| ||||
| ||||
| Я не понимаю, зачем разрабатывать российские алгоритмы шифрования, если можно просто взять уже давно отлаженные западные? Если мы хотим интегрироваться во Всемирную Торговую Организацию, то нам для B2B и E-commerce нужно будет соответствие с их алгоритмами шифрования. Неужели кто-то думает, что они бросят свои и станут пррменять наши?! Наши не отлажены и судя по ОГРОМНОМУ количеству постингов в этом форуме о том, что то одно, то другое не работает - НИКОГДА НЕ БУДУТ ОТЛАЖЕНЫ ! Мы в советское время всегда брали цельнотянутое с запада. Зачем же изобретать велосипед? Я утверждаю: "КриптоПро CSP" и всё остальное это только средство прокормиться для ООО "КРИПТО-ПРО" и тех, кто хочет заработать на этом, сдирая деньги с конечных клиентов. На западе все давно устаканилось и бесплатно. УЦ - очень много и все они устанавливаются на этапе установки операционной системы. Любая ЭЦП может быть проверена даже The BAT. Никакого софта для проверки и генерации ЭЦП их системы не требуют. Надо только запросить сертификат и Вам его дадут бесплатно. Не надо играть в игрушки, господа! | ||||
| Ответы: | ||||
| ||||
| Ну ты, блин, разошелся :-) Если ты пишешь софт для России, ты обязан следовать российскому закону, а значит и российским гостам. И никого нафиг не интересуют "западные" алгоритмы. Хуже они или лучше :-) Ты обязан следовать госту. Если хочешь изменять закон, то это - в другой форум :-) А компании КриптоПро большое спасибо за то, что они реализовали этот российский гост, поэтому нам можно просто взять и пользоваться :-) | ||||
| ||||
| Странно, но если всё западное - давно отлаженное и самое лучшее, то почему, интересно, периодически выходят "Критические обновления", которые исправляют уязвимости, ставящие под угрозу безопасность компьютеров (в т.ч. часто полный контроль злоумышленника над системой)? | ||||
| ||||
| Насколько я понимаю, все эти "госты" появились из-за требований "компетентных органов", чтобы нельзя было ничего зашифровать так, чтобы они потом не смогли расшифровать (а вдруг ты какую секретную информацию зашифровал), а криптостойкость гост-алгоритмов, на которую тут так часто ссылаются, в общем дело второе. В результате чего все это превратилось в достаточно неплохой бизнес (криптопровайдеры, библиотеки ,ssl и тд и тп), кстати до недавнего времени практически монопольный (Верба). Думаю, что если вдруг легализуют использование того же RSA в публичных системах, добрая половина тех, кто сейчас используют гост (а следовательно вынуждены закупать лицензии, устанавливать библиотеки на клиентов, отказываться от использования стандартных библиотек в том же .NET и тд) дружно от него откажутся, несмотря на то, что RSA взломан - все равно соотношение риска взлома шифра и трудозатрат на разработку и инсталляцию будет не в пользу гост. | ||||
| ||||
| TO John john@ok.ok В приличном обществе не принято делать высказывания "Я утверждаю", "Не надо играть в игрушки, господа!", предварительно не разобравшись в предмете: 1. УЦ согласно действующего законодательства РФ - это не софт, не компьютер а субъект права, носитель субъективных прав и обязанностей. Читайте внимательней ФЗ "Об ЭЦП" и ГК РФ (как говорил О.Бендер "Кодекс надо чтить"). Поэтому высказывание "УЦ - очень много и все они устанавливаются на этапе установки операционной системы" выдает Вашу некомпетентность в области правоотношений, связанных с ЭЦП, с головой 2. Высказывание "Наши не отлажены и ... - НИКОГДА НЕ БУДУТ ОТЛАЖЕНЫ " говорит о Вашей некомпетентности в области информационных технологий в части разработки программного обеспечения, ибо идеальной программы не существует и процесс отладки идет всегда и у всех. И у "наших" и у "не наших"... 