подскажиете как генерировать надежные пары ключей? где взять нормальный ГСЧ?

С точки зрения лицензированных экспертов она является тем, что им дали указание лицензировать. Я очень сомневаюсь, что в данном случае кого-то интересует криптостойкость. Мне пользователи криптопро также говорят, что там процесс лицензирования вообще не включает проверку кода (т.е. само программное решение не оценивается никак), но это уже на уровне ОБС.

слухами как говорится земля полнится

Ну пока в этом треде никакой достоверной информации не всплывало. Мы только знаем, что есть некий продукт, который делает неизвестно что (закрыт) и который лицензировали юристы для использования юристами. Но кое-кто почему-то думает что этот продукт можно использовать там где нужна безопасность.

кстати интересно, есть ли статистика по количеству случаев, когда крупные известные коммерческие производители сертифицированных закрытых CSP облажались?

были ли подвержденные случаи с КриптоПро, когда его встраивание было сертифицировано, но все равно облажались?

или хотябы на уровне слухов

музыкант? баянист?

Просто первая попавшаяся фотка из гугла.

хочу еще раз разъяснить свою позицию, что я поддерживаю открытие кодов юридически значимых СКЗИ хотя бы частично как минимум для прохождения независимой экспертизы

Было бы замечательно, если бы вместо КриптоАРМ можно было бы использовать хотя бы старую зафиксированную версию GPG, которую бы можно было бы собрать из исходников с предопределенного ФСБ LiveCD и получить в результате ELF executable с заранее известной контрольной суммой.

В идеале, чтобы туда были интегрированы в т.ч. и открытые эллиптические алгоритмы РФ и чтобы при желании их можно было бы цеплять еще и к SSH, SSL, OpenVPN и т.п.

чего бы ты не манипулировал со своими GPG, SMS, любой другой херомантией, я всегда могу заявить, что она не сертифицированная, что писменного договора у нас с тобой не было, и твоя херомантия идет лесом, являясь филькиной грамотой

Мне лень ковырять новый закон про ЭЦП на эту тему, но на сколько я знаю теперь часть про всегда могу заявить неверна. Но в конце концов всё упрётся в правоприменительную практику, где использование сертифицированных средств всё равно ничего не будет гарантировать.

Мне лень ковырять новый закон про ЭЦП на эту тему, но на сколько я знаю теперь часть про всегда могу заявить неверна. Но в конце концов всё упрётся в правоприменительную практику, где использование сертифицированных средств всё равно ничего не будет гарантировать.

если нет предварительного письменного соглашения, то гуляете лесом,

а то умников бы много нашлось набрать кредитов и т.п.
понятно, что все эти действия подпадают под УК

Хотя бы взять условия старого договора дом.ру, которые могут добавлять новые условия на своем сайте

А если там есть форум, то один из пользователей на сайте пишет, что вы должны ему много дэнег и вы выполняете условие договора?

Слава Богу и нашим законодателям, что без подписанного бумажного договора такое жульничество лишь создание недействительного кабального договора и повод для подачи в суд за мошейничество со стороны компании

Облажались в каком плане?

если нет предварительного письменного соглашения, то гуляете лесом,

Кто мешает его получить? И да это как раз и касается пункта про «всегда». Ещё имей в виду, что отвечать за мошенничество можно даже при наличии личных подписей на бумажном договоре.

Облажались в каком плане?

ну например, кому-то удалось бы достаточно быстро извлечь закрытый ключ с криптотокена, т.е. разработать повторяемую методику, когда владелец мог бы неуспеть отозвать свой сертификат

или кому-то бы удалось генерировать подписи лица, не имея его закрытого ключа

хотя бы это

Доказательство авторства и доказательство не авторства это разные вещи. Ты не можешь доказать, что такой-то человек использовал подпись — даже если она сертифицированная, ы просто скажу что ключ украли. А вот наоборот можно — если я скажу что я написал такой-то текст, потому что вот моя подпись в gpg, то это доказательство.

Кто мешает его получить?

а как получить писменное соглашение законным способом, если подписант не согласен его подписывать? только подделать? - уголовная статья и неправда со стороны злоумышленника

Учитывая ничтожную популярность, хакеры могут просто не интересоваться этим криптопром. Это же не тор, который ФСБ все хотело хакнуть за деньги.

