Bankir.Ru
11 декабря, воскресенье 09:12

Объявление

Свернуть
Пока нет объявлений.

Нужна ли обязательная гос. сертификация СКЗИ?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Нужна ли обязательная гос. сертификация СКЗИ?

    Перед голосование желательно ознакомиться с топиком "Поправки к закону об ЭЦП"
    (http://forum.bankir.ru/showthread.php?s=&threadid=14178 )


    Расшифровка пунктов:

    1. Анархия
    2. ФАПСИ
    3. Гостайна
    4. Компромисс
    5. Другое
    6. Не знаю

    (Присутствие на легальном рынке для СКЗИ означает, что электронная подпись, для формирования и проверки которой используется данное СКЗИ, юридически эквивалентна собственноручной.)

    1. За данный пункт голосуют те, кого устраивает текущее положение дел - в общем случае, для присутствия СКЗИ на легальном рынке ему не требуется никаких сертификатов. Т.е. на рынок допускаются "коты в мешке".

    2. За данный пункт голосуют те, кто выступает за наличие на легальном рынке только СКЗИ, у которых имеется сертификат ФАПСИ

    3. За данный пункт голосуют те, кто выступает за наличие на легальном рынке только СКЗИ с государственным сертификатом, но которых не устраивает порядок и уровень сертификации, которая сейчас имеется в ФАПСИ

    4. За данный пункт голосуют те, кто выступает за обязательную сертификацию СКЗИ, но не только государственную. Однако, негосударственные центры сертификации должны получить гос. лицензию, и при этом будут выдавать сертификаты гос. образца.

    5. При голосовании за данный пункт желательно объяснение своей позиции.
    40
    Анархия
    35.00%
    14
    ФАПСИ
    15.00%
    6
    Гостайна
    12.50%
    5
    Компромисс
    27.50%
    11
    Другое
    10.00%
    4
    Не знаю
    0.00%
    0

  • #2
    Как всегда, выбирать приходится между плохим и очень плохим. Анархия бывает такая и бывает другая. Бывает матрос Железняк и бывает князь Кропоткин. Я за то, чтобы существовали грамотные, независимые и ответственные эксперты, которым я мог бы поверить. Пункт 4 был бы хорош, если бы там не было слова "государство". Приходится выбирать анархию... МАТЬ ПОРЯДКА!
    М.Голованов

    Комментарий


    • #3
      Особенно нравится формулировка для компромисса За данный пункт голосуют те, кто выступает за обязательную сертификацию СКЗИ...
      ИМХО если бы обязательную заменить на добровольную (как для ISO 9000), то результаты голосования были бы другими.

      Комментарий


      • #4
        EddyK ИМХО если бы обязательную заменить на добровольную (как для ISO 9000), то п.4. практически равняется п.1. (с о-очень маленькими поправками)
        Praemonitus, Praemunitus... Другими словами, Знание - Сила.

        Комментарий


        • #5
          to Maestro

          А по какому пункту живет Латвия?
          И еще вопрос off-topic - Вы поставили у себя ИБ от БСС?

          Комментарий


          • #6
            sandyman
            Я уже проголосовал, но не могу не высказать Вам свое восхищение, столь "тонко" вопросы для голосования не были сформулированы ни на одном референдуме ни в РФ ни в РБ.

            Алексей.

            Комментарий


            • #7
              sandyman По причине отсутствия какой-либо нормативной базы на эту тему -- пункт 1. То есть анархия. Каждый использует то, что наиболее приближено к золотой середине между "по душе" и "по карману"
              Praemonitus, Praemunitus... Другими словами, Знание - Сила.

              Комментарий


              • #8
                to Alexei Volchkov
                Спасибо, конечно - я лишь постарался в пунктах голосования отразить суть разногласий, ничего больше .

                Комментарий


                • #9
                  sandyman

                  Да, единственное -- некоторые госструктуры должны сертифицировать (в значении "пройти проверку на вшив..." ) системы ИТ-безопасности (включая СКЗИ) в Государственной Инспекции Данных (Valsts Datu Inspekcija). Но это к Вашему вопросу относится весьма косвенно.
                  Praemonitus, Praemunitus... Другими словами, Знание - Сила.

                  Комментарий


                  • #10
                    Проголосовал за "Другое", имея в виду, что стороны в сделке имеют право использовать СКЗИ, принятую обычаями делового оборота, и/или ту, о признании которой они договорились между собой. В частности, признание может быть оформлено в виде акцепта публичной оферты путем фактического использования СКЗИ, предложенной одной из сторон (например, в составе клиент-банка и т.п.).

