Криптозащита

Потому что надо попилить бабло.
/thread

Потому что тебе нужно прочитать каким требованиям должны соответствовать защищённые системы класса A[123] и не задавать больше глупых вопросов.

Напишите, пожалуйста, на какие слова гуглить,
или, лучше ссылку на документ.

У меня есть правда сомнения, что документ для специалистов понятен простым людям, а не написан на смеси технического с юридическим.

Вот нашел
http://www.fstec.ru/_razd/_ispo.htm
Руководящий документ
Автоматизированные системы.
Защита от несанкционированного доступа к информации
Классификация автоматизированных систем и

требования по защите информации

...
должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС;

Т.е. я правильно понимаю, что если в подъезде нет вахтера,
то граждане не могут использовать ЭЦП?

Кстати, где сказано, что уровни должны быть А123 ?

При обработке или хранении в АС информации, не отнесенной к категории секретной, в рамках СЗИ НСД государственным, коллективным, частным и совместным предприятиям, а также частным лицам рекомендуются следующие организационные мероприятия:
...
выбор класса защищенности АС в соответствии с особенностями обработки информации (технология обработки, конкретные условия эксплуатации АС) и уровнем ее конфиденциальности;

http://www.fstec.ru/_docs/doc_3_3_004.htm

>рекомендуются
я тоже могу рекомендовать

> Т.е. я правильно понимаю, что если в подъезде нет вахтера, то граждане не могут использовать ЭЦП?

Для личной переписки - пожайлуста. А для работы с грифованными документами - нет. Для обработки документов с определёнными грифами комп не должен даже иметь физического подключения к сети.

Если надо - нужны специальные сертифицированные такие железные коробочки, где всё подписывание и будет производиться, и в момент передачи документа коробочка отрубается от компа (автоматом, естественно).

Для личной переписки - пожайлуста.

А для работы с грифованными документами - нет.

Мне нужно обеспечить юридическую значимость обращения гражданина в государственный орган или коммерческую организацию. Это не грифованный документ. Однако, насколько я понял, это система, позволяющая различать отдельных пользователей, т.е. только А1 и никакая другая.

> ArsenShnurkov (фотография) http://www.fstec.ru/_docs/doc_3_3_004.htm

Угу. И во всех классах есть требование:

4.1. Обеспечение целостности программных средств и обрабатываемой информации

Как это релизуется - отдельный вопрос.

выбор класса защищенности АС в соответствии с особенностями обработки информации (технология обработки, конкретные условия эксплуатации АС) и уровнем ее конфиденциальности;

Для работы с госами уровни АС регулируются отдельными ведомственными постановлениями.

3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах

Для работы с госами уровни АС регулируются отдельными ведомственными постановлениями.

Мне не понятно, как уровень защиты может быть меньше A1, если требуется доказать в суде, что подписал именно этот гражданин, т.е. требуется пункт 3.2. см. выше

> т.е. только А1 и никакая другая.

С чего бы вдруг ? Хоть 3Б.

1.1. Идентификация, проверка подлинности и контроль доступа субъектов: в систему

2.1. Регистрация и учет: входа (выхода) субъектов доступа в (из) систему(ы) (узел сети)

2.2. Учет носителей информации

4.1. Обеспечение целостности программных средств и обрабатываемой информации

Этого достаточно.

> Мне не понятно, как уровень защиты может быть меньше A1, если требуется доказать в суде, что подписал именно этот гражданин

Закрытй ключ внутри, например, eToken PRO. Ключ генерируется каким нибудь авторизированным центром и выдаётся на защищённом носителе пользователю. Всё - ключ достать нельзя, подпись идёт внутри ключа.

Другое дело - что государство должно озаботиться этим «авторизированным ценром», который будет гарантировать что ключ с ID XXXXXXXXXX содержит закрытый ключ YYYYYYYYYY. Это ж фигня на уровне паспорта.

Этого достаточно.

Для корпоративной сети может и достаточно.

Допустим я хочу взять денег в долг у другого гражданина и написать ему расписку в виде электронного письма, где привести все, что требуется в расписке.

Другой гражданин должен иметь возможность обратиться в суд.
При этом он не контролирует
1.1 Доступ меня в интернет
2.1 вход и выход меня из интернета

И да, ещё. Ключ имеет PIN (достаточно длинный) - без знания которого воспользоваться им нельзя - так называемая двухфакторная идентификация.

Всё - ключ достать нельзя, подпись идёт внутри ключа.

Другое дело - что государство должно озаботиться этим «авторизированным центром»,

Государство уже озаботилось и ключи можно купить (пока нашел вариант за ~10 тыс руб).
Проблема только одна - неясно как использовать в Linux

> Другой гражданин должен иметь возможность обратиться в суд.

В данный момент - никак. Ибо никто не может гарантировать, что данный закрытый ключ принадлежит именно тебе - нет для этого законодательной базы.

