Что даёт ФСТЭК?

Если твоя контора по роду деятельности должна удовлетворять госорганы бумажками, а в штате нету человека, который обоснует в бумажках, что особый линукс ненужен, то придётся за это добрецо заплатить и после трахаться с ним. Больше оно ни для чего не нужно.

В общем это обычные проверки на отсутствие совсем уж очевидных сетевых уязвимостей и «отсутствие не декларированных возможностей».

И присутствие сертифицированных уязвимостей.

И присутствие сертифицированных уязвимостей.

Вообще то в случае с СПО сертифицируют открытый код, и даже не вносят в него изменений.

А там разве не требуется наличие работы со всякими гостовскими шифрованными протоколами?

А там разве не требуется наличие работы со всякими гостовскими шифрованными протоколами ?

А это разве OpenSSL уже не поддерживает давно ?

Не знаю, поэтому и спрашиваю.

А там разве не требуется наличие работы со всякими гостовскими шифрованными протоколами?

Большая часть применяемых ГОСТов на шифрование является точными аналогами соответствующих международных стандартов, даже у RSA вроде есть ГОСТ свой.

И ты не правильно мыслишь, если в составе ОС есть одни методы шифрования - это не означает что там нет других. Да и использование таких дистрибутивов предполагает что обмен информацией в установленных форматах будет идти с государственными организациями. А при работе с частными, никто не запрещает использовать другие алгоритмы. Так что внесение уязвимостей в государственные стандарты менее всего государству нужно.

Не знаю, поэтому и спрашиваю.

Тогда ответ вот: http://www.cryptocom.ru/opensource/openssl100.html

А зачем его сертифицировать? Недоверие к сообществу разработчиков? Они код свой открыли - этого разве мало? Аудита разработчиков и мантейнеров вполне достаточно.

Бэкдоры и так заметят. Если нет доверия то надо тогда пилить собственный дистр, со своими патчами и т.п. но не заниматься видимостью тяжелой и кропотливой «работы работать» и созданием нужности.

Если это действительно необходимо то нужно делать это безвозмездно, оперативно не встревая и ненавязчиво.

В конце концов, что это за сертификация такая, в предмете которой постоянное решето?

А зачем его сертифицировать? Недоверие к сообществу разработчиков?

Недоверие ко всему что не контролируют напрямую. Впрочем это суть всех структур интенсивно работающих с государственной тайной.

Твоё негодование вполне понятно. Но тут верны и опасения того что кто то для работы с государственной тайной поставит себе на компьютер BolgenOS. Ну ты понял.

Но никто и нигде за всё это время так и не объяснил, что именно проверяется в дистрибутиве в процессе сертификации.

В процессе сертификации подтверждается факт соответствия продукта заявленным характиристикам. В этом вся суть.

Большая часть применяемых ГОСТов на шифрование является точными аналогами соответствующих международных стандартов, даже у RSA вроде есть ГОСТ свой.

Что есть «точный аналог»? Математика везде одна? :D

Что есть «точный аналог»? Математика везде одна? :D

Грубо говоря, описание стандарта переведено с английского на русский язык. А реализация может быть любой.

Собственно суть сертификации в том что бы подтвердить что ПО соответствует заявленным возможностям и стандартам и не содержит недокументированных возможностей позволяющих получить к этой информации несанкционированный доступ. Если сказать ещё проще, это такой аудит.

Видите ли, если в код действительно ничего не вносят, то это нахер никому не нужный развод. Ну разве что для контор (как мне любезно подсказали выше), которым иначе будет тяжко.

Сертификация уменьшает юридические риски, больше она ни для чего не нужна.

Вы все правильно понимаете. Сертификация ФСТЭК не более чем механизм допуска к кормушке установленных лиц и контор. Не болеее того. Кроме сертификата и лицензий ФСТЭК ничего не дает.

Я да же уверен, что там и bash не патченый :)

Сертификация уменьшает юридические риски,

Да же этого она не уменьшает. Ответственность ФСТЭК не несет, только конечный эксплуатант.

рожденный брать, давать не может

Ответственность ФСТЭК не несет

И если воспользуются свежей уязвимостью извне (например баЩ), избрав целью сертифицированный ФСТЭК продукт, то тоже никто ни за что не отвечает. *Разведут*, руки: мы тут не причем, это не к нам в наши функции это не входит. Мы только сертификаты выдаем^W продаем...

Да кормушка. Эта кормушка бы имела шансы самой прикрыться, если бы кроме сертификатов несли бы ответственность за такого рода сертификацию.

Например тех.осмотр ведь так примерно работает. Да много чего.

Но никто и нигде за всё это время так и не объяснил, что именно проверяется в дистрибутиве в процессе сертификации.

На сайте ФСТЭК регламенты лежали раньше, лично видел и читал своими глазами.

Выглядит так, как будто это формальная процедура и «пустышка», чтобы продать «корпоративный» продукт за большие деньги?

Выглядит как будто kknight студент и решил набросить, начинавшись оппозиционных блогов. Ключевые слова: недекларируемые функции изделия; закон о гостайне; засекреченные ТЗ/ТУ/регламенты/требования/ГОСТы/etc.

Теряется ли сертификация при установке дополнительного ПО, обновлений?

Можно ставить сертифицированные обновления и сертифицированное ПО, допущенное к задаче. Иначе — см. УК РФ. Но лично тебя это не коснётся.

Одни вопросы...

Если твоё предприятие не сертифицировано ФСТЭК/ФСБ/МО РФ для работы с гостайнами и соотв.разработкой поделий, то в эти вопросы вообще не должны возникать.
Если твоё предприятие имеет всё необходимое, то обратись к руководителю предприятия или ответственном лицу.

Если твоё предприятие не сертифицировано ФСТЭК/ФСБ/МО РФ для работы с гостайнами и соотв.разработкой поделий, то в эти вопросы вообще не должны возникать.

А для обработки персональных данных сертифицированное ПО уже не требуется?