пятница, 8 апреля 2011 г.

Сертифицированный SKYPE


Специалисты по защите информации знают, что на территории РФ официально разрешено использование исключительно сертифицированных средств криптографической защиты информации. За соблюдением этого требования следит ФСБ и, как выясняется, до категоричного строго.

По сообщению РБК, сегодня эта служба выразила обеспокоенность по поводу использования в сетях связи общего пользования РФ шифровальных средств иностранного производства. Об этом заявил начальник Центра защиты информации и специальной связи ФСБ Александр Андреечкин в рамках заседания правительственной комиссии по федеральной связи и технологическим вопросам информатизации. По его словам, зашифрованные подобным образом данные сложно контролировать оперативно. Он отметил, что, в частности, в РФ программные средства по шифрованию данных предоставляют такие интернет-сервисы, как Gmail, Hotmail и оператор IP-телефонии Skype.

Как пояснил журналистам заместитель министра связи и массовых коммуникаций РФ Илья Массух, cо стороны ФСБ было озвучено предложение запретить использование подобных средств, дискуссия по данному вопросу была очень бурной, и по итогам комиссия приняла решение создать межведомственную рабочую группу по выработке предложений правительства РФ по использованию криптографических средств.

Вот вам и либерализация... Что ж, посмотрим, что будут за предложения.

102 комментария :

  1. topless_freak8.4.11

    Весна.... обострение...

    ОтветитьУдалить
  2. Я полагаю, сейчас выступит Высокотехнологичный Президент и все разрулит. Выборы ведь :)

    ОтветитьУдалить
  3. >>на территории РФ официально разрешено использование исключительно сертифицированных средств криптографической защиты информации

    Строго говоря, это не так. Иначе, к примеру, все пользователи доменов Windows, использующие для аутентификации RSA, а для шифрования дисков AES, были бы вне закона.
    То есть все зависит от контекста использования шифровальных средств. В частной жизни сертифицированность никого не волнует.

    ОтветитьУдалить
  4. Кроме того, запрет Skype и иже с ним по сути накладывает запрет на использование зарубежного крипто на территории РФ. Насколько эта задача решаема - большой вопрос. Ибо даже Гарант Конституции велел использовать зарубежное крипто в УЭК.
    Кстати говоря, запрет на зарубежное крипто автоматически влечет запрет на работу международных платежных систем.
    Прям дух захватывает от перспектив и последствий такого решения! :)

    ОтветитьУдалить
  5. Господа, что толку догадываться, поглядите постановление правительства №957 там всё написано, что подпадает под "зоркий глаз" ФСБ, что - нет. Дело не в RSA а длине ключика, стойкости, короткие ключи контору не интересуют, по своему практическому опыту говорю.

    ОтветитьУдалить
  6. Коллеги, увы, но использование несертифицированной криптографии в РФ не допускается. Смотрите здесь http://anvolkov.blogspot.com/2011/03/blog-post_22.html слайды 27-30. Уважаемый VoV говорит о том, что для "гражданских" целей крипта ФСБ по-барабану, но позиция регулятора, изложенная в посте, как раз доказывает обратное. Длина ключа... Ну да, и в этом есть смысл. Но RSA или DES попадают под запрет. Чего уж говорить про скайп или блэкберри с проприетарным алгоритмом... (кстати последний сдался)

    ОтветитьУдалить
  7. Анонимный8.4.11

    Я как раз коллеге писал, что скоро Выборы и Верховному нерезон портить настроения электората запретом таких популярных ресурсов и ущемлять права (наверное уместней - возможности) электората.
    Алексей уже отписал.

    ОтветитьУдалить
  8. Анонимный8.4.11

    не в тему но очень интересная мысль (хотя я тандем в приницпе недолюбливаю) и с ней согласен на все 100! http://www.rbcdaily.ru/2011/04/08/focus/562949980027976

    ОтветитьУдалить
  9. Алексей, я повторяю, конторе по-фигу RSA или ещё что лишь бы не подпадал под ПП 957, я где то в блогах уже это описывал, меня самого на Молодёжке строили за RSA в IE поскольку я даже RSA сертификаты сам пёк для доступа к своему серверу обновлений ПО, я даже заполнил первую страницу бланка административного правонарушения на 20 т. кажется, но после выяснения что никто из присутствующих не может сформулировать на основании чего меня штрафуют, я мирно покинул контору. Повторяю, всё что с короткими ключами не интересно ни кому , ни конторе, ни пользователям. Вот из этого и исходите.

    ОтветитьУдалить
  10. И в догонку, про несертифицированное - это не правда, посмотрите вот сюда:
    http://www.top-cross.ru/Update/index.html
    (там правда следы ещё от Netscape ... но это лишь подчёркивает что страница висит очень долго :-) )
    я работаю лет 5-6 и об этом все знают, так что зря вы так что не сертифицированное, да ещё и под запретом .... а вас то ведь читают ...

    ОтветитьУдалить
  11. Что бы не ломать впечатление, если кто полезет там по ссылкам, хочу сказать, что до понедельника наш сайт https на плановом техобслуживании.

    ОтветитьУдалить
  12. to msm59: спасибо что читаете! Вообще, первое правило блогочитателя - прочел пост, загляни в камменты :) Возможно, к концу недели я не столь четко излагаю свои мысли, потому попробую пояснить.

    Упомянутое Вами ПП957 касается лицензирования, и оно действительно не требуется для асимметричных алогритмов, каковые сейчас наиболее распространены, с длиной ключа менее 128 бит. Но мы-то говорим о сертификации, а его ПП957 не касается. Но это так, к слову.

    На слайде 27 презентации, указанной выше, приведена карта регулирования криптографии в РФ. В тех документах, что мне довелось почитать, часть слова "сертифи...." встречается чаще, чем у меня зубы растут (тьфу-тьфу...). Можно конечно не забивать себе этим голову, потому как с маленькой длиной ключа сертификация не требуется. Но зато по этим документам для защиты конфы (ПДн, etc) требуются сертифицированные средства, а это значит, что только длинные ключи и гостовые алгоритмы.

