Сообщений в теме: 158

[Zaporozes]

интересно почитать: http://www.securityl...test/276876.php

[Zaporozes]

Тут возник ещё вопрос: есть вирусы "отключающие" USB, сам сталкивался, так вот что будет если машина заражена таким вирусом?

[MSERGEY]

С ГОСТ намного сложнее, так как стандартных носителей с поддержкой аппаратного решения гост нет, Есть eToken Java 64K который может хранить на борту любую криптографию но для этого необходимо разрабатывать специальный плагин а для гос органов еще и сертифицировать его.

Для eToken Java разработан аплет поддерживающий криптографию ГОСТ.
Также еще есть устройство аналогичное RuToken (содержит криптографию ГОСТ) только с нашими параметрами.

Сообщение отредактировал MSERGEY: 25.05.2009, 07:27:28

[pkikz]

С ГОСТ намного сложнее, так как стандартных носителей с поддержкой аппаратного решения гост нет, Есть eToken Java 64K который может хранить на борту любую криптографию но для этого необходимо разрабатывать специальный плагин а для гос органов еще и сертифицировать его.

Для eToken Java разработан аплет поддерживающий криптографию ГОСТ.
Также еще есть устройство аналогичное RuToken (содержит криптографию ГОСТ) только с нашими параметрами.

есть ли в интернет более подробная информация об этом носителе и где можно купить пользователям такой носитель.

Сообщение отредактировал pkikz: 25.05.2009, 09:37:08

[pkikz]

Ничего не понял, но всё равно спасибо за ответ
ан нет доходит кажется, после третьего прочтения т.е в Казахстане невозможно полностью обезопасить себя от редисок

А как такой сценарий? http://www.cybersecu...ypto/56405.html у нас возможен?

аутентификация на основе домена и на основе Сертификатов - это разные вещи и технологии.
Если скомпрометируете домен то Вы можете получить доступ ко всем пользователя этого домена, но с сертификатами нужно скомпрометировать УЦ - что в свою очередь очень трудно!!!
На мой взгляд самым безопасным способоя аутегтификации является механизм на основе сертификатов, если конечно УЦ отвечает соответствующему уровню безопасности.

Тут возник ещё вопрос: есть вирусы "отключающие" USB, сам сталкивался, так вот что будет если машина заражена таким вирусом?

от всех болезней лекарства нет.
никто не отменял антивирусы и др. средства защиты.
каждый пользователь должен понимать, безопасность его компьютера зависит от него самого!!!

[topcraze]

2Zaporozes:
причем тут вирусы?? ..
2Den_KZ:

Я доверяю дистрибутиву Windows... полученному через официальные каналы, такой диск красивый, с голограммой... подделок еще не встречал...

А представьте себе такую картину: ваши пользователи не хотят покупать лицензионную Винду... берут пиратскую.. а там о ужас!!! .. подменен сертификат Verisign!!! ... злой дядя вынуждает несчастного юзера зайти-таки на фейк и крадет его личные данные!!! ... Это какое ДРАМО!!!

Сообщение отредактировал topcraze: 25.05.2009, 09:34:13

[MSERGEY]

есть ли в интернет более подробная информация об этом носителе и где можно купить пользователям такой носитель.

Информацию по RuToken-у можно получить на их сайте. Версию совместимую с нашей криптографией где получить я не знаю.

[Zaporozes]

Тут про Kазахстан и RuToken http://www.alladin.r...hrase_id=438848 и про eToken http://www.aladdin.ru/catalog/etoken/

Сообщение отредактировал Zaporozes: 25.05.2009, 23:25:15

[pkikz]

Тут про Kазахстан и RuToken http://www.alladin.r...hrase_id=438848 и про eToken http://www.aladdin.ru/catalog/etoken/

конечно хорошо что есть где то такие носители, но возникает много вопросов.
Есть ли сертификация на ГОСТ 34.310-2004
Есть ли сертификация на СТ РК 1073-2007
кто возместит ущерб если эти носители содержат уязвимости(програмные, на уровне алгоритмов и т.д.)
где можно их купить на территории РК

[Den_KZ]

По КазТокен, могу немножко прояснить ситуацию...
За его основу взят RuToken, который имеет сертификат ФСБ...
Если точнее производитель RuToken - это российская компания, производство в Москве, нашел партнеров у нас в КЗ... Доработал микропрограмму ключа под местные требования, согласовал это все с "Гаммой", И сейчас проводит сертификацию в КЗ... И получился "КазТокен"...