3. Высказывания типа "На западе все давно устаканилось и бесплатно", "Надо только запросить сертификат и Вам его дадут бесплатно" говорит о Вашей некомпетентности в текущем состоянии дел в этой отрасли как в странах Евросоюза, так и в США и прочих государствах. Бесплатно сертификаты, влекущие правовые последствия, НИКТО не раздает. Это чушь! А строительство систем на основе технологии PKI продолжается и даже перестраиваются существующие (как это делают в Пентагоне США). Резюме: на выступление автора John john@ok.ok ответим так: АФФТАР, ВЫПЕЙ ЙАДУ! | ||||
| ||||
| To Юрий: Да, выступление автора темы достаточно эмоционально и изобилует (видимо, как раз вследствие этого) неточностями, НО(!) сути это не меняет - думаю, имеется в виду бесплатность самих криптографических библиотек и их наличие в ОС по умолчанию, а не сертификатов (в общем чисто символическая плата и выбор не ограничен одним-двумя УЦ). Необходимость оплачивать каждое рабочее место и при этом несовместимоть в ряде случаев с популярными средствами разработки (например, .NET), наличие постоянные оговорок в реализации PKI и "тонкостей" в использовании, необходимость в "специалистах по Крипто-Про" (все это, естественно, приводит к увеличению стоимости проектов), по понятным причинам, действительно вызывает вопросы. | ||||
| ||||
| TO Василий: Когда мы говорим о "бесплатности" криптопровайдеров (криптобиблиотек) то это тоже не верное высказывание. Ничего не бывает бесплатно! Предустановленные "стандартные" криптопровайдеры (криптобиблиотеки) мы уже оплатили, купив саму операционку MS Windows. Почему КРИПТО-ПРО нет в списке предустановленных - это отдельная песня и связана опять таки с действующим законодательством. Поэтому Ваши высказывания можно свести к следующему вопросу: "почему я не могу воспользоваться тем, что уже оплатил?" Но, согласитесь, это уже не к КРИПТО-ПРО или к другим разработчикам российских шифровальных (криптографических) средств. Поэтому предлагаю этот вопрос оставить без комментариев... А вот другой вопрос: можете ли Вы нормально воспользоваться предустановленными, стандартными, криптопровайдерами? Например, с их использованием сделать ключи на съемном носителе, а не хранить их в файле на компе, что, согласитесь, не есть правильно? С другой стороны, если кто-то реализует не ГОСТ, а RSA, но с "хорошим" прикладным функционалом, он все равно за этот провайдер возмет деньги. Иначе это будет студенческая поделка. Ведь Вы с этим согласны? Для Вас легче финансовое бремя все равно не будет :-) Да и чего толочь воду в ступе. Мы живем там, где мы живем и по местным законам и требованиям! И если требуют ГОСТ, то он будет, как не аргументируй против. Против ветра... бесполезно и не нужно :-) А вопросы | ||||
| ||||
| "Мы живем там, где мы живем и по местным законам и требованиям! " - в том то и дело :) и Вам это выгодно. | ||||
| ||||
| Ну зачем же так грубо?! Естественно, что мы играем в этом законном и нормативном поле и получаем от этого выгоду. И что же в этом плохого? Мы честно работаем и хотим получать честное вознаграждение за свой труд. Не нами установлены правила игры и не нам их менять. Нужно просто работать. Мы создаем не самые плохие продукты на рынке и даже думаем, что самые лучшие! Если будут постоянно меняться правила (а недовольные любыми правилами всегда найдутся), то будет анархия. С этим Вы тоже не можете не согласиться. Поэтому надо искать пути недостатки обратить в достоинства. | ||||
| ||||
