подскажиете как генерировать надежные пары ключей? где взять нормальный ГСЧ?

А какой дурак будет юридически значимые действия привязывать к проприетарному ПО, в котором может быть заложено что угодно? Ну кроме автора оного, который знает, что туда заложил.

стандарты открытые, код для ФСБ тоже открыт, если бы не коммерческая составляющая, то наверно, открыли бы коды для всех, РФ компании производители криптософта ведь создают какой-то open source код для интеграции своих криптоалгоритмов в SSH/OpenSSL и т.п.?

а кстати GPG разве сертифицирован какими-нибудь государствами как аналог нашего термина СКЗИ?

есть коммерческие версии PGP, не уверен даже у них есть ли какие-то сертификаты для судебных разбирательств например в $ША, а там это ой как дорого!$!$!

правоприменение в области copyright во многом построено на аналогичном западном опыте, не удивлюсь, если ситуация с УЦ такая же

Ходят слухи, что алгоритмы шифрования контролируют евреи-рептилоиды.

частично контролируют использование алгоритмов государства, а не отдельные евреи, но государства впрочем по факту (,а не формально) управляются известно кем :)

код для ФСБ тоже открыт,

При чём тут ФСБ? Если ПО предполагается для пользователей, то оно должно быть открыто. А если это внутренняя поделка для ФСБ, то тогда и вопрос сертификации не стоит — у них есть внутренний регламент.

а кстати GPG разве сертифицирован какими-нибудь государствами как аналог нашего термина СКЗИ?

А в каких государствах вообще есть понятие сертификации алгоритма?

При чём тут ФСБ? Если ПО предполагается для пользователей, то оно должно быть открыто.

есть много закрытого софта, производитель ничего не должен пользователям, чего он не обещал им в договоре купли продажи

А если это внутренняя поделка для ФСБ, то тогда и вопрос сертификации не стоит — у них есть внутренний регламент.

процесс сертификации, насколько я понимаю, состоит в том, чтобы проверить соответствует ли поделка этому регламенту или нет

есть много закрытого софта, производитель ничего не должен пользователям, чего он не обещал им в договоре купли продажи

Верно. Но если использовать закрытый офисный пакет можно, то закрытое ПО для безопасности — нонсенс.

процесс сертификации, насколько я понимаю, состоит в том, чтобы проверить соответствует ли поделка этому регламенту или нет

Регламенту ФСБ? Какое он имеет отношение к тем, кто в ФСБ не работает?

А в каких государствах вообще есть понятие сертификации алгоритма?

https://www.google.com/search?as_q="csps must comply with rigid requirements"...

Регламенту ФСБ? Какое он имеет отношение к тем, кто в ФСБ не работает?

я не в курсе про регламенты ФСБ, никакого отношения к ним не имею,

но предполагаю, что если у ФСБ есть определенные требования для производителей CSP типа SignalCOM, Lissi, Инфотекс, КриптоПро, и т.п., то эти производители должны выполнять определенные требования

Верно. Но если использовать закрытый офисный пакет можно, то закрытое ПО для безопасности — нонсенс.

есть много закрытого софта, имеющего отношение к безопасности, т.е. это практикуется

конечно я за открытый софт в области безопасности

Ессно есть идиоты, которые не понимают что такое безопасность. Но почему государство должно на них работать?

Ссылочка ведёт на один единственный источник. Оттуда не понятно, где эта сертификация нужна.

Вау, теме уже два года, а ты все не унимаешься.

Ессно есть идиоты, которые не понимают что такое безопасность. Но почему государство должно на них работать?

обычно имеют право критиковать те, кто лучше критикуемого объекта в определенной сфере деятельности,
я таг понимаю, ты большей специалист в области крипто и юридических науках?

а вообще лучше расслабься, пользуйся GPG, наслаждайся жизнью

Ссылочка ведёт на один единственный источник. Оттуда не понятно, где эта сертификация нужна.

первое что нашел, но инфраструктура PKI для УЦ придумана не в РФ, фирма Microsoft надо думать свой CryptoAPI не специально для РФ разрабатывала, и ограничения на CSP накладываются у них не просто так (как и у нас)

обычно имеют право критиковать те, кто лучше критикуемого объекта в определенной сфере деятельности,

я таг понимаю, ты большей специалист в области крипто и юридических науках?