    Самое главное - все распространенные алгоритмы, практически повсеместно применяемые, в том числе во всяких SSL-ях, VPN-ах и пр., содержат ключи "горааааааздо длиннее" (слайды 29-30) - 1024, 1536, 2048 итд... А стало быть, являются недопустимыми.

    Конечно, можно развернуть УЦ с ключами 127 бит, самому их выписывать - но где их применять, а главное - как? Для связи с соседом по площадке? Можно конечно продавать потребительское ПО (наверное, именно поэтому на закрыли до сих пор ЛанКрипто), но как только речь заходит о массовости технологий и удобства поддержки - тут, увы, приходится нарушать...

    ОтветитьУдалить
  13. Доброе утро, видимо к вечеру я тоже плохо свою мысль излагал :-) Вы верно заметили про ПП957 что оно касается лицензирования, однако я видимо забежал несколько вперёд, связка о которой я хотел сказать следующая: использование длинных ключей влечёт за собой обязательное лицензирование, в процессе которого вам расскажут какие криптоалгоритмы стойкие и анализировались (есть методики проверки их стойкости и следом - возможность их сертификации), какие - рекомендуются, а какие - нет.

    ОтветитьУдалить
  14. Хочу также заметить, что HSM подконтрольно с НЕ ГОСТ и не сертифицированные в системе ФСБ в РФ вполне используются, например, в банковских системах, в трансграничных-международных, но повторюсь - лицензиатами и под контролем. Справедливости ради хочу заметить, что подавляющее число зарубежных СКЗИ тоже сертифицированы по тому же FIPS и что то у вас это не вызывает раздражения.
    Всё что я написал - это как бы мотивация, совсем другое, что происходит в обыденной жизни, и именно это видимо вызывает к конторе нарекания и раздражения окружающих.

    ОтветитьУдалить
  15. И следом, сама по себе "сертификация" - это не страшно, совсем другое как это происходит у нас! Например, в документе (монументальный труд) анализа исполнения Директивы ЕС по подписи среди замечаний написаны претензии к процедуре сертификации у них, просят сократить процедурно до 2 недель !!! В соседней Беларусь - пересертификация СКЗИ - занимает 1 месяц (бумага на руки) и стоит 500$. Наш комплекс изделий ДТС целиком на круг в Беларусь планируют отсертифицировать за 3 месяца - у нас наверное года 3 займёт не меньше, про деньги я даже и не говорю. Мне кажется что если бы также было и у нас, то никого бы слово сертификация не пугало!

    ОтветитьУдалить
  16. to msm59: подпишусь под Вашими словами!

    Вот и получается, что всем юрикам, использующим крипту с длинным ключом, нужно либо использовать сертифицированный ГОСТ, либо стать лицензиатом и использовать несертифицированные решения под контролем ФСБ.

    Ну а если вернуться к теме исключительно "гражданской" криптографии, то GMail использует SSL с длинным ключом. И что - всем гражданам получать лицензию? И какой в этом смысл - ведь алгоритм-то останется тот же, и точно так же будет мешать им проводить мероприятия...

    ОтветитьУдалить
  17. "велел использовать зарубежное крипто в УЭК"
    А для каких целей оно в УЭК будет использоваться? По заявлению представителя уважаемой организации исключительно для банковских и коммерческих приложений (было озвучено и обсуждалось на РусКрипто 2011). Но никак не для оказания гос услуг.
    "сама по себе "сертификация" - это не страшно, совсем другое как это происходит у нас"
    По утверждению представителей опять же уважаемой организации, наша сертификация проводится "нежно и ласково". В качестве примера приводится сертификация новой банковской карты для использования в VISA или Mastercard. Сроки - минимум год.

    ОтветитьУдалить
  18. Валентину: тонкий юмор, однако :))

    ОтветитьУдалить
  19. to msm59: поскольку я не фиг какой криптограф, проконсультировался у товарищей. Они сказали что по букве нормативов ФСБ крипта с длинными ключами только сертифицированный гост. "Лицензиаты под контролем» – это обходной маневр, придуманный ими же для компромисса, чтоб уж совсем не быть ступором. А на гражданку вообще глаза закрывали до вчерашнего. Но проблема есть, теперь она обозначена и будет решена в рамках предвыборной кампании :)

    ОтветитьУдалить
  20. Кстати, про госуслуги: личный кабинет налогоплательщика на сайне ФНС, работающий на RSA 1024 bit, это ли не госуслуги? :)

    ОтветитьУдалить
  21. 1. Вас обманули, лично у меня стоит HSM и там RSA с длинными ключами, специально стоит с разрешения конторы, похожие HSM стоят во всех банках и там тоже не ГОСТ.
    2. Где то уже писал, повторюсь, gosuslugi.ru - это позор по безопасности, и даже не из-за RSA с длинным ключом, а из-за используемого сайт-сертификата, который можно отозвать и-за бугра, вот и не будет ни какой услуги вообще !!!
    3. юрики использующие длинный ключ должны лечь кому то под "зонтик" кто будет для них решать задачи крипта и контакт с конторой, много кто так работает.

    ОтветитьУдалить
  22. Теперь на тему УЭК и RSA, президент её разрешил до середины 2012 года (подкреплено ПП на ТТ к УЭК) и она будет именно под задачи госуслуг. Платежные приложения как были международные (не на ГОСТ) так и будут.

    ОтветитьУдалить
  23. Все понял, не понял только кого и в чем обманули. Вы же сами говорите, что на несертифицированную крипту дается специальная индульгенция. А это потому, что она де–юро запрещена.

    ОтветитьУдалить
  24. Доброе утро, обманули - вас, поскольку "проконсультировался у товарищей. Они сказали что по букве нормативов ФСБ крипта с длинными ключами только сертифицированный гост." я их поправил, что не только СКЗИ с ГОСТ применяется у нас и привёл примеры. Индульгенция несколько не корректное слово, поскольку лицензиат по любому должен быть готов квалифицированно объяснить любому и конторе в том числе, почему используется именно такое решение и не наносит ли это ущерб безопасности. Совершенно очевидно что изделия имеющее положительное заключение в приоритете.

    ОтветитьУдалить
  25. :) Так в том-то и дело, что ЛИЦЕНЗИАТ. Они и сказали, что "лицензиат под контролем" - это workaround, "своего рода индульгенция" представляется получением условным нарушителем лицензии и последующей договоренности с регулятором о закрытии глаза на нарушение.

    Если индульгенции (лицензии и договоренности) нет - значит, запрещено.

    Что не так?

    ОтветитьУдалить
  26. Другое дело, что без лицензии, как Вы совершенно справедливо отметили, крипту с длинным ключом использовать вообще нельзя, причем НИКАКУЮ (не нашу, ни забугорную) - то есть ни SSL к сайту прикрутить, ни RDP защитить.

    Вот и получается, что все и всем запрещено - не так, так эдак. Ну а что нельзя не лицензиату, лицензиату можно, если очень хочется... :)

    ОтветитьУдалить
  27. 1. Индульгенция - это совсем не то, смысл мною написанного сводится к формуле - решение должно быть профессиональным в части безопасности, если для чего то нужна RSA её используют, но предпочтение отдаётся решениям которые были проверены, не содержат закладок и т.п. Замет те я тут не говорю что 100% не содержат ошибок :-)И лицензиат действительно под контролем в том смысле что система мешает ему сделать "плохой" продукт-работу. А огульно вот так всё охаивать наверное не правильно.

    ОтветитьУдалить
  28. 2. Для своих целей насколько я помню хоть и не припомню явного разрешения со стороны конторы, но что то не могу припомнить явных судебных преследований. Совсем другое дело если это есть кусок вашего бизнеса по оказанию услуг наружу да ещё и за деньги :-) Так что про SSL - это вы малехо бравируете :-)

    ОтветитьУдалить
  29. Я не работаю с гостайной, потому «индульгенция» это чисто мое, субъективное восприятие этого аспекта, пусть оно Вас не смущает. Ну а что до бравады в отношении SSL так это Вы малехо с темы «съехали»: запрет есть, явного разрешения нет, все нарушают, контора просто глаза закрывает вот и все. Захотят прижучить – все инструменты на руках. Что, разве не так?

    ОтветитьУдалить
  30. Вот и получается, что требования есть, но все их нарушают с молчаливого непротиводействия конторы. Возникает вопрос: нафига такие требования, которые все нарушают - не пора ли что-то поменять? И, как видно, ветер перемен может подуть совершенно не в ту сторону, куда ожидает многочисленная масса нарушителей.

    ОтветитьУдалить
  31. Ну а что до огульного охаивания - я считаю, что виной всему не контора и не зарубежная крипта. Дело в том, что такое у нас положение вещей: что бы нам не говорили, но государство по-прежнему остается главенствующим бизнесменом и гражданином. Со всеми вытекающими...

    ОтветитьУдалить
  32. а на счет ФЗ "О цифровой подписи", допускается использование шифровальных средств без сертиф... )))

    ОтветитьУдалить
  33. мне интересен вопрос юридически, на уровне ФЗ. На каком основании всех ограничивают в праве пользования ПО, а также обязуются только сертифицированные средства шифрования, Меня интересуют вопрос ЗАКОНА, а не предположения, потому-что логически их требования можно приравнять как ПРИКАЗ ВСЕМ на запрет использования компьютеров, смартфонов и телефонов. Пример, ...в целях защиты коммерческой тайны(ФЗ разрешено, ГК ...лица, защищают свои права всеми средствами НЕ ЗАПРЕЩ. ЗАКОНОМ) может использовать криптосистему собственного производства и никому неизвестный..., итог их надо наказать и запретить, спросить ФСБ?

    ОтветитьУдалить
  34. Анонимный11.4.11

    Дело еще вот в чем - профильное ведомство, осуществляющее контроль, распространено регионально. Большое количество сотрудников, но знающих толк в этом деле настолько ничтожно мало, что при проверке даже не знают технических моментов. Поэтому многое не то чтобы сквозь пальцы пропускают, а пропускают, потому что не знают что есть нарушение))

    ОтветитьУдалить
  35. Уважаемые господа, что вы всё сертифицированные средства, да зажимают «гражданскую» криптографию, ну почему ни кто не удивляется что одноразовые шприцы должны выпускаться не как попало или как кому то удобно, а как положено по ТУ или ГОСТ, с соблюдением безопасности. Почему ни кто не удивляется, что врачи прежде чем лечить, должны пройти обучение и зафиксировать свои знания – это тоже вопросы безопасности. В ИТ ну всё ровно тоже самое, в идеале – сертификация – должна быть гарантия безопасности использования. Что тут вам не нравится?

    ОтветитьУдалить
  36. Не менее уважаемый MSM59! Лично я совершенно не против сертификации и совершенно с Вами согласен - она должна быть обязательно, иначе дельцы наразрабатывают таких простигосподикриптоалгоритмовсредств, что ни о какой безопасности не может быть и речи. Однако безопасность бывает разная. Я совершенно уверен в том, что государственная безопасность (здесь, к сожалению, придется констатировать еще один неприятный факт - госбезопасность и безопасность граждан зачастую два разные понятия) должна контролироваться соответствующими службами. Это везде так. Но если я, добросовестный бизнесмен, не несу никакой потенциальной угрозы интересам "бизнес-чиновников" и гражданам, то почему я должен пользоваться тем же, чем защищают гостайну? Почему не могу пользоваться применяемыми повсеместно средствами и алгоритмами?

    ОтветитьУдалить
  37. Вы говорить - могу, де-факто не запрещают. Но ведь до поры до времени! И примеры есть - вот, пожалуйста - http://anvolkov.blogspot.com/2010/12/blog-post_02.html. И вроде бы никто не хотел ставить палки в колеса, и законодательство тут же в этом моменте поменяли, но все же! А по поводу нашей сертификации как гаранта безопасности... Ну, разве что в идеале! И здесь примерчик Вам приведу - http://anvolkov.blogspot.com/2010/09/devicelock.html.

    ОтветитьУдалить
  38. Поэтому никто и не возражает, когда у нас в аптеке продаются шприцы иностранного производства, даже наоборот. Доверия к западным стандартам больше. Равно как и к западным стандартам образования. Потому и медицина у них на несравнимо более высоком уровне, и не только в Вашингтоне - а повсеместно. Равно как и машиностроение, и много, много чего еще. Нам надо догонять, но никто не торопится - очень уж сладко черное и голубое золото... Нужны глубокие системные изменения, а у нас - как всегда: давайте все запретим. С другой стороны - это понятно: так сырье из земли-матушки качать куда проще. И безопасность качающих гарантируется государством.

    ОтветитьУдалить
  39. re; Алексей Волков, полностью согласен не применимы требования гос. тайны к гражданскому обществу или схожие с гос. безопасностью. Если так государство беспокоится о Скайп ,то тогда пусть для начала откажется от американских дырявых операционных систем, запретит пользоваться скайп и других программ именно для тех кто на службе у государства(компах на работе), но никак не дома когда я бабушке звоню(скайп)в другую страну спрашивая как здоровье, собачка... И мне по фигу какое там криптосредство, мне там нечего скрывать, а если что то нужно будет я точно не буду использовать то что рекомендовало ФСБ

    ОтветитьУдалить
  40. to ЕвгенийКР: поддерживаю про госчиновников. Для меня же как гражданина-потребителя важны в первую очередь юзабилити и популярность. Что-то я не встречал пока средств "от ФСБ", имеющих такое же распространение по всему миру, как SKYPE. Пусть лучше "вскрывать" его учатся, если конечно, как говорит Ригель, это не реклама :)

    ОтветитьУдалить
  41. Очень может быть, что г-н Андреечкин как раз чиновников и имел в виду, когда говорил о запрете. Только вот метнуть стрелу в сторону Верховного Главнолюбителя не решился - потому и вышло все так криво...

    ОтветитьУдалить
  42. Господа, вы видимо слабо понимаете как защищают ИС с гостайной, там ещё круче, ещё неудобней и ещё дороже чем пользовать CSP от КриптоПРО. Так же хочу ещё заметить, что все криптосредства которые видимо вам попадались на ГОСТе в сертификате имеют запись - кроме защиты гостайны. Так что формально - это как раз и есть та ваша гражданская криптография, защита конфиденциалки от разного класса врагов.

    ОтветитьУдалить
  43. Ну конечно, слабо понимаю - я лично сразу сказал, что не криптограф. Защита конфиденциалки от разного класса врагов... В военное время живем :)

    ОтветитьУдалить
  44. Поймите меня правильно, я совсем не ёрничаю. Если же вам нужно более удобное как вы тут пишите (тут работает правило - чем удобнее, тем не безопаснее), то посоветую вам пойти по следующему сценарию, совершенно законно, создаете средствами IE PKCS#10 запрос на издание сертификата в каком нить Тавте и получаете сертификат (даром), поскольку IE в составе операционки, то на него не распространяется ПП957 - и работайте на здоровье. Для обмена вам вполне подойдёт 160 статья ГК.

    ОтветитьУдалить
  45. Анонимный12.4.11

    Крипто, шприцы...вон белоруссию взорвали! И думай теперь кто кого защищает - государство нас, или же напротив - государство таким образом защищается от нас же, слишком много понимающих...

    ОтветитьУдалить
  46. to msm59: у нас с Вами просто разносторонний взгляд на проблему, что, собственно, не мешает нам быть специалистами :) Во-первых мы договорились, что проблема имеет место быть. Во-вторых, IE - это лишь маааленькая ее часть. А как быть с прикруткой SSL к серверу приложенийв ERP, или с тем же VPN, с VoIP (и много с чем еще)?

    Но это все лирика. Я не понимаю, хоть убейте, другого: почему государство решает за меня, что ГОСТ - безопасен, а RSA - нет? На каких основаниях? По каким критериям? Понятно, что в данном случае о собственной безопасность меня, как бизнеса или гражданина, речи не идет - здесь ГОСБЕЗОПАСНОСТЬ. Но елки-палки, нельзя же всем недоверять, или обратно в 40-е, во времена ГУЛАГ и НКВД? И почему всем кругом мерещаться какие-то враги или шпионы? Чего у меня, гражданина, американцы вышпионить могут, когда я с бабушкой по телефону разговариваю? И последнее - тотальный контроль за всем по принципу "хватай все, потом разберемся" ничего общего с ИБ и риск-менеджментом не имеет. Зато позволяет содержать многомиллионную армию контролеров. А если ее нет - то получается бой по хвостам. Система безопасности должна работать на упреждение, и к сожалению, кроме того как запретить - ничего другого она пока не предлагает.

    ОтветитьУдалить
  47. Белоруссия... Жаль людей. И опять же - КГБ у них далеко не самый непрофессиональный орган. Вот он - бой по хвостам. Агентуры никакой. Зато нормальный бизнес...

    ОтветитьУдалить
  48. 1. С SSL всё просто используйте короткие ключи. И к вам ни кто не пристанет.
    2. ГОСТ проверяли, существуют методики, а по RSA анализ не проводили. Хотя из интересного - а вот алгоритм Диффи-Хэллмана (это не ГОСТ) для согласования ключей контора рекомендует.
    3. Вам навязывают способы защиты точно на том же основании почему в ППД есть штраф за не пристёгнутые ремни в авто.
    4. Воздержусь от комментария всего стального - просто на сейчас таковы правила, вот и всё.

    ОтветитьУдалить
  49. 1. Да, с остальным куда сложнее.
    2. Я не криптограф :)
    3. А вот это сравнение весьма занятно. То есть получается, что использование гражданином несертифицированной криптографии способно нанести ему ущерб, сравнимый с ущербом от непристегнутого ремня? На основании чего проведена такая аналогия - экспертная оценка, или бывали случаи с увечьями или смертельным исходом? Я чего-то не слышал такого. А террористов-смертников готовят уж точно не при помощи криптографии.
    4. Так о том и речь - пора уже пересмотреть эти правила.

    ОтветитьУдалить
  50. Кстати, вполне возможно, что кто-нибудь додумается SKYPE вплести в подготовку теракта, и на этой почве провести запрет. Может, даже батька...

    ОтветитьУдалить
  51. Анонимный12.4.11

    Если взять тему блога, то бизнес находится в опасности по большей части из-за регуляторов. И основная опасность для бизнеса исходит именно от регуляторов. Попробуйте придти в частную компанию и попросить данных на любого из сотрудников. Да никто вам просто так их не даст. Это конечно больше относится к организационным мерам. В плане техники опасность обусловлена именно отсутствием квалифицированных специалистов, способных наставить руководителя на путь истинный и объяснить, что угроза не только в вирусах вести. И применением касперского или аналога тут не обойтись.
    Но вот обязывать применять именно сертифицированное, которое не есть априори - безопасно, считаю глупостью в высшей степени.
    Даже для госников это неприменимо. На мой взгляд должна быть не обязаловка применения сертифицированных средств, а качественная проверка дееспособности созданной системы защиты, как, к примеру, аттестационные испытания. Только в этом случае можно выявить сильные и слабые стороны системы, впоследствии проведя доработку и внесение изменений.
    Ведь попросту невозможно провести полноценные испытания конкретного средства при всевозможных условиях эксплуатации. Да, знаю, есть оговорки в самом сертификате по применению конкретного средства с определенным набором ПО (ОС, СУБД и т.п.), но эти ограничения порождают ограничение возможностей его применения.

    ОтветитьУдалить
  52. Анонимный12.4.11

    Согласен с предпоследним 12.4.11 Анонимный комментирует..., просто ситуация со скайп схожа с АВТОВАЗОМ, надо запретить все !!! , лишь бы не было ТАЙОТ. А то, что на нашем автопроме нет АБС, подушек, тюнинга, стеклопод, акустики и т.п. не важно. Даже помню Путин лично издавал приказ об запрете произвоства авто без АБС(где-то 2002 год) и что слепают без них как для быдла до 2011... Все в одно сводиться в большие деньги(интересы малых групп), а не интересы большинства общества

    ОтветитьУдалить
  53. Вот, правильно, а то понесло нас черти-куда :) Коллеги, MSM59, давайте все-жа жить дружно - вон как у нас с Вами диалог хорошо начался, а щас какое-то обострение :) Я за то, чтобы разглядеть проблему со всех сторон - чем мы собственно и занимаемся. И не противник я ФСБ с его сертифицированным ГОСТом, и не рьяный поборник RSA и иже с ним... Просто как-то надо жизни соответствовать - криптография же сейчас повсюду, куда ни плюнь. Пусть лучше вскрывать учатся, что ли... Или ГОСТ обеспечивает суперстойкость по сравнению с RSA? И то и другое (я вполне уверен) вскрывает АНБ - эти-то молчат...

    ОтветитьУдалить
  54. Анонимный12.4.11

    Просто не вижу логики ФСБ. Если вопрос национальной безопасности, то реальный враг найдет 1000 способов скрыть себя, а вот нападки Скайп просто комедия с их стороны перед всеми пользователями сети Интернет - просто очередной заказ тройкой сотовых операторов, его продолжение ))

    ОтветитьУдалить
  55. Просто для информации: всё тут говорится сертифицированная, навязывают ..., а вы вот в курсе что NSS из состава Мозиллы тоже сертифицирован только по FIPSу ?

    ОтветитьУдалить
  56. Анонимный12.4.11

    re: понятны их требования - должны быть сертифицированы,вот только им никто не будет сертифицировать и пытаются словом ЗАПРЕТИТЬ. Правильно было сказано либо наш шпионаж на уровне 60, либо просто ничего не хотят по нормальному пути в ногу со временем. Уверен в том же США завербованы программисты в крупных компаниях как Майкрософ или Скайп и они точно вкладывают миллионы долларов чтоб это работало на ВЕСЬ МИР (встроенные уязвимости, программные закладки, слежение за каналами в сети). Почему почти раскрученные звонки mail.ru не завербуют, не сделают как нужно пользователям (скрыто без шума, как со скайпом)?

    ОтветитьУдалить
  57. Анонимный12.4.11

    Хочу напомнить историю, как попу с год рвет майкрософт сейчас. Они готовы отдать ФСБ исходные коды операционок, делают космические скидки и т.п лишь бы Windows было в наших школах и гос. учреждениях и отказались от linux. А цены лупили для нас в 10 раз дороже по сравнению с Китаем.

    ОтветитьУдалить
  58. Луковчанин12.4.11

    В нормативной документации идет фраза "... сертифицированные или разрешенные к эксплуатации на территории РФ криптосредства ...".

    В отношении криптографии, разрабатываемой на территории РФ, единственный путь выполнить это условие по факту - это сертификация (это истекает из ПКЗ-2005).

    В отношении иностранной криптографии - ее ФСБ сертифицирует чрезвычайно редко (если вообще есть прецеденты) - но она дает т.н. разрешение на "ввоз и эксплуатацию на территории РФ" фирме-распространителю (лицензиату ФСБ). Далее мы (возможно по цепочке перепродаж) приобретаем это криптосредство на законных основаниях (достаточно соответствующей лицензии ФСБ) и кстати в любой момент имеем право потребовать у фирмы, ввозившей криптосредство в страну, копию разрешения ФСБ/МЭРТ. Именно так ввозятся HSM-ы, банкоматы и т.п.

    ОтветитьУдалить
  59. Анонимный12.4.11

    Мы как-то потихоньку ушли от основной темы и заточили ее под охрану информации.
    Поймите, поголовный запрет нельзя допустить! Как можно оградить гражданина РФ от использования Skype? На то есть воля каждого из нас! В госучреждениях на здоровье, запрещайте - это ваше профильное пространство. Но не надо мне указывать что использовать в бытовых условиях, а что не использовать! Я уж как нибудь сам начитаюсь и решу.

    ОтветитьУдалить
  60. Луковчанин12.4.11

    Так Вы батенька до полной отмены гос.регулирования дойдете ...

    Нет, лекарствами должен лечить врач, а радиоактивные материалы даже в своем собственном жилище хранить нельзя. И государство имеет право эти вопросы регулировать.

    ОтветитьУдалить
  61. Анонимный12.4.11

    re: Луковчанин, Вы не обижайте, но вы не правы. Может еще каждый день ФСБ в дом впускать и на наших девочек смотреть будут, вдруг у нее пояс шахида под халатом )) Запрет Скайп (для личного использования) можно прировнять как запрет пользоваться компьтером, он же тоже что то излучает, вдруг шпионаж будет в подъеде , все пипец !!! ))

    ОтветитьУдалить
  62. А как быть с СОРМом - может вы террорист- домушник ? :-) Не так все просто ....

    ОтветитьУдалить
  63. Луковчанин12.4.11

    Ну давайте совместными усилиями найдем оптимальную по уровню угроз для окружающего населения и государства аналогию шифрованным разговорам по SKYPE. Я же не против.

    Вот, например, отправляете Вы по почте железный ящик, запертый на замок. Вас попросят продемонстрировать, что там внутри нет бомбы, ртути в литровых банках, керосина или еще чего-нибудь ?

    ОтветитьУдалить
  64. Анонимный12.4.11

    msm59, вот СОРМ пусть и проводит мероприятия на стороне крупных провайдеров, строят суперкомпьютеры и центры обработки информации )))

    ОтветитьУдалить
  65. Анонимный12.4.11

    re: Луковчанин. Допустим, Вы открываете свои личные порно фотографии, видеоматериал с соседкой... без оперативно-след. мероприятий или еще что либо? Этот материал же тоже может скрыт зашифрованными программами которые даже ФСБ не знает, ВЫ ЗАСТАВИТЕ ЭТО РАСШИФРОВАТЬ и всем показать?

    ОтветитьУдалить
  66. Анонимный12.4.11

    re: Луковчанин, как вы не можете понять на форуме говорится о том, что для гос. структур пусть все что угодно запрещают, особенно хотелось чтоб под ОСОБЫМ КОНТРОЛЕМ были военные штабы, которые без каких либо защиты сидят в интернет и зачастую никто не контролируют их(МОЕ МНЕНИЕ и версия), с инфой секретных объектов. А для граждан(граж. общества) нечего рыпаться, не будет скайп, найдут еще с десяток альтернатив )

    ОтветитьУдалить
  67. Анонимный12.4.11

    Пример с ремнем безопасности - если я не пристегнулся - это риск: 1. Штраф ГИБДД - приемлемый и 2. Кладбище - неприемлемый. У меня порвался ремень и я примотал себя к сиденью скотчем или привязал веревкой - я минимизировал риск №2, причем , возможно, не хуже чем штатным ремнем. Риск № 1 я принимаю, т.к. мне очень надо ехать. Несертифицированная крипто - я минимизирую риск раскрытия инфы, докажите что хуже чем сертифицированной. Выбор ДОЛЖЕН быть за мной!
    Сергей.

    ОтветитьУдалить
  68. Анонимный12.4.11

    re: Сергей. До прокомментирую. Беременная женщина, за рулем, врач не рекомендует давление на живот. А при столкновении ремень создаст резкое давление на живот, значит РЕМЕНЬ БЕЗОПАСНОСТИ НЕ БЕЗОПАСЕН, а еще может причинить вред здоровью и жизни )) Ремень надо переделывать, но как же он же прошел диагностику, одобрен )) Вывод к этому, сертифицированный не значит лучше... а как обезопасить себя мы решим сами. А на служебных машинах, хоть пусть бронежилет, каску, танк впереди ведут )))

    ОтветитьУдалить
  69. Анонимный12.4.11

    re Анонимный. С ремнем риск выше для плода, без ремня - для обоих. Принятие риска - личное дело, но государство странно стимулирует обеспечение безопасности - штраф. Хотя надо бы - не пристегнулся - плати за лечение сам (это в идеале при наличии страховой медицины). То же и с сертификацией - допустил утечку - возмести убытки. Это оценка и принятие риска.
    Сергей.

    ОтветитьУдалить
  70. Анонимный12.4.11

    А вот другой вопрос безопасности, под непосредственным пиаром г-на Лукацкого, http://www.scansafe.com/eval
    Попробуйте почитайте что дает 30 дневный бесплатный срок эксплуатации защищенного облака. Странно все это. По результатам использования вы получите информацию о попытках атак, о количестве небезопасного контента. По-моему чистой воды разводилово!

    ОтветитьУдалить
  71. Анонимный12.4.11

    re: Сергей, пришли к выводу, что сертификация нужна чтоб не допустить утечку ) А как возмещать убытки брату(оценивать риски и причем тут тогда ФСБ), и как наказывать Машу которая взломала не сертифицированный скайп? ))) Не клеится опять, приплыли к гражданским правоотношениям ) Думаю, лет 10 и эта глупая мысль отлипнет от населения, до полного осознания реальности развития высоких технологий. А вы знали что по ГОСТАм и требованиям ФСБ сотовые телефоны также являются шпионский средствами запрещенными, т.к. в РФ те камеры которые вмонтированы по всем параметрам надо выдирать, объективы малы, можно скрыто вести съемку и т.п, требования 60-80 годов так и остались...ТАК ЧТО СМОТРИТЕ ЕЩЕ ПОСАДЯТ за ваш телефон ))

    ОтветитьУдалить
  72. Анонимный12.4.11

    re Анонимный. Чтобы предотвратить утечку нужно реализовать защитные меры, а сертификация здесь абсолютно не при чем. Выбор мер я оставляю за собой, так же как риск убытков, если меры не достаточны.
    Сергей.

    ОтветитьУдалить
  73. Анонимный12.4.11

    ... был судебный прецедент торговца с видео наблюдением, прицепилось ФСБ, завалило его кучей нарушений, потребовало убирать товар, дяденька бедный судился и доказывал, что те требования которые сейчас просто не актуальны. Мне кажется сейчас такие ЗАПРЕТЫ, ПРОСТО ТОРМОЗ развития технологий в России(смотрю глобально), вот поэтому наверно мы до си пор такими вещами не можем торговать и выходить на международные рынки пытаясь придумывать друг другу преграды.

    ОтветитьУдалить
  74. Луковчанин12.4.11

    Далеко ходить не надо :
    http://forum.cherepovets.net/index.php?showtopic=193299

    А еще один суд пришел к выводу, что информация о том, что в телефоне есть камера известна всем, поэтому это не скрытая видеозапись.

    ОтветитьУдалить
  75. Анонимный12.4.11

    Оставьте в покое Лукацкого - чел. рубит капусту.
    За 30 лет работы в области ИТ я не сталкивался ни с одной целенаправленной атакой на информационный актив. Вирусы - это да, но они ломятся всем и вся. Конечно все определяется ценностью актива, но таких активов - раз, два и обчелся, и минимальных средств защиты, как правило, достаточно.
    Сергей.

