Bankir.Ru
10 декабря, суббота 21:39

Объявление

Свернуть
Пока нет объявлений.

Итоги конфликта Бифит-ЛанКрипто

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Итоги конфликта Бифит-ЛанКрипто

    Предлагаю закрыть все остальные темы, посвященные этим событиям и сконцентрировать обсуждение на очевидных и не очень очевидных последствиях.

    Я вижу следующие проблемы:
    1. на рынке И-Б НЕ СУЩЕСТВУЕТ института экспертной оценки продукта - ни ФАПСИ, ни ветераны рынка в этом качестве, видимо, не котируются. В качестве причины, возможно, также следует указать на слабость сертификационного регулирования, которое могло бы давать право экспертизы при выполнении определенных условий, стоило бы денег и накладывало бы ответственность на эксперта (возможно, и финансовую).

    2. нет системы ЗАЩИТЫ потребителей. Все юридические аспекты регулируются двусторонними договорами, что говорит об отсутствии правового поля (закон, может быть, нужен). Другими словами, ни клиент банку, ни банк производителю ничего по умолчанию не докажут - нужен более чем детальный договор.

    3. до культуры конкурентной борьбы - как до Шанхая...

    обсуждение приветствую

    Алексей Денисов

    P.S. был бы очень рад, если бы дискуссия опять не пришла к известному конфликту - он уже надоел...

  • #2
    AlexeiD

    на рынке И-Б НЕ СУЩЕСТВУЕТ института экспертной оценки продукта - ни ФАПСИ, ни ветераны рынка в этом качестве, видимо, не котируются. В качестве причины, возможно, также следует указать на слабость сертификационного регулирования, которое могло бы давать право экспертизы при выполнении определенных условий, стоило бы денег и накладывало бы ответственность на эксперта (возможно, и финансовую).
    Маленькая поправка: экспертная оценка систем И-Б не совсем преррогатива ФАПСИ. Агентство может сертифицировать лишь СКЗИ. Хотя формулировка достаточно размыта "защищенные с помощью СКЗИ системы", никто не заставляет сертифицировать вцелом И-Б в ФАПСИ.
    Насчет ответственности. В случае обнаружения "прокола" в сертифицированной ФАПСИ СКЗИ иск может быть обращен к испытательной лаборатории (т.к. продуманные разработчики обычно пишуть в лицензионном соглашении "AS IS, NO WARRANTY"). Если не боитесь судиться, по существу, с государством . В ближайшем номере (августовском) журнала "СИСТЕМЫ БЕЗОПАСНОСТИ, СВЯЗИ И ТЕЛЕКОММУНИКАЦИЙ" выходит статья про ЭЦП, где вопросы лицензирования и сертификации затронуты.
    Выступления начальника Лицензионного и Сертификационного центра ФАПСИ О.А. Беззубцева по вопросам лицензирования на конференции в мае этого года в Екатеринбурге можно найти на сервере ftp://ftp.wtc-ural.ru/pub/ru.crypt/F...%20may%202001/.

    Предвидя аргументы "ФАПСИ сертифицирует лишь продукты с черным ходом", выскажу свое сугубо личное мнение Люди в ФАПСИ сидят совсем неглупые. И они понимают одну очевидную вещь: информация о "закладке" не может вечно оставаться в тайне (сотрудник фирмы-разработчика может уволиться и уехать за бугор ). Ее могут найти хакеры или "независимые эксперты". Нафига подставляться?

    regards, Vlad.
    Earl Vlad Drakula. ///

    Комментарий


    • #3
      Рассказываю как сделать закладку обнаружить котрую практически нельзя.
      1. Продукт имеет серийный номер, данный номер получен из ИСТИННОГО СЕРИЙНОГО номера, хранимого в тайне.
      2. ДСЧ устроен ну скажем на основе шифратора колонной замены. ДСЧ берет некотрую случайность, скажем 2**40 обюъединяет ее с серийным номером продукта и размешивает.
      3. Проверить качество датчика можно только на материале порядка 2**80, что практически невозможно. В то же время зная ключ для получения ИСТИННОГО СЕРИЙНОГО номера из номера продукта. Полученное на выходе ДСЧ "случайное" число "опускается" в переборное множество 2**40 , без знания ключа это множество может быть 2**256.

      Проверить наличие такой закладки, особенно в аппаратных ДСЧ практически невозможно.

      Комментарий


      • #4
        hugevlad
        Люди в ФАПСИ сидят совсем неглупые. И они понимают одну очевидную вещь: информация о "закладке" не может вечно оставаться в тайне (сотрудник фирмы-разработчика может уволиться и уехать за бугор ). Ее могут найти хакеры или "независимые эксперты". Нафига подставляться?

        Это к сожалению или к счастью (как хотите вопрос не ума, а политики). И если в США проект Клиппер, предусамтривал обязательное наличие такой дыры, то ФАПСИ, считая себя всех умней пытается делать это негласно. Я не хочу быть голословен, посомтрите на мою последнюю реплику в
        "О гласности и цензуре в криптозащите"


        Алексей.

        Комментарий


        • #5
          Ну и что теперь банкам делать, на что ориентироваться? Судя по всему сертификат ФАПСИ не гарантирует отсутствие багов - в госучереждении зарплата низкая, спецы разбегаются по частным фирмам. Лицензии на разработку даются также ФАПСИ, значит у лицензии та же гарантия, что и у сертификата. Если проводить экспертизу, то у кого? И какой смысл проводить экспертизу, скажем, того же Ланкрипто, например, у Крипто-про? Может все-таки прав Stoland, плюнуть на госты и использовать открытый PGP?