Типа если ты не шеф-повар, не можешь оценить вкус еды в ресторане? Плохой, неправильный аргумент.

обычно имеют право критиковать те, кто лучше критикуемого объекта в определенной сфере деятельности,

а где я критикую?

Типа если ты не шеф-повар, не можешь оценить вкус еды в ресторане? Плохой, неправильный аргумент.

не все вкусное - полезное

а в данном случае ключевую роль играет невредность потребляемой «пищи» с юридической точки зрения

глютамат натрия очень вкусный, но очень неполезный

глютамат натрия очень вкусный, но очень неполезный

Ну попробуй, купи в магазине «невредные» продукты без глютамата.

Ну попробуй, купи в магазине продукты без глютамата.

а зачем пробовать, у меня их достаточно куплено

а зачем пробовать, у меня их достаточно куплено

Можно примерный список твоих продуктов без глютомата, если не включать в него соль и сахар.

Читаю и поражаюсь… как можно быть таким debилом как ОП ?

Ещё раз, почему юристы сертифицировали вместо популярных и заведомо стойких программных продуктов тот, который проверить вообще нельзя и который имеет проблемы с работоспособностью?

Можно примерный список твоих продуктов без глютомата, если не включать в него соль и сахар.

овощи, фрукты, остальное является персональной конфиденциальной информацией

Ещё раз, почему юристы сертифицировали

сертифицировали не юристы, а технические эксперты криптографы-алгоритмисты ФСБ РФ

вместо популярных и заведомо стойких программных продуктов

как эксперту в продуктах я вам очень доверяю

тот, который проверить вообще нельзя и который имеет проблемы с работоспособностью?

у меня работает, проверить сгенерированную ЭЦП можно open source-ными кто же мешает, несертифицированными

сертифицированные закрыты, много чего закрыто и используется

закрытое легче монетизировать

монетизированное активнее развивается

для многих бабло - главный мотиватор

глядя на активность работы наших производителей криптосредств можно только порадоваться их активности, если бы не платность и закрытость, то была бы убогость, в плане эффективности не уверен, но она и не нужна при генерации подписи, а шифровать большие объемы данных мне нафик не надо

сертифицировали не юристы, а технические эксперты криптографы-алгоритмисты ФСБ РФ

Ты всё попутал. Ты сначала сказал что сертификация нужна для юридических вопросов, но теперь сертифицируют криптографы.

монетизированное активнее развивается

Этому мифу уже столько лет, что можно прямо щас взять и пересчитать, сколько закрытого софта сдохло, а сколько открытого живо поныне. Закрытое умирает рано или поздно по мановению автора — это факт. По нынешним мировым законам ты не можешь заставить их работать если они решили закрыться — это тоже факт. И все твои сертификаты вылетают в трубу, потому что автор криптопро наигрался и решил что он ему больше не нужен.

для многих бабло - главный мотиватор

В мире много дебилов, да.

глядя на активность работы наших производителей криптосредств можно только порадоваться их активности, если бы не платность и закрытость, то была бы убогость

Круто ты опустил ваших производителей криптосредств. В остальном мире-то они открытые и свободные, и намного круче ваших.

овощи

Ну мне без картошки/морковки/помодорок жить сильно скучно, а ты как обходишься?

В остальном мире-то они открытые и свободные, и намного круче ваших.

да да, Microsoft Windows+CryptoAPI+CSP десятков производителей в США все открытые преоткрытые

на их фоне КриптоПро просто монстр закрытости

Ну мне без картошки/морковки/помодорок жить сильно скучно, а ты как обходишься?

хорошая тема для обсуждения в данной ветке, просто прекрасная

Ты всё попутал. Ты сначала сказал что сертификация нужна для юридических вопросов, но теперь сертифицируют криптографы.

ну ты смешной, про разделение труда когда-нибудь слыхал?

да да, Microsoft Windows+CryptoAPI+CSP десятков производителей в США все открытые преоткрытые

Найди ещё больше ноунеймов, и расскажи что их использует каждый африканский ребёнок.

Найди ещё больше ноунеймов, и расскажи что их использует каждый африканский ребёнок.

http://www.newsru.com/finance/16dec2014/nemicrosoft.html

Российский фондовый рынок стал худшим в мире - он стоит меньше одного Microsoft

А моя почка стоит больше тысячи экземпляров винды. Давай ещё что-нибудь сравним в цветных бумажках?