| Простите, не совсем понимаю, что здесь сказано грубо (в Вашем ответе Вы сами согласились, что Вам это выгодно, так что тут обижаться). Что касается "рынка", то создан он искусственно и "правила" эти выгодны далеко не всем (хотя и есть такое понятие как лоббизм). А результат - всем ПРИХОДИТСЯ пользоваться Вашим ПО (ну есть еще пара компаний - до реальной конкуренции далеко), каким бы хорошим и криптостойким оно не было, обходя его ограничения (про .NET я уже говорил) и Вам не выгодно, чтобы "в этом законном и нормативном поле" использовались международные стандарты. А про совместимость реализаций этих гостов - и говорить не стоит - вот уж где действительно анархия... | ||||
| ||||
| Прошу простить за мои существующие и возможные ошибки в орфографии и пунктуации. Вы пишете очень грамотно! (это комплимент) Грубо - потому, что у Вас есть ошибка в причинно-следственной связи. Вы ставить в качестве причин "КРИПТО-ПРО", "выгодно" и делаете следствие "правила игры созданы искусственно". Это не так. Я еще раз хочу подчернуть, что есть существующее правовое поле на территории РФ. Не хочу обсуждать насколько оно логично, ибо это бесмысленно. Мы делаем продукты и решения СООТВЕТСТВУЮЩИЕ существующему правому полю. Вот правильная логическая цепочка. Т.е. мы не влияем на правовое поля. Это могут сделать только субъекты правозаконодательной инициативы (в соответствии с Конституцией РФ) или лоббисты (но ОЧЕНЬ богатые, к кторым мы не относимся). Мы просто работаем и стараемся сделать качественные продукты :-) Изменится правовое поле, будут другие стандарты - мы будем делать продукты под эти стандарты. И тоже стараться сделать их добротными. | ||||
| ||||
| Другими словами, если госты отменят Вы возражать не будете :) | ||||
| ||||
| Господин Маслов, Ответьте на простой вопрос: как наш российский бизнес будет работать со всем остальным бизнесом в мире, если наша (точнее ВАША, разработанная ООО "Криптопро") цифровая подпись не признается валидной широко используемой в России ОС Windows (всеми её версиями) без скачки и установки 5 МБ сырого и неотлаженного криптософта? Быть может для Вашего криптоалгоритма надо еще и российскую ОС разработать? - но этого мы уж точно не потянем. И, если уж Вы представляете ООО "Криптопро", то предполагаете ли Вы разработать криптопродукт, совместимый с западными стандартами? Это актуально: Россия же скоро вступит в ВТО. Как бизнес-контракты подписывать с другими странами, используюя цифровую подпись? Мы то валидность их подписей можем проверить, а они - валидность наших ЭЦП - нет. Каково лично Ваше видение решения этой проблемы? Только не надо кивать на законы и Думу. Я спрашиваю о чисто техническом аспекте. | ||||
| ||||
| >без скачки и установки 5 МБ сырого и неотлаженного криптософта? А можно с этого места поподробнее? Если речь о Крипто-Про CSP 3.0 - в чем неотлаженность и сырость проявляется? | ||||
| ||||
| ТО Smith Отвечаю, хотя с детства не люблю анонимщиков... Эпиграф: "Согласие есть продукт непротивления сторон" ("12 стульев", Ильф и Петров) 1. Сентенции типа "как наш бизнес будет работать со всем остальным бизнесом в мире", мягко говоря, также абстрактны как и сентенции типа "как страшно жить". Хозяйствующие субъекты РФ будут взаимодействовать с коммерческими организациями других стран при наличии ВЗАИМНОГО интереса. Наличие или отсутствие ЭЦП никак не влияет на наличие или отсутствие этого интереса. Возможно, они посчитают для себя выгодным оптимизировать некоторые бизнес-процессы с использованием технологии ЭЦП. При этом какие средства и какие криптоалгоритмы использовать - это определяется соглашением сторон. Что они ("бизнесы") могут делать, делали и делают прямо сейчас! Пример: SWIFT. Будет у сторон интерес в сотрудничестве - будт использовать и СКЗИ КриптоПро CSP. А не будет у бизнесов взаимного интереса - и западной криптографией их не подтолкнешь к сделке. Аппеляции к теме "Россия и ВТО" - это несерьезно! Осталась последняя страна в подписании соглашений о вступлении России в ВТО и ни одной страной не была затронута тема криптографии. Получается, что только Вы видите в КРИПТО-ПРО препятствие для вступления в ВТО? Как это оценить? :-) Итог по этой части: Вам нужно начинать с азов, почитать что-нибудь популярное типа "Семь нот менеджмента", а потом переходить к более высоким материям, типа международного сотрудничества в сфере бизнеса. 