Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

7 Страницы«<23456>»
Опции
К последнему сообщению К первому непрочитанному
Offline Юрий Маслов  
#31 Оставлено : 8 февраля 2012 г. 20:05:53(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Rams написал:
Юрий Маслов написал:
... а если говорит, что использует CSP посредством применения стандартных приложений, перечисленных в разделе 8 документа "ЖТЯИ.00050-02 90 01 Описание реализации" - то не нужен.

Погодите, а при чем тут стандартные приложения, вы же цитировали
Юрий Маслов написал:

Возможны следующие применения СКЗИ ЖТЯИ.00050-02:
1. Применение СКЗИ в составе стандартного программного обеспечения компании Microsoft и других компаний, реализующих криптографический интерфейс в соответствии с архитектурой Microsoft.

Вот значит все разработчики хором и скажут что они реализуют криптографический интерфейс в соответствии с архитектурой Microsoft =)

То то я все думал, как компания ЭОС свое "Дело" в госдуму пропихнуло, а вон оно как - главное правильно назвать чем занимаешься =)


А вот пусть другие компании докажут, что что они реализуют криптографический интерфейс в соответствии с архитектурой Microsoft.

Коллеги, давайте внимательно читать документы на которые ссылаемся, что бы не порождались такие вопросы!!!! Время жалко!!!

Посмотрите в разделе 8 внимательно и увидите в перечне следующие продукты: КриптоАРМ, Apache Trusted TLS, Trusted TLS. Это не программное обеспечение компании Microsoft. Но его проверили, что оно реализует криптографический интерфейс в соответствии с архитектурой Microsoft на этапе сертификации СКЗИ. Поэтому, как не трудно догадаться, и вставили формулировку "и других компаний". А не ЛЮБЫХ компаний!!!
С уважением,
КРИПТО-ПРО
Offline Юрий Маслов  
#32 Оставлено : 8 февраля 2012 г. 20:07:03(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Андрей * написал:
Rams написал:

Вот значит все разработчики хором и скажут что они реализуют криптографический интерфейс в соответствии с архитектурой Microsoft =)


кто-то встраивает, кто-то вызывает через MS Crypto API и не только КриптоПРО ... и?



Встраивание - это когда Вы в СВОЕЙ программе вызываете функции СКЗИ "КриптоПро CSP". Не важно через какой интерфейс или напрямую.
С уважением,
КРИПТО-ПРО
Offline Андрей Писарев  
#33 Оставлено : 8 февраля 2012 г. 20:33:25(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,330
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2209 раз в 1724 постах
Юрий Маслов написал:
Андрей * написал:
Rams написал:

Вот значит все разработчики хором и скажут что они реализуют криптографический интерфейс в соответствии с архитектурой Microsoft =)


кто-то встраивает, кто-то вызывает через MS Crypto API и не только КриптоПРО ... и?



Встраивание - это когда Вы в СВОЕЙ программе вызываете функции СКЗИ "КриптоПро CSP". Не важно через какой интерфейс или напрямую.


а если не только CSP КриптоПро? а Lissi, Signal-Com, VipNet ...

используя MS Crypto API можно вызывать и работать с функциями нескольких СКЗИ использующих ГОСТ-алгоритмы,
получается под каждый СКЗИ нужно проводить контроль корректности встраивания?
а функции-то.. одни и те же... вызов MS Crypto API

Отредактировано пользователем 8 февраля 2012 г. 20:41:07(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline Юрий Маслов  
#34 Оставлено : 8 февраля 2012 г. 20:51:43(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Андрей * написал:
Юрий Маслов написал:
Андрей * написал:
Rams написал:

Вот значит все разработчики хором и скажут что они реализуют криптографический интерфейс в соответствии с архитектурой Microsoft =)


кто-то встраивает, кто-то вызывает через MS Crypto API и не только КриптоПРО ... и?



Встраивание - это когда Вы в СВОЕЙ программе вызываете функции СКЗИ "КриптоПро CSP". Не важно через какой интерфейс или напрямую.


а если не только CSP КриптоПро? а Lissi, Signal-Com, VipNet ...

