следующая тема »

[CyberCop]

  Уважаемый Urix!
  Ваш ответ напоминают мудрую народную русскую сказку, в которой говорится: "пойти туда - не знаю куда; принести то - не знаю что!".
  Все её знают с детства! Замечу, что от нас с Вами на форуме участники ждут несколько иных более практичных высказываний и мнений.

[CyberCop]

   Уважаемый Николай Николаевич!
   Этот бизнес мне напоминает "торговлю" крадеными документами: когда у Вас их сначала крадут, а потом звонят Вам домой и предлагают за соответствующую плату выкупить их обратно. Таких случаев сейчас множество!

[CyberCop]

   МОЛОДЕЦ Yeoman!
   Полностью поддерживаю Вашу позицию!
А, почему Вы не принимаете во внимание экспертные возможности по этому вопросу Межведомственной комиссии в лице Гостехкомиссии России? Ведь это третейская инспектирующая сторона между бывшим ФАПСИ и ныне действующим ФСБ!

[CyberCop]

  Теоретически и практически невозможно в закрытом режиме проверить криптостойкость какого-либо алгоритма криптографического преобразования, поэтому они намеренно открыто публикуются. Лишь таким способом можно реально оценить указанный параметр.

[Urix]

Например алгоритм RSA не стал хуже от того что его описание можно найти на каждом сайте посвещенном криптографии.

Я и не спорю. Но сертификации подвергается конкретный образец. Рабочее мксто. А иначе, чем предоставив доступ "третьего" лица к сгенерированному секретному ключу для подтверждения его стойкости, я не вижу, как можно сертифицировать рабочее место. Иначе это уже не сертификация, а профанация.

[CyberCop]

   Уважаемый Urix!
   Когда Вы покупаете замок с ключом, то проверяете работоспособность ключа. После этого копии замка можно раздать всем желающим - непосредственно с их помощью Ваш замок открыть нельзя. Но никому не придёт в голову раздавать всем желающим копии секретного ключа, которым Вы открываете оригинал замка, охраняющего Ваше имущество. Это абсурд! Вы со мной согласны?
   Таким образом, переходя по аналогии к ЭЦП и иным криптографическим СКЗИ, открытый ключ ("замок") криптографического преобразования данных доступен всем желающим, а закрытый ключ - секретен и, как правило, находится в единственном числе у пользователя (владельца, собственника) СКЗИ.

[Urix]

Когда Вы покупаете замок с ключом, то проверяете работоспособность ключа.

Изначальная посылка неверна - проверяется совместная работа ключа и замка. И сделать копию замка намного сложнее, нежели сделать копию ключа. Поэтому, разрешая сертификацию сейфа, я предоставляю доступ специалиста, проводящего исследование, и к замку и к ключу.
А дальше, почти как в анекдоте про то, как Петька вернулся из Англии миллионером. В деле защиты себя доверять кому-то не стоит - можно нарваться.

[CyberCop]

  Иными словами, надо действовать по принципу
"Доверяй, но проверяй". Я Вас правильно понял?
  Если Да, то тогда вопрос: "А кто будет проверяющим: Хакеры, пользователь СКЗИ, орган, уполномоченный государством либо производителем СКЗИ или кто-то иной?"

[Yeoman]

2 cybercop:
Спасибо за поддержку!

А, почему Вы не принимаете во внимание экспертные возможности по этому вопросу Межведомственной комиссии в лице Гостехкомиссии России? Ведь это третейская инспектирующая сторона между бывшим ФАПСИ и ныне действующим ФСБ!

Вы о СКЗИ или о ПО вообще? Если о СКЗИ, то я только за если им передадут вопросы сертификации и лицензирования связанной с ними деятельности. В отличии от ФАПСИ они выдают нормальные лицензии, которые разрешают конкретные вещи, а то у ФАПСИ была классная привычка выдать лицензию на использование СКЗИ, но тут же оговорится что список СКЗИ и характер их использования надо согласовывать отдельно - в результате их лизенция не разрешала ничего.

[Yeoman]

Изначальная посылка неверна - проверяется совместная работа ключа и замка. И сделать копию замка намного сложнее, нежели сделать копию ключа. Поэтому, разрешая сертификацию сейфа, я предоставляю доступ специалиста, проводящего исследование, и к замку и к ключу.
А дальше, почти как в анекдоте про то, как Петька вернулся из Англии миллионером. В деле защиты себя доверять кому-то не стоит - можно нарваться.

Urix я даже не знаю что вам сказать... Замки, сейфы - красивая конечно аналогия.... но ничего общего с СКЗИ не имеет.

На тот случай если вы не в курсе, ключевой материал в СКЗИ создается с использованием датчиков случаных чисел, при этом ключ вырабатывается по строго определенным алгоритмам и должен соответсвовать строгому набору правил.
Так вот при сертификации СКЗИ (действительно конкретного экземпляра - но экземпляра именно СКЗИ) проверяется чтобы датчик случайных чисел соотвествовал требованиям (типа КС-1, КС-2), алгоритм генерации ключей соответсвовал требованиям и был корректно реализован, и т.д.
Если все вышеперечисленное соответсвует требованиям сертификации, то и ключи которые пользователь СКЗИ создат после сертификации сам,  будут соответсвовать требованиям сертификации и никак иначе. Ну не сможет пользователь создать ключ по другим правилам нет у него такой возможности чисто технически Кстати это тоже одно из требований сертификации.

Так что нет никакой необходимости сертифицировать связку СКЗИ с конкретным ключом!