Название: ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Yeoman от 08 Июня 2004, 16:19:34 http://www.internet-law.ru/intlaw/laws/ecp.htm (http://www.internet-law.ru/intlaw/laws/ecp.htm)
Название: Re:ФЗ "Об ЭЦП" России Отправлено: Urix от 08 Июня 2004, 21:36:42 Цитировать Статья 1. Цель и сфера применения настоящего Федерального закона Выделенный пункт явно не рабочий. А если в тексте закона имеются "глюки" или, что не менее вероятно, система ЭЦП будет дискредитрована и станет возможной подделка ЭЦП, то она все равно будет признаваться равнозначной собственноручной подписи?1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. Должно быть хотя бы так: при соблюдении которых и до момента дискредитации алгоритма конкретной системы ЭЦП, электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. Цитировать Статья 3. Основные понятия, используемые в настоящем Федеральном законе Слишком расплывчатое понятие. За счет этого неточное. Электронный документ - это документ, информация которого закодирована в соответствии с принятыми правилами кодирования информации для обработки ЭВМ.электронный документ - документ, в котором информация представлена в электронно-цифровой форме; Цитировать электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе; Реквизит - это не внешнее по отношению к самому документу. ЭЦП - это преобразование кодов документа в соответствии с алгоритмом ЭЦП, а следовательно и всех реквизитов документа. ЭЦП, по большому счету, не является реквизитом, а является преобразованием кодов (содержимого) электронного документа. Электронный документ, информация в котором перекодирована в соответствии с алгоритмом ЭЦП, является документом, получившим электронную подпись.Цитировать владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы); Подпись она тем и интересна, что никто не выдает человеку никаких сертификатов на его личную подпись. ЭЦП имеет те же свойства. Поэтому сертифицирование подписи - это что-то из Оруэла.Цитировать средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей; Должно быть всех перечисленных. В противном случае система теряет свои функции защиты и автоматически становится дискредитированной, а значит перестает быть системой защиты. Это сразу видно для случая, когда генерация ключей невозможна самим пользователем и он поручает произвести генерацию своего секретного ключа постороннему лицу. Пусть даже и сертифицированному и лицензированному. Где гарантия, что это лицо не воспользуется при необходимости знанием секретного ключа? В случаях отсутствия других составляющих ситуация тоньше, но результат - дискредитация кодовых комбинаций секретного и открытого ключей.Цитировать сертификат средств электронной цифровой подписи - документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям; Повторюсь: указ Президента, постановление Правительства, Федеральный закон, ведомственная инструкция (приказ), решение суда или сертификат не гарантируют сохранение средством защиты информации заявленной для него стойкости, не предохраняют от возможной дискредитации системы защиты информации и не предотвращают возможный ущерб от несанкционированного распространения или изменения защищаемой информации в случае дискредитации используемого средства защиты информации. Пользователям предоставляется свободный доступ на чтение к открытому ключу где угодно, хоть на своем сайте. Электронный документ, после декодирования его с помощью этого открытого ключа, получается осмысленным. Для ЭЦП не нужны никакие центры сертификации. А тем более сертификаты на бумаге. Это - лишний повод совершить ошибку и дискредитировать электронную подпись.Устал. Продолжу завтра. Название: Re:ФЗ "Об ЭЦП" России Отправлено: Urix от 09 Июня 2004, 09:17:51 Цитировать закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи; Символы - это изображения. Должно быть "уникальная кодовая комбинация".открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе; Цитировать сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи; По поводу сертификации и сертификатов см. выше. По поводу бумаги - это лишняя операция и может привести к ошибкам. Коды символов A-английское и А-русское различаются, а изображенгия их совпадают. Кроме того, подтверждение в электронном виде - это тоже ЭЦП. Значит, должен существовать некий единственная корневая пара ключей, которая удостоверяет все остальные подписи. Достаточно дискредитировать эту корневую пару и вся система ЭЦП будети дискредитирована.Цитировать подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе; Это особый случай. Неверная посылка с сертификатом лежит в основе этого высказывания. Следовательно, все это высказывание неверно. Должно быть хотя бы так:подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат декодирования электронного документа средством электронной цифровой подписи с использованием открытого ключа свидетельствует об отсутствии искажений в подписанном данной электронной цифровой подписью электронном документе;. Цитировать Статья 4. Условия признания равнозначности электронной цифровой подписи и собственноручной подписи Здесь все шиворот-навыворот из-за сертификатов. Теорией ЭЦП предполагается, что могут существовать некие центры публикации (распространения) открытых ключей. Это что-то вроде публичных баз данных, в которых хранятся открытые ключи шифрования систем ЭЦП с указанием необходимых реквизитов для однозначного поиска нужного открытого ключа. Нужны эти центры для того, чтобы пользователи знали, где можно найти соотвествующий открытый ключ для прочтения документа. Ни какой сертификации быть в принципе не должно. Могут существовать различные системы ЭЦП, используещие различные несимметричные алгоритмы шифрования-дешифрования.1. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий: сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания; подтверждена подлинность электронной цифровой подписи в электронном документе; электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи. Цитировать 2. Участник информационной системы может быть одновременно владельцем любого количества сертификатов ключей подписей. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи. В общем, опять сертификат. Мало того, теперь уже сертификат начинает заменять ГК. Ибо теперь уже сертификат устанавливает, для каких отношений документ имеет юридическую сила, а для каких нет. Т.е., в одних случаях подпись есть, а в других ее нет. Например, при совершении банковской операции не имеет юрсилы, а при доказательстве неуплаты налогов имеет. Получется, что ЭЦП что дышло, куда повернул, туда и вышло.Цитировать Статья 5. Использование средств электронной цифровой подписи Интересно, что создание ЭЦП для подтверждения частной корреспонденции запрещено. Сейчас практически все почтовые системы позволяют создавать ЭЦП. Некоторые - только через центры генерации ключей. Но тогда этим центрам становятся известны секретные ключи и, следовательно, по определению, системы защиты автоматически становятся дискредитированными и перестают быть системами защиты, т.е., перестают быть ЭЦП. Секретный ключ потому и называется секретный, что никто посторонний не имеет права доступа к этому ключу. Это - как ключ от Вашего сейфа в котором Вы храните свои деньги.1. Создание ключей электронных цифровых подписей осуществляется для использования в: информационной системе общего пользования ее участником или по его обращению удостоверяющим центром; корпоративной информационной системе в порядке, установленном в этой системе. Цитировать 2. При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации. Еще раз: указ Президента, постановление Правительства, Федеральный закон, ведомственная инструкция (приказ), решение суда или сертификат не гарантируют сохранение средством защиты информации заявленной для него стойкости, не предохраняют от возможной дискредитации системы защиты информации и не предотвращают возможный ущерб от несанкционированного распространения или изменения защищаемой информации в случае дискредитации используемого средства защиты информации.В общем я еще раз просмотрел этот "закон" и действительно, в нем практически нет пунктов, которые бы не нарушали положения теории защиты информации. Дальше писать сил нет. Одно растройство. Надо бы госопдам "законов дателям" напомнить басню И.А.Крылова "Пустынник и медведь". УСЛУЖЛИВЫЙ ДУРАК ОПАСНЕЕ ВРАГА. Название: Re:ФЗ "Об ЭЦП" России Отправлено: Yeoman от 15 Июня 2004, 11:30:57 Цитировать Подпись она тем и интересна, что никто не выдает человеку никаких сертификатов на его личную подпись. ЭЦП имеет те же свойства. Поэтому сертифицирование подписи - это что-то из Оруэла. Urix вы плохо читали текст. Сертификат выдается не на подпись, а на открытый ключ и имя владельца соответствующего ему закрытого ключа. Это делается для того чтобы, удостоверить (через доверие к TTP, подписавший сертификат) связь между открытым ключом и именем владельца. P.S. Продолжение следует, но чуть позже ;) Название: Re:ФЗ "Об ЭЦП" России Отправлено: Urix от 15 Июня 2004, 12:16:28 Цитировать Сертификат выдается не на подпись, а на открытый ключ и имя владельца соответствующего ему закрытого ключа. Или я русский язык плохо знаю, или действительно, читать не умею.Сертификат - это документ, удостоверяющий, что были проведены испытания конкретного экземпляра объекта и этот конкретный экземпляр объекта соответствует предъявляемым к этим объектам требованиям. А это предполагает предоставление и секретного ключа центру сертификации, что бы он смог удостовериться в единственности процесса кодирования-декодирования. Но предоставление секретного ключа постороннему автоматически влечет за собой дискредитацию этой пары ключей конкретной ЭЦП. Дискредитированная система защиты таковой уже не является. А это означает, что применение понятий "сертификат", "сертифицирование" к ЭЦП не применимо ни в коей мере из-за автоматической дискредитации ЭЦП. Как только произнесли "сертификат", так тут же стоит забыть об ЭЦП. Кроме того, я свою личную подпись нигде не сертифицирую. Я просто беру ручку и подписываю документ. Название: Re:ФЗ "Об ЭЦП" России Отправлено: Dmitry от 15 Июня 2004, 15:35:24 RFC 2459