                    Комментарий


                    • #11
                      to alexve

                      Полагаю, все-таки, что это первый вариант, т.к. Вы не оговариваете, что СКЗИ в клиент-банке должно иметь сертификат. Вполне может использоваться и PGP, который скачали где-то в интернете.

                      P.S. Только сейчас увидел Ваше сообщение в "Поправках..". Против Свифта и прочих, думаю, никто возражать не станет .
                      Последний раз редактировалось sandyman; 19.02.2002, 15:54.

                      Комментарий


                      • #12
                        sandyman
                        А чем Вам не нравится PGP (точнее, OpenPGP) или GPG? Во-первых, коды открыты. Их многократно проверяли. Во-вторых, никто не смог доказать, что эти СКЗИ имеют серьезные слабости (только не напоминайте про конфуз с одной из последних версий PGP -- это была коммерческая версия со специально введенной функцией "мастер-ключа", который позволял бы работодателю просматривать почту сотрудников).
                        Кстати, никто не доказал, что сертифицированные ФАПСИ СКЗИ не имеют серьезных слабостей. Их-то кода никто не видел...

                        Комментарий


                        • #13
                          To alexve

                          Я уже как-то писал sandyman'у, что неплохо было бы разделить системы шифрования и ЭЦП.
                          На мой взгляд, коммерческую информацию можно шифровать любыми СКЗИ. Что же касается систем ЭЦП, то
                          1) если в системе не требуется признание ЭЦП равносильной собственноручной подписи (например, система корпоративного электронного документооборота), т.е. не предусмотрено обращение в суд, - используйте любое средство ЭЦП,
                          2) если есть необходимость признавать ЭЦП равнозначной собственноручной(например, система клиент-банк), то нужны серьезные основания доверять такой системе, т.е. сертификат на используемые СКЗИ плюс соответствующие лицензии со стороны банка.

                          Комментарий


                          • #14
                            sandyman P.S. Только сейчас увидел Ваше сообщение в "Поправках..". Против Свифта и прочих, думаю, никто возражать не станет .

                            Последний раз Сообщение было отредактировано sandyman 19-02-2002 в 12:54
                            Ага, избирательный подход к технологиям. То есть где повлиять не можем, там сдаемся, а своих будем бить, чтобы чужие боялись. Впрочем чужих нам не испугать, а вот своих отмочим ...
                            Алексей.

                            Комментарий


                            • #15
                              dann14
                              1) если в системе не требуется признание ЭЦП равносильной собственноручной подписи (например, система корпоративного электронного документооборота), т.е. не предусмотрено обращение в суд, - используйте любое средство ЭЦП,
                              2) если есть необходимость признавать ЭЦП равнозначной собственноручной(например, система клиент-банк), то нужны серьезные основания доверять такой системе, т.е. сертификат на используемые СКЗИ плюс соответствующие лицензии со стороны банка.


                              Полная ахинея.
                              Надо писать так, если Вы используете ЭЦП и хотите иметь возможность обратится в суд - действуйте строго по закону.

                              Если Вы не используете ЭЦП, а иной АСП, в том числе ЦП, не явлющуюся ЭЦП, и хотите иметь возможность обращаться в суд - соблюдайте ГК.

                              Если Вам вообще плевать на суд - используйте что угодно.

                              Алексей.

                              Комментарий


                              • #16
                                alexve: А чем Вам не нравится PGP (точнее, OpenPGP) или GPG? Во-первых, коды открыты. Их многократно проверяли
                                Вы плохо читаете дискуссии - об этом уже говорилось. Где гарантии
                                - что у Вас исходник именно PGP
                                - что этот исходник оригинал PGP, а не "улучшенная" кем-то версия
                                - что именно данную версию PGP смотрели приличные эксперты, может у Вас сырой вариант.

                                И это в случае, если Вы сами будете компилировать библиотеки, о неподписанных библиотеках и говорить нечего.

                                alexve Кстати, никто не доказал, что сертифицированные ФАПСИ СКЗИ не имеют серьезных слабостей. Их-то кода никто не видел...
                                Опять же - перечитайте топик "Поправки..", там только об этом и говорится
                                Код сертифицированных СКЗИ видели хотя бы в ФАПСИ, код несертифицированных СКЗИ не видел никто.

                                Комментарий


                                • #17
                                  sandyman
                                  Код сертифицированных СКЗИ видели хотя бы в ФАПСИ
                                  Вам это в ФАПСИ сказали ?
                                  Голосование кстати Вас не поддерживает.