Ты не можешь доказать, что такой-то человек использовал подпись — даже если она сертифицированная, ы просто скажу что ключ украли.

нужно об утере ключа сообщить в УЦ, там это зафиксируют и подпись потеряет юридическу силу с момента оповещения

А вот наоборот можно — если я скажу что я написал такой-то текст, потому что вот моя подпись в gpg, то это доказательство.

наоборот можно, что угодно, только на это наплевать другой стороне и законному арбитру

а как получить писменное соглашение законным способом, если подписант не согласен его подписывать?

Искать другого подписанта. А, собственно, кто мешает подписанту отказаться от подписания любой другой бумажки? Понятно есть крайние случаи взаимодействия например с гос органами, но с ними и без эцп проблем полно.

Учитывая ничтожную популярность, хакеры могут просто не интересоваться этим криптопром. Это же не тор, который ФСБ все хотело хакнуть за деньги.

Tor - это скорее всего вторая половинка PRISM, к которой ФСБ доступа нет
предположительно он позволяет скрыть свой трафик от ФСБ, и полностью открыть его АНБ

очень удобно для социальной инженерии протестных масс

Искать другого подписанта.

какого друго, если нужен конкретный контрагент

А, собственно, кто мешает подписанту отказаться от подписания любой другой бумажки?

ну если он сам собственноручно подписал и потом отказывается от подписи, то это тоже незаконно

Понятно есть крайние случаи взаимодействия например с гос органами, но с ними и без эцп проблем полно.

с ЭЦП с ними проблем меньше

какого друго, если нужен конкретный контрагент

В таком случае у эцп будет одной из самых незначительных проблем.

ну если он сам собственноручно подписал

Ты не понял, он просто ничего не подписывает, рожа мол твоя не устраивает и ничего подписывать не буду.

Ты не понял, он просто ничего не подписывает, рожа мол твоя не устраивает и ничего подписывать не буду.

ну так это его право, в чем собственно проблема?

подписание чего-либо - есть дело добровольное, по сути волеизъявление подписывающей стороны, подтверждение ее согласия с содержимым подписываемого договора или документа

хочет подписать - подписывает
не хочет подписать - посылает на куй, предлагающего подписать такой документ

хочет подписать - подписывает
не хочет подписать - посылает на куй

Так вот в том то и дело, тут договор о эцп ничем не отличается от остальных. Вывод: хочешь гарантированно надёжно - заключай договор и пользуй стойкую криптографию, хочешь сертифицированные скзи - можешь забить на надёжность ключей/нормальность гсч.

нужно об утере ключа сообщить в УЦ, там это зафиксируют и подпись потеряет юридическу силу с момента оповещения

«нужно» это хорошо, но по факту ты можешь обнаружить компрометацию ключа через некоторое время вплоть до месяцев.

наоборот можно, что угодно, только на это наплевать другой стороне и законному арбитру

Если арбитру наплевать на доказательство потому что у него нет сертификата, то судебную систему можно викинуть нафиг. Одно дело сертификация на уровне «мы гарантированно поддерживаем этот протокол на гос сайтах», и совсем другое «мы не принимаем доказательства без сертификата в суде».

Так вот в том то и дело, тут договор о эцп ничем не отличается от остальных.

а почему он должен отличаться? по форме он и не должен отличаться от других договоров в простой писменной форме

Вывод: хочешь гарантированно надёжно - заключай договор и пользуй стойкую криптографию

трудно и/или невозможно на территории РФ найти арбитра, слово которого будет весомо в суде РФ и для приставов

хочешь сертифицированные скзи - можешь забить на надёжность ключей/нормальность гсч.

думаю надежности КриптоПро eToken CSP с неизвлекаемыми ключами вполне достаточно для договоров в пределах $10K за каждый, а больше мне и не надо
суд РФ обязан рассматривать споры по таким договорам

Если арбитру наплевать на доказательство потому что у него нет сертификата, то судебную систему можно викинуть нафиг. Одно дело сертификация на уровне «мы гарантированно поддерживаем этот протокол на гос сайтах», и совсем другое «мы не принимаем доказательства без сертификата в суде».

