Форум ''Интернет и Право''

Ноутбуки IBM получили русскую защиту

Дата: 08.09.2005 г.
Источник: CNews.ru

     Компании Lenovo и "Элвис-Плюс" оптимизировали отечественное криптографическое ПО для зарубежного чипа и начали продажи ноутбуков IBM ThinkPad, которые теперь обладают высокой степенью безопасности. По словам представителей "Элвис-Плюс", это первое решение подобного класса в России.

     Решение "Мобильный клиент", использующее отечественные криптоалгоритмы, разработано для организации максимально защищенных каналов передачи данных между мобильными устройствами при работе с корпоративными информационными ресурсами.

     Программно-аппаратная платформа "Мобильный клиент" реализована на базе ноутбуков ThinkPad со встроенной системой безопасности Embedded Security Subsystem и является первым в России решением подобного класса.

     Подсистема ESS представляет собой чип, обеспечивающий высокий уровень конфиденциальности, целостности и подлинности критичной информации. ESS позволяет делегировать чипу безопасности операции над критичными данными и обеспечить целостность пользовательских данных, разграничение прав доступа к ресурсам и аппаратное кодирование хранимой информации.

     Ранее российские пользователи не имели возможности активировать ESS, поскольку отечественное законодательство запрещает использовать зарубежную криптографию в нашей стране. Однако российские программисты сумели оптимизировать собственное ПО для чипа.

     Стоит отметить, что "Мобильный клиент" уже поступил в продажу. По словам представителя "Элвис-Плюс", некоторые высшие органы государственной власти уже сделали выбор в пользу нового решения. В частности, ноутбуки с "Мобильным клиентом" приобрела Федеральная служба по техническому и экспортному контролю РФ.

Пусть покажут те нормы закона, которые запрещают использовать зарубежную криптографию...
Элвис-Плюс как всегда молодцы, а ноутбуки в госсектор - путсь порадуются :)

Объясните пожалуйста, чем принципиально отличается российский  крипт. софт от зарубежного? Построение алгоритма?
Если можно с технич. стороны.

Вопрос поставлен некорректно.
Есть алгоритмы критпографического преобразования разработанные зарубежом, есть разработанные у нас в стране. Некоторые их алгоритмы входят в стандарты у них, некоторые наши алгоритмы входят в стандарты у нас.
А софт? да все равно чей он наш или их. Вопрсо в том что там реализовано. А ситуация когда они реализовали наши алгоритмы абсолютно реально

Тогда уж не только с технической, но и с математической. А вам это зачем?

Согласна. не сильна я в этом.

Sorry, for my Computer language.
Я хочу разобраться в алгоритме построения таких программ, также в способах построения, чем они отличаются.
На форуме также читала ваши сообщения узнала о: слабое и сильное шифрование? а чем они отличаются?
А ещё здесь нашла И. Глинко "Как самому получить сертификат ЭЦП?"
Вопрос сразу возник: почему эту процедуру не следует делать в Интернет-кафе или на чужом компьютере, так как в процессе получения сертификата будет сгенерирован закрытый ключ...
этот закрытый ключ вообще нельзя потом удалить?

Еще раз повторю. О чем вы хотите узнать? О программах или об алгоритмах, которые в них реализованы?

ну если совсем просто, то длинной ключа. Например в Windows есть криптопровайдеры, которые позволяют шифровать сообщение с длинной ключа, а есть с длиной 128. Думаю комментарии излишни.

Потому что вы не можете быть уверены на 100%, что удаленный закрытый ключ не будет восстановлен и попадет в руки другого лица.

Сейчас попробую описать мою задачу.
Дело в том, что я очень долго занималась изучением правового определения таких программ, а в частности, больше, наверное, не программ, а именно ЭЦП. Я не занималась техническим изучением этого вопроса (я только имею примерное представление), и теперь понимаю, что была не права. Для того чтобы глубже понять природу этого понятия, нужно, прежде всего, понять его алгоритм.
В разных странах существуют различные способы построения этого алгоритма и поэтому моя задача – понять основные принципы построения, для того чтобы в будущем я могла их отличить и самое главное понять каким образом механизм построения влияет на юридическую природу.
основная задача – создать единую систему построения алгоритма, которая бы позволила её использовать всем странам, так как различия в способах написания алгоритма в данный момент не позволяют использовать её при контактах со всеми странами (конечно же, основная цель здесь больше правовая и экономическая, но без знаний технических я не смогу дальше продвинуться в этой области). Как вы думаете это реально? И что, прежде всего, мне нужно для этого?

хм, интересно а в чем проблема то была, зачем вам столько времени понадобилось? Программные средства, реализующие те или иные функции криптографического преобразования информации назваются СКЗИ. Есть у нас закн о лицензировании отдельных видов деятельности, ПКЗ-2005, закон об эцп трехглавый закон, горсть указов президента... и по большому счету все (перечислил конечно не все, но почти все). При всем этом изобилии - есть там куча дырок, которые как дышло, куда хочу туда и вышло. Собственно заниматься там особо не чем, читать надо только внимательно и не придумывать лишних сущностей.