                                  Алексей.

                                  Комментарий


                                  • #18
                                    sandyman
                                    Вы плохо читаете дискуссии - об этом уже говорилось. Где гарантии
                                    - что у Вас исходник именно PGP
                                    - что этот исходник оригинал PGP, а не "улучшенная" кем-то версия
                                    - что именно данную версию PGP смотрели приличные эксперты, может у Вас сырой вариант.


                                    Замечу в скобках, что если внимательно читать то, что я предлагаю, то все это не имеет значения. В международном праве есть понятие "обычаев делового оборота". Если документ составлен и представлен в соответствии с этими обычаями, то для суда он имеет юридическую силу. Даже если та или иная сторона будет оспаривать его подлинность на основании теоретической возможности его подделки. В этом случае суд, возможно, прибегнет к помощи экспертизы -- но только в этом случае, т.е., если кто-то из сторон оспаривает подлинность документа. В остальных случаях судебного разбирательства, а также в практике, если дело не доходит до суда, никому не придет в голову требовать каких-то особенных условий.

                                    Приведу пример. Широко распространена практика подписывания договоров (на бумаге) по очереди и заочно: одна сторона подписывает договор, потом его доставляют (курьером или вообще по почте) другой стороне, которая также ставит свою подпись, затем один экземпляр договора возвращается первой стороне. Теоретически можно предположить (так же, как Вы предполагаете в отношении PGP), что курьер передал договор не должной стороне, а какому-то третьему лицу, которое подделало подпись и печать должной стороны -- сейчас это очень несложно сделать технологически, и такие случаи действительно бывают. На основании этого можно было бы (вслед за Вами) требовать, чтобы обе стороны ставили подписи и печати в присутствии друг друга и уполномоченной государством третьей стороны (нотариуса). Очевидно, что такое требование приведет фактически к полной остановке бизнеса. Так не делают даже в "криминальной России" (Ваше выражение).

                                    Комментарий


                                    • #19
                                      Alexei Volchkov Ага, избирательный подход к технологиям. То есть где повлиять не можем, там сдаемся
                                      У Вас мания величия, Алексей . Поставить рядом экспертизу, которую прошел софт СВИФТа, и экспертное заключение доморощенного карманного эксперта. Впрочем, возможно Вы не знаете что такое СВИФТ и кто им пользуется . Да Вам такие суммы, потраченные СВИФТом на экспертизу и не снились!

                                      Alexei Volchkov: Голосование кстати Вас не поддерживает.
                                      Надеюсь, криптологи с полковниками не голосовали

                                      to alexve

                                      Странная у Вас логика. Если ей следовать, то зачем эти килобитные ключи, достаточно и 256 бит - быстрее работать будет. И не нужно заботиться, есть ли у Вас в софте закладки, партнеры и так доверяют. А то, что у Ваших клиентов в один прекрасный момент расчетный счета станут на пару десятков килобаксов тоньше - с кем не бывает!
                                      Ах да, теперь я понял, видно в Никойле PGP используется - дешево и сердито .

                                      Комментарий


                                      • #20
                                        sandyman
                                        Хамить не надо.
                                        И изворачиваться тоже. То есть если эксперт солидный, то плевать на Вашу любимую госсертификацию. Вы давайте последовательнее, то есть S.W.I.F.T. доверяем потому что у него денег много, а государству, потому что оно крутое очень. А может потому, что Рф и РБ без S.W.I.F.T. не могут, а он без них прекрасно проживет.

                                        Да Вам такие суммы, потраченные СВИФТом на экспертизу и не снились!

                                        IBM тоже много денег на АТТАЛУ потратила, а результат - хакнули.
                                        ФАПСИ денег на ШИПы и БРУСы знаете сколько выкинуло, а работает через пень колоду. Вопрос не в деньгах, а в квалификации и порядочности экспертов.

                                        Поэтому прекратите истерировать и посмотрите лучше на процесс голосования, котрый даже при Ваших извращенных формулировках явно не в Вашу пользу.

                                        Алексей.

                                        Комментарий


                                        • #21
                                          sandyman
                                          Странная у Вас логика. Если ей следовать, то зачем эти килобитные ключи, достаточно и 256 бит - быстрее работать будет. -- не исключаю, что для некоторых приложений и достаточно. А для других целей достаточно пароля или контрольной фразы. Так или иначе, это определяется не государством.