правильнее сказать не наплевать, а вас затаскают по экспертизам, за которые придется платить вам, слишком дорого и муторно и суду такое тоже нафик не надо им проще прогнать сертифицированную ЭЦП через АРМ разрешения конфликтных ситуаций, а не париться с вашими GPG

меня судебная система РФ пока устраивает, с моей стороны к ней претензий нет

также меня пока вполне устраивает система PKI УЦ, КриптоАрм, КриптоПро eToken CSP

ничего лучшего комплексно пока в РФ недоступно с моей точки зрения

правильнее сказать не наплевать, а вас затаскают по экспертизам, за которые придется платить вас, слишком дорого и муторно и суду такое тоже нафик не надо им проще прогнать сертифицированную ЭЦП через АРМ разрешения конфликтных ситуаций, а не париться с вашими GPG

Загоняют на каком основании? Достаточно показаний экспертов в одном случае на все прецеденты (если один раз доказали что gpg криптостойкий, то зачем это делать ещё раз, если алгоритм не меняется?).

меня судебная система РФ пока устраивает, с моей стороны к ней претензий нет

Хе-хе, ну на этом в принципе можно и закончить разговор :3

Загоняют на каком основании? Достаточно показаний экспертов в одном случае на все прецеденты (если один раз доказали что gpg криптостойкий, то зачем это делать ещё раз, если алгоритм не меняется?).

у нас непрецедентная система

на любые показания экспертов, другая сторона может привлечь еще стопяцот экспертов, поэтому и придумали сертифицированные СКЗИ и АРМ разрешения конфликтных ситуаций, чтобы было все по накатанной (почти прецедентно)

предположительно он позволяет скрыть свой трафик от ФСБ, и полностью открыть его АНБ

Предположительно кем? Криптоэкспертами из ФСБ? Понятно что всем хочется денег из ничего, которые можно выпилить из принципиально нового сертифицированного алгоритма.

Конечно в абсолютных числах да, ни один алгоритм не защищён от бэкдоров на 100%. Но если тот же тор защищён на 90%, то криптопро защищён на 0%, поскольку его кода не видно и нельзя проверить на бэкдоры вообще никак.

у нас непрецедентная система

Это значит, что любой суд может задавать один и тот же вопрос с заведомо одним и тем же ответом? Что-то это слишком упорото.

на любые показания экспертов, другая сторона может привлечь еще стопяцот экспертов

Эксперты тем и отличаются от обычных свидетелей, что дают показания не от балды, а основываясь на фактах. Так не бывает, что один эксперт заявляет что алгоритм криптостойкий, а другой что не криптостойкий, и невозможно понять кто прав. Либо есть факты уязвимостей, либо их нет.

поэтому и придумали сертифицированные СКЗИ и АРМ разрешения конфликтных ситуаций

Каким образом они их разрешают? Я так же могу позвать эксперта, который скажет что они дырявые. Или если они сертифицированы, то все факты автоматически игнорируются в пользу их авторов?

Но если тот же тор защищён на 90%

TOR работает в паре с PRISM, без PRISM он защищен на 100%, не учитывая съем на концах линии другими способами хоть зачитайся его исходники, явного бэкдора там не найдешь

с PRISM он защищен от АНБ примерно на 0% за счет съема на концах линии, а от ФСБ защищен ровно настолько, насколько им предоставлен доступ в систему PRISM, т.е. если в интересах США, то также на 0%, если против интересов США то защита работает скорее всего на 100%

Эксперты тем и отличаются от обычных свидетелей, что дают показания не от балды, а основываясь на фактах. Так не бывает, что один эксперт заявляет что алгоритм криптостойкий, а другой что не криптостойкий, и невозможно понять кто прав. Либо есть факты уязвимостей, либо их нет.

стоимость такого рассмотрения скорее всего окажется сравнимым с сертификацией в ФСБ, т.е. тысячи USD, потраченные на экспертов и бесконечные аппеляции

Каким образом они их разрешают? Я так же могу позвать эксперта, который скажет что они дырявые. Или если они сертифицированы, то все факты автоматически игнорируются в пользу их авторов?

это незаконно, вас проигнорируют в суде

TOR работает в паре с PRISM

Ссылку на пруфы плиз.

То что у тора есть дыра в виде конечных узлов — это так.

с PRISM он защищен от АНБ на 0% за счет съема на концах линии, а от ФСБ защищен ровно настолько, насколько им предоставлен доступ в систему PRISM, т.е. если в интересах США, то на также на 0%, если против интересов США то защита работает на 100%

Бред. Тор не защищает от выходных узлов, коими могут быть абсолютно любые компьютеры в сети. Включая узлы США, ФСБ, МГБ КНДР и любой другой страны.