Не понимаю зачем? Станет вам легче, если я скажу, что в общем смысле (но этим не ограничивается) ЭЦП это хеш, подписанного документа, зашифрованный на закрытом ключе, того кто подписывает документ?


gur, у вас каша в голове.
Попробую объяснить:
Итак есть адгоритмы криптографического преобразования информации.
Их можно разделить на:
-- Алгоритмы хэширования (У нас ГОСТ 34.11-94, у них SHA-1(накрылся медным тазом - спасибо китайским товарищам, SHA-256, SHA-512)
-- Алгоритмы шифрования (У нас ГОСТ 28147-89, у них AES)
-- Алгоритмы цифровой подписи (у нас ГОСТ 34.10-94, скоро будет заменен ГОСТ 34.11-2001, у них DSA, на смену идет ECDSA)
Это алгоритмы.
Эти алгоритмы реализуются программно или аппаратно и назвается с точки зрения нашего законодательства Средства Криптографической Защиты Информации.
ФСБ, после проведения исследований, выдает такому СКЗИ сертификат соответсвия, о том что данное СКЗИ может использоваться для обработки информации, по классу КС1 или КС2 (не гос. тайна конечно - про нее отдельная песня).

Грубо говоря механизм "перемешивания битов" будет разным, НО с юридической точки зрения это значения не имеет.

Никогда не будет алгоритма, единого для всех стран. Спросите кто помешает? Для начала две такие веселые конторы как ФСБ (РФ) и АНБ (США) и так далее. В каждой стране существует своя криптографическая культура, свои разработчики и ученые и свои методы и подходы и как следствие свои требования. Максимум чего можно добиться это действовать метоами компаний типа Visa и Mastercard - они сказали - вы хотите работать с нами? раз да - то использовать будете вот это и ФСБ ничего не осталось делать, кроме как выдать лицензию. Потому что в данном случае требования рынка оказались сильнее.
Но провести всеобщую уровниловку.... забудьте.

Технических знаний? А вы когда последний раз математикой занимались?

Если честно? Тогда в школе, а так каждый день :)
Ну понимала я отлично, мне хватало один раз показать как решается формула и я тут же все запоминала. У меня задачи сложные все зубрилки списывали.  ;D ;D ;D
Честно из всех точных наук больше, и вернее единтсвенное что люблю, так это математику!!!
Так что я думаю у меня есть все данные для того чтобы заняться этим серьезно!

Сам себя не похвалишь, никто не похвалит, да?  ;)
Чтобы заниматься этим серьезно, надо было идти не в гуманитарный вуз, а в технический по профилю, как минимум типа МИФИ (К-42), а как максимум... , где читают специальные разделы математики.
Хотите заняться, можете купить пару книг и начать изучение - или если с английским порядок и вы такой феномен, как пишете о себе - то http://www.cacr.math.uwaterloo.ca/hac/ качаем книгу и изучаем.
Если осилите вторую главу mathematics background, то может быть и разберетесь.
только школа, она и есть школа и задачи там соответсвенные - а если вы не прослушали даже базового ВУЗовскоо курса.... а на сколько я знаю юристам его не читают.

И пойду... А у меня хороший пример есть!
Мой преподаватель по информатике (раньше вернее был). А сейчас хороший друг и коллега. У него и юридическое и техническое образование. Когда-нибудь я тоже буду иметь!
У меня с детства какая-то странная привязанность была к хакерам и юристам. И любовь к предметам аналогично строилась.
Спасибо за помощь! Буду изучать!

Популярное изложение (понятное юристу процентов на 90, наверное) можно найти в: Скляров Д.В. Искусство защиты и взлома информации. — СПб.: БХВ–Петербург, 2004. — 288 с.: ил.
ISBN 5-94157-331-6

Yeoman, спасибо Вам за хорошую рекомендацию, эта книга - как раз то, что мне надо!
даже не зная компьютерный английский, мне почти все понятно! Я два дела сделаю: выучу английский и пойму криптографию. По ходу изучения много вопросов к Вам будет (можно?).
1)Как вы думаете одно из технических решений проблем информационной безопасности – это криптография, а какие ещё есть решения? Как, по-вашему, эту проблему можно решить юридически (какие основные задачи у юристов должны быть?).
2)Мне очень понравилась история криптографии. А где я могла бы поподробнее узнать о криптографии древнего Египта, а также методы и способы расшифровки? Помните в 19 в. была такая Е. Блаватская, она ведь как-то расшифровывала переписку жрецов?

удачи
за отдельную плату :)
О чем вы? Какую именно проблему? Криптография дает подходы к решению определенного класса задач. Задач гораздо больше и применяются разные меры для решения задач, от технических до организационных - зависит от задачи.

Интернет - Yandex & Google.  :) История криптографии (в русском издании с некоторыми купюрами) хорошо рассказана у Дэвида Кана во "Взломщиках кодов". (David Cahn "Codebreakers"). Там и про Егпит есть и про средние века.