                                          И не нужно заботиться, есть ли у Вас в софте закладки, партнеры и так доверяют. -- Какое отношение имеет то, что я говорил, к этому заявлению? Какое отношение это заявление имеет к проблеме государственной сертификации СКЗИ? Я, например, не уверен, что в софте, выпускаемом Microsoft, нет закладок. Проверить это практически нет возможности. Тем не менее, этим софтом пользуются все, в том числе и ФАПСИ.

                                          Собственно, странная логика, похоже, у Вас: Вы стабильно смешиваете совершенно разные проблемы в одну общую кашу.

                                          А то, что у Ваших клиентов в один прекрасный момент расчетный счета станут на пару десятков килобаксов тоньше - с кем не бывает!

                                          Расчетные счета наших клиентов теоретически могут стать на пару десятков килобаксов тоньше и в том случае, если все будут пользоваться сертифицированными ФАПСИ средствами ЭЦП: такие случаи бывают даже в офлайновом бизнесе (честно говоря, значительно чаще, чем в онлайновом). Использование той или иной ЭЦП не имеет никакого отношения к возможности мошенничества. Оно имеет отношение к возможности оспаривания тех или иных документов в суде, а точнее, к возможности признания судом электронного документа эквивалентным бумажному. Такая ситуация, кстати, может возникнуть и без того, чтобы со счетов наших клиентов что-нибудь исчезло.

                                          Так вот, я считаю, что правильным было бы такое решение, при котором суд признает электронный документ равносильным бумажному, если использовалась ЭЦП, применяемая в обычаях делового оборота и/или признанная обеими сторонами. Еще точнее, в этой фразе надо заменить ЭЦП на АСП, так как возможно использование других средств идентификации и аутентификации. Кстати, в 17-м положении ЦБ РФ определение АСП дано практически безупречно -- и там разрешено пользоваться любыми ее видами.

                                          Поставить рядом экспертизу, которую прошел софт СВИФТа, и экспертное заключение доморощенного карманного эксперта. -- снова проблемы с логикой не у Ваших собеседников, а у Вас: Вы ведь ратуете не за экспертизу, а за сертификацию, причем государственную? Покажите-ка государственный сертификат на СКЗИ, используемые в СВИФТе.

                                          видно в Никойле PGP используется -- в НИКойле PGP не используется -- а зря.

                                          Комментарий


                                          • #22
                                            Alexei Volchkov: То есть если эксперт солидный, то плевать на Вашу любимую госсертификацию
                                            В том то и дело, что не плевать! Потому что при анархии наряду с солидными экспертами будут легально действовать и карманные, которые служат прикрытием для криминальных СКЗИ. Вот чтобы отсечь криминальные СКЗИ и нужна гос. сертификация. А гос. сертификация не исключает дополнительную экспертизу, например, если у Вас система уровня СВИФТа и Вам на 200% нужно быть уверенным в ее безопасности.
                                            Еще раз - гос. сертификация это прежде всего барьер на пути СКЗИ с закладками.
                                            А СВИФТу государство может дать гос. сертификат не проводя своей экспертизы и полагаясь на чужую. Кстати, это частный случай 4 пункта.

                                            Alexei Volchkov Поэтому прекратите истерировать и посмотрите лучше на процесс голосования, котрый даже при Ваших извращенных формулировках явно не в Вашу пользу.

                                            Ну, я бы не сказал. За анархию пока 11, за гос. сертификацию - 16 (2, 3, 4 пункты). А провокационное название первого пункта, скорее всего, Вам на руку

                                            Комментарий


                                            • #23
                                              sandyman
                                              Весь пар у Вас в свисток уходит, ну что Вы кипятитесь. Во первых скажите что такое криминальные СКЗИ и были ли они за 10 лет на нашем рынке, а то Вы воююте с ветряными мельницами. Потом хватит упоминать госюсертификацию, если Вы саим не знает что это такое. Или это страшная тайна или Вы сформулировать не можете и в том и в другом случае для рынка это не подходит.

                                              А СВИФТу государство может дать гос. сертификат не проводя своей экспертизы и полагаясь на чужую
                                              Правильно на 300%, потому что когда ФАПСИ хотело посертифицировать S.W.I.F.T оно было жестоко послано. Тогда было принято мудрое решение разрешить его использование, поттому как все равно исрользовать будут, а на экспертизу не подадут.

                                              Еще раз - гос. сертификация это прежде всего барьер на пути СКЗИ с закладками.

                                              Ну нет у нас обязательной гос.сертификации и средств с закладками тоже нет. Давайте конкретику, а то Вы на каждом витке дискуссии все дальше и дальше от "почыв отрываетесь".

