРО -- это те конторы, которые обязуются присматривать друг за другом на предмет поддержания общей высокой планки в обслуживании потребителей. Скажем, приглядывать за тем, чтобы у них крипто было действительно сильным, определить внутри СРО параметры того, что является действительно сильным крипто, и принимать только тех, у кого крипто сильное по этим параметрам. И член этой СРО будет иметь право говорить потребителям "У меня действительно сильное крипто, меня коллеги-конкуренты проверяют на предмет этой силы..."
-
Место РКА в саморегулировании криптоотрасли
Проблема нестойкого действительно существует. Но это не проблема отечественных производителей. Скорее наоборот. Пока Microsoft с Netscape-ом предлагают нестойкое крипто у отечественного производителя программ шифрования и цифровой подписи есть рынок сбыта. Когда экспортные ограничения отменят, этот рынок, скорее всего, неимоверно сузится. И тогда проблема будет как раз с стойким крипто. По-моему, именно эту проблему надо сегодня рассматривать. Куда смогут приложить свои таланты и навыки отечественные криптографы при таком развитии событий? Надо ли работать с международными алгоритмами или надеяться, что федеральное агентство и другие органы власти вдруг начнут выполнять 334 указ и остановят ввоз импортных решений? Имеет ли смысл заниматься разработкой программ или более целесообразно уйти на вторичный рынок? Как сделать из крипто востребованную услугу? Прелесть ситуации заключается в том, что множество бизнесов морально готовы работать в Internet. Они даже уже умеют делать Web-приложения, а не только информационные сайты и единственное чего им действительно не хватает, так это нормальных средств защиты информации. Так вот, каждый криптолог сегодня стоит перед выбором. Либо он сумеет совместно с другими специалистами предоставить нужные и качественные услуги на открывающемся рынке, не важно какие конкретно, это может быть как серьезные теоретические исследования, так и элементарная работа с конечным пользователем, либо он останется сидеть в своей башне из слоновой кости. По этому поводу, я не могу удержаться от следующей цитаты из Брюса Шнайера: "Смысл криптографии - в решении проблем. (По сути, в этом состоит и смысл использования компьютеров, о чем многие пытаются забыть.) Криптография решает проблемы секретности, проверки подлинности, целостности и человеческой нечестности. Вы можете выучить все о криптографических алгоритмах и методах, но они представляют только академический интерес, если не используются для решения какой-нибудь проблемы."
-
Совет директоров РКА
Уважаемые директора РКА! Иногда, по ночам, я перечитываю стандарты Internet, известные как IETF RFC. Так вот, в документе за номером 2410 "The NULL Encryption Algorithm..." < http://www.ietf.org/rfc/rfc2410.txt>; я вычитал совершенно замечательный пассаж, который и предлагаю вашему вниманию: "NULL is a block cipher the origins of which appear to be lost in antiquity. Despite rumors that the National Security Agency suppressed publication of this algorithm, there is no evidence of such action on their part. Rather, recent archaeological evidence suggests that the NULL algorithm was developed in Roman times, as an exportable alternative to Ceaser ciphers. However, because Roman numerals lack a symbol for zero, written records of the algorithm's development were lost to historians for over two millennia."
-
Временное положение о "Российской криптологической ассоциации"
Возможно, при проведении конференции РусКрипто"99 имело место одно небольшое упущение. Никто не научил наших уважаемых криптологов пользоваться столь очевидным преимуществом цивилизации как Internet. Иначе как объяснить полное их отсутствие на как бы официальной странице РКА. Ни в коем случае не подвергая сомнению профессионализм участников конференции, рискну предположить что некоторая их часть просто не имеет навыков и привычки работы в онлайн сообществах. У меня предложение к директорам ассоциации. Уважаемые господа, подумайте над решением этой проблемы. Давайте поможем нашим коллегам работать в ассоциации. Для кого-то будет достаточно одной консультации, кто-то, быть может, нуждается в организации подключения к сети, кому-то просто надо предложить посещение офиса с компьютером, на котором можно посмотреть материалы ассоциации. Спасибо, Maxim E. Smirnoff
-
Совет директоров РКА
-----BEGIN PGP SIGNED MESSAGE----- Спасибо. Чертовски хотелось бы увидеть также: - - объявление-приглашение на РусКрипто'2000 (с http://www.lancrypto.com/ruscrypto-2000.htm); - - уведомление Совета директоров о времени и месте проведения общего собрания. -----BEGIN PGP SIGNATURE----- Version: PGP 6.0.2 Comment: charset: mswindows-cp1251 iQCVAwUBOIGgBnGCEHWOiJDhAQGiugP/eiRHgBpcxcCEx5lPD38EssW7HOLS28VN 2kfZz+/9Z+J7vYzUbBMOY4cyq5KwD1byzGRt2CD24SArF+XUmhK3CLg0FuP5hYyx wAvXmXUTT4W3MII1qJv8u8dWmjKrEEogJyIcF4Z2oBrwtzxLoTxc2zX34y+KgvOs H7XFx/AwGnU= =ZJVn -----END PGP SIGNATURE-----
-
Декларация Президента РКА
Алексей, рад был узнать о рождении ассоциации и о том, что ее возглавил уважаемый мною человек. Надеюсь, что на новом поприще ты сумеешь проявить свои лучшие качества и как всегда будешь способствовать развитию свободомыслия и защите подлинно гуманитарных ценностей в одной из самых закрытых и недемократичных областей человеческого знания. Евгений Горячев
-
Директорам РКА
Уважаемые директора РКА! А может кто-нибудь из вас сходит 27 января на семинар РОЦИТ "Сетевая безопасность в Интернете", только не как частное лицо, а от имени и по поручению РКА, примет участие в круглом столе, доклады послушает, сюда что-нибудь об этом мероприятии напишет. Кстати список докладов: 1. Алексей Лукацкий, НИП "Информзащита" ( http://www.infosec.ru) "Технологии обнаружения атак в сети Internet" 2. Алексей Фисенко, РосБизнесКонсалтинг ( http://www.rbc.ru) "Концепция обеспечения сетевой безопасности в РИА РБК" 3. Елена Никонова, Сигнал-КОМ ( http://www.signal-com.ru) "Проблемы использования протокола SSL в Интернет-приложениях" 4. Игорь Дмитриев, МО ПНИЭИ ( http://www.security.ru) "Информационная безопасность при ведении бизнеса в Интернет" 5. Михаил Кадер, Cisco Systems ( http://www.cisco.ru) "Безопасность с точки зрения Cisco"
-
Новости на мировой интернет-арене
Кто-нибудь здесь может прокомментировать сногосшибательные новости про ICANN, ложащееся под государственные власти? http://www.icann.org/general/lynn-reform-proposal-24feb02.htm У нас кто-нибудь к процессу имеет отношение?
-
Новости на мировой интернет-арене
Более глубокая проблема, о которой не говорит Линн, заключается в том, что легальный статус ICANN на сегодня не ясен. Это небольшая инкорпорированная в США некоммерческая организация, которая выполняет некоторые технические функции, часть из которых важна для сетей во всем мире, исключительно на том основании, что никто особо против этого не возражает. Я надеюсь, что могу запостить сюда очень понравившийся мне комментарий Фрумкина по этому поводу (прошу только учесть, что Ф. комментировал не столько формальное предложение, сколько неформальную "объяснительную", написанную Линном после ряда недоуменных вопросов. Саму "объяснительную" постить не буду, т.к. она а) длинная и б) предсказуемая для всех, кто в курсе). From: "Michael Froomkin - U.Miami School of Law" <[email protected]> Date: Wed, 27 Feb 2002 08:09:51 -0500 (EST) To: Dave Farber <[email protected]> Dave. Thanks for the chance to reply to Dr. Lynn's latest. Dr. Lynn's message typifies why ICANN is in trouble. The founding agreements that led to ICANN are anything but a red herring. Of course the White Paper is not sacred, but there was near consensus around it, a near consensus which was the result of a great deal of discussion in very varied communities. The Lynn paper seeks to throw it all out, pretty much single handedly, and does so in a way that does violence to the substance and spirit of the original deal -- and without much thought for what motivated it either. ICANN's new grab at more power and more money is in any case the attempted culmination of an ongoing process--see, for example the many changes in ICANN's bylaws in just three years, documented by Ellen Rony at http://www.domainhandbook.com/archives/comp-icannbylaws.html . ICANN was created to be private--and very limited, and there were really good reasons people wanted it that way. It was supposed to coordinate the tasks that need centralization (keeping a master list of the unique TLD's in the root, doing the various ministerial IANA tasks to keep data current and to assign protocol numbers). Instead of doing this fairly simple job well, it decided to use its power to withhold changes requested by ccTLD until they agreed to its "pay and obey" contracts. And it was supposed to take on the very difficult task of finding a way to get agreement on the issue of what new TLDs should be created and how we should decide who would enjoy the spoils. At this, very difficult, task, it largely failed. Contrary to Dr. Lynn's vision, ICANN does not manage the Internet, and given its track record that's a good thing. It doesn't have responsibilities for security. It is not a manager at all. It is not a policy maker. Its job is to make standards and engage in technical coordination. Standards have power primarily by their merit. If people make a choice to use a different standard, that's the market telling us something, and we should listen. Technical coordination is a limited role, largely clerical, keeping lists of unique names for example. I admit, however, that ICANN probably needs to do a little more than that -- setting very basic baseline rules for what it takes to run a registry, maybe, and baseline norms for them, such as rules for backups. In addition, ICANN should framing the conversation we need to have about how many TLDs can safely be added to the root, and the discussion about what fraction of that total we should add per year and to whom we'll delegate the jobs of picking and running the new TLDs to be added. But that's about it. ICANN isn't supposed to run the root servers. The fact that other people run the root servers is one of the fail-safe checks on ICANN. One of the most notable features of Dr. Lynn's plan is that it would systematically remove every single external check on ICANN, be it technical (root servers), political (ccTLD autonomy), internal (the Independent Review Panel that Dr. Lynn has had a year to implement and yet not managed to get done), legal (the Dept. of Commerce veto), judicial (no pesky members who might claim they have rights), electoral, or financial. The plan also discards as unworkable the idea that ICANN should be consensus-based. Rather, once governments have pressured the major actors (ccTLDs, root server operators, RIRs, etc.) to sign ICANN's "pay and obey" contracts, the new, muscular, ICANN is to be a coercive top-down regulator. The new ICANN will impose the rules it thinks best in its own discretion, yet be self-perpetuating and without any accountability to external forces save that provided (?) by having five of fifteen directors named, not by the Internet community, but by world governments through some regional mechanism to be announced. No. The more powerful ICANN is to be, the more important it is to have both internal and external checks, balances and accountability devices. Thus, for example, because ICANN is a single point of failure astride an Internet chokepoint, it is esse ntial that its funds be low. That's a feature, not a bug. It limits mission creep -- or, if the Lynn roadmap were adopted, mission gallop. The Lynn roadmap calls for an additional 10 or more staff members, bringing the headcount up to 30 or so. What are all those people supposed to do? Motivating the Lynn `roadmap' paper -- although you have to collect up all the bits to see how central it is -- is a vision of a new, bigger, much stronger ICANN with myriad regulatory duties. ICANN exists not because there was a felt need for a huge new bureaucracy to make new rules unaccountable to anyone but itself, but because the consensus on which IANA had run was breaking down and Jon Postel needed legal cover at least, and a way to try to more quickly forge consensus or near-consensus in a way that existing structures didn't allow. The needs have not changed (and appeals to 9/11 in this context are both irrelevant and demeaning). The trend in the EU and elsewhere is towards trying to cure democratic deficits, not create new ones. ICANN cannot have it both ways -- either it embraces the public voice, unmediated by the input of despotic governments (recall that the governments of the world just elected Syria to the UN Security Council), and tries to make the case for why it should have a policymaking role on matters that cut to the core of communication and citizen participation (think "e-government") in modern democracies. Or, if we are to accept Dr. Lynn's focus on the process of elections rather than their outcomes (for the outcome of the last elections seems pretty good, for all that Dr. Lynn's critique of the procedural theory has merit) then the inescapable conclusion is that ICANN must be limited to the narrow technical mission Dr. Lynn rejects. It will be less fun for the staff, less profitable for ICANN's insiders and other beneficiaries, but far better for everyone else. (It also avoids lots of messy legal issues, reducing threat of litigation and thus lawyer costs.) This note from Dr. Lynn, and the "roadmap" that preceded it, show that ICANN doesn't get it. I fear the current management may never get it. I do agree with one thing, though: the next step is to initiate a positive dialog -- but the terms of the discussion should center on what are the minimal set of tasks we need ICANN to perform, and what is the minimal organization that could carry them out in a professional manner. I tried to start that discussion in my testimony to the Senate almost exactly a year ago, http://personal.law.miami.edu/~froomkin/articles/senate-feb14-2001.htm. Today, Susan Crawford and David Johnson sketched out their vision of an ICANN 2.0 at http://www.icannwatch.org/essays/022602-johnson-crawford-icann2.htm. I'm sure others have much to add to this discussion, and now's the time.
|