Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.03.2011(UTC) Сообщений: 153  Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
|
Я понимаю, что КриптоПро не охотно занимается продвижением альтернативных средств криптографии. Поскольку компания принимает активное участие в разработке и обсуждении новых средств в области криптографии, решил спросить у вас. Есть новая спецификация PKCS #11 Cryptographic Token Interface Current Mechanisms Specification Version 2.40 Working Draft 02 5 July 2013 Раздел 2.39 GOST Раздел 2.40 GOST 28147-89 Раздел 2.41 GOST R 34.10-2001 Workin Draft 06 27 October 2013 Раздел 2.46 GOST Раздел 2.47 GOST 28147-89 Раздел 2.48 GOST R 34.10-2001 Разве не интересно добавить новый стандарт GOST R 34.10-2012? Как ни смотри, а через 3-4 года, все ключи GOST R 34.10-2001 выйдут из обращения. Неужели, все не многочисленные устройства с российскими алгоритмами останутся за бортом истории? И мы, опять, будем в роли догоняющих, без действующих стандартов. Отредактировано пользователем 12 ноября 2013 г. 20:04:18(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.02.2012(UTC)
Сообщений: 121
Откуда: Смоленск
Сказал(а) «Спасибо»: 104 раз
Поблагодарили: 27 раз в 16 постах
|
Если верить приказу (во вложении; а почему ему нельзя верить?), то старый ГОСТ 2001 уже 10,5 месяцев является "незаконным". Новый ГОСТ 2012 (в отличие от старого) не опубликован в справочно-правовой системе "Консультант". Но даже не это интересно. В сертификатах, которые выдала ФСБ на СКЗИ производства ООО «Крипто-Про» в этом году среди прочих ГОСТов (которым соответствует продукт) перечисляется и отменённый ГОСТ 2001. Усилием воли давлю в себе мысль, что разработчики вместе с ФСБ не знают о существовании нового ГОСТа 2012. Тогда как же так? Старому ГОСТу продлена жизнь в "старых" СКЗИ? На каком основании? Не знал бы и я о новом ГОСТе, да вот держатели одной ИС (Служба Банка России по финансовым рынкам) в требованиях к ЭП так и написали (2 раза): 1) Алгоритм подписи сертификатов и файлов промежуточной отчетности должен соответствовать ГОСТ Р 34.10-2012. 2) Для вычисления свертки подписываемого документа должна использоваться хэш-функция в соответствии с требованиями ГОСТ Р 34.11-2012. Но ещё ниже написали: Для формирования электронной подписи должны использоваться сертифицированные средства криптографической защиты информации (СКЗИ), легально установленные на рабочей станции страховщика. Рекомендуемая марка: «КриптоПро CSP» версии не ниже 3.6. А в действующем сертификате на КриптоПро CSP 3.6 упомянут ГОСТ 2001. Да и в самом КриптоПро CSP 3.6 нет выбора алгоритмов по ГОСТ Р 34.11-2012. Вот и хотелось бы прояснить эти "нестыковки". Отредактировано пользователем 14 ноября 2013 г. 13:21:03(UTC)
| Причина: Не указана Вложение(я):  120807 № 215-СТ (ФА по тех регулированию и метрологии)=об утв нац стандарта.doc (30kb) загружен 7 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,844  Сказал «Спасибо»: 584 раз
Поблагодарили: 2320 раз в 1818 постах
|
Поддержка ГОСТ-2012 есть только в КриптоПро CSP 4.0 + нет еще сертификации... |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.02.2012(UTC)
Сообщений: 121
Откуда: Смоленск
Сказал(а) «Спасибо»: 104 раз
Поблагодарили: 27 раз в 16 постах
|
Ну, предположим, даст (а куда денется?) ФСБ сертификат на КриптоПро CSP 4.0. Будут ли они совместимы со старыми алгоритмами в плане: ЭП сформирована на новом ГОСТе, но она проверяется на старом, и наоборот? И всё - Окей?
В своё время была первая версия КриптоПро CSP 1.0. КриптоПро CSP 2.0 была внедрена именно из-за смены алгоритма (ГОСТа). И версии 1 и 2 между собой не сочетались. А вот версии 2 и 3.0 (3.6) сочетались. Но и алгоритм формирования ЭП при этом у них был один (ГОСТ 34.10-2001).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,844 Сказал «Спасибо»: 584 раз
Поблагодарили: 2320 раз в 1818 постах
|
Автор: NUCvibor  Ну, предположим, даст (а куда денется?) ФСБ сертификат на КриптоПро CSP 4.0. Будут ли они совместимы со старыми алгоритмами в плане: ЭП сформирована на новом ГОСТе, но она проверяется на старом, и наоборот? И всё - Окей?
В своё время была первая версия КриптоПро CSP 1.0. КриптоПро CSP 2.0 была внедрена именно из-за смены алгоритма (ГОСТа). И версии 1 и 2 между собой не сочетались. А вот версии 2 и 3.0 (3.6) сочетались. Но и алгоритм формирования ЭП при этом у них был один (ГОСТ 34.10-2001). Совместимы, проверял текущую версию. Полная поддержка ГОСТ-2001 осталась... |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,844 Сказал «Спасибо»: 584 раз
Поблагодарили: 2320 раз в 1818 постах
|
Автор: NUCvibor Ну, предположим, даст (а куда денется?) ФСБ сертификат на КриптоПро CSP 4.0. Будут ли они совместимы со старыми алгоритмами в плане: ЭП сформирована на новом ГОСТе, но она проверяется на старом, и наоборот? И всё - Окей? Как это создать на одном, а проверять на другом алгоритме? Такого не бывает... это не правильно. 3 типа криптопровайдера в составе регистрируется в системе (ГОСТ-2001 и 2 по ГОСТ-2012). |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.02.2012(UTC)
Сообщений: 121
Откуда: Смоленск
Сказал(а) «Спасибо»: 104 раз
Поблагодарили: 27 раз в 16 постах
|
Я другое имел в виду. ЭП создаётся у одного абонента (на старом), а проверяется у другого (на новом). Или наоборот. Ну, раз Вы успешно проверяли стыкуемость версий 3.6 и 4.0 (с разными алгоритмами), то можно вздохнуть спокойнее.
Не придётся ли вручную выбирать криптопровайдер (из 3-х в системе) при проверке чужой подписи, сформированной на другом криптопровайдере?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,844 Сказал «Спасибо»: 584 раз
Поблагодарили: 2320 раз в 1818 постах
|
Автор: NUCvibor Я другое имел в виду. ЭП создаётся у одного абонента (на старом), а проверяется у другого (на новом). Или наоборот. Ну, раз Вы успешно проверяли стыкуемость версий 3.6 и 4.0 (с разными алгоритмами), то можно вздохнуть спокойнее.
Не придётся ли вручную выбирать криптопровайдер (из 3-х в системе) при проверке чужой подписи, сформированной на другом криптопровайдере? Если подпись создана в 3.6 - можно проверить в 4.0 Наоборот, конечно, нельзя. 3.6 ничего не знает о ГОСТ-2012 Не придётся ли вручную выбирать - ... идентификаторы подписи\хеширования прописаны в проверяемой ЭП. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.03.2011(UTC) Сообщений: 153 Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
|
Люди, ау! Я спрашивал не про поддержку новых алгоритмов ГОСТ в КриптоПро CSP 4.0. Меня больше интересует, что для новых алгоритмов нет спецификаций в SmartCard. Обратите внимание, что новый ГОСТ датируется 2012 годом, а CSP 4.0 появилось через год. Меня не очень сейчас заботит скорое появление носителей от eToken (JaCard) или ruToken, или еще от кого-то. Постепенный переход на новые алгоритмы будет вытеснять старые. Сайты гос. услуг начнут принимать для авторизации новые алгоритмы подписей. Как-то глупо будет выглядеть тот факт, что социальные карты и ключи регистрации физ. лиц на гос. услугах, будут работать на старых алгоритмах. И им будет мешать только один факт - отсутствие спецификации. И понесется всё по кругу - российская версия draft, через 3-6 месяцев, после принятия основной спецификации 2.40. И не желание интегрировать новые алгоритмы в браузеры, поскольку нет принятых спецификаций. Приведенный пример развитие данной спецификации показывает, что за 5 месяцев российский ГОСТ сместился с 39 пункта на 46. Другими словами, появилось как минимум 7 дополнительных разделов описаний новых алгоритмов. Почему другие могут добавлять новые алгоритмы, а мы, свой ГОСТ развивать не будем? Отредактировано пользователем 14 ноября 2013 г. 22:30:45(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
Автор: miser Почему другие могут добавлять новые алгоритмы, а мы, свой ГОСТ развивать не будем? А кто конкретно должен развивать это направление? У кого то что есть строка в бюджете на это дело. Простой пример, у нас даже на корректное построение цепочки сертификации нет ни тестового материала ни методик и контора это тоже не проверяет ни как. Единственно что есть правильного в мире, так это методики от НИСТа, это тестов более 250 штук и книжка листов в 200-300. Я пытался у себя на фирме оценить ресурсы для создания такого комплекта для ГОСТ подписи, получилось следующее - в ручном режиме надо ювелирно собрать порядка 700 криптообъектов, сертификаты, CRL (с разным наполнением большинство который невозможно создать штатными средствами) + сама методика и тесты (разумеется чтобы прикладное ПО работало (и его доклячить до такого состояния) в соответствии со стандартом) в рублях получается уходит за пределы 2 лимонов и людских ресурсов отъедает кучу. Короче, нужно финансирование и всё будет - ОК.
|
 1 пользователь поблагодарил Sergey M. Murugov за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