используя MS Crypto API можно вызывать и работать с функциями нескольких СКЗИ использующих ГОСТ-алгоритмы,
получается под каждый СКЗИ нужно проводить контроль корректности встраивания?
а функции-то.. одни и те же... вызов MS Crypto API


Я не слышал о существовании сертификата соответствия ФСБ России на CSP Lissi или Signal-Com. Так что прошу не вводить в заблуждение участников форума. Прецендент вот тут http://www.cryptopro.ru/...lezhashchei-reklame-prod И мы будем привлекать к ответственности любые организации, которые рекламируют эти продукты как сертифицированные. Только по ФЗ о конкуренции. Там 10% от годового оборота в виде штрафа берётся :-)

Под КАЖДЫЙ СКЗИ нужно проводить контроль встраивания. Если только СКЗИ не является готовым и законченным решением. Например, "КриптоАРМ" сертифицировали как СКЗИ http://www.cryptopro.ru/...rtifitsirovan-fsb-rossii И при его использовании не нужно проводить контроль встраивания "КриптоПро CSP" в него. Но только до тех пор пока не будете "КриптоАРМ" встраивать в другой софт!
С уважением,
КРИПТО-ПРО
Offline Андрей Писарев  
#35 Оставлено : 8 февраля 2012 г. 20:55:34(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,330
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2209 раз в 1724 постах
Юрий Маслов написал:
Андрей * написал:
Юрий Маслов написал:
Андрей * написал:
Rams написал:

Вот значит все разработчики хором и скажут что они реализуют криптографический интерфейс в соответствии с архитектурой Microsoft =)


кто-то встраивает, кто-то вызывает через MS Crypto API и не только КриптоПРО ... и?



Встраивание - это когда Вы в СВОЕЙ программе вызываете функции СКЗИ "КриптоПро CSP". Не важно через какой интерфейс или напрямую.


а если не только CSP КриптоПро? а Lissi, Signal-Com, VipNet ...

используя MS Crypto API можно вызывать и работать с функциями нескольких СКЗИ использующих ГОСТ-алгоритмы,
получается под каждый СКЗИ нужно проводить контроль корректности встраивания?
а функции-то.. одни и те же... вызов MS Crypto API


Я не слышал о существовании сертификата соответствия ФСБ России на CSP Lissi или Signal-Com. Так что прошу не вводить в заблуждение участников форума. Прецендент вот тут http://www.cryptopro.ru/...lezhashchei-reklame-prod И мы будем привлекать к ответственности любые организации, которые рекламируют эти продукты как сертифицированные. Только по ФЗ о конкуренции. Там 10% от годового оборота в виде штрафа берётся :-)

Под КАЖДЫЙ СКЗИ нужно проводить контроль встраивания. Если только СКЗИ не является готовым и законченным решением. Например, "КриптоАРМ" сертифицировали как СКЗИ http://www.cryptopro.ru/...rtifitsirovan-fsb-rossii И при его использовании не нужно проводить контроль встраивания "КриптоПро CSP" в него. Но только до тех пор пока не будете "КриптоАРМ" встраивать в другой софт!




Applause


Цитата:
Я не слышал о существовании сертификата соответствия ФСБ России на CSP Lissi или Signal-Com

Да, у Signal-Com так и указано:

Цитата:

Криптопровайдер Signal-COM CSP выполнен с использованием средства криптографической защиты информации (СКЗИ) «Крипто-КОМ 3.2» (сертификаты ФСБ России СФ/114-1551, СФ/124-1553 от 07.11.2010 г.).




Цитата:
Но только до тех пор пока не будете "КриптоАРМ" встраивать в другой софт!

знаю и таких...

Отредактировано пользователем 8 февраля 2012 г. 21:05:51(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline Akhil  
#36 Оставлено : 8 февраля 2012 г. 22:47:33(UTC)
Akhil

Статус: Участник

Группы: Участники
Зарегистрирован: 12.01.2012(UTC)
Сообщений: 13

Поблагодарили: 1 раз в 1 постах
чтобы создать некую определенность в вопросах встраивания и использования,
я хотел бы получить четкое определение встраивания? цель - до сих пор идет полемика по вопросу,
а нужно знать, четкое определение встраивания и использования криптосредств и где четко написано и определено,
что есть встраивание или что есть использование, поэтому возникли всвязи с этим вопросы:
1. использование интерфейсов криптопровайдера напрямую - встраивание?
2. использование архитектуры МС для использования криптопровайдера - использование? если нет:
- где посмотреть документ-сертификат? на встраивание крпропровайдера в продукты МС? иначе как объяснить
нестабильную работу в продуктах от МС - о чем говорят некоторые ветки форума.
3. где опубликована методика встраивания, при следовании которой, можно было подавать документы регулятору
на контроль встраивания?
4. где почитать все это? иначе получаем как правила дорожного движения - если четко не запрещено - значит разрешено. или тут другое правило?
если не разрешено явно - значит запрещено? и возникает противоречие соблюдение законодательства двусмысленность и повод для коррупции.

буду благодарен за четкие ответы по вопросам... если четкого ответа нет (ПКЗ-2005 нечетко, формуляры - нечетко).. лучше так и ответить..
А то как гаишники.. - каждый трактует правила в свою пользу.
Давайте сначала определимся по понятиям!

спасибо.
Offline Rams  
#37 Оставлено : 9 февраля 2012 г. 7:47:59(UTC)
Rams

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.01.2011(UTC)
Сообщений: 95
Мужчина
Откуда: Санкт-Петербург

Юрий Маслов написал:

А вот пусть другие компании докажут, что что они реализуют криптографический интерфейс в соответствии с архитектурой Microsoft.

А где описана необходимость доказывания, что разработчик реализует криптографический интерфейс в соответствии с архитектурой Microsoft?

Написано:
Цитата:

Возможны следующие применения СКЗИ ЖТЯИ.00050-02:
1. Применение СКЗИ в составе стандартного программного обеспечения компании Microsoft и других компаний, реализующих криптографический интерфейс в соответствии с архитектурой Microsoft.

А где тут необходимость доказывания, что разработчик реализует криптографический интерфейс в соответствии с архитектурой Microsoft?

Юрий Маслов написал:

Коллеги, давайте внимательно читать документы на которые ссылаемся, что бы не порождались такие вопросы!!!! Время жалко!!!

Посмотрите в разделе 8 внимательно и увидите в перечне следующие продукты: КриптоАРМ, Apache Trusted TLS, Trusted TLS. Это не программное обеспечение компании Microsoft. Но его проверили, что оно реализует криптографический интерфейс в соответствии с архитектурой Microsoft на этапе сертификации СКЗИ. Поэтому, как не трудно догадаться, и вставили формулировку "и других компаний". А не ЛЮБЫХ компаний!!!

Я понимаю, что времени жалко, но вы же видите, вопросы остаются.

В разделе 8 сказано
Цитата:

Программное обеспечение КриптоПро CSP позволяет использовать российские криптографические алгоритмы и сертификаты открытых ключей X.509 с различным программным обеспечением Microsoft:

Ну позволяет и позволяет. А где тут сказано что его проверили? Где факт подтверждения таких проверок, кроме ваших слов?

Отредактировано пользователем 9 февраля 2012 г. 7:49:13(UTC)  | Причина: Не указана

Offline Юрий Маслов  
#38 Оставлено : 9 февраля 2012 г. 12:12:51(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Akhil написал:
чтобы создать некую определенность в вопросах встраивания и использования,
я хотел бы получить четкое определение встраивания? цель - до сих пор идет полемика по вопросу,
а нужно знать, четкое определение встраивания и использования криптосредств и где четко написано и определено,
что есть встраивание или что есть использование, поэтому возникли всвязи с этим вопросы:
1. использование интерфейсов криптопровайдера напрямую - встраивание?

Использование интерфейсов криптопровайдера напрямую - это особо извращённая форма мазохизма :-) Но иногда без этого не обойтись. Когда нужны специфические приложения с параметрами, отличными от параметров, получаемых через стандартные интерфйсы (канальные шифраторы, например). У интерфейса криптопровайдера всего порядка 25 функций. И они очень низкоуровневые. Криптопровайдер "не знает" что такое сертификат открытого ключа, что такое криптографическое сообщение и т.д. Поэтому корректно говорить об использовании интерфейсов MS CryptoAPI или COM-объектов.
Если почитаем раздел 9 документа "ЖТЯИ.00050-02 90 01 Описание реализации" то увидим их перечисление. И использование этих интерфейсов из СВОЕЙ программы - это процедура встраивания.
Можно дать такое определение встраивания: Разработка или модификация программы для ЭВМ, использующей функции криптографических преобразований, реализуемых средством криптографической защиты информации.
Определение средства криптографической защиты информации дано в нормативно-правовых документах типа ПКЗ-2005.

Akhil написал:
2. использование архитектуры МС для использования криптопровайдера - использование? если нет:
- где посмотреть документ-сертификат? на встраивание крпропровайдера в продукты МС? иначе как объяснить
нестабильную работу в продуктах от МС - о чем говорят некоторые ветки форума.

А вот этот Ваш вопрос совершенно непонятен.
Что Вы понимаете под "архитектура МС"? Домен, портал, веб-сервер, терминальный сервер, база данных? Что это?!
Что Вы понимаете под "документ-сертификат" Сертификат открытого ключа? Сертификат соответствия, выданный РОСТЕСТ? Сертификат дилера, выданный ООО "КРИПТО-ПРО"?
Как Вы связываете состояние, определяемое как "нестабильную работу в продуктах от МС" и процедуру "встраивание криптопровайдера"?

Akhil написал:
3. где опубликована методика встраивания, при следовании которой, можно было подавать документы регулятору
на контроль встраивания?

Что Вы понимаете под "методикой встраивания"? Описание как разрабатывать программы на C++ или описание какие функции MS CryptoAPI нужно вызвать и с какими параметрами, что бы получить, например, зашифрованный участок оперативной памяти, или какие разделы с каким задержанием, описывающие действия пользователя по защите ключевого документа, нужно вставить в руководство пользователя своей программы? Извините, коллега, методика - это Ваше горе! А вот как подавать документы регулятору на контроль встраивания - описано в нормативных документа.
Только перед тем как встраивать, получите сначала разрешение (лицензию) на осуществление этого вида деятельности. Читайте ст. 12 Федерального закона «О лицензировании отдельных видов деятельности», согласно которой деятельность по разработке, производству защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, подлежит обязательному лицензированию. Для получения этой лицензии Вы должны будете выполнить лицензионные требования. В том числе иметь обученный персонал. Который и разработает методику встраивания.
А вот потом встраивайте! А потом уже подавайте документы регулятору на контроль встраивания! Согласно ст. 52 «Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», утверждённым Приказом ФСБ России от 9 февраля 2005 г. N 66 (зарегистрирован в Минюсте РФ 3 марта 2005 г. N 6382) и формуляра на СКЗИ.

Как пройти контроль встраивания? Обращаетесь в аккредитованную испытательную лабораторию. Заключаете с ней договор и дальше действуете строго по договору в соответствии с нормами Гражданского кодекса РФ. Перечень лабораторий опубликован тут http://clsz.fsb.ru/accred.htm Никто ничего не скрывает!!!

Akhil написал:
4. где почитать все это? иначе получаем как правила дорожного движения - если четко не запрещено - значит разрешено. или тут другое правило?
если не разрешено явно - значит запрещено? и возникает противоречие соблюдение законодательства двусмысленность и повод для коррупции.

Коллега! Прежде чем искать поводы для коррупции и двусмысленности там, где их нет, попробуйте сначала поискать информацию и почитать её...
Если хотите, найти книжку или статью или ещё какой-то документ, где будет всё в одном издании собрано по интересующему Вас вопросу - то такого издания нет. Если хотите помочь другим, то изучите этот вопрос и напишите и опубликуйте! Если Вы этого не сделали, то зачем обвинять других, что они не подготовили пошаговую инструкцию для Вас? Это некорректно, коллега!

Akhil написал:
буду благодарен за четкие ответы по вопросам... если четкого ответа нет (ПКЗ-2005 нечетко, формуляры - нечетко).. лучше так и ответить..
А то как гаишники.. - каждый трактует правила в свою пользу.
Давайте сначала определимся по понятиям!

спасибо.

В некой социальной группе тоже есть свои понятия. Они называются рамсы. Что бы рамсы не путали, есть старшие, авторитетные люди, которые их правильно растолковывают.
В другой, но близкой, социальной группе, есть кодекс, который определяет за какую вину какое наказание должно быть. Называется уголовным кодексом. И его тоже надо растолковывать. И это тоже делают авторитетные люди. Правда уже немного другие. Толкования называются "Комментарии к Уголовному кодексу" и их размер сопоставим с полным собранием сочинений В.И. Ленина.
А есть ещё одна социальная группа, которая руководствуется при совершении определённых действий неким сводом правил. Называется этот свод "Правила дорожного движения". И вот, что бы рамсы не путали некоторые гаишники, есть старшие, авторитетные люди, которые их правильно растолковывают. Эти люди называются Верховный суд, который периодически проводит обобщения судебной практики и даёт разъяснения, как применять те или иные правила ПДД.

Как видите, жизнь устроена так, что всегда будет место толкованию. В том числе и по вопросам встраивания и контроля встраивания СКЗИ :-(

Отредактировано пользователем 9 февраля 2012 г. 12:14:56(UTC)  | Причина: Не указана

С уважением,
КРИПТО-ПРО
Offline Юрий Маслов  
#39 Оставлено : 9 февраля 2012 г. 12:48:31(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Rams написал:
Юрий Маслов написал:

А вот пусть другие компании докажут, что что они реализуют криптографический интерфейс в соответствии с архитектурой Microsoft.

А где описана необходимость доказывания, что разработчик реализует криптографический интерфейс в соответствии с архитектурой Microsoft?

В процессуальных кодексах. Бремя доказывания всегда лежит на истце.
Поясняю на примере. Вы разработчик программы для ЭВМ, которая использует функции, реализованные в СКЗИ. Пытаетесь продать её в госорган в рамках конкурса. Госорган отклоняет Вашу заявку (или не заключает с Вами контракт при аукционной процедуре), аргументируя тем, что Ваша программа для ЭВМ не прошла контроль встраивания со стороны ФСБ России.
Если Вы утрётесь, то ничего доказывать не нужно. А вот если не согласитесь с решением конкурсной комиссии, то ВАМ придётся доказывать, что Ваша программа для ЭВМ "реализует криптографический интерфейс в соответствии с архитектурой Microsoft".

Rams написал:

Написано:
Цитата:

Возможны следующие применения СКЗИ ЖТЯИ.00050-02:
1. Применение СКЗИ в составе стандартного программного обеспечения компании Microsoft и других компаний, реализующих криптографический интерфейс в соответствии с архитектурой Microsoft.

А где тут необходимость доказывания, что разработчик реализует криптографический интерфейс в соответствии с архитектурой Microsoft?

Вопрос непонятен. Надеюсь, что Ваш вопрос коррелирует с предыдущим. Значит разъяснение дано.
Rams написал:


Юрий Маслов написал:

Коллеги, давайте внимательно читать документы на которые ссылаемся, что бы не порождались такие вопросы!!!! Время жалко!!!

Посмотрите в разделе 8 внимательно и увидите в перечне следующие продукты: КриптоАРМ, Apache Trusted TLS, Trusted TLS. Это не программное обеспечение компании Microsoft. Но его проверили, что оно реализует криптографический интерфейс в соответствии с архитектурой Microsoft на этапе сертификации СКЗИ. Поэтому, как не трудно догадаться, и вставили формулировку "и других компаний". А не ЛЮБЫХ компаний!!!

Я понимаю, что времени жалко, но вы же видите, вопросы остаются.

Вопроса не увидел. Надеюсь, что Ваше высказывание коррелирует с предыдущими вопросами. Значит разъяснение дано.
Rams написал:


В разделе 8 сказано
Цитата:

Программное обеспечение КриптоПро CSP позволяет использовать российские криптографические алгоритмы и сертификаты открытых ключей X.509 с различным программным обеспечением Microsoft:

Ну позволяет и позволяет. А где тут сказано что его проверили? Где факт подтверждения таких проверок, кроме ваших слов?


Эксплуатационная документация на СКЗИ "КриптоПро CSP" является неотъемлемой частью сертифицированного ФСБ России изделия, что подтверждается разделом 5 документа "ЖТЯИ.00050-02 30 01. КриптоПро CSP. Формуляр", утверждённого ФСБ России. Лист утверждения ЖТЯИ.00050-02 30 01-ЛУ. Так что это не наши слова. И это значит проверили, что позволяет...
Rams написал:

С уважением,
КРИПТО-ПРО
Offline Akhil  
#40 Оставлено : 9 февраля 2012 г. 14:21:56(UTC)
Akhil

Статус: Участник

Группы: Участники
Зарегистрирован: 12.01.2012(UTC)
Сообщений: 13

Поблагодарили: 1 раз в 1 постах
Юрий Маслов написал:

.... Поэтому корректно говорить об использовании интерфейсов MS CryptoAPI или COM-объектов.
Если почитаем раздел 9 документа "ЖТЯИ.00050-02 90 01 Описание реализации" то увидим их перечисление. И использование этих интерфейсов из СВОЕЙ программы - это процедура встраивания.
Можно дать такое определение встраивания: Разработка или модификация программы для ЭВМ, использующей функции криптографических преобразований, реализуемых средством криптографической защиты информации.
Определение средства криптографической защиты информации дано в нормативно-правовых документах типа ПКЗ-2005.

будем разбираться по порядку:

1. прошу дать нормативное определение встраивания средств криптозащиты в ЛЮБОЕ ПО, т.е. именно ... встраиванием называется и т.д.... Выдажение ... "Можно дать... и можно взять - не нормативнЫЕ!

2. Далее. Цитата ПКЗ-2005:
Шифровальные (криптографические) средства защиты информации конфиденциального характера в настоящем Положении именуются средствами криптографической защиты информации (далее - СКЗИ). К СКЗИ относятся(***):
• средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
ВОПРОС:
Прошу указать на средства шифрования – реализующие алгоритмы криптографического преобразования информации ! Конкретно! Модули какого ПО в линейке: КРИПТОпровайдер – МСАПИ – Любое ПО реализует алгоритмы криптозащиты?

Юрий Маслов написал:
А вот этот Ваш вопрос совершенно непонятен.
Что Вы понимаете под "архитектура МС"? Домен, портал, веб-сервер, терминальный сервер, база данных? Что это?!
Что Вы понимаете под "документ-сертификат" Сертификат открытого ключа? Сертификат соответствия, выданный РОСТЕСТ? Сертификат дилера, выданный ООО "КРИПТО-ПРО"?
Как Вы связываете состояние, определяемое как "нестабильную работу в продуктах от МС" и процедуру "встраивание криптопровайдера"?


1. Задайте вопрос этот автору поста:
Юрий Маслов написал:
Возможны следующие применения СКЗИ ЖТЯИ.00050-02:
1. Применение СКЗИ в составе стандартного программного обеспечения компании Microsoft и других компаний, реализующих криптографический интерфейс в соответствии с архитектурой Microsoft.

2. под "документом-сертификатом" я имею ввиду документ проверки корректности ВСТРАИВАНИЯ средства криптозащиты в
Программное обеспечение КриптоПро CSP позволяет использовать российские криптографические алгоритмы и сертификаты открытых ключей X.509 с различным программным обеспечением Microsoft:
....
или вопрос: для различного программного обеспечения Microsoft кортроль встраивания делать не нужно?
3. связываю с исполнением функционала создания и проверки электронной подписи, и что этот функционал работает с органичениями не со всеми версиями работает корректно, о чем говорят некоторые ветки форума. я так и говорил.

Юрий Маслов написал:
Что Вы понимаете под "методикой встраивания"? Описание как разрабатывать программы на C++ или описание какие функции MS CryptoAPI нужно вызвать и с какими параметрами, что бы получить, например, зашифрованный участок оперативной памяти, или какие разделы с каким задержанием, описывающие действия пользователя по защите ключевого документа, нужно вставить в руководство пользователя своей программы? Извините, коллега, методика - это Ваше горе! А вот как подавать документы регулятору на контроль встраивания - описано в нормативных документа.
Только перед тем как встраивать, получите сначала разрешение (лицензию) на осуществление этого вида деятельности. Читайте ст. 12 Федерального закона «О лицензировании отдельных видов деятельности», согласно которой деятельность по разработке, производству защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, подлежит обязательному лицензированию. Для получения этой лицензии Вы должны будете выполнить лицензионные требования. В том числе иметь обученный персонал. Который и разработает методику встраивания.
А вот потом встраивайте! А потом уже подавайте документы регулятору на контроль встраивания! Согласно ст. 52 «Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», утверждённым Приказом ФСБ России от 9 февраля 2005 г. N 66 (зарегистрирован в Минюсте РФ 3 марта 2005 г. N 6382) и формуляра на СКЗИ.

1. под методикой встраивания я понимаю правила использования внешнего интерфейса криптопровайдера, для определения корректности или некорректности.
иначе с чего вдруг вообще встает вопрос о коректности встраивания?
2. повторяю - нет четкого определения понятия встраивания. если это написано в формуляре - это еще не является нормативной юридической базой. для изделий КриптоПРО вы можете использовать ссылки на свои формуляры, но если используются длугие средства криптозащиты, на ваши формуляры ссылаться не корректно. я не прав?

Юрий Маслов написал:
Коллега! Прежде чем искать поводы для коррупции и двусмысленности там, где их нет, попробуйте сначала поискать информацию и почитать её...
Если хотите, найти книжку или статью или ещё какой-то документ, где будет всё в одном издании собрано по интересующему Вас вопросу - то такого издания нет. Если хотите помочь другим, то изучите этот вопрос и напишите и опубликуйте! Если Вы этого не сделали, то зачем обвинять других, что они не подготовили пошаговую инструкцию для Вас? Это некорректно, коллега!

0. коррупционная составляющая любого документа имеет место везде, где требуется возможность дать и получить по этому документу разъяснения!
1. информацию ищу давно... почему вопросы и возникли. 2. Поэтому прошу четко и агрументированно ответить с привдением нормативнях актов и цитат из них - что есть встраивание.
3. по момему не совсем корректно отсылать к книжкам, если конкретных ответов на конкретно поставленные воросы нет.
поставлю вопросы иначе:
1. в каком нормативном акте есть термин встраивание и дано определение этому термину в рамках использования криптосредств.
2. в каком нормативном акте(ах) определены правила корректного встраивания средств криптозащиты для четкого и правильного следования им - где определено - корректно, некорректно!
3. проверка корректности встраивания производится на основании технической докуметации к продукту, а не ТЗ?
4. если ответ на 3 вопрос - да, то не проще ли сразу сказать - то что напишете - то и будут проверять!

Юрий Маслов написал:
В некой социальной группе тоже есть свои понятия. Они называются рамсы. Что бы рамсы не путали, есть старшие, авторитетные люди, которые их правильно растолковывают.
В другой, но близкой, социальной группе, есть кодекс, который определяет за какую вину какое наказание должно быть. Называется уголовным кодексом. И его тоже надо растолковывать. И это тоже делают авторитетные люди. Правда уже немного другие. Толкования называются "Комментарии к Уголовному кодексу" и их размер сопоставим с полным собранием сочинений В.И. Ленина.
А есть ещё одна социальная группа, которая руководствуется при совершении определённых действий неким сводом правил. Называется этот свод "Правила дорожного движения". И вот, что бы рамсы не путали некоторые гаишники, есть старшие, авторитетные люди, которые их правильно растолковывают. Эти люди называются Верховный суд, который периодически проводит обобщения судебной практики и даёт разъяснения, как применять те или иные правила ПДД.

Как видите, жизнь устроена так, что всегда будет место толкованию. В том числе и по вопросам встраивания и контроля встраивания СКЗИ :-(

К чему флуд, если нужно четко ответить - где документ разъясняющий термин "встраивание", как собития или как действия и соответственно требований к корректности этого "встраивания".

очень прошу конкретых ответов, да/нет, ссылка, цитата.

спасибо.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
7 Страницы«<23456>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.