    ОтветитьУдалить
  76. Сергею: LiveJournal... Нафиг никому не нужен с точки зрения ценности информации. Однако... Конкуренты? Спецслужбы (атакуют площадку раздора)? Вандалы?

    ОтветитьУдалить
  77. Анонимный12.4.11

    во тему то раздули! а всего то - факт пиара и не более того:) зато мы тут какие только темы не затронули))
    Алексей, может блог перепрофилировать? забудем про безопасность и начнем о политике?

    ОтветитьУдалить
  78. Слова замруководителя научно-технической службы ФСБ Александра Андреечкина об опасности использования систем шифрования в почтах gmail, hotmail и IP-телефонии Skype тут же вызвали большое количество комментариев высокопоставленных чиновников. Сначала выступил аноним из Администрации Медведева, выставивший заявление Андреечкина его личным мнением. Потом пресс-секретарь премьера Дмитрий Песков вступился за сотрудника ФСБ и поддержал инициативу спецслужбы. После этого настала очередь Центра общественных связей ФСБ, где заявили, что ведомство не так поняли и на Лубянке не собираются ничего запрещать.

    Получив этот последний комментарий, многие почему-то решили, что ситуация исчерпана — один эфэсбэшник сделал дурацкое заявление, президентская Администрация спецслужбу одернула, ФСБ отступила, и единственным непонятным эпизодом этой истории осталось выступление Пескова, что дало новый повод спекуляциям о трениях в тандеме.

    Между тем, на самом деле никто никого не одергивал, и ФСБ ничуть не отступала от своей позиции, которая была сформулирована еще в 1990-х.

    ОтветитьУдалить
  79. Ее суть проста: на территории России не могут использоваться программные и аппаратные продукты, средства и виды связи, в которых не предусмотрена дырка, «задняя дверь» для проведения спецслужбами оперативно-розыскных мероприятий, то есть прослушивания и перехвата. Главным орудием для давления на компании была и есть созданная сначала ФАПСИ, а потом ФСБ, система лицензирования и сертификации.

    Хочешь продавать услуги сотовой связи — получи лицензию, одним из пунктов которой ты обязуешься поставить у себя комплекс СОРМ. Производишь и торгуешь средствами криптографической защиты — необходима лицензия, по которой ты обязан создать в своей компании «первый отдел», а на каждый произведенный продукт должен получить в ФСБ сертификат, и для этого надо раскрыть коды и технологии спецслужбе.

    ОтветитьУдалить
  80. Этот подход работал, пока спецслужбы имели дело с телекоммуникационным рынком, контролируемым выросшими из советской системы связи холдингами, где традиционно близко к сердцу принимали интересы спецслужб. Зарубежные производители, для которых важен российский рынок, также шли на сотрудничество, как это сделала компания Microsoft в 2003 году, раскрыв исходный код своих продуктов российским спецслужбам в обмен на доступ на прибыльный рынок госзаказов. Если компания не готова делиться кодами, ей грозят перекрыть доступ на рынок — именно так ФСБ в 2005-2007гг. тянула с разрешением на продажу смартфонов Blackberry, требуя обеспечить возможность проведения оперативно-розыскных мероприятий (в конце концов МТС, взявшаяся продавать смартфоны, с ФСБ договорилась). Проблема с gmail, skype и hotmail состоит в том, что эти системы бесплатные, продаж этих продуктов нет, и абсолютно непонятно, как заставить владельцев этих систем, соответственно, корпорации Google, Ebay и Microsoft, открыть свои технологии ФСБ. При этом комментарий Google о том, что они готовы сотрудничать и рассматривать запросы от российских спецслужб, не имеет отношения к делу: ФСБ как раз совершенно не желает рассылать запросы — им нужен постоянный и дистанционный доступ к системе.

    ОтветитьУдалить
  81. Именно это имел в виду Александр Андреечкин, который, конечно же, не поделился на заседании правительственной комиссии внезапно пришедшей ему в голову идеей, а выразил мнение спецслужбы. Его подразделение — Научно-техническая служба — напомню, отвечает не только за закупку компьютеров Лубянкой, но и за научно-техническую политику Федеральной службы безопасности. Дмитрий Песков, давно интересующийся регулированием Интернета в России, и которому близок подход спецслужб, естественно, силовиков поддержал.

    Продолжая ехать, пусть со скрипом, по рельсам, проложенным еще в середине 90-х годов, силовики не учли только одного — что Дмитрий Медведев, который так последовательно занимается улучшением своего имиджа в Вашингтоне, именно сейчас совсем не заинтересован в анонсировании любых инициатив, которые касаются свободы в Интернете. Возможно, научно-технической службе ФСБ стоило все-таки обратить внимание, какое значение госсекретарь США Хиллари Клинтон придает продвижению свободы в глобальной сети.

    ОтветитьУдалить
  82. Не сделав этого, силовики уже не первый раз разыграли комбинацию, в которой они и премьер оказались чудовищами из тоталитарного прошлого, а Дмитрий Медведев — либеральным и технически продвинутым лидером из сияющего завтра.

    При этом на самом деле никто не собирается корректировать стратегию спецслужб — в своем заявлении ЦОС ФСБ мягко сослался на приведение ситуации в соответствие национальному законодательству, которое «задние двери» в коммуникационные сервисы как раз и предполагает. Российский рынок достаточно важен для всех трех корпораций, чтобы ФСБ рассчитывала договориться с Google, eBay и Microsoft и получить доступ к системам шифрования.

    Опубликовано в "Ежедневном журнале" 11.04.2011

    ОтветитьУдалить
  83. *********************
    re: анониму, хочешь или не хочешь но в этом вопросе БЕЗ ПОЛИТИКИ НИКАК

    ОтветитьУдалить
  84. Да, действительно, без политики - никак. И не только в этом вопросе, а и во многих других. Подведем итог: скоро выборы, тема - элемент политического шоу, либерализации пока не предполагается.

    В шоу поют песни, предлагаю такую:

    "И вновь продолжается бой,
    И сердцу тревожно в груди,
    Медведев - такой молодой...
    Но Путин - всегда впереди!"

    Аплодисменты, занавес :)))

    ОтветитьУдалить
  85. Анонимный13.4.11

    Опоздавший комментарий-вопрос о ПДн и криптографии: если в согласии на обработку персональных данных написать, что ПДн передаются по сети интернет с использованием криптографических алгоритмов (3DES, AES, RSA), то можно ли не использовать ГОСТ? Будет ли это лигитимно? Ведь в этом случае права субъекта не нарушаются, ФЗ 152 выполняется. Это относится к коммерческой организации, VPN построено на Cisco.

    ОтветитьУдалить
  86. Права субъекта здесь не при чем, и не будут нарушаться даже в том случае, если Вы этого всего в согласии не укажете. Ваша задача - обеспечить безопасность ПДн методами и способами, устанавливаемыми ФСТЭК и ФСБ. Поскольку отношение ФСБ к криптографии достаточно хорошо изложено выше, то использования RSA не будет легитимно. Пока не приняли Резника - так.

    ОтветитьУдалить
  87. Анонимный13.4.11

    63ФЗ Об электронной подписи: Статья 7. Признание электронных подписей, созданных в соответствии с нормами иностранного права и международными стандартами
    1. Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, в Российской Федерации признаются электронными подписями того вида, признакам которого они соответствуют на основании настоящего Федерального закона.
    2. Электронная подпись и подписанный ею электронный документ не могут считаться не имеющими юридической силы только на том основании, что сертификат ключа проверки электронной подписи выдан в соответствии с нормами иностранного права.

    Значит иностранную крипографию применять можно! тот же DES. Пусть по соглашению сторон, но сам факт...

    ОтветитьУдалить
  88. По моему какая то путаница присутствует:
    1. "то использования RSA не будет легитимно", у меня стоит и работает HSM Eracom и ФСБ про это знают и ни разу там не ГОСТ, так что не совсем так всё однозначно.

    ОтветитьУдалить
  89. 2. Ст.7 касается сертификатов и ЭП созданных в забугорье и принимаемых в РФ. Внутри РФ работают нормы РФ и соответственно вам будет очень сложно выдать сертификат тут по тамошним нормам.
    3. По соглашению сторон применять можно всё что угодно если это не касается иных НПА, например ПП 957 и следом сертифицированных изделий.

    ОтветитьУдалить
  90. Анонимный13.4.11

    re msm 59: Нет там ничего о месте создания, только соответствие нормам и стандартам.

    ОтветитьУдалить
  91. В РФ все живут по локальным нормам государства, простой пример, в Австралии не берётся налог за вывоз золотых самородков, а теперь представьте что с вами будет если вас на таможне в Шарике прихватят за вывоз золотых самородков, вы что будете говорить что вывозите их в соответствии с нормами Австралии?! Да не смешите окружающих :-)

    ОтветитьУдалить
  92. msm59: эх, опять сначала :)) Мы же перетерли, что по-закону - нельзя длинный ключ не ГОСТ, но если есть договоренность с ФСБ и лицензия, то можно :))) Сколько букав выше понаписали...

    ОтветитьУдалить
  93. Алексей, какими мне буквами написать, чтобы вы правильно прочли?!
    Если ключ длинный, то идёшь в ФСБ как лицензиат (поскольку ПП 957 ещё никто не отменил)и объясняешь нафига тебе такой длинный ключ, какова задача и какими средствами ты её собираешься решать и на каких алгоритмах. Во всём что я написал слово ГОСТ разве есть или слово договорённости, договариваются на рынке когда капусту покупают или с бандосами?!

    ОтветитьУдалить
  94. Вчера на питерском канале был репортаж:
    Молодые «яблочники» пикетировали «Большой дом»
    "Молодые «яблочники» сегодня пикетировали «Большой дом». Выйти на Литейный их заставила инициатива ФСБ по запрету в России во многом бесплатной интернет-телефонии скайп и электронной почты gmail..."
    http://goo.gl/1RnDH

    ОтветитьУдалить
  95. to msm59: можно и матерными, но в почту :) Хорошо, чтоб не коробить Ваши убеждения, заменю слово "договоренность" на "разрешение". Перефразирую, получится - "для использования длинного ключа не по ГОСТ необходима лицензия и РАЗРЕШЕНИЕ конторы". Так ОК?

    ОтветитьУдалить
  96. А можно я ещё поправлю, чтобы было то как на самом деле :-)
    "для использования длинного ключа хоть по ГОСТ, хоть не по ГОСТ необходима лицензия и апосредованное РАЗРЕШЕНИЕ конторы, через выполнение мероприятий документа ПКЗ-2005"
    Вот так думаю будет правильно :-)
    =====================
    На тему конторы, вы только не подумайте, что я апологет какой то, мне самому также как и вам очень много не нравится, особенно нижайшее качество знаний у ихних сотрудников. Просто плохие правила лучше чем анархия.

    ОтветитьУдалить
  97. to msm59: 99-м комментарием закрываем тему :)

    ОтветитьУдалить
  98. 98 - коммент :-)
    В Едином Государственном Реестре (сейчас ведёт Минкомсвязи (раньше вёл ФАИТ)) официально присутствует УЦ издатель которого на алгоритме RSA :-)

    ОтветитьУдалить
  99. Анонимный26.5.11

    а тем временем http://www.itsec.ru/newstext.php?news_id=77383

    ОтветитьУдалить
  100. Вчера как раз по этому поводу разговаривал с одним очень хорошим военным экспертом в области крипты. Ржал он над этой новостью долго. Говорит, видал технические тонкости взлома. Да, ломанул чувак - вместо 20 лет на взлом теперь нужно 1 год (приблизительная оценка). И что - кому-то от этого легче стало? Особенно учитывая динамику геополитической ситуации...

    ОтветитьУдалить
  101. хм, ну а как сам прецедент взлома этого шифра может повлиять на политику использования "исключительно его" по требованиям ФСТЭК?

    ОтветитьУдалить
  102. Требования ФСБ. ИМХО никак, ибо для гражданки, с их точки зрения, главное чтобы шифр можно было вскрыть. Так что взлом даже на руку :)

    ОтветитьУдалить