это незаконно, вас проигнорируют в суде

Что незаконно? Предоставление доказательств в суде? С каких пор?

Что незаконно? Предоставление доказательств в суде? С каких пор?

прошу прощения, неправильно выразился, я не юрист

правильнее сказать, что к уровню экспертов скорее всего предъявляются очень высокие требования, почитайте на форумах про подобные длительные бодяги

очень сомневаюсь, что какой-нибудь суд РФ вынесет решение, что на основе показания ваших экспертов сертификация КриптоПро ошибочная, вам придется обращаться к экспертам ФСБ, а они вам такое заключение не выдадут, хотя может быть и согласятся на повторную сертификацию, если вы оплатите и если будут найдены баги, на которые вы укажите, то выпустят новую версию с новым сертификатом, если очень серьезная уязвимость, то возможно отзовут старый сертификат

можете рассматривать использование СКЗИ для подписания договоров в качестве приведения судебной системы РФ от непрецидентного права к прецедентному в очень узкой области права, которая регулирует правила подписания договоров, сделок, обязательств.

Прецедентность обеспечивается использованием АРМ-а «разбора конфликтных ситуаций»

Ссылку на пруфы плиз.

это мое предположение, потому что было упоминание (гуглите сами), что PRISM может сопоставлять входящий и исходящий трафик с любых туннелей, если открытый трафик на обоих концах туннеля находится в пределах досигаемости PRISM, TOR - не исключение

т.е. использовать TOR из США, пытаясь спрятаться от властей, скорее всего - нонсенс, он что есть для них, что нет, прозрачная декорация

а кстати часть участников этой ветки походят на тролей кремлеботов технократического крыла, оставляющих наводящие компроментирующие заведомо неправильные утверждения, зная заранее, что я буду их опровергать, потому что мне эта тема интересна и я недавно ее изучал, этакий бесплатный пиар ЭЦП получился

для многих бабло - главный мотиватор

В мире много дебилов, да.

все качественные услуги предоставляются только в меру покупательской способности приобретателей

деньги как один из вариантов их применения - это мера измерения кол-ва покупательской способности, передаваемой от одного лица другому

предоставлять кому-либо способность (покупательскую) попользоваться вами, а самим при это в обмен не получить возможность (покупательскую способность) пропорционально вашему вкладу (например, затратам времени, включая образование) попользоваться другими сервисами и услугами - это конечно ЧРЕЗВЫЧАЙНО умно

что PRISM может сопоставлять входящий и исходящий трафик с любых туннелей, если открытый трафик на обоих концах туннеля находится в пределах досигаемости PRISM

вернее там вроде бы речь шла, что на одном конце должен быть открытый, который они будут сниферить, а на втором конце достаточно и закрытого, отслеживается по задержкам, кол-ву пакетов, еще каким-то признакам, гуглите

Ну я ж говорю, есть те кто без оплаты не почешутся. К счастью, не на них развитие строится.

Где вы такую забористую траву берете?

Ну я ж говорю, есть те кто без оплаты не почешутся. К счастью, не на них развитие строится.

https://sfbay.craigslist.org/search/sof
сплошная деградация

Где вы такую забористую траву берете?

из ваших коментов

При чём тут список работ? Ты ещё скажи что работа дворника — это сплошная эволюция. Не стоит путать работу и развитие — они могут пересекаться, но не зависят друг от друга никак.

Где в моих комментах теория заговора про американцев, которые прослушивают всех через тор?

При чём тут список работ?

http://voprosik.net/pochemu-v-rossii-net-vysokix-texnologij/

без работ не было бы и линукса со всеми его сегодняшними enterprise фишками

без работ не было бы и линукса со всеми его сегодняшними enterprise фишками

Линукс писался студентом дома, именно потому что созданный в рамках работы продукт был хуже и Линуса не устраивал.

Линукс писался студентом дома, именно потому что созданный в рамках работы продукт был хуже и Линуса не устраивал.

предлагаю на этом замечательном вашем замечании закончить нашу дискуссию, оно очень хорошо подтверждает уровень ваших знаний

Большое спасибо студенту, за то что он продолжает радовать нас новыми релизами оси, которая конкурирует с AIX, Solaris и др. UNIX