> Государство уже озаботилось и ключи можно купить (пока нашел вариант за ~10 тыс руб).

Можно ссылку ?

Проблема только одна - неясно как использовать в Linux

http://www.aladdin.ru/catalog/smart_cards/sdk/etoken.php

никто не может гарантировать,

что данный закрытый ключ принадлежит именно тебе

- нет для этого законодательной базы.

Удостоверяющий центр разве не может гарантировать?

Можно ссылку?

http://www.nucrf.ru/cer-ecp.html
В Национальном удостоверяющем центре получить электронную цифровую подпись могут
* физические лица (граждане);
...
Вы можете оформить получение ЭЦП с минимальными временными и финансовыми затратами и уже в ближайшее время использовать преимущества электронной цифровой подписи, наладив электронный документооборот с властными и бизнес-структурами.

http://www.nucrf.ru/set_quest/user_form.php
здесь приведены цены (внизу страницы)

2450 руб - Услуга по выпуску одного сертификата ключа подписи (СКП) (стоимость указана для Московского региона, для других регионов уточняется у регионального партнера)

800 руб - Электронный идентификатор (ключевой носитель) на выбор, в т.ч. НДС = ruToken 32K (рекомендуется)    

1800 р. - «КриптоПро CSP» версии 3.6
http://www.cryptopro.ru/cryptopro/buy/price.htm
Linux Standard Base ISO/IEC 23360 (ia32/x64), FreeBSD 5 (ia32), Solaris 10 (sparc/ia32/x64), AIX (Power PC).
Лицензия на право пользования СКЗИ КриптоПро CSP на одном рабочем месте    

> Удостоверяющий центр разве не может гарантировать?

О. Это другое дело. Если есть такой центр - то можно уже пользоваться ЭЦП. А вот как оно в суде может показать только практика.

От:    Щербина Игорь Евгеньевич <//замазано//@nucrf.ru>
Тема:    Национальный удостоверяющий центр
Дата:    Wed, 3 Feb 2010 10:08:47 +0300

Добрый день, //замазано//

В.:1. Можно ли оплатить генерацию сертификата при помощи Яндекс-денег?

О.: Пока нет, такая возможность появится через месяц-полтора

В.: 2. Можно ли отправить необходимые для создания сертификата (какие?) юридические документы заказным письмом по почте?

О.: Да, можно. Для получения комплекта документов надо заполнить запросную форму http://www.nucrf.ru/set_quest/user_form.php

В.: 3. Можно ли скачать сгенерированный сертификат (c закрытым ключем) по HTTPS?

О.: Нет, только пересылкой вам ключевого носителя с записанным в него закрытым ключом

В.: 4. Существуют ли (желательно GPL) криптопровайдеры под Linux, которые можно использовать с сгенерированным ключем? ЭЦП нужна как гражданину РФ для отправки запросов на удаление персональных данных в соответствии с ФЗ №152 от 27 июля 2006 года. Ваша форма запроса для ИП пугает, почему нет услуг для граждан? (можно же на этом 140 млн руб * стоимость регистрации заработать при должной рекламе)

О.: криптопровайдеры под Linux существуют, стоят довольно дорого. Пока спроса на сертификат от физических лиц очень небольшой. Через месяц у нас будет совсем другой сайт, в нем будет запрос от физических лиц.

Национальный удостоверяющий центр

А вот как оно в суде может показать только практика.

читал что уже есть практика правоприменения (в РФ-ии),
только не читал еще саму практику.

В общем, не хватает понятного howto, как всегда в linux-е.

Еще мне интересно, если я буду ставить этого криптопровайдера в виртуальную машину (потому что там нужен конкретный дистрибутив линукса, а у меня на десктопе - другой), то как настраивать доступ к ключу для qemu-kvm ?

Не пойму вопроса. Если документ подписан твоим ключом, значит он именно подписан твоим ключом. Как модификация ПО (и прочее) может помочь злоумышленнику «подделать подпись»? Подделать ЭЦП нельзя в принципе. Можно своровать оборудование с закрытым ключом, и, наверное, при должном умении, скопировать его. Но это уже вопрос обеспечения безопасности этого самого ключа, и он зависит исключительно от владельца.

Как модификация ПО (и прочее) может помочь злоумышленнику

«подделать подпись»?

ПО может отобразить документ корректно,
однако преобразовать документ перед подписыванием
(например переставить запятую в фразе «казнить нельзя, помиловать»),
получить подпись на модифицированный документ,
а затем отправить модифицированный документ с подписью человека.

> Еще мне интересно, если я буду ставить этого криптопровайдера в виртуальную машину (потому что там нужен конкретный дистрибутив линукса, а у меня на десктопе - другой), то как настраивать доступ к ключу для qemu-kvm ?

Если ключ/smartcard-reader USB-вый, то простым пробросом USB. Под VMWare аппаратные ключи мы спокойно пробрасываем.

прокинуть девайс в виртуалку (man qemu) //К.О.