                                              Алексей.

                                              Комментарий


                                              • #24
                                                Я бы не хотел, чтобы кто-то считал, что наша пикировка в данном топике - повторяет дискуссию в "Поправках...". Основные аргументы в пользу гос. сертификации, которым оппоненты так ничего и не смогли противопоставить , высказаны там.

                                                Alexei Volchkov Во первых скажите что такое криминальные СКЗИ и были ли они за 10 лет на нашем рынке, а то Вы воююте с ветряными мельницами

                                                Алексей, такое чувство, что Вы страдаете амнезией. На примерно такой же Ваш вопрос я уже отвечал в "Поправках..". Но раз Вы настаиваете...

                                                - Криминальный софт. Разработчик поставил закладку, которой в один прекрасный момент воспользуется, например, для хищения ключей. Или устроит так, что по открытому ключу он сможет однозначно вычислить секретный...
                                                Если софт никто не будет смотреть, то там можно поставить любую закладку. Иначе нужна достаточно высокая квалификация разработчика, чтобы ее замаскировать - ведь если закладку обнаружат, то и посадить могут.

                                                Насчет того, есть ли криминальные СКЗИ на рынке сейчас - ВОЗМОЖНО. Причем среди тех, что еще не получили сертификат ФАПСИ
                                                Как я уже говорил, закладка подобно радиоуправляемому фугасу - сработает не сразу . И ситуацию даже год назад, когда ЭЦП пользовались несколько десятков тысяч клиентов по всей России нельзя сравнивать с тем, что будет - когда таких клиентов будут миллионы. Вот тогда и появится большой соблазн для разработчиков СКЗИ сделать себе состояние. И если криминальной закладки нет в таком СКЗИ сейчас, она появится в одной из новых версий.

                                                sandyman: Код сертифицированных СКЗИ видели хотя бы в ФАПСИ
                                                Alexei Volchkov: Вам это в ФАПСИ сказали ? .
                                                А СКЗИ для гостайны ФАПСИ тоже не смотрит ?

                                                Комментарий


                                                • #25
                                                  sandyman
                                                  Алексей, такое чувство, что Вы страдаете амнезией
                                                  Такое ощущение, что Вы читать не умеете. Я вас что спрашивал
                                                  криминальные СКЗИ и были ли они за 10 лет на нашем рынке
                                                  А Вы что отвечаете.

                                                  Основные аргументы в пользу гос. сертификации, которым оппоненты так ничего и не смогли противопоставить , высказаны там.
                                                  Какие аргументы, что Вы бредите. Там был один аргумент - госюсертификация нужна, потому что это хорошо. Когда я понял, что у Вас плохо с аргументами (то-то Вы все про презервативы дырявые и молоко прокисшее пишете), я предложил Вам описать процедуру гос.сертификации ждемс, а нету.

                                                  Алексей.

                                                  P.S. Потому что вразумительной и рабочей процедуры гос.сертификации быть не может.

                                                  Комментарий


                                                  • #26
                                                    Основные аргументы в пользу гос. сертификации, которым оппоненты так ничего и не смогли противопоставить , высказаны там.

                                                    Позволю себе не согласиться. Мне казалось, что я довольно ясно выражаюсь. Главный аргумент ПРОТИВ госсертификации очень прост: для бизнеса она НЕ НУЖНА. Она нужна для госчиновников.

                                                    Комментарий


                                                    • #27
                                                      to alexve

                                                      Госсертификация нужна для защиты потребителей СКЗИ от разработчиков-дилетантов и разработчиков-мошенников.

                                                      Комментарий


                                                      • #28
                                                        sandyman
                                                        Госсертификация нужна для защиты потребителей СКЗИ от разработчиков-дилетантов и разработчиков-мошенников.

                                                        Вы можете рассказать КАК ГОССЕРТИФИКАЦИЯ ЗАЩИТИТ ПОТРЕБИТЕЛЕЙ, но не общими словами, а конкретно, как будет работать механизм.

                                                        Алексей.

                                                        Комментарий


                                                        • #29
                                                          to Alexei Volchkov
                                                          Алексей, Вам же понравилась как решена процедура гос. сертификации в РБ - возьмите за образец

                                                          Комментарий


                                                          • #30
                                                            sandyman
                                                            Нет не понравилась. Во первых ее там еще нет. Во вторых когда я говорю что одно лучше другого, это не означет, что мне что-то нравится. Жигули лучше Таврии, Таврия лучше Оки, но все три мне не нравятся.

                                                            Алексей.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X