          Комментарий


          • #6
            sandyman
            Со ссылкой на координатора проект "PGP in Russia" Кати Николь.
            1. Нет бесплатного PGP, минимальный комплект который продается Network Association стоит 319 зеленных рублей.
            2. NA явялется членом Key Recovery Alliancу - группы компаний, поддерживающей правительство США в предоставлении т.н. "легального доступа к информации". Скандал с одной из последних версий PGP разразился именно потому, что с помощью системы Key Recovery из шифрованных и подписанных сообщений злоумышленник мог извлечь, как ключ шифрования, так и ключ подписи.

            Ну и что теперь банкам делать, на что ориентироваться?
            Только на компании, возлагающие на себя ответственность за свои средства безопасности. Либо на компании, чьи средства не были взломаны на протяжении, как минимум 5 лет.

            Комментарий


            • #7
              Alexei Volchkov : Только на компании, возлагающие на себя ответственность за свои средства безопасности. Либо на компании, чьи средства не были взломаны на протяжении, как минимум 5 лет.

              Не факт. Если не взломаны - может никто и не ломал, тогда как у тех, кого ломают становится меньше ошибок. А в какой сумме выражается эта ответственность?

              Комментарий


              • #8
                Не факт. Если не взломаны - может никто и не ломал, тогда как у тех, кого ломают становится меньше ошибок

                Да это вещь весьма субъективная, но пожалуй один из немногих реальных факторов оценки качества.

                А в какой сумме выражается эта ответственность?

                Тут врать не буду, точно знаю, что такие договора есть у РФК и ЛАН Крипто, надо у них спросить.

                Комментарий


                • #9
                  Я в том смысле, что те копейки, которые они в состоянии предложить, никак не компенсируют потери банка при взломе. Ни материальные потери, ни моральные, которые в конечном итоге тоже материальны.

                  Комментарий


                  • #10
                    Я в том смысле, что те копейки, которые они в состоянии предложить, никак не компенсируют потери банка при взломе. Ни материальные потери, ни моральные, которые в конечном итоге тоже материальны.

                    Ну здесь позволю себе не согласиться. Я точно, знаю что РФК, например задействовал страхование через Ингосстрах, как это реализовано в ЛАН Крипто, ответить затрудняюсь, но точно знаю, что клиенты финансовой схемой удовлетворены.

                    Алексей.

                    Комментарий


                    • #11
                      Alexei Volchkov
                      то ФАПСИ, считая себя всех умней пытается делать это негласно. Я не хочу быть голословен, посомтрите на мою последнюю реплику в
                      "О гласности и цензуре в криптозащите"
                      Посмотрел. Ответил.
                      В Вашей идее с "хитрым" ДСЧ есть один изъян: люди. Все это делают люди. А они имеют свойство болтать. Посему, штатовский вариант с клиппером как раз умнее. Но и он помер, насколько я знаю...
                      Earl Vlad Drakula. ///

                      Комментарий


                      • #12
                        . Все это делают люди. А они имеют свойство болтать

                        Правильно. Бежали из КГБ, бежали из ФАПСИ и каждый раз что-то разглашали. Это жизнь. Не отказываться же ради этого от ПОЛИТИКИ ТОТАЛЬНОГО КОНТРОЛЯ это не в духе ФАПСИ

                        Комментарий


                        • #13
                          Бежали из КГБ, бежали из ФАПСИ и каждый раз что-то разглашали. Это жизнь. Не отказываться же ради этого от ПОЛИТИКИ ТОТАЛЬНОГО КОНТРОЛЯ это не в духе ФАПСИ
                          Тяжело... Тяжело воспринимать это...

                          Не знаю конечно, с кем Алексею приходилось сталкиваться из КГБ и ФАПСИ...

                          Я не сторонник спецслужб и тотального государственного контроля, но мой небольшой жизненный опыт общения с действующими офицерами ФАПСИ говорит об обратном. Нормальные, порядочные люди.

                          С уважением, Репан Димитрий
                          Компания "БИФИТ"
                          С уважением, Репан Димитрий
                          Компания "БИФИТ" - www.bifit.com

                          Комментарий


                          • #14
                            Alexei Volchkov

                            Правильно. Бежали из КГБ, бежали из ФАПСИ и каждый раз что-то разглашали. Это жизнь. Не отказываться же ради этого от ПОЛИТИКИ ТОТАЛЬНОГО КОНТРОЛЯ это не в духе ФАПСИ
                            Ужас какой
                            Между тем, ни разу не слышал, чтобы кто-то из бывших сотрудников 8 управления (или ФАПСИ) выступал с разоблачениями, что в сертифицированных продуктах есть черные ходы. Боятся? Не думаю - более страшные вещи рассказывали.
                            Интересное наблюдение: бывшие сторудники спецслужб, ушедшие работать в банки, к сертифицированным продуктам относятся нормально. Борьбой с тоталитаризмом занимаются лишь их коллеги, ушедшие в сектор разработки. К чему бы это?

                            regards, Vlad.
                            Earl Vlad Drakula. ///

                            Комментарий


                            • #15
                              Между тем, ни разу не слышал, чтобы кто-то из бывших сотрудников 8 управления (или ФАПСИ) выступал с разоблачениями, что в сертифицированных продуктах есть черные ходы. Боятся?

                              На русский к сожалению непереведено:

                              V. Sheimov "Tower of secrets", В. Шймов - бывший сотрудник 8 ГУ КГБ СССР

                              D. Khann "The Codebreakers", на русский переведено примерно 30% - книга "Взломщикик кодов", русский вариант практически не содержит информации по перебежчикам от нас.

                              Есть и другая литература, навскидку боюсь наврать.

                              Комментарий

                              Пользователи, просматривающие эту тему

                              Свернуть

                              Присутствует 1. Участников: 0, гостей: 1.

                              Обработка...
                              X