Что касается "просто беру и подписываю", попробуйте описанным Вами образом сделать, к примеру, генеральную доверенность на автомобиль. Только, как говорят в некоторых телепередачах - не пробуйте повторить это сами - покупатель нынче ушлый пошел, реакция может быть непредсказуемой... Название: Re:ФЗ "Об ЭЦП" России Отправлено: Yeoman от 15 Июня 2004, 16:43:16 Цитировать RFC 2459 Если быть более точным, то уже RFC 32802Urix: Вы рассматриваете случай, сертификата соответствия, а сертификаты бывают разные. В том числе сертификаты ключа подписи и ничего общего с сертификатом соответствия они не имеют. Сертификат ключа подписи связывает информацию о пользователе (и не только) с открытым ключом, используемым пользователем для ЭЦП. Название: Re:ФЗ "Об ЭЦП" России Отправлено: Urix от 15 Июня 2004, 16:44:47 Цитировать Сертификат ключа подписи связывает информацию о пользователе (и не только) с открытым ключом, используемым пользователем для ЭЦП. Yeoman! Тогда объясните мне тупому, почему не могут существовать центры регистрации (базы данных) открытых ключей? Что этому мешает? Или кому-то спать не дает то, что он не может "рулить" всем процессом ЭЦП, в том числе и секретными ключами?В описываемом Вами случае необходимо подтверждение достоверности полученной информации от владельца секретного ключа, которе возможно сделать только с использованием другой пары ключей - пары самого сертифицирующего центра. Но тогда стойкость ЭЦП, как системы, резко снижается. Достаточно только грамотно провести атаку на ключи сертифицирующего центра, как вся система будет дискредитирована. Не отдельная пара ключей, а все пары ключей. Я такой системой никогда не буду пользоваться. Очень я не верю "Дядям Васям". И доказательств этому более чем достаточно. Кроме того, в русском языке термины "сертификат", "сертификация" имеют единственные значения и обозначают документ, удостоверяющий соответсвие образца объекта предъявляемым к нему требованиям и, соответственно, исследование образца на соответсвие предъявляемым к нему требованиям. Главное требование для пары ключей ЭЦП - однозначность процесса кодирования-декодирвания. Это означает, что оба ключа должны быть представлены сертифицирующему центру. А кому принадлежит секретный ключ - тот автоматически является владельцем всей пары ключей. Это означает, что нельзя в данном случае применять термин "сертификат". Это должно быть просто свидетельство на принадлежность конкретного открытого ключа конкретному лицу. Термин "свидетельство" имеет в русском языке достаочно расширенное значение, необходимое для обозначенния Вашего понимания сертификата ЭЦП. Правильно было в модельном законе. Только там в опеределинии свдиетельства опять присутствует "соотвествие секретному ключу", что автоматически влечет за собой предоставление секретного ключа регистрирующему центру, что автоматически влечет за собой дискредитацию пары ключей ЭЦП. Должно быть хотя бы так: центр сертификации средств электронной цифровой подписи (далее - Центр сертификации) - юридическое лицо, осуществляющее лицензируемую деятельность по выдаче сертификата на средства электронной цифровой подписи; центр регистрации отрытого ключа электронной цифровой подписи (далее - Центр регистрации) - юридическое лицо, удостоверяющее регистрационным свидетельством принадлежность зарегистрированного открытого ключа лицу, которое с момента регистрации становится владельцем свидетельства; регистрационное свидетельство на открытый ключ электронной цифровой подписи (далее - регистрационное свидетельство, свидетельство) - документ о регистрации открытого ключа электронной цифровой подписи, выданный Центром регистрации открытых ключей лицу или его полномочному представителю; Цитировать попробуйте описанным Вами образом сделать, к примеру, генеральную доверенность на автомобиль Dmitry! Если следовать Вашей логике, то тогда "Вы не Сидоров кассир, а убийца". Попробуйте это опровергнуть.Государство выступает в роли гаранта выполнения условий совершения сделки. Если мы не хотим вмешивать в это дело государство в качестве третьего лица, то кто нам запретит совершить такую сделку? Или, например, выписать генеральную доверенность на лыжи, которые тоже являются транспортным средством? И потом. Что-то я нигде не встречал, чтобы гражданские правоотношения дееспособных лиц носили разрешительный характер. Запрет на генеральную доверенность в случае с автомобилем - это мера борьбы с правонарушениями. С которыми государство в лице госчиновников из правоохранительных органов не хочет бороться. Не не может, а именно не хочет. В рамках той же теории ЭЦП разработано несколько протоколов, которые с успехом можно использовать для подтверждения достоверности сделки и не в электронном, а в бумажном виде. Их не применяют потому, что не будет почвы для мздоимства. Плохой пример Вы выбрали. Коррупционный. Мало того. Это Ваше высказывание является косвенным свидетельством сознательной и целенаправленной дискредитации ЭЦП со стороны законодателей и госчиновников. Название: Re:ФЗ "Об ЭЦП" России Отправлено: Yeoman от 21 Июня 2004, 23:50:50 Ну-с приступим помолясь...
Итак: Цитировать Yeoman! Тогда объясните мне тупому, почему не могут существовать центры регистрации (базы данных) открытых ключей? Что этому мешает? Или кому-то спать не дает то, что он не может "рулить" всем процессом ЭЦП, в том числе и секретными ключами? Любите же вы Urix со словами играться. ;) То что вы называете центром регистрации и есть Удостоверяющий Центр, только функционал его несколько шире чем просто регистрация и хранение открытых ключей пользователей. А что до закрытых ключей подписи, то они никому кроме владельца ключа и злоумышленника не нужны.Цитировать В описываемом Вами случае необходимо подтверждение достоверности полученной информации от владельца секретного ключа, которе возможно сделать только с использованием другой пары ключей - пары самого сертифицирующего центра. Не пары, а открытого ключа УЦ или точнее сертификата УЦ, а скорее всего (зависит от архитетуры УЦ) цепочки сертификатов. В каждом из которых по открытому ключу.Цитировать Но тогда стойкость ЭЦП, как системы, резко снижается. Достаточно только грамотно провести атаку на ключи сертифицирующего центра, как вся система будет дискредитирована. Не отдельная пара ключей, а все пары ключей. Есть такой шанс, что в случае дикредитации корневой пары накроеся вся инфраструктура... но маленький такой. Даже меньше чем вероятность получить по башке случайно залетевшим метеоритом. А насчет атаки, примерчик приведете? Если УЦ строится грамотно и специалистами, а не раздолбаями, которые только только прочитали книжку, то все будет ок.Цитировать Я такой системой никогда не буду пользоваться. Очень я не верю "Дядям Васям". И доказательств этому более чем достаточно. Так у нас же свободная страна - не хотите не пользуйтесь. ;)Цитировать Кроме того, в русском языке термины "сертификат", "сертификация" имеют единственные значения и обозначают документ, удостоверяющий соответсвие образца объекта предъявляемым к нему требованиям и, соответственно, исследование образца на соответсвие предъявляемым к нему требованиям. Urix, вы так хорошо знаете русский язык? Зря вы так насчет единственного значения. Например толковый словарь С. Ю. Ожегова и Н. В. Шведовой, дает следующее определение:Цитировать СЕРТИФИКАТ , -а, м. (спец.). 1. Заемное финансовое обязательство государственных органов, а также название билетов нек-рых государственных займов. 2. Официальное письменное удостоверение о чем-н. С. качества (документ, удостоверяющий качество товара). || прил. сертификатный, -ая, -ое. Смотрите выделенный красным цветом текст.Кстати следующим идет ваш любимый сертификат соответсвия/качества. :) Цитировать Главное требование для пары ключей ЭЦП - однозначность процесса кодирования-декодирвания. Не совсем так. За однозначность и грубо говоря работоспособность ключевой пары отвечает СКЗИ и алгоритм, который в нем реализован. УЦ же должен проверить что человек, который представил открытый ключ, обладает соотвествующим ему закрытым ключом - а это делается обычно при формировании запроса на выдачу сертификата (запрос в формате PKCS#10 - должен быть подписан :)). Если хотите я потом в кратце расскажу как это делается.