2. Высказывания типа "5Мб сырого и неотлаженного софта" - просто неприлично делать без аргументов. Поэтому без комментариев... 3. Почему в процессе гармонизации с ВТО мы должны подстраиваться под Запад? А почему этому пресловутому Западу не принять наши стандарты, оторые не так уж и плохи (вспоминая коллизии с их функциями хеширования)? Итог по этой части: Вспомним христианские заповеди и не не будем создавать себе кумира. Мое мнение такое (если оно Вам интересно): технические проблемы не надо путать с межгосударственными и проблемами взаимодействия хозяйствующих субъектов во внешнеэкономической деятельности. Не нужно решать глобальных задач. Кому надо, тот поставит 5Мбайт софта, не входящего в состав ОС и заплатит за него деньги (если у нас покупают, значит это нужно людям, бизнесу и стране). Его немало ставится на компы, в том числе и Вами. Сомневаюсь, что у Вас кроме винды, ничего на компе не стоит. Если Вам наш софт не нужен и/или не интересен, то что Вы делаете на этом форуме? Напишите свой софт, соберите форум! Удачи!!! На сим хочу прекратить бестолковые прения. | ||||
| ||||
| Юрий, простите за очередную "грубость", но почему Вы так старательно пытаетесь заткнуть рот посетителям форума, постоянно предлагая свернуть "бесполезную" дискуссию. Если она такая бесполезная, тогда зачем Вы в ней участвуете, это форум и люди высказаваются по интересующим их вопросам, может действительно что называется "наболело" и хочется высказаться. Тогда уж лучше отмодерируйте эту тему на правах владельца форума. По поводу "принять" Западу наши стандарты - это утопия, для начала надо, чтобы на Западе о них кто-то что-то слышал и они были бы кому-то там интересны, кроме узкой группы специалистов. А технические требования сторон очень часто становятся препятствием для дальнейшего сотрудничества, несмотря на взаимные интересы. Кстати, что с анонсированной Атласом в декабре встроенной в Windows Вашей криптографией, Вы случайно не в курсе? | ||||
| ||||
| Василий, я не стараюсь заткнуть рот. Просто нет конструктива, а времени рабочего жалко на пустой треп. Если под "наболевшим" понимается тема "софт сырой и это является препятствием во взаимодействии с западным бизнесом", то это не серьезно. Вот эту тему я и хочу прекратить. По Вашему вопросу: Все что анансировал АТЛАС - выполнено. Форма выполнения следующая. Есть сервисный пакет для Windows XP, называемый типа SPRUS. При устаановке его на винде, он настраивает политики безопасности должным образом, а также устанавливает наш СКЗИ КриптоПро CSP версии 3.0. Т.е. наш провайдер по прежнему является не предустановленным в винде, а устанавливается официальным от Microsoft сервисным пакетом. Что касается "пропаганды" наших стандартов на Западе... Все не так уж и безнадежно. :-) По крайней мере в Интернет-сообществе. "Наши" RFC вышли в свет! Если не затруднит, то почитайте вот эту новость http://www.cryptopro.ru/cryptopro/news/default.asp?n=156 И все таки еще я хотел добавть, что когда речь идет о деньгах, то криптография не является препятствием для заключения сделки между субъектами, являющимися резидентами разных стран. Ссылки на существование этой проблемы - несостоятельны. | ||||
John