LINUX.ORG.RU

Поддержка ГОСТ включена в основное дерево OpenSSL


0

0

Модуль для работы с российскими алгоритмами теперь входит в основное дерево OpenSSL (разрабатываемую версию 0.9.9).

На данный момент поддерживаются RFC 4490 (SMIME) и RFC 4491 (сертификаты, заявки etc). Надеемся что к релизу и собственно TLS с российскими алгоритмами будет

>>> Подробности



Проверено: Tima_ ()

А в России их можно будет использовать? У нас по законодательству шифрование - это только ГОСТ (только его сертифицируют), а для использования шифрования нужны:
- лицензия на эксплуатацию средства криптографической защиты информации (СКЗИ);
- сертификат на само СКЗИ.

Эти документы выдавало ФАПСИ, а ныне их выдает ФСБ.

saper ★★★★★
()
Ответ на: комментарий от saper

Вот тут: http://security.vit.ru/press/press9.html во введении всё правильно написано.

Хочется также добавить, что судебной практики с пользователями СКЗИ без лицензии/сертификата нет. Также в РФ многие пользователи СКЗИ про этот указ не знают и не выполняют его требования из п.4: в интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запрещена "деятельность юридических и физических лиц, связанная с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".

saper ★★★★★
()

вах - шустро это они. недавно новость пробегала :)

myhand
()
Ответ на: комментарий от saper

Под колпаком.

> "запрещена деятельность...лиц, связанная с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий"

То есть раньше OpenSSL пользоваться было нельзя? В смысле нельзя нигде и вообще?

Camel ★★★★★
()
Ответ на: комментарий от saper

> и эксплуатацией шифровальных средств Т.е. когда я открываю ssh сессию на серваке я нарушаю закон? И что мне за это будет?

anonymous
()
Ответ на: комментарий от anonymous

>Т.е. когда я открываю ssh сессию на серваке я нарушаю закон? И что мне за это будет?

Ничего. Но если властям нужно будет тебя прижать, то лишний повод найдется

anonymous
()
Ответ на: комментарий от anonymous

Запарятся на всех в суд подавать - ведь все удалённо серваками через ssh рулят, а некоторые офисы через инет соединяют с помощью девайсов типа Netgear FVS 318 - всё это "тапа нельзя".....

sysgrp02
()
Ответ на: комментарий от anonymous

> И нафиг этот говенный ГОСТ кому нужен? Зря, очень достойный алгоритм шифрования.

sysgrp02
()
Ответ на: комментарий от anonymous

>Но если властям нужно будет тебя прижать, то лишний повод найдется

Не надо бредить, нафиг им возится и доказывать в суде что ты че-то шифровал??? Пока судья въедет в это, срок давности уже пройдёт. Пара патронов от макарова, завалявшиеся с прошлогодних стрельб в столе опера, куда эффективней отправят тебя на нары:-) Тоже мне шифровальщики-борцы_с_тоталитарным_режимом.

anonymous
()
Ответ на: комментарий от blind

>>И нафиг этот говенный ГОСТ кому нужен?

>уязвимостей в нём пока не найдено, хотя может и не искали =)

Сидльный недостаток данного алгоритма состоит в том, что начальные таблицы выдаются ФСБ (если продукт необходимо сертифицировать) а таблицы разные быват, менее криптостойкие и более ... так что ...

robot12 ★★★★★
()
Ответ на: комментарий от lumag

> А о поддержке этих алгоритмов в GnuTLS ничего не слышно?

Ну возьми и напиши. Шифрование и хеширование можешь как есть взять из OpenSSL. Оно у меня аккуратно в отдельные файлы положено, которые от OpenSSL-евских функций никак не зависят.

Вот алгоритмы с открытым ключом придется немного переделывать - у OpenSSL своя библиотека длинной арифметики и операций с эллиптическими кривыми, а libgcrypt пользуется libgmp.