Цитировать Это означает, что оба ключа должны быть представлены сертифицирующему центру. Urix запомните раз и навсегда: Удостоверяющий Центр ни при каких обстоятельствах не может потребовать от вас закрытый ключ подписи. Никогда. Нет такой операции, для чего это может понадобитьcя.Цитировать Это должно быть просто свидетельство на принадлежность конкретного открытого ключа конкретному лицу. Термин "свидетельство" имеет в русском языке достаочно расширенное значение, необходимое для обозначенния Вашего понимания сертификата ЭЦП. Да это и есть свидетельство! Называется оно только сертификатом. Что как раз русскому языку не противоречит(см. выше). Закон то писали, взяв за основу PKI. А придумали и довели до ума PKI не в России, а за бугром. Вот и приходится термины несколько для вас неудобные использовать. Только наши законодатели, в отличии от тех кто модельный закон писал, по умнее оказались - не стали играться с терминами и назвали не регистрационным центром, а Удостоверяющим центром. Потому что регистрационный центр (RA - Registration Authority) это орган PKI, который к процессу подписи сертификата отношения не имеет - его задача приимать заявки и проверять правильность и соответствие. Как секретарь при нотариусе. Он часть УЦ, а не его замена.Цитировать Термин "свидетельство" имеет в русском языке достаочно расширенное значение, необходимое для обозначенния Вашего понимания сертификата ЭЦП. Нет никакого моего понимания ЭЦП, то что я рассказываю, читают на всех курсах по инфраструктуре открытых ключей, как у нас в России, так и на западе. Это основы.Название: Re:ФЗ "Об ЭЦП" России Отправлено: Urix от 22 Июня 2004, 00:38:02 Цитировать А что до закрытых ключей подписи, то они никому кроме владельца ключа и злоумышленника не нужны. Открываем модельный закон и читаем. В РФ заменено на сертифицирование, но смысл остается прежний - нужно представить оба ключа для подтверждения соответствия. Вы не на сллова обращайте внимание, а на те действия, которые нужно выполнить для реализации этих слов.Цитировать а скорее всего (зависит от архитетуры УЦ) цепочки сертификатов Разница не велика. Все равно в этой схеме есть корневая пара ключей. Вот на нее одну и надо проводить атаку для дискредитации всей системы в целом, а не ее отдельных частей.Цитировать Если УЦ строится грамотно и специалистами, а не раздолбаями, которые только только прочитали книжку, то все будет ок. Социальная инженерия нам поможет. Свойства информации в отношении человеческого мозга. Для противостояния надо быть хорошим профи, без комплексов и "зомбирования", аналитически и независимо мыслящий человек. Это большая редкость. На вес золота. Столько трудно найти.Цитировать Смотрите выделенный красным цветом текст. Расскажите, как можно удостоверить что-то не испытав это на соответствие предьявляемым требованиям? Расскажите. Мне будет интересно узнать новое.Например, приходит Вася Пупкин к нотариусу и говорит "Выдай мне сертификат о том, что я Петя Попкин". Что будет делать нотариус? Правильно. Проверять на соответствие документам заявление Васи Пупкина. И только убедившись выдаст соответствующий сертификат (удостоверение). Цитировать За однозначность и грубо говоря работоспособность ключевой пары отвечает СКЗИ и алгоритм, который в нем реализован. Предполагается, что и прямая функция кодирования и обратная - однозначны. Иначе можно получить черт те что. Т.е., если имеется сообщение A, функция кодирования С, секретный ключ S и публичный ключ P, то справедливо тождество A=С(С(A,S),P) или A'=C(A,S); A=C(A',P). Это постановка задачи системы с несимметричными ключами, вроде RSA (симметричные функции и асимметричные ключи). Скажите, что это не так. ;)Цитировать Если хотите я потом в кратце расскажу как это делается. Я об этом знаю. Я же не писал о том, как должно быть на самом деле. Я писал о том, что записано в законе. Знаем одно, написано другое, получается третье.Цитировать Да это и есть свидетельство! Называется оно только сертификатом. Сертификат предполагает доплнительные исследования для подтверждения. Свидетельство - нет. "Что вижу, о том пою". В этом и разница этих терминов.Цитировать Нет никакого моего понимания ЭЦП Для того, что бы разговаривать на одном языке, надо сначала договориться о точных значениях слов, которые обочначают обсуждаемые явления. Раз мы используем различную смыслоывую окраску одинаковых терминов или используем разные термины для обозначения одинаковых явлений, то мы разговариваем на разных языках. Принято? Я зык математики в этом плане универсальный.Название: Re:ФЗ "Об ЭЦП" России Отправлено: Yeoman от 22 Июня 2004, 10:19:17 Цитировать Открываем модельный закон и читаем. В РФ заменено на сертифицирование, но смысл остается прежний - нужно представить оба ключа для подтверждения соответствия. Вы не на сллова обращайте внимание, а на те действия, которые нужно выполнить для реализации этих слов. Urix, я уже все сказал по этому поводу. Если вы не в состоянии понять простые вещи, то наш разговор не имеет смысла.Цитировать Разница не велика. Все равно в этой схеме есть корневая пара ключей. Вот на нее одну и надо проводить атаку для дискредитации всей системы в целом, а не ее отдельных частей. Есть. Атакуйте. Как говорится - флаг в руки.Цитировать Социальная инженерия нам поможет. Свойства информации в отношении человеческого мозга. Для противостояния надо быть хорошим профи, без комплексов и "зомбирования", аналитически и независимо мыслящий человек. Это большая редкость. На вес золота. Столько трудно найти. Urix вы знаете, что такое HSM? А схема разделения MofN? Я посмотрю как вы при помощи социальной инженерии сможете "окрутить" например 5 из 7 офицеров УЦ. Это даже не смешно.Цитировать Например, приходит Вася Пупкин к нотариусу и говорит "Выдай мне сертификат о том, что я Петя Попкин". Что будет делать нотариус? Правильно. Проверять на соответствие документам заявление Васи Пупкина. И только убедившись выдаст соответствующий сертификат (удостоверение). Urix еще раз прочитайте, что я написал. Внимательно. Если до Вас не доходит, то я расскажу подробней.Цитировать Предполагается, что и прямая функция кодирования и обратная - однозначны. Иначе можно получить черт те что. Т.е., если имеется сообщение A, функция кодирования С, секретный ключ S и публичный ключ P, то справедливо тождество A=С(С(A,S),P) или A'=C(A,S); A=C(A',P). Это постановка задачи системы с несимметричными ключами, вроде RSA (симметричные функции и асимметричные ключи). Скажите, что это не так. И зачем вы это написали??? Это все равно что написать, что солнце встает на востоке и попросить меня доказать обратное. Я и не спорю с этим. Только это не задача УЦ исследовать ваши пары ключей. Его задача убедиться, что вы обладаете закрытым ключом, соответствующим предъявленному открытому.Цитировать Я об этом знаю. Я же не писал о том, как должно быть на самом деле. Я писал о том, что записано в законе. Знаем одно, написано другое, получается третье. Я начинаю сомневаться в этом. В законе вообще нигде ничего нет о том, что пара ключей должна быть представлена на исследование.Цитировать Сертификат предполагает доплнительные исследования для подтверждения. Свидетельство - нет. "Что вижу, о том пою". В этом и разница этих терминов. Все верно, исследуется факт обладания вами закрытым ключом и тот факт что вы это действительно Вы. А насчет термина, опять отсылаю вас к толковому словарю.Цитировать Для того, что бы разговаривать на одном языке, надо сначала договориться о точных значениях слов, которые обоначают обсуждаемые явления. Раз мы используем различную смыслоывую окраску одинаковых терминов или используем разные термины для обозначения одинаковых явлений, то мы разговариваем на разных языках. Принято? Я зык математики в этом плане универсальный. Urix здесь уместно только два набора понятий и определений:1. Термины ФЗ "Об ЭЦП". 2. Термины и понятия PKI. Это все. Никаких других терминов тут быть не может. Чуть погодя, как и обещал, перейдем к вашим замечаниям к закону. Название: Re:ФЗ "Об ЭЦП" России Отправлено: Yeoman от 22 Июня 2004, 10:42:13 Теперь вернемся к остальным замечаниям:
Цитировать Должно быть всех перечисленных. Логично, согласен. НО, я так думаю сделано это было для того чтобы избежать такой ситуации: садится хитроумный программер и пишет средство для создания ЭЦП, отдельно для проверки ЭЦП и т.д. Получаем кучу средств, каждое из которых реализует по одной функции и если в законе будет стоять "всех перечисленных" - то он выпадет из под этого определения.Цитировать Электронный документ, после декодирования его с помощью этого открытого ключа, получается осмысленным. Это что то новенькое. Во первых не декодирование, а дешифровка. Во вторых кто это додумался шифровать документ при помощи закрытого ключа? Это ж сколько времени нужно - поседеть можно. А если вы про ЭЦП Urix, то и до проверки ЭЦП документ выглядит вполне осмысленным - это же не шифрование.Цитировать А тем более сертификаты на бумаге. Это - лишний повод совершить ошибку и дискредитировать электронную подпись. Сильно не однозначный момент. Мешает честно говоря этот пункт в работе. Но есть и от него, совершенно неожиданный плюс.Цитировать Теорией ЭЦП предполагается Какой-какой теорией???Цитировать Могут существовать различные системы ЭЦП, используещие различные несимметричные алгоритмы шифрования-дешифрования. И что это значит? Для ЭЦП и используются несимметричные алгоритмы. В чем соль то?Цитировать общем, опять сертификат. Мало того, теперь уже сертификат начинает заменять ГК. Ибо теперь уже сертификат устанавливает, для каких отношений документ имеет юридическую сила, а для каких нет. Т.е., в одних случаях подпись есть, а в других ее нет. Например, при совершении банковской операции не имеет юрсилы, а при доказательстве неуплаты налогов имеет. Получется, что ЭЦП что дышло, куда повернул, туда и вышло. Urix вы когда-нибудь слышали про дискредитацию ключевой пары в случае использования в системах, для которых она не предназначена? Проще говоря ключи считаются дискредитированными если их используют не по назначению.Цитировать Интересно, что создание ЭЦП для подтверждения частной корреспонденции запрещено. Интересно из какого места закона это следует???Название: Re:ФЗ "Об ЭЦП" России Отправлено: Urix от 22 Июня 2004, 11:34:36 Цитировать Если вы не в состоянии понять простые вещи, то наш разговор не имеет смысла. Еще раз, чтобы Вы поняли. Цитирую модельный заокон (нужное выделил курсивом):центр регистрации отрытого ключа электронной цифровой подписи (далее - Центр регистрации) - юридическое лицо, обладающее правомочиями на удостоверение соответствия открытого ключа электронной цифровой подписи закрытому ключу лица, на чье имя выдано регистрационное свидетельство (владелец свидетельства); регистрационное свидетельство на открытый ключ электронной цифровой подписи (далее - регистрационное свидетельство, свидетельство) - документ, подтверждающий соответствие этого открытого ключа электронной цифровой подписи закрытому ключу, выданный Центром регистрации открытых ключей владельцу закрытого ключа электронной цифровой подписи или его полномочному представителю; Внимательно прочтите процитированное и увидите, что формулировка неоднозначна. Для человека, не знающего механизмов ЭЦП, будет означать обязательность предоставления секретного ключа для получения регистрационного свидетельства. Если Вы знаете механизмы ЭЦП, то поймете написанное правильно. Но если не знаете, то... Формулировки должны быть однозначные и не допускающие расширенного толкования. То же самое относится и к термину "сертификат". Нет чтобы посто написать: свидетельство. Сертификат связан в сознании с выполнением определенных действий по доказательству. В то время как свидетельство - это просто констатация факта. Такая же фича с подменой понятий произошла и с доменными поправками. Кто-то где-то не перевел слово domain как (математическое) множество и пошло и поехало... Цитировать Есть. Атакуйте. Как говорится - флаг в руки. Я не "кракер". Я Вам показываю слабые места. Вы говорите, что это не является слабостью. Практика - критерий истины. Чтож, будем подождать. Там где тонко, там и рвется.Цитировать Я посмотрю как вы при помощи социальной инженерии сможете "окрутить" например 5 из 7 офицеров УЦ. Их мышление поставлено примерно одинаково. Различия в атакуемой части мышления есть, но не значительные. Что 7, что 5, что 2, разница не велика. Посложней, конечно будет, но...Здесь важно не количество, а качество мышления. Цитировать Логично, согласен. НО, я так думаю сделано это было для того чтобы избежать такой ситуации: садится хитроумный программер и пишет средство для создания ЭЦП, отдельно для проверки ЭЦП и т.д. Получаем кучу средств, каждое из которых реализует по одной функции и если в законе будет стоять "всех перечисленных" - то он выпадет из под этого определения. Дорога в Ад вымощена благими намерениями. Разделение создает слабость, которой желающие не приминут воспользоваться.Цитировать Во первых не декодирование, а дешифровка. Интересно, а чем же это декодирование отличается от дешифрования? ;D ;)Цитировать Во вторых кто это додумался шифровать документ при помощи закрытого ключа? Это ж сколько времени нужно - поседеть можно. А если вы про ЭЦП Urix, то и до проверки ЭЦП документ выглядит вполне осмысленным - это же не шифрование. Предположим, что код документа содержит D бит. Код подписи содержит P<D бит. Вопрос: сколько различных кодовых комбинаций из D бит будут соотвествовать подписи из P бит? ответ: 2^(D-P). Подставляем конкретные цифры. D=1000000, P=10000. Получаем 2^990000. Думаю, что этого достаточно? Из "больше" всегда можно сделать "меньше". Из "меньше" сделать "больше" не получается. И только равенство даст однозначность. Значит, надо кодировать сам документ. Еще вопросы?Название: Re:ФЗ "Об ЭЦП" России Отправлено: Yeoman от 22 Июня 2004, 14:07:06 Цитировать Еще раз, чтобы Вы поняли. Цитирую модельный заокон (нужное выделил курсивом): Еще раз чтоб Вы поняли, модельный закон обсуждается в другой ветке. А в России есть ФЗ "Об электронной цифровой подписи".Цитировать Для человека, не знающего механизмов ЭЦП, будет означать обязательность предоставления секретного ключа для получения регистрационного свидетельства. Urix - толковый словарь помните? Еще раз прочтите определение термина сертификат ключа подписи в ФЗ.Цитировать Их мышление поставлено примерно одинаково. Различия в атакуемой части мышления есть, но не значительные. Что 7, что 5, что 2, разница не велика. Посложней, конечно будет, но... Urix ничего смешнее не предумали? Митник вы наш. Схема расщепления ключевого материала, аппаратные модули защиты для того и придуманы, чтобы избежать сговора и т.п. и т.д.Здесь важно не количество, а качество мышления. Цитировать Интересно, а чем же это декодирование отличается от дешифрования? А что Urix, код и шифр это одно и тоже? И как давно так стало??? ;D ;D ;DЦитировать Предположим, что код документа содержит D бит. Код подписи содержит P<D бит. Вопрос: сколько различных кодовых комбинаций из D бит будут соотвествовать подписи из P бит? ответ: 2^(D-P). Подставляем конкретные цифры. D=1000000, P=10000. Получаем 2^990000. Думаю, что этого достаточно? Из "больше" всегда можно сделать "меньше". Из "меньше" сделать "больше" не получается. И только равенство даст однозначность. Значит, надо кодировать сам документ. Urix вам ссылочку дать на Handbook of Applied Cryptography? Точнее на раздел где хэши описаны? Или сами найдете?Цитировать Еще вопросы? Нет Urix мне уже и так все понятно. К вам у меня вопросов по PKI и криптографии нет.На этой неоптимистической ноте предлагаю вернуться к ФЗ "Об ЭЦП". Название: Re:ФЗ "Об ЭЦП" России Отправлено: Urix от 22 Июня 2004, 15:08:56 Цитировать Urix - толковый словарь помните? Еще раз прочтите определение термина сертификат ключа подписи в ФЗ. Ну хорошо. Раз Вы так настаиваете, то...СЕРТИФИКА'Т , -а, м. (спец.). 1. Заемное финансовое обязательство государственных органов, а также название билетов нек-рых государственных займов. 2. Официальное письменное удостоверение о чем-н. С. качества (документ, удостоверяющий качество товара). || прил. сертификатный, -ая, -ое. УДОСТОВЕРЕ'НИЕ, -я; ср. 1. см. УДОСТОВЕРИТЬ. 2. Документ, удостоверяющий, подтверждающий что-н. У. личности. Служебное У. Командировочное У. СВИДЕТЕЛЬСТВО, -а, ср. 1. Показание свидетеля. С. очевидцев. 2. То, что подтверждает, удостоверяет какое-н событие. Исторические свидетельства. 3. Документ, удостоверяющий что-н. Смыслы терминов удостоверение и свидетельство почти одинаковые, за исключением выделенных пунктов. Запись в базе данных центра открытых ключей по правилам русского языка документом не является. Эта запись является свидетельством. Отображение такой записи на бумаге может быть как свидетельством, так удостоверением или сертификатом. Поэтому, для того чтобы не происходило путаницы и саму запись и ее отображение на бумаге следует называть свидетельством. Кроме того, документ в электронном виде не понесешь в суд. Вот тут и поле для деятельности. Берем исходный документ, готовим документ-заменитель. Делаем их images а затем обрезаем в исходном документе все, кроме самой подписи и вставляем на ее место заменитель. Отправляем это все на печать. ЭЦП на документе есть? Есть. Что еще надо? Так что концепция ЭЦП из закона сильно отдличается от того, что должно быть на самом деле. Бумага, да и не только она, мешаются. Возражения есть? Цитировать Urix вам ссылочку дать на Handbook of Applied Cryptography? Точнее на раздел где хэши описаны? Или сами найдете? Уж дайте, не постесняйтесь. Я Вам там кое-что покажу. Как и в Ожегове. Вы пропускаете достаточные условия.Цитировать А что Urix, код и шифр это одно и тоже? И как давно так стало??? А что, шифр не из кодов состоит? И как давно??? ;DА вообще-то, что касается кодов, шифрования и т.д. Yeoman, я предлагаю Вам решить одну задачку. На знание основ теории информации и криптографии. Для значительного упрощения решение надо искать для статического случая. Решается она очень просто. Если Вы находите решение этой задачки, я прекращаю спор и признаю свое поражение. Если не находите - прекращаете Вы и признаете свое поражение. Идет? ;) Название: Re:ФЗ "Об ЭЦП" России Отправлено: Yeoman от 22 Июня 2004, 15:45:31 Цитировать Кроме того, документ в электронном виде не понесешь в суд. Вот тут и поле для деятельности. Берем исходный документ, готовим документ-заменитель. Делаем их images а затем обрезаем в исходном документе все, кроме самой подписи и вставляем на ее место заменитель. Отправляем это все на печать. ЭЦП на документе есть? Есть. Что еще надо? Urix Вы бредите? Перестаньте нести чушь. Если вам так интересно как проводится разбор конфликтных ситуаций -почитайте порядки разбора, в уже действующих системах.Цитировать А что, шифр не из кодов состоит? И как давно??? Urix я жду конкретного ответа на вопрос: шифр и код это что одно и то же? Желателен ответ из одного слова. Да или нет. Обещанная ссылка: http://www.cacr.math.uwaterloo.ca/hac/ (http://www.cacr.math.uwaterloo.ca/hac/) И не вздумайте вываливать свои мысли в этой ветке. Хотите что-то сказать пишите в приват. Urix Вы меня утомили своим беспредметным переливанием из пустого в порожнее. Словесная эквилибристика терминами ни к чему не приведет. Дальнейший флейм буду рубить на корню. Возвращаемся к тексту закона. Название: Re:ФЗ "Об ЭЦП" России Отправлено: Urix от 22 Июня 2004, 16:01:35 Цитировать Urix я жду конкретного ответа на вопрос: шифр и код это что одно и то же? Желателен ответ из одного слова. Да или нет. Да. Откройте Ожегова и прочитайте.Хотя изначально речь шла о шифровании и кодировании. Вы "на лету" сменили условия игры. А вообще-то, что касается кодов, шифрования и т.д. Yeoman, я предлагаю Вам решить одну задачку. На знание основ теории информации и криптографии. Для значительного упрощения решение надо искать для статического случая. Решается она очень просто. Если Вы находите решение этой задачки, я прекращаю спор и признаю свое поражение. Если не находите - прекращаете Вы и признаете свое поражение. Идет? ;) Название: Re:ФЗ "Об ЭЦП" России Отправлено: Yeoman от 22 Июня 2004, 18:18:11 Цитировать Откройте Ожегова и прочитайте. Открыл и прочитал. Откройте и прочитайте сами. Впечатлениями можете не делится. Для большей наглядности можно посмотреть Большой энциклопедический словарь.Цитировать вообще-то, что касается кодов, шифрования и т.д. Yeoman, я предлагаю Вам решить одну задачку. На знание основ теории информации и криптографии. Для значительного упрощения решение надо искать для статического случая. Решается она очень просто. Если Вы находите решение этой задачки, я прекращаю спор и признаю свое поражение. Если не находите - прекращаете Вы и признаете свое поражение. Идет? Urix не торгуйтесь - вы не на рынке.Вы что хотите сказать, что если я не решу задачу, вы будете правы, а если решу, то нет? От этого что изменится истина? А если я не смогу ее решить, а вы сможете, то кто будет прав? Вы в своем уме Urix? Или решили подсунуть мне задачу, не имеющую решения? Название: Re:ФЗ "Об ЭЦП" России Отправлено: Urix от 22 Июня 2004, 19:42:27 Цитировать Вы что хотите сказать, что если я не решу задачу, вы будете правы, а если решу, то нет? Вы неправильно понимаете. Если Вы решите задачу на знание элементарных основ теории информации и криптографии, то я прекращу спор с равным мне по уровню знаний. Если не решите - значит Вы просто не знаете основ теории информации и криптографии. Сомнение у меня вызвала Ваша фраза: Во вторых кто это додумался шифровать документ при помощи закрытого ключа?. Для решения этой задачи не нужны какие-то специальные знания, нужно просто знание и понимание основ. Рискнете проверить себя?На всякий случай привожу постановку задачи. Делаю подсказку про БД, так будет легче искать решение. И не надо рассматривать динамический случай, когда данные изменяются в БД. Предложить для реляционных баз данных такой криптографический метод защиты информации, стойкость которого возрастает с ростом объема защищенных данных. Это на первый взгляд противоречит теореме Шеннона. Однако, в 1994 году мне понадобилось три минуты на поиск решения. Есть человек, который это может подтвердить. Я Вам и так облегчил задачу, насколько это возможно. Решение, если найдете, лучше в привате. Трех дней, я думаю, хватит. Название: Re:ФЗ "Об ЭЦП" России Отправлено: Yeoman от 23 Июня 2004, 10:18:43 Цитировать Если Вы решите задачу на знание элементарных основ теории информации и криптографии, то я прекращу спор с равным мне по уровню знаний. Если не решите - значит Вы просто не знаете основ теории информации и криптографии. Для решения этой задачи не нужны какие-то специальные знания. Рискнете проверить себя? ;D ;D ;D Ну Urix, ну насмешили. С какой стати мне ждать от вас (заинтересованной в этом споре стороны) объективности? Я что похож на идиота? Я так понимаю Вы не можете найти разумных аргументов чтобы доказать свою точку зрения? Если уж решили доказать высокий уровень своих знаний, то вот вам объект для приложения сил http://www.rsasecurity.com/rsalabs/node.asp?id=2093 (http://www.rsasecurity.com/rsalabs/node.asp?id=2093). Вот когда в таблице на странице будет стоять ваша фамилия, я сниму перед вами шляпу (я ее даже куплю). А пока что увольте. P.S. Так как высокие договоривающиеся стороны не пришли к консенсусу, но основательно засорили ветку, а закон и ныне там, эту ветку я переименовываю в "ФЗ "Об ЭЦП" России (попытка №1)" и открываю новую "ФЗ "Об ЭЦП" России (попытка №2)". Начнем с начала. Все споры "не по предмету обсуждения" будут перебрасываться в эту ветку. Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Urix от 23 Июня 2004, 10:37:50 Что касается шифрования и кодирования - то как процессы это суть одно и то же: преобразование информации по заранее заданным правилам. Различие их состоит в том, что при кодировании правила общеизвестны, при шифровании правила известны ограниченному кругу лиц. Соотвестственно, код и шифр - суть одно и тоже - код. Только система кодов общеизвестна, а система кодов в шифре известна ограниченному кругу лиц.
Цитировать С какой стати мне ждать от вас (заинтересованной в этом споре стороны) объективности? Вы отказываетесь решать такую простую задачу? Значит Вы признаете свое поражение. При этом еще и обвиняете меня в необъективности. Ай-яй-яй. "Сам дурак" - оставьте для базара.Если Вы не сможете найти решение, то я готов рассказать его Вам, при соблюдении Вами некоторых условий, защищающих мое авторское право на найденное мной решение. Решение этой задачи единственное. Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Виталий К. от 23 Июня 2004, 10:43:16 ;D Да уж. А Urix ЗоАП так и не прочитал, раз говорит об авторском праве на решение!
Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Urix от 23 Июня 2004, 11:31:17 Цитировать А Urix ЗоАП так и не прочитал, раз говорит об авторском праве на решение А Виталий, сколько я ни объяснял ему свойства информации и противоречие ЗоАП этим объективным свойствам, так и не понял из этого ничего.Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Urix от 23 Июня 2004, 17:03:23 Цитировать Обещанная ссылка: Внимательно читаем второй абзац в 9.1 Introduction. Там есть ошибка. Вероятность одинаковых исходов для двух случайно взятых документов с фиксированным t действительно будет 2-n.http://www.cacr.math.uwaterloo.ca/hac/ Там расчитывается вероятность одинаковых исходов для двух случайно взятых документов. Нужно же расчитывать вероятность несовпадения исходов для всех возможных пар документов. Необходимо обеспечить уникальность подписи для любого документа, поэтому нужно знать, сколько еще документов с таким же исходом может существовать. И не стоит забывать презумпцию невиновности. В законе сказано, что ЭЦП приравнивается к собственоручной подписи. А любое сомнение трактуется в пользу обвиняемого. Раз вероятность существования другого документа отлична от нуля, то это сомнение в пользу подозреваемого. Пусть даже вероятность совпадения мала. Для подписи нужно обязательно выяснить следующее: какова вероятность того, что взятая подпись соответствует именно указанному документу и не соответствует любому другому. Сигнатурная ЭЦП не может быть приравнена к собственоручной подписи в силу отрицательного ответа на этот вопрос об однозначности принадлежности подписи документу. Если в суде эксперт на вопрос "Скольким еще документам может соответсвовать такая подпись?", ответит для привеленного мной конкретного числового случая 2t-n-1 = 2990000-1, т.е. нескольким квадрильонам документов, то я представляю куда пойдут и с каким шумом такие "доказательства". ХОЗО суда будет надолго обеспечен бумагой для сортиров. Есть единственная схема ЭЦП с асимметричными ключами с полным перекодированием текста документа, в которой вероятность совпадающих исходов равна нулю. Вот такую схему еще можно было бы признать за эквивалент собственоручной подписи. Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Yeoman от 23 Июня 2004, 18:04:33 Urix вы дальше введения прочитали?
Цитировать Есть единственная схема ЭЦП с асимметричными ключами с полным перекодированием текста документа, в которой вероятность совпадающих исходов равна нулю. Вот такую схему еще можно было бы приизнать за эквивалент собственоручной подписи. Вы себе представляете шифрование с открытым ключом документа размером в 5 мегабайт?После того предложения Микрософт со своими требованиями к железу просто отдыхает. А вообще я бы рекомендовал ознакомится с алгоритмом SHA512. В HAC'e его правда нет. Но я думаю найдете. Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Cool Fire от 23 Июня 2004, 18:22:38 Цитировать Есть единственная схема ЭЦП с асимметричными ключами с полным перекодированием текста документа, в которой вероятность совпадающих исходов равна нулю. Вот такую схему еще можно было бы приизнать за эквивалент собственоручной подписи. А это зря. Это ведь не реалтайм и не критичная ко времени задача. Да и не такое уж большое нужно время на современных тачках. А к тому времени, когда раздуплятся с законом - меньше 3-хгигового пня уже не останется :-)Вы себе представляете шифрование с открытым ключом документа размером в 5 мегабайт? После того предложения Микрософт со своими требованиями к железу просто отдыхает. А вообще я бы рекомендовал ознакомится с алгоритмом SHA512. В HAC'e его правда нет. Но я думаю найдете. Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Yeoman от 23 Июня 2004, 21:22:42 Цитировать А это зря. Это ведь не реалтайм и не критичная ко времени задача. Да и не такое уж большое нужно время на современных тачках. А к тому времени, когда раздуплятся с законом - меньше 3-хгигового пня уже не останется :-) Эх, Cool Fire... Эт вы будете начальству объяснять, когда ему надо будет документов 40 подписать по-быстрому. ;) :) А если у него еще как и положено ключики в смарт-карту загнать, да он поседеет пока файлик подпишется... 3х гиговый пень ведь в смарт-карту не засунешь. И ведь что самое смешное, если эту смарт-карту с чипом отвечающим за доступ к помещениям совместить - то и в туалет не выйдет :) Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Urix от 24 Июня 2004, 01:09:46 Цитировать 3х гиговый пень ведь в смарт-карту не засунешь. И ведь что самое смешное, если эту смарт-карту с чипом отвечающим за доступ к помещениям совместить - то и в туалет не выйдет Если надо реализовать в "железе" RSA, то это еще в 70-х годах было сделано. Конечно, работает помедленнее, чем DES, но не медленне, чем 3-х гиговый пень. Если нет западных, то Зеленоград под боком. Заказали, заплатили, сделают, пользуйтесь. Или "за падло" своим деньги платить?Если для решения проблемы надо что-то сделать, то это уже не проблема, это надо просто делать. Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Yeoman от 24 Июня 2004, 10:04:36 Цитировать Если надо реализовать в "железе" RSA, то это еще в 70-х годах было сделано. Конечно, работает помедленнее, чем DES, но не медленне, чем 3-х гиговый пень. Urix вы бы хоть за тем о чем мы говорим следили - мы говорим о том что будет если реализовать ваше предложение по шифрованию всего текста на закрытом ключе для целей ЭЦП.А насчет железа - так это не новость, у меня полстола этим завалено. Скорость и уровень безопасности меня устраивает. :) Правда для высокоскоростных операций хочу криптоаксселератор. Цитировать Если нет западных, то Зеленоград под боком. Заказали, заплатили, сделают, пользуйтесь. Или "за падло" своим деньги платить? ;D ;D ;D вы видели, ЧТО наша электронная промышленность из криптографических устройств для своих граждан делает (не для государства, а для простых смертных)? И за какие деньги? Если бы видели, то не говорили бы. :( Цитировать Если для решения проблемы надо что-то сделать, то это уже не проблема, это надо просто делать. Urix если известно решение, то это уже не проблема, а задача.К тому же проблем нет. Пути решения уже давно есть. Это я про наши госты в аппаратной реализации (по крайней мере для конечных пользователей, с решением для серверов пока что хуже). Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Urix от 24 Июня 2004, 12:00:43 Цитировать Urix вы бы хоть за тем о чем мы говорим следили - мы говорим о том что будет если реализовать ваше предложение по шифрованию всего текста на закрытом ключе для целей ЭЦП. Мы говорили в первую очередь о применимости ЭЦП в качестве аналога собственноручной подписи, Что регламентировано законом. Вы же идете к нотариусу и выстаиваете в очереди. Тут Вы считатет, что все нормально. Электронный "нотариус" работае гораздо быстрее.Цитировать Urix вы бы хоть за тем о чем мы говорим следили - мы говорим о том что будет если реализовать ваше предложение по шифрованию всего текста на закрытом ключе для целей ЭЦП. ЭЦП решает две задачи:1. Подтверждает неизменность кода документа с момента его подписания 2. Подтверждает принадлежность этого документа владельцу секретного ключа. С задачей номер 1 сигнатурные ЭЦП еще как-то справляются с некотрой вероятностью, а не достоверностью. Со второй задачей нет в принципе. Проверяется это просто: достаточно адвокату в суде задать единственный вопрос "Скольким еще документам может соответсвовать данная сигнатурная подпись". ЭЦП должна обеспечивать однозначность как в напрвлении документ-подпись, так и в обратном направлении. Этого нет. Следовательно, это не ЭЦП. С ней в суд не пойдешь. Филькина грамота. Цитировать вы видели, ЧТО наша электронная промышленность из криптографических устройств для своих граждан делает (не для государства, а для простых смертных)? Видел и знаю. В свое время мне приходилось с этими ребятами плотно общаться и их возможности я знаю. Не только в Зеленограде, но и в Санкт-Петербурге, в Минске, в Киеве и в Новосибирске. Не хотят делать в Зеленограде, есть Новосибирск. В крайнем случае на полузаказных СБИС можно все это реализовать.Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Yeoman от 24 Июня 2004, 14:06:23 Цитировать Мы говорили в первую очередь о применимости ЭЦП в качестве аналога собственноручной подписи, Что регламентировано законом. Вы же идете к нотариусу и выстаиваете в очереди. Тут Вы считатет, что все нормально. Электронный "нотариус" работае гораздо быстрее. Urix мое замечание касалось в полне конкретного момента - а именно предложения шифровать на закрытом ключе весь документ.Выражайте свои мысли точнее, правильно выбирая куски постов для цитирования. Цитировать ЭЦП должна обеспечивать однозначность как в напрвлении документ-подпись, так и в обратном направлении. Этого нет. Следовательно, это не ЭЦП. С ней в суд не пойдешь. Филькина грамота. Посмотрим на судебную практику, когда заработает закон и пойдут конкретные дела.Цитировать Видел и знаю. В свое время мне приходилось с этими ребятами плотно общаться и их возможности я знаю. Не только в Зеленограде, но и в Санкт-Петербурге, в Минске, в Киеве и в Новосибирске. Не хотят делать в Зеленограде, есть Новосибирск. В крайнем случае на полузаказных СБИС можно все это реализовать. Ну-ну, назовите мне хотя бы один пример отторгаемого носителя ключевого материала для конечного пользователя, реализующий наши госты (про RSA я не прошу это и так уже есть) и такое же железо, но только для серверных платформ. Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Urix от 24 Июня 2004, 14:30:08 Цитировать а именно предложения шифровать на закрытом ключе весь документ. Если нужна достоверность, то с разумными затратми ресурсов надо мириться. Только и всего. Если же достоверность не нужна, то делайте что хотите. Но тогда не говорите, что Ваша ЭЦП должна являться аналогом собственноручной подписи. Она не будет достоверной. Следовательно, не может ничего удостоверить. Не подменяйте понятия и не выдавайте желаемое за действительное.Цитировать Ну-ну, назовите мне хотя бы один пример отторгаемого носителя ключевого материала для конечного пользователя, реализующий наши госты (про RSA я не прошу это и так уже есть) и такое же железо, но только для серверных платформ. Эк какое словечко-то придумали "отторгаемый". Носитель - он всегда носитель, конечен в пространстве и самостоятелен, как материальный объект.Потому и не видел, что знаю, что этим ребятам достаточно денег не дают. Все деньги вывозятся за рубеж. Достаточно напомнить о топологии четвертого пня. Но в серию его так и не смогли запустить из-за отсутствия денег на подготовку производства. На разработку хватило, а на производство уже нет. А ведь был шанс... Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Yeoman от 25 Июня 2004, 15:28:54 Цитировать Она не будет достоверной. Следовательно, не может ничего удостоверить. Не подменяйте понятия и не выдавайте желаемое за действительное. Urix покажите мне где я это сделал? Подменял понятия, выдавал желаемое за действительное?Цитировать Эк какое словечко-то придумали "отторгаемый". Носитель - он всегда носитель, конечен в пространстве и самостоятелен, как материальный объект. Что в первый раз видите такое опередение носителя ключевого материала? :o ;D :)Цитировать Потому и не видел, что знаю, что этим ребятам достаточно денег не дают. Все деньги вывозятся за рубеж. Достаточно напомнить о топологии четвертого пня. Но в серию его так и не смогли запустить из-за отсутствия денег на подготовку производства. На разработку хватило, а на производство уже нет. А ведь был шанс... Urix это все слова. Разные есть примеры в истории нашей страны.А что до денег и т.п. вздохов - так извините если делать нормальные совместимые со стандартами продукты, то можно и денег заработать и развиваться. А то сделают полуфабрикат и пытаются убедить в том что это и есть предел моих мечтаний. У нас софт то пишут (хотя и есть исключения, которые подтверждают правило) через одно место, не то что железо делают. Сколько я систем связанных с безопасностью посмотрел - волосы дыбом вставали. Хватит - надоело. Не научимся работать - будем всю жизнь сырьевым придатком запада. А то блин - "каждый суслик агроном". У нас в России принято оправдывать свою неспособность внешними причинами. Так сказать стиль жизни такой. Поэтому говорить на эту тему - пустая трата времени и сил. Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Urix от 25 Июня 2004, 18:58:43 Цитировать Urix покажите мне где я это сделал? Подменял понятия, выдавал желаемое за действительное? ЭЦП должна удостоверять неизменность документа с момента его подписания. Сигнатурные ЭЦП это делают не достоверно, а вероятностно. Происходит подмена понятия верятность на достоверность.Соответственно и выдается желаемое за действительное. Вы желаете, чтобы при разборе споров по ЭЦП в суде ее вероятность рассматривалась бы, как достоверность. Мало того, Вы еще умалчиваете и о том, что одинаковые сигнатурные ЭЦП могут быть получены не только для различных документов, но и для различных секретных ключей. Подсчитайте сами, сколько нужно взять различных секретных ключей, чтобы с вероятностью 0.9 две ЭЦП для одного документа совпали. Это аналогично задаче с днями рождений, в которой ответ составляет 17 человек, а не 365. И всячески стоите на том, что эта вероятность уже есть не вероятность, а достоверность. Тем самым Вы не только подменяете понятия, но еще и желаемое выдаете за действительное. P.S. Для 1000-битного ключа достаточно взять всего 40-50 тысяч различных случайно сгенерированных секретных ключей, что бы с вероятностью 0.9 подписи одного документа в 1000000 бит совпали. Вы хоть карандаш-то иногда в руки берите. Если же брать все документы различной длины от 1000000 до 1000, то нужно будет взять всего 60-70 ключей. Не более ста. P.P.S. Этот Ваш пример сигнатурного ЭЦП очень наглядно показывает, как полное знание превращается в суррогатное, когда исчезает достаточность. Если бы сразу во втором абзаце Введения в 9 главу было приведено решение задачи о днях рождений в качестве достаточного условия, то и саму главу писать уже не имело бы смысла. А опустили достаточность, получилась целая глава. Вроде как важная работа сделана... Цитировать Разные есть примеры в истории нашей страны Не спорю. Пока делом руководили специалисты, то и атомные ледоколы первые строили, и в космос первые летали, и гибридные микросхемы первые производили массово в виде радиоприемников. А как стали на их места ставить невеж, так тут оно и пошло и поехало. В России две беды: дураки и дороги. Справимся с первой, вторая сама собой исчезнет. Цитировать Не научимся работать - будем всю жизнь сырьевым придатком запада. А то блин - "каждый суслик агроном". Умению честно работать прежде всего мешает неумение адекватно себя оценивать. Адекватности мешает отсутствие достаточных знаний или зомбированность суррогатным знанием. Следствие этого - подмена понятий и выдача желаемого за действительное. И получается один большой "город кошек".У нас в России принято оправдывать свою неспособность внешними причинами. Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Urix от 28 Июня 2004, 11:36:29 Yeoman! Я бы еще с Вами согласился с достоверностью сигнатурных ЭЦП, если бы Вы сказали, что ЭЦП для документов, семантическая длина которых не превышает длину ключа, которая равна K = log2(N)*log2((2N)!) = log2(N)*N*(N-1)/2 (N - это количество слов в словаре) и является однозначной для всех осмысленных кодовых комбинаций. Т.е., если бы Вы использовали алгоритмы, основанные, скажем, на Марковских би- три- и т.д. -грамах, а не на Шеноновском определении информации. Для N=1000 длина ключа будет > 1000000 получаем длины документов в единицы мегабайт. При этом семантически недостоверные документы просто не подписываются. Тогда выполняется принцип однозначного соответствия сигнатуры смыслу документа и заверяется не сам текст документа (его коды), а смысловое содержание документа (его семантика).
Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Yeoman от 28 Июня 2004, 11:52:09 Цитировать ЭЦП должна удостоверять неизменность документа с момента его ... Urix я увижу наконец цитаты моих постов, где я сделал все то в чем Вы меня обвиняете? Если нет, то у меня появятся основания для весьма нелицеприятных высказываний в Ваш адрес.Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Urix от 28 Июня 2004, 14:13:30 Цитировать Urix я увижу наконец цитаты моих постов, где я сделал все то в чем Вы меня обвиняете? Смотрите внимательно, цитаты идут в по порядку. Я буду кое-где делать ремарки.Цитировать и есть Удостоверяющий Центр, только функционал его несколько шире чем просто регистрация и хранение открытых ключей пользователей. Расширение функционала PKI не предусмотрено. Если только торговля "Coca-Cola" в свободное время будет входить в это расширение.Цитировать УЦ же должен проверить что человек, который представил открытый ключ, обладает соотвествующим ему закрытым ключом - а это делается обычно при формировании запроса на выдачу сертификата Эта фраза сразу вызвала у меня очень большие сомнения. Действительно, заявленная Вами сигнатурная ЭЦП обладает одним очень важным свойством: по ЭЦП нельзя ничего сказать о содержимом самого документа. Отсюда следует:1. Алгоритм имеет "черный ход" 2. Центру надо предоставить секретный ключ. 3. Подтверждение тоже носит вероятностный характер. "Игра в покер в темную" здесь не проходит, поскольку ни на одном шаге нет передачи самой идентифицирующей эталонной информации. Цитировать Главное требование для пары ключей ЭЦП - однозначность процесса кодирования-декодирвания. И чуть позже.Не совсем так. За однозначность и грубо говоря работоспособность ключевой пары отвечает СКЗИ и алгоритм, который в нем реализован. Цитировать Во вторых кто это додумался шифровать документ при помощи закрытого ключа? Это ж сколько времени нужно - поседеть можно. И чуть ниже.Цитировать Urix вам ссылочку дать на Handbook of Applied Cryptography? Точнее на раздел где хэши описаны? Цитировать Вы себе представляете шифрование с открытым ключом документа размером в 5 мегабайт? После того предложения Микрософт со своими требованиями к железу просто отдыхает. Вас не поймешь. То Вы про однозначность и связанную с ней напрямую работоспособность ключевой пары говорите, то вдруг на хэши перешли. Хэши, (хэш-функции, меры порядка на конечном счислимом множестве) чтоб Вам бьло понятно, дают положительный ответ на вопрос: может ли данная ЭЦП соотвествовать другому документу и/или другой ключевой паре? Ответ будет: "Да, может. Но с некоторой малой вероятностью". В этом случае Вы, как эксперт обвинения, должны будете доказать, чтобы рассеять обоснованные сомнения, что не существует других пар ключей и других документов, которым бы соотвествовала предъявленная ЭЦП. Вы же говорите о сигнатурных ЭЦП, основанных на хэш-функциях, как о доказательстве собственноручной подписи. Следовательно, Вы говорите о достоверности, а значит - об однозначности. Тем самым Вы подменяете понятие вероятность на достоверность. Аналог собственноручной подписи регламентирована рассматриваемым ФЗ РФ "Об ЭЦП", в котором нигде не сказано про сигнатурные, вероятностные схемы ЭЦП. Если произвести такую подмену, то всегда можно будет судить любого за любое преступление только на том основании, что он когда-то находился на расстоянии менее километра от места совершения преступления, а значит вероятность совершения им преступления хоть и мала, но отлична от нуля. Есть принцип неопределенности Гейзенберга, который справедлив для микромира. Здесь мы имеем уже принцип неопределенности Yeoman-а для макромира. Еще вопросы есть? P.S. Основой Американского правосудия является прецедент, основой Российского - выяснение истины. Американские законы дают плохие всходы на Российской почве. Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Yeoman от 28 Июня 2004, 23:09:01 Цитировать Расширение функционала PKI не предусмотрено. Если только торговля "Coca-Cola" в свободное время будет входить в это расширение. Urix вы хотите сказать, что функциями PKI являются только регистрация и хранение? А как же проверка статуса сертификата? Выпуск списков отзыва? Восстановление? Это куда засунуть??? Urix вы бы прежде чем такое писать, хотя бы книжку прочитали. Цитировать ... Это бред. я Вам об этом уже говорил.2. Центру надо предоставить секретный ключ. ... Цитировать Цитировать Главное требование для пары ключей ЭЦП - однозначность процесса кодирования-декодирвания. И чуть позже.Не совсем так. За однозначность и грубо говоря работоспособность ключевой пары отвечает СКЗИ и алгоритм, который в нем реализован. Цитировать Во вторых кто это додумался шифровать документ при помощи закрытого ключа? Это ж сколько времени нужно - поседеть можно. И чуть ниже.Цитировать Urix вам ссылочку дать на Handbook of Applied Cryptography? Точнее на раздел где хэши описаны? Цитировать Вы себе представляете шифрование с открытым ключом документа размером в 5 мегабайт? После того предложения Микрософт со своими требованиями к железу просто отдыхает. Что СКЗИ отвечает за правильность реализации алгоритма создания ключей? Что шифрование текста на закрытом ключе требует большего количества ресурсов, чем шифрование хэша этого же документа? Что я предложил Вам ознакомится с хэшами, и материалами по ним, которые приведены в Handbook of Applied Cryptography? Что еще доказывают эти цитаты? Ничего больше. А это: Цитировать Следовательно, Вы говорите о достоверности, а значит - об однозначности. Тем самым Вы подменяете понятие вероятность на достоверность. Вы уже додумали сами и теперь пытаетесь приписать мне.Покажите мне хоть один пост, где я использовал термин "достоверность". И уж точно не Вам Urix жаловаться на непоследовательность изложения. Цитировать Еще вопросы есть? Будете искать новые, более состоятельные цитаты (а их тут нет - какая незадача :)) или опять полстраницы текста напишите, прикрывая свой ляп с попыткой обвинить меня в подмене понятий?Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Urix от 29 Июня 2004, 07:31:17 Цитировать Это бред. я Вам об этом уже говорил. Значит два остальных пункта верны. Но тогда, человек знающий "черный ход" может спокойно подделать любую сигнатуру. Либо остается вероятность несоответствия секретного ключа и открытого. В обоих случаях сигнатурные ЭЦП теряют свойство достоверности и перестают удовлетворять требованиям закона.И прекратите хамить. Хамство никогда не являлось аргументом в споре. Цитировать Покажите мне хоть один пост, где я использовал термин "достоверность". Вы сами про достоверность нигде не говорили. Это сказано в законе, когда выдвигается требование об эквивалентности собственноручной подписи. Вы же, умалчивая о вероятностном характере ЭЦП, утверждаете, что сигнатурная ЭЦП удовлетворяет всем требованиям закона. Тем самым пытаетесь этим умалчиванием произвести подмену понятий вероятность на достоверность. Вопрос эксперту и его ответ я Вам привел. Опровергайте обоснованные сомнения, доказывайте как эксперт, что не существует других таких документов и других пар ключей, которые будут иметь аналогичную сигнатурную ЭЦП. Пока Вы это не докажете, сигнатурные ЭЦП нельзя будет применять в российском законодательстве в качестве аналога собственноручной подписи, как не удовлетворяющие требованиям закона. В законе может не быть прямо указано, какие конкретно реализации не могу, а какие могут служить аналогом собственноручной подписи. В законе выдвигаются лишь основные требования.Цитировать или опять полстраницы текста напишите, прикрывая свой ляп с попыткой обвинить меня в подмене понятий? Зачем. Я поставил Ваше утверждение под обоснованное сомнение задачей о днях рождений. Теперь слово за Вами. Доказывайте свою правоту, господин эксперт. Или сознавайтесь, что либо не обладаете достаточными знаниями и не можете выступать в качестве эксперта, либо сделали заведомо ложную экспертизу и это уже уголовно-наказуемое деяние. Успехов.Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Yeoman от 29 Июня 2004, 09:41:48 Цитировать Значит два остальных пункта верны. Это что ли верно?(см. ниже)Цитировать Алгоритм имеет "черный ход" Такие вещи Urix доказывать надо. А не словами кидаться.Кстати как правило "черный ход" имеет не алгоритм, а его реализация. Цитировать Вы сами про достоверность нигде не говорили. Тогда как понимать Ваши обвинения в мой адрес, что я подменял понятия и выдавал желаемое за действительное?Дальше будем спорить или признаете что додумали за меня и ошиблись с обвинениями? Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Urix от 29 Июня 2004, 10:16:30 Цитировать Кстати как правило "черный ход" имеет не алгоритм, а его реализация. Даже здесь Вы "поплыли". Если реализация алгоритма хоть в одной его части не соответствует самому алгоритму, то это уже реализация другого алгоритма. Опять подменяете понятия из-за незнания теории алгоритмов и основополагающего понятия эквивалентности алгоритмов.Цитировать Дальше будем спорить или признаете что додумали за меня и ошиблись с обвинениями? Ну не я же утверждал, что сигнатурные ЭЦП соответствуют требованиям закона. Это утверждали Вы. Чтоб не быть голословным, привожу цитаты из самого закона:1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе; подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе; А теперь, уже зная про задачу о днях рождений и вопросы к эксперту, докажите, что сигнатурная ЭЦП полностью удовлетворяет этим положениям закона. Т.е., докажите истинность Вашего утверждения. Особое внимание при доказывании обратите на выделенное курсивом, где четко и однозначно сказано криптографическое преобразование информации, а не замена информации на ее сигнатуру. Успехов. P.S. И еще раз внимательно прочитайте сам текст закона и убедитесь, что в нем, кроме определения, нигде больше не говорится о самой ЭЦП и регулировании отношений при применении самой ЭЦП, а только о сертификатах и о центрах. Правильно было назвать этот закон "О центрах сертификации и сертификатах ЭЦП". Это тоже подмена понятий. P.P.S. А задачку Вы не смогли решить потому, что не знаете теорему Шеннона, теорию информации, теорию цепей Маркова, теорию хэш-функций. Это основы криптографии. Значит, Вы не знаете основ криптографии. Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Yeoman от 29 Июня 2004, 11:26:41 Цитировать Даже здесь Вы "поплыли". Если реализация алгоритма хоть в одной его части не соответствует самому алгоритму, то это уже реализация другого алгоритма. Опять подменяете понятия. Ну-ну Urix я посмотрю на вас, когда вам сделают "бяку" используя "скрытый канал" в криптосредстве и что вы будете говорить тогда. Жаль я этого не услышу. ;DЦитировать Ну не я же утверждал, что сигнатурные ЭЦП соответствуют требованиям закона. Это утверждали Вы. Чтоб не быть голословным, привожу цитаты из самого закона: ;D ;D ;DА может вы все таки меня процитируете, а не закон? Вы ж меня вроде обвиняете ;D ;D ;D, а цитируете закон. А то у меня появляются мысли предложить Вам обратитсья к квалифицированным специалистам. Раз уж для Вас я и закон начинаем сливаться воедино. ;D И цитаты из закона с вашей точки зрения, доказывают факт подмены мной понятий. А если серьезно, то читайте что я пишу и о чем, и не додумывайте за меня. И вам станет гораздо легче со мной спорить. А то мы с вами нагромоздили кучу текста, а на выходе все равно 0 получается. Жалко время терять. P.S. Если хотите, можете развлекаться тут и дальше ;) Я эту ветку закрывать не буду - ее вообщем то удалять надо. Но пусть будет для "потомков". Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Urix от 29 Июня 2004, 11:39:15 Цитировать Ну-ну Urix я посмотрю на вас, когда вам сделают "бяку" используя "скрытый канал" в криптосредстве и что вы будете говорить тогда. Я не пользуюсь этими "сертифицированными" средствами. Особенно такими, как "иней" и снег". Которые были дискредитированы еще в 1994-1995 годах и в то же время на них в сети FIDO были опубликованы "кряки", работу которых я лично проверял: 5 минут и 1 час. А в 1997, если не изменяет память, вышел специальный указ президента об обязательности применения этих "среств зашшыты" в госорганах.Так что, единыжды соврав, да ктож тебе поверит. Цитировать А может вы все таки меня процитируете, а не закон? Я Вас уже цитировал. То место, где Вы начали говорить о сигнатурах на основе хэш-функций. Читайте внимательно. Если же Вы говорили о сигнатурах не как об ЭЦП, регламентированных законом, то об этом надо было предупреждать заранее, четко и однозначно. Надо было сказать: "я хочу пообсуждать сигнатуры". А не разводить флейм по поводу соответствия сигнатур закону. Здесь мы обсуждаем закон и все, что соотвествует закону.Название: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Yeoman от 29 Июня 2004, 12:44:30 Цитировать Надо было сказать: "я хочу пообсуждать сигнатуры". А не разводить флейм по поводу соответствия сигнатур закону. Здесь мы обсуждаем закон и все, что соотвествует закону. ;D ;D ;DНазвание: Re:ФЗ "Об ЭЦП" России (попытка №1) Отправлено: Urix от 29 Июня 2004, 17:02:50 Цитировать полученный в результате криптографического преобразования информации ;) ;D :P |