хорошая тема для обсуждения в данной ветке, просто прекрасная

Наверное потому ты её сюда и принёс.

Наверное потому ты её сюда и принёс.

точно нет

Типа если ты не шеф-повар, не можешь оценить вкус еды в ресторане? Плохой, неправильный аргумент.

А моя почка стоит больше тысячи экземпляров винды. Давай ещё что-нибудь сравним в цветных бумажках?

зачем трололо?
твоей почкой венду не заменишь
меньше пей спиртное

зачем трололо?

Это должен быть мой вопрос :)

точно нет

Типа если ты не шеф-повар, не можешь оценить вкус еды в ресторане? Плохой, неправильный аргумент.

Эта аналогия была приведена тебе для наглядности и хотя бы не содержала ошибок.

Эта аналогия была приведена тебе для наглядности и хотя бы не содержала ошибок.

аналогию проводить нужно с учетом контекста, а не вырывая короткие фразы,

еще раз повторю, что вкус оценить самостоятельно можно, а последствия поедания вкусной отравы наврядли

причем отравой оно становится только после смешения инградиентов юридических+GPG хотя по отдельности они относительно безвредны

вкус оценить самостоятельно можно, а последствия поедания вкусной отравы наврядли

Почему? В безвредности глютомата (при употреблении в пищу) убедиться достаточно просто. Точно так же очевидно что сертификация фстэк ничего не говорит о надёжности. Так же очевидно, что там где требуют фстэк нужно использовать фстэк но не потому что надёжно, а потому что иначе наживёшь геморрой, ради которого эту сертификацию и придумали.

отравой оно становится только после смешения инградиентов юридических+GPG

Компьютер превращается в тыкву, как только хотя бы один бит зашифруешь gpg и покажешь бит юристу?

В безвредности глютомата (при употреблении в пищу) убедиться достаточно просто.

уже убедились:
http://www.logoslovo.ru/media/pic_middle/3/9351.jpg

Компьютер превращается в тыкву, как только хотя бы один бит зашифруешь gpg и покажешь бит юристу?

ваш товарищ каг раз по теме вашего коментария ответил:

Точно так же очевидно что сертификация фстэк ничего не говорит о надёжности. Так же очевидно, что там где требуют фстэк нужно использовать фстэк но не потому что надёжно, а потому что иначе наживёшь геморрой, ради которого эту сертификацию и придумали.

уже убедились:
http://www.logoslovo.ru/media/pic_middle/3/9351.jpg

угу https://i.ytimg.com/vi/PU9Lyk8Ktec/hqdefault.jpg

Тогда при чём тут специалист по криптографии? Просто заверить свой велосипед ради проблем с юристами могут и сами юристы.

Отделяй мух от котлет, то что законодательство требует использовать только гост и фстэк в определённых случаях не должно помешать доказать в суде авторство документа, подписанного рса в гпг.

Отделяй мух от котлет, то что законодательство требует использовать только гост и фстэк в определённых случаях не должно помешать доказать в суде авторство документа, подписанного рса в гпг.

а при чем тут авторство?

речь была о подписи - т.е. юридически значимом аналоге собственноручной подписи

чего бы ты не манипулировал со своими GPG, SMS, любой другой херомантией, я всегда могу заявить, что она не сертифицированная, что писменного договора у нас с тобой не было, и твоя херомантия идет лесом, являясь филькиной грамотой

угу https://i.ytimg.com/vi/PU9Lyk8Ktec/hqdefault.jpg

музыкант? баянист?

Тогда при чём тут специалист по криптографии? Просто заверить свой велосипед ради проблем с юристами могут и сами юристы.

потому что велосипедом она является только с твоей неэкспертной точки зрения, а с точки зрения лицензированных экспертов является кандидатом в СКЗИ

С точки зрения лицензированных экспертов она является тем, что им дали указание лицензировать. Я очень сомневаюсь, что в данном случае кого-то интересует криптостойкость. Мне пользователи криптопро также говорят, что там процесс лицензирования вообще не включает проверку кода (т.е. само программное решение не оценивается никак), но это уже на уровне ОБС.