Основная работа, конечно, будет с реализацией работы с ASN1 структурами, описанными в RFC 4491 и RFC 4490. У gnutls оно там сделано совсем по-другому, чем в OpenSSL. Правда, на первый взгляд, заметно прямее.

vitus
() автор топика
Ответ на: комментарий от anonymous

> И нафиг этот говенный ГОСТ кому нужен?

Я смотрю, на ЛОРе просто плюнуть некуда - или в видного дизайнера операционных систем попадешь, или, уж на самый крайний случай, в криптоаналитика. Вто и Брюс Шнайер к нам пожаловал. От анонимуса постит, конечно. Стесняется того собрания светочей криптографической мысли, которые тут собрались.

Брюс, вы не стесняйтесь. Тут на днях Шамир с Адельманном тоже заходили. Оставили пару комментов в Talks.

ivlad ★★★★★
()
Ответ на: комментарий от ivlad

> Вто и Брюс Шнайер к нам пожаловал. От анонимуса постит, конечно. Стесняется того собрания светочей криптографической мысли, которые тут собрались

а если кому-то это не нравится, то к нему персонально на рюмку чая может и Брюс Ли зайти интеллектом померяцца.

Window_Snyder
()
Ответ на: комментарий от saper

> А в России их можно будет использовать? У нас по законодательству шифрование - это только ГОСТ (только его сертифицируют), а для использования шифрования нужны: > - лицензия на эксплуатацию средства криптографической защиты информации (СКЗИ); > - сертификат на само СКЗИ.

> Эти документы выдавало ФАПСИ, а ныне их выдает ФСБ.

Уже всё выдано и кому надо пользуют:

http://www.altlinux.ru/products/enterprise/

Android
()
Ответ на: комментарий от mutronix

> > И что мне за это будет?

> А ты пофантазируй. Тебе понравится ;)

Что-то сплошь тентакли вспоминаются... наверное я очень испорченный мальчик :)

e
()
Ответ на: комментарий от robot12

> >>И нафиг этот говенный ГОСТ кому нужен?

> >уязвимостей в нём пока не найдено, хотя может и не искали =)

> Сидльный недостаток данного алгоритма состоит в том, что начальные таблицы выдаются ФСБ (если продукт необходимо сертифицировать) а таблицы разные быват, менее криптостойкие и более ... так что ...

Буква Ф значительно отличает данную службу от других СБ по задачам, ибо зачача - не залезть в чужой карман и установить там контроль, о обеспечить (со времён прежнего названия службы) ГБ. Соответственно всё написанное Вами является бредом и некомпетентностью - если, как Вы говорите "таблица будет менее криптостойкой" - её похакает вероятный противник, и тогда уже будет не финансовый убыток, а гораздо более серьёзные последствия. Хотя, "баблоидам" этого конечно не понять - что может быть дороже денег ?

anonymous
()
Ответ на: комментарий от anonymous

получается и vpn Нельзя использовать и даже сам windows -там есть и криптованные системы и хеши , и щифрование пароля , вообщем в нашей стране запрещается использовать безопасные системы -только небезопасные. БРЕД тоталитарного государства, чему удивлятся -то - на права водителя сдать для получения медицинской справки нужен военный билет.

EasyLinuxoid ★★
()
Ответ на: комментарий от EasyLinuxoid

А какая разница можно или нельзя?
Законы у нас давно бредовые, все соблюдать замучаешься
Так что что надо - то используем, что не надо - не используем
Да и как они собираются предъявлять претензии к юзеру, который использует криптопрограммы установленные в системе? Это надо на производителя наезжать, а это они могут и не асилить

KUser
()

Вопрос о шифровании давно перетирался. Практически официальный вывод такой, что использование ГОСТов и лицензий с сертификатами необходимо:

Если криптосистемы используются для защиты гостайны или прочей тайны, которую необходимо защищать по закону.

Если ведётся коммерческая разарботка и предложение на рынке криптосистем.