[MSERGEY]

Есть ли сертификация на ГОСТ 34.310-2004
кто возместит ущерб если эти носители содержат уязвимости(програмные, на уровне алгоритмов и т.д.)

А что за сертификация по ГОСТ 34.310-2004? Могу утверждать что "КазТокен" полностью соответствует этому стандарту.
По поводу уязвимости это интересно, ни разу не встречал такой формулировки "возмещения ущерба в случае если носители содержат уязвимости". Это все равно что производители жестких дисков будут давать гарантию на информацию и программное обеспечение записанное на ней.

[pkikz]

Есть ли сертификация на ГОСТ 34.310-2004
кто возместит ущерб если эти носители содержат уязвимости(програмные, на уровне алгоритмов и т.д.)

А что за сертификация по ГОСТ 34.310-2004? Могу утверждать что "КазТокен" полностью соответствует этому стандарту.
По поводу уязвимости это интересно, ни разу не встречал такой формулировки "возмещения ущерба в случае если носители содержат уязвимости". Это все равно что производители жестких дисков будут давать гарантию на информацию и программное обеспечение записанное на ней.

В Казахстане сертификаця по реализаци СКЗИ(средств криптографической защиты информации) производится по стандарту СТ РК 1073-2007. Но этот стандарт не описывает алгоритмов реализации ЭЦП(ГОСТ 34ю310-2004), а описывает только длинну ключей. Так же насколько мне известно при сертификации на СТ РК 1073-2007 некоторые уполномоченные органы(у которых есть лицензия) не смотрят исходник коды реализации СКЗИ.
Откуда возникает много вопросов.
По поводу возмещения ущерба. Есть понятие в мировой практике как страхование. Поэтому можно застраховать решение на возмещение ущерба и при выявлении уязвимостей страховая компания возместит ущерб, и соответственно все пользователи этого решения будут больше доверять этому решению.
Это не только мое мнение, по этому поводу мне уже задавали вопросы.

[konstantinH]

1. Про КазТокен. Никто не пробовал зайти на www.kaztoken.kz ? Я вот попробовал и зашел на их сайт.
2. По поводу возмещения ущерба вопрос решается стандартным образом через суд.

1. Про КазТокен. Никто не пробовал зайти на www.kaztoken.kz ? Я вот попробовал и зашел на их сайт.
2. По поводу вопроса возмещения ущерба, этот вопрос решается стандартным образом через суд.

[pkikz]

1. Про КазТокен. Никто не пробовал зайти на www.kaztoken.kz ? Я вот попробовал и зашел на их сайт.
2. По поводу возмещения ущерба вопрос решается стандартным образом через суд.

1. Про КазТокен. Никто не пробовал зайти на www.kaztoken.kz ? Я вот попробовал и зашел на их сайт.
2. По поводу вопроса возмещения ущерба, этот вопрос решается стандартным образом через суд.

А на кого Вы в суд подавать будете?
на УЦ, а он не нарушал законов.
на производителя токен, они тоже не нарушали законов, а только сертифицировали его.

и с кем судится???

[pkikz]

1. Про КазТокен. Никто не пробовал зайти на www.kaztoken.kz ? Я вот попробовал и зашел на их сайт.

если пользователи не знают название сайта, то они никогда туда не попадут.
Гугл сайт не находит по названию "КазТокен"

[konstantinH]

1. Если есть ущерб, судятся с продавцом/производителем продукции.
2. Ума большого не надо набрать www.kaztoken.kz

[pkikz]

1. Если есть ущерб, судятся с продавцом/производителем продукции.
2. Ума большого не надо набрать www.kaztoken.kz

никто не отменял индексацию сайта.

[konstantinH]

Я так понимаю, этот пост к разработчикам сайта или на худой конец к google

[pkikz]

Я так понимаю, этот пост к разработчикам сайта или на худой конец к google

к администратору сайта www.kaztoken.kz
так как за индексацию отвечает администратор.

[pkikz]

1. Если есть ущерб, судятся с продавцом/производителