| ||||
| ||||
А как вообще ФАПСИ может выдать сертификат на программное обеспечение, в котором такая критичная с точки зрения безопасности вещь как распределение ключей не соответствует требованиям ГОСТ РФ или СССР. Другое дело что у нас нет и не досталось по наследству от СССР ГОСТов определяющих алгоритмы шифрование с открытым ключом. А раз ГОСТов нет то надо делать распределение ключей на основе симметричного алгоритма и организовывать отдельный секретный канал распределения ключевой информации. Понятно что неудобно. Но с формальной точки зрения ФАПСИ не имеет морального (и не только) права выдавать сертификат на продукты не в полной мере соответствующих ГОСТам. В конце концов ключи это те же данные. Если шифрование открытых данных надо осуществлять по ГОСТ, то ключевых и подавно. Я не к тому чтобы уколоть Вашу фирму. Просто интересна позиция ФАПСИ. Объективно назрела необходимость принятия ГОСТ на алгоритм шифрования с открытым ключом. Но ФАПСИ почему то предпочитает потихоньку, не вникая в подробности, выдавать сертификаты. ВЕРБА-О, Ваш продукт, … | ||||
| Ответы: | ||||
| ||||
| Собственно позиция ФАПСИ изложена в "ПОЛОЖЕНИЕ о государственном лицензировании деятельности в области защиты информации" и "Приложение к приказу ФАПСИ от 23 сентября 1999 г. N 158 Положение о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну"(ПКЗ-99), а так же в разнообразных требованиях к СКЗИ. Открытую информацию смотри в "Консультанте", закрытую лецензиат ФАПСИ может запросить у неё. Для конфидециальной информации её можно выразить двумя словами: ФАПСИ сертифицирует. Т.е. ФАПСИ контролирует свойства СКЗИ: алгоритмы, реалиазация, аппаратура, организационные меры. Использование ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТО Р 34.11-94, не обязательно, но желательно, т.к. относительно этих алгоритмов в ФАПСИ накоплено огромное количество материалов. И, в обще, стандартизация дело полезное. По сему: 1. ФАПСИ выдаёт сертификат не на соотвествие ГОСТ, а сертификат на свойства защиты по всему комплексу проблем. Что в корне отличает его от сертификата Госстандарта выданого ЛАНкрипто, т.к. Госстандарт контролирует только реализацию алгоритма без окружения (узлов замены, определяющих стойкость, и т.п.), а ФАПСИ контролирует все аспекты безопастности; 2. Для ФАПСИ ГОСТ не догма, но желательное свойство; 3. Именно такой подход для ФАПСИ является обязательным и, следовательно, оно имеет на него все права в том числе и моральные :) 4. С моей точки зрения стандартизацию следует только привествовать, т.к. она сильно упрощает и удешевляет жизнь. По жизни, есть огромная потребность на стандартизацию распределения ключей шифрования. Однако, этот, вопрос далеко не прост, как кажется. Т.е. потребность есть, а вот возможности пока нет :( 5. Стандартизация алгоритмов не отменит сертификации в ФАПСИ, но упростит её. Леонтьев С.Е. | ||||
| ||||
| >Т.е. ФАПСИ контролирует свойства СКЗИ: >алгоритмы, реалиазация, аппаратура, >организационные меры. Какие-то одни иллюзии. >Использование ГОСТ 28147-89, ГОСТ Р 34.10-94, >ГОСТ Р 34.11-94, не обязательно, но желательно, >т.к. относительно этих алгоритмов в ФАПСИ >накоплено огромное количество материалов. И, в > общем, стандартизация дело полезное. И что же в этих материалах? Устаревшие, медленные и с ошибками алгоритмы. Что же тут хорошего в применении этих алгоритмов? >1. ФАПСИ выдаёт сертификат не на соотвествие >ГОСТ, а сертификат на свойства защиты по всему >комплексу проблем, ФАПСИ контролирует все > >аспекты безопастности; О чем это Вы? Чтобы спецслужба выдавала сертификаты? Гы! Это нонсенс. Представте себе продукт с сертификатом МОССАД или АНБ. Это же черным по русски: "дыры есть, их не может не быть". 2. Для ФАПСИ ГОСТ не догма, но желательное свойство; Как же это? Что я слышу? Есть еще алгоритмы, кроме ГОСТов, принятые к рассмотрению? ФАПСИ сертифицирует только шифрсредства (а в России это только ГОСТ). 5. Стандартизация алгоритмов не отменит сертификации в ФАПСИ, но упростит её. Жизнь покажет. Как бы не отменили все функции лицензирования и сертификации у самого ФАПСИ. | ||||
| ||||
| >>Т.е. ФАПСИ контролирует свойства СКЗИ: >>алгоритмы, реалиазация, аппаратура, >>организационные меры. > Какие-то одни иллюзии. Суровая практика, они действительно это делают. >>Использование ГОСТ 28147-89, ГОСТ Р 34.10-94, >>ГОСТ Р 34.11-94, не обязательно, но желательно, >>т.к. относительно этих алгоритмов в ФАПСИ >>накоплено огромное количество материалов. И, в >> общем, стандартизация дело полезное. >И что же в этих материалах? Устаревшие, Они, конечно, не новы. Но относительно действующих зарубежных аналогов (DES, RC5, DSS, RSA) они достаточно прогрессивны. >медленные и с Хм. В ближайшее время опубликую сравнение реализации криптографии в MS Windows. ГОСТ-ы смотрятся не хуже других. >ошибками алгоритмы. Ошибки есть, но не в алгоримах криптографических преобразований, а ГОСТ-ах. В основном типографские опечатки, единственная неточность по существу состоит в том, что для алгоритмов получения параметров P, Q, A не указано, что допустимо получение этих параметров только для длины ключа 512 и 1024 бита, с другой стороны другие длины никто и не использует. >Что же тут >хорошего в применении этих алгоритмов? Они отражают сложившиеся возможности сторон. Так АНБ вполне может шифровать на 128 битах, и их ни кто не дешифрует, в тоже время они спокойно относятся к экспорту 128 битной криптографии, всё равно смогут дешифровать. >О чем это Вы? Чтобы спецслужба выдавала >сертификаты? Гы! Это нонсенс. Представте себе >продукт с сертификатом МОССАД или АНБ. Это же >черным по русски: "дыры есть, их не может не >быть". На счёт МОССАД не знаю, не видел. А АНБ видел. Что касается ФАПСИ, то они не ведут ОРД на территории России, на это есть МВД, ФСБ, налоговая полиция, а у них далеко не совпадающие интересы. >Как же это? Что я слышу? Есть еще алгоритмы, >кроме ГОСТов, принятые к рассмотрению? Да есть. Все алгоритмы проходят стандарный путь: создание, использование, стандартизация. >ФАПСИ >сертифицирует только шифрсредства (а в России >это только ГОСТ). Является что либо шифрсредством или нет определяется не фактом соотвествиея каким либо стандартам, а свойствами (назначение, и т.п.). Подробности смотрите законодателство ("Положение о лицензирование..." и др.). >Жизнь покажет. Как бы не отменили все функции >лицензирования и сертификации у самого ФАПСИ Я надеюсь, что Вы не ставите под сомнение оправданость "лицензирования и сертификации" в области защиты информации. А персоналиям договорятся. Когда отменят лицензирование и сертификацию ликёро-водочных изделий, я точно эммигрирую. Я отраву боюсь пить. Или домов, или автомобилей, или лекарств... | ||||
| ||||
| Промывание мозгов конечно дело хорошее. Но если Вы считаете что лицензирование и сертификация - это good, то к сожалению это не так. Это большая кормушка для чиновников и широченное поле для коррукции. Ведь все решается то очень просто - "сколько" (сколько стоит та или иная лицензия или сертификат.) Вот и все. Даже в области алкоголя. Все эти марки акцизные - все это ботва полная. Печатали, печатают и будут печатать левые марки. А средства типа "Комитовской" подписи на каждой бутылке в жизнь не пойдут. Нету возможности фальсификации (вроде как). Так что все эти лицензирования и сертификация - полная туфта. | ||||
| ||||
| >Промывание мозгов конечно дело хорошее. Но если >Вы считаете что лицензирование и сертификация - >это good, то к сожалению это не так. Это большая >кормушка для чиновников и широченное поле для >коррукции. Ведь все решается то очень просто - > "сколько" (сколько стоит та или иная лицензия >или сертификат.) Вот и все. Это не так. Хотя мы живём реальной жизнью в реальной стране. >Даже в области алкоголя. Все эти марки акцизные - > все это ботва полная. Печатали, печатают и >будут печатать левые марки. А средства >типа "Комитовской" подписи на каждой бутылке в >жизнь не пойдут. Нету возможности фальсификации >(вроде как). Всё не так печально. ЭЦП на водку уже внедрили в 14 регионах и это не конец процесса. >Так что все эти лицензирования и сертификация - >полная туфта. Это не панацея, но процесс (медленный и грязный), но к хорошему | ||||
| ||||
| К сожалению данные проблемы не решаются теми мерами, которыми их пытаются решить. | ||||
Неклюдов Андрей