Во всех остальных случаях шифроваться можно как угодно и разрабатывать можно что угодно, нет закона, который устанавливал бы ответственность.

anonymous
()

vitus, а ваш сертифицированный модуль и референсная реализация взаимозаменяемы в смысле технической работоспособности. Я не говорю о законе, а вот будет ли сертифицированный модуль работать с данными, созданными несертифицированным и наоборот?

anonymous
()
Ответ на: комментарий от anonymous

> Практически официальный вывод такой, что использование ГОСТов и лицензий с сертификатами необходимо:

Практически официальный???

> Если криптосистемы используются для защиты гостайны или прочей тайны, которую необходимо защищать по закону.

На большинстве средних и крупных предприятий есть понятие "коммерческая тайна".

> Если ведётся коммерческая разарботка и предложение на рынке криптосистем.

Про это я уже отписал, этих давно ловят (кто без лицензии). То есть можно уже и ASP и ALT за жабры брать? Лицензий у них вроде нет, а вот доработку пакетов *SSL, *SSH, *SWAN они делали и делают.

saper ★★★★★
()
Ответ на: комментарий от saper

да чего вы все паритесь-то? написано же что использование шифровальных средств на _государственных_ предприятиях. Все остальные могут забить. Хотя конечно список предприятий немного шире "обязательному лицензированию подлежит деятельность (предприятий), связанная с шифровальными средствами и предоставлением услуг по шифрованию информации".

вот утопичный пример, гос.налоговая служба сделала сайт с поддержкой https (читай openssl - может и не openssl, но тогда в рассеи должны быть центры выдачи сертификатов которые поддерживаются всеми браузерами и SSL софт который написан с оглядкой на ФСБ), теперь можно налоговую можно смело закрывать, потому что она использует не лицензированные средства шифрования.

anonymous
()
Ответ на: комментарий от robot12

> Сидльный недостаток данного алгоритма состоит в том, что начальные таблицы выдаются ФСБ

Выдохните дым вашей травы и вдохните воздуха. Таблица генерируется и является "долговременной частью ключевой информации", и ни с каким продуктом "ключей выданых ФСБ" не идет - их генерирует пользователь.

no-dashi ★★★★★
()
Ответ на: комментарий от anonymous

> vitus, а ваш сертифицированный модуль и референсная реализация взаимозаменяемы в смысле технической работоспособности. Я не говорю о законе, а вот будет ли сертифицированный модуль работать с данными, созданными несертифицированным и наоборот?

Конечно. На то и RFC. Поскольку оба модуля реализуют три недавно принятых RFC - 4357 4490 4491, то они совместимы и между собой, и с проприетарным программным обеспечением других российских производителей, которые поддерживают эти RFC. В конце RFC 4357 можно прочитать список компаний.

vitus
() автор топика
Ответ на: комментарий от no-dashi

> Выдохните дым вашей травы и вдохните воздуха. Таблица генерируется и является "долговременной частью ключевой информации", и ни с каким продуктом "ключей выданых ФСБ" не идет - их генерирует пользователь.

Таблицы опубликованы в RFC 4357 авторы которого Чудов и Леонтьев. Вы можете попробовать отловить Леонтьева в фидошных эхах RU.CRYPT или RU.UNIX.PROG и спросить, откуда он взял таблицы, вошедшие в RFC.

vitus
() автор топика
Ответ на: комментарий от anonymous

> Соответственно всё написанное Вами является бредом и некомпетентностью - если, как Вы говорите "таблица будет менее криптостойкой" - её похакает вероятный противник, и тогда уже будет не финансовый убыток, а гораздо более серьёзные последствия.

С другой стороны, есть и "внутренние враги" (оппозиция, олигархи и т.п.), за которыми хочется следить. Что перевесит?

askh ★★★★
()
Ответ на: комментарий от askh

Насколько я помню, есть два разных понятия - "шифрование" и "специальное преобразование". Первое - это то, на что требуется лицензии ФАПСИ (Крипто Про и пр.). Второе - это вся остальная самодеятельность - SSL, SHA, DES, AES и пр. - их применение не регламентировано. :-) Фапси может отдыхать !

sur02111976
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.