следующая тема »

[gur]

Очень рада что тема перенесена в ту ветку, где ей и нужно быть!
Спасибо Yeoman!

Смысл прежний: информация и её реквизиты.

Повторюсь, мы о реквизитах документа говорим, а не информации. Любая информация не может быть документом!!!

Доказательства есть?

А какие тебе ещё нужны?

Повторю на всякий случай: мы занимаемся теоретической проблемой. Некомпетентность судей не является нашей темой.

А для чего тогда вообще нужна эта теория, если она ну ни как не применима в практике? И причем здесь некомпетентность?

Форма - один из реквизитов.

Форма-это то, во что обличены наши с тобой реквизиты. Если как ты говоришь "реквизиты информации", то как форма может быть реквизитом информации? Абстрактный пример с кувшином (для наглядного представления ситуации): Для кувшина его реквизитом (т.е. его essential elements, о котором я говорила выше) будет глина, из которого он сделан, а форма его относиться не к его реквизиту, а к тому как он сделан, а не из чего...


Yeoman! А давай обсудим техническую сторону вопроса.
У меня есть ряд вопросов:
1) С технической стороны: какие должны быть реквизиты электронного документа? Что прежде всего должно содержаться в его алгоритме? Как отличить подлинник от подделки? (Видимо только экспертным путем?)
2) Какие в данный момент существуют методы и способы для защиты электронных документов(в т.ч. ЭЦП). Как бы вы могли их охарактеризовать? Какой самый надежный?

[Yeoman]

Yeoman! А давай обсудим техническую сторону вопроса.
У меня есть ряд вопросов:
1) С технической стороны: какие должны быть реквизиты электронного документа? Что прежде всего должно содержаться в его алгоритме? Как отличить подлинник от подделки? (Видимо только экспертным путем?)
2) Какие в данный момент существуют методы и способы для защиты электронных документов(в т.ч. ЭЦП). Как бы вы могли их охарактеризовать? Какой самый надежный?

Давайте, но потом... Я вернусь к вашему обсуждению скорее всего вечером субботы.
А пока если коротко:
1. gur вы про какой алгоритм?
Отличить эд. с ЭЦП от подделки очень просто. Необходимо провести операцию проверки ЭЦП. Тот документ, который ее не пройдет и есть подделка. Это если очень обобщенно. Есть разные ситуации и разные моменты.
2. Зависит от целей, которые вы ставите. Но вообщем и целом это ЭЦП построенная на алгоритмах с открытым ключом. Детали могу рассказать позже. Другие экзотические схемы мы не рассматриваем. Хотя они есть.

[Yeoman]

Вниманию участников

Так как я физически не способен за один день перечитать и осмыслить все что здесь написано (24 страницы). То "зачистка" ветки будет происходить в течении недели.

[gur]

А пока если коротко:
1. gur вы про какой алгоритм?

Я имела ввиду алгоритм ЭЦП.

Необходимо провести операцию проверки ЭЦП. Тот документ, который ее не пройдет и есть подделка. Это если очень обобщенно. Есть разные ситуации и разные моменты.

Можно более подробно охарактеризовать этот процесс? И поповоду различных ньюансов очень хотелось бы узнать...

Зависит от целей, которые вы ставите. Но вообщем и целом это ЭЦП построенная на алгоритмах с открытым ключом. Детали могу рассказать позже.

Спасибо, жду деталей

Другие экзотические схемы мы не рассматриваем. Хотя они есть.

Хотя бы вкратце можно узнать?

[Yeoman]

Я имела ввиду алгоритм ЭЦП.

gur, алгоритм сам по себе это только половина дела. Важна еще его реализация.
Можно реализовать В ПО один и тот же алгоритм так, что в первом случае он будет отлично работать и например атаку на скрытый канал провети против него нельзя будет, а можно будет сделать так, что знающий человек с соответсвующими вычислительными ресурсам, получит ваш закрытый ключ и сможет подписывать документы вместо вас

Из используемых в настоящее время можно назвать - RSA, DSA, ECCA,ECCB, ГОСТ 34.10-94 (до 2007 года), ГОСТ 34.10-2001.

Можно более подробно охарактеризовать этот процесс? И поповоду различных ньюансов очень хотелось бы узнать...

Обычно это выполняется программным (аппаратным) средством криптографической защиты. С точки хрения пользователя это либо происходит автоматически, когда он открывает документ/файл либо требует нажатия кнопки
Нюансы... много их разных. Например: сегодня я проставил свою ЭЦП под документом. Подделать в настоящий момент времени ее нельзя. А через 15 лет, некто мистер Смит, используя достижения науки и техничи, получил используя информацию из ЭЦП мой закрытый ключ и подменив документ переподписал его "типа за меня", после этого пошел с претензиями. Немножко зауши притянуто, но в полне правдоподобно. Из этого примера мы попадаем на проблему архивов электронных документов и долгосрочного хранения. Сразу скажу задача решается.
Еще оди нюанс: ЭЦП позволяет нам узнать не только кто, но и когда был подписан документ, НО! этот момент времени может быть подделан даже секретаршей (меняем время на компе) выполняем операцию подписи и меняем время назад - значит нам нужна служба меток времени но это отдельная песня.
Вот такие нюансы.

Спасибо, жду деталей

RTFM Handbook of applied Cryptography там все написано, включая различные схемы подписи. Честно, чтобы вы поняли детали, мне надо написать тут текста на 2 листа А4, либо повторить свое выступление по этому поводу в МГЮА а времени нету совсем так что читайте мануал - глава Digital Signatures

Хотя бы вкратце можно узнать?

построенны на основе симметричных алгоритмов практической ценности не имеет

[gur]

Можно реализовать В ПО один и тот же алгоритм так, что в первом случае он будет отлично работать и например атаку на скрытый канал провети против него нельзя будет, а можно будет сделать так, что знающий человек с соответсвующими вычислительными ресурсам, получит ваш закрытый ключ и сможет подписывать документы вместо вас

Значит получается получить доступ к закрытому ключу очень легко? Ну не легко, но возможно? Этот момент меня больше всего пугает, так как это один из доводов отказа от подписи электронных сделок ЭЦП и т.д.  А ещё мне не нравится то, что на компе, посредством которого была создана ЭЦП остается закрытый ключ, как бы его не удаляли.
И как это преодолеть техническим путем?

Из используемых в настоящее время можно назвать - RSA, DSA, ECCA,ECCB, ГОСТ 34.10-94 (до 2007 года), ГОСТ 34.10-2001.

В чём отличие всех алгоритмов? Способ построения разный? Способ построения ЭЦП влияет на возможность его подделки? Есть ли такой способ(удачный), благодаря которому ЭЦП проблематично подделать?

Нюансы... много их разных. Например: сегодня я проставил свою ЭЦП под документом. Подделать в настоящий момент времени ее нельзя. А через 15 лет, некто мистер Смит, используя достижения науки и техничи, получил используя информацию из ЭЦП мой закрытый ключ и подменив документ переподписал его "типа за меня", после этого пошел с претензиями.

Отсюда следует, что создать ЭЦП, которую невозможно подделать нереально? По моим последним данным   в от 86,6% до 99,9% случаях ЭЦП подделать не возможно, правильно? Может быть у вас есть другие данные?

RTFM Handbook of applied Cryptography там все написано, включая различные схемы подписи. Честно, чтобы вы поняли детали, мне надо написать тут текста на 2 листа А4, либо повторить свое выступление по этому поводу в МГЮА а времени нету совсем так что читайте мануал - глава Digital Signatures

Так вы ещё и в МГЮА преподаете? Вот это да!!!
А можно на мэйл то, что в МГЮА читали? Мне очень интересно. А у Вас свои научные работы, книги есть?

[Yeoman]

Значит получается получить доступ к закрытому ключу очень легко? Ну не легко, но возможно? Этот момент меня больше всего пугает, так как это один из доводов отказа от подписи электронных сделок ЭЦП и т.д.  А ещё мне не нравится то, что на компе, посредством которого была создана ЭЦП остается закрытый ключ, как бы его не удаляли.
И как это преодолеть техническим путем?

gur, лекго говорить не думая. Упомянутый мной выше вид атаки дает сам ключ, а не доступ к нему - он позволяет его вычислить. НО еще раз повторю, это зависит от того, как именно был реализован алгоритм - если буквально говорить, то плохо или хорошо была написана программа. А по поводу возможно - так возможно все - 100% защиты не бывает. А рукописную подпись подделать тоже не проблема. И печать организаци тоже.
Если вы не хотите хранить ключевую пару на ПК, то храните ее на отторгаемом носителе - например смарт-карте. В этому случае закрытый ключ никогда не покидает зщищенную область  памяти смарт-карты, а все операции криптографического преобразования в которых он задействован, выполняются прямо на карте.

В чём отличие всех алгоритмов? Способ построения разный? Способ построения ЭЦП влияет на возможность его подделки? Есть ли такой способ(удачный), благодаря которому ЭЦП проблематично подделать?

в стране производителе. там где буквы в названии не русские это закордонные, там где кириллица - это наше.   Приведенные алгоритмв основаны на двух вещах: факторизация простых чисел и поиск группы точек на элиптической кривой. Говоря по вашему разный способ.

ЭЦП, созданную с использованием любого из этим алгоритмов, при правильной реализации в ПО и подборе параметров проблематично подделать. В той или иной степени.

Отсюда следует, что создать ЭЦП, которую невозможно подделать нереально? По моим последним данным   в от 86,6% до 99,9% случаях ЭЦП подделать не возможно, правильно? Может быть у вас есть другие данные?

Неправильная постановка вопроса. Никто не даст вам гарантию в 100%. Вы можете получить гарантию, что ЭЦП, которубю вы только что выработали, будет действительное и еее не смогут подделать, в течении 15 месяцев, с вероятностью 95%.

Так вы ещё и в МГЮА преподаете(правовую информатику, наверно)? Вот это да!!!
А можно на мэйл то, что в МГЮА читали? Мне очень интересно. А у Вас свои научные работы, книги есть?

нет gur, я НЕ преподаю в МГЮА вообще.
весной, по приглашению Антона, я выступал перед студентами - рассказывал как раз про ЭЦП.

[gur]

А по поводу возможно - так возможно все - 100% защиты не бывает. А рукописную подпись подделать тоже не проблема. И печать организаци тоже.

Согласна. Рукописную подпись и печать п/п даже проще подделать чем ЭЦП. И это мой самый любимый довод в пользу ЭЦП для убеждения контрагентов.

Если вы не хотите хранить ключевую пару на ПК, то храните ее на отторгаемом носителе - например смарт-карте. В этому случае закрытый ключ никогда не покидает зщищенную область  памяти смарт-карты, а все операции криптографического преобразования в которых он задействован, выполняются прямо на карте.

А помните мы с Вами говорили о том, что если ЭЦП была создана на ПК, то всё равно каким то образом ключ остается на компе. Или я не так поняла?

в стране производителе. там где буквы в названии не русские это закордонные, там где кириллица - это наше.   Приведенные алгоритмв основаны на двух вещах: факторизация простых чисел и поиск группы точек на элиптической кривой. Говоря по вашему разный способ.

ну на счет букв понятно.
а почему говоря по вашему? а как по вашему?

ЭЦП, созданную с использованием любого из этим алгоритмов, при правильной реализации в ПО и подборе параметров проблематично подделать. В той или иной степени.

Какие способы существуют подделки? Без соответствующих знаний трудно подделать ЭЦП?

Неправильная постановка вопроса. Никто не даст вам гарантию в 100%. Вы можете получить гарантию, что ЭЦП, которубю вы только что выработали, будет действительное и еее не смогут подделать, в течении 15 месяцев, с вероятностью 95%.

Следовательно, по вашему, нужно будет через каждые 15 месяцев менять ЭЦП?

А на счет преподования подумайте, у Вас хорошо получается!

[Yeoman]

Согласна. Рукописную подпись и печать п/п даже проще подделать чем ЭЦП. И это мой самый любимый довод в пользу ЭЦП для убеждения контрагентов.

 

А помните мы с Вами говорили о том, что если ЭЦП была создана на ПК, то всё равно каким то образом ключ остается на компе. Или я не так поняла?

Не так поняли. Есть разные варианты СКЗИ. Один хранят ключевой материал в реестре ОС, другие в файле, третьи умеют работать со смарт-картами. Ключи могут остаться а ПК, если они на нем создавались, а потом например переносились на смарт-карту. А если они сразу на смарт-карте создавались, то никуда они не денутся с нее.

ну на счет букв понятно.
а почему говоря по вашему? а как по вашему?

разные классы математических задач.

Какие способы существуют подделки? Без соответствующих знаний трудно подделать ЭЦП?

ДА трудно. не имея специальных знаний, и вычислительных ресурсов подделать практически нельзя. По сути остается только социальная инженерия и банальное воровство носителей ключевого материала.

Следовательно, по вашему, нужно будет через каждые 15 месяцев менять ЭЦП?

Нет каждые 15 месяцев надо будет создавать новую ключевую пару и сертификат.
gur - ЭЦП это результат преобразования (битовая строка) в котором учавствует текст подписываемого документа, закрытый ключи т.д.

А на счет преподования подумайте, у Вас хорошо получается!

студентов пожалейте.

[gur]

разные классы математических задач.

что за основу взять для изучения классов математических задач, т.е. с чего необходимо начать? Что прежде всего необходимо понять?

студентов пожалейте.

Смеётесь? Я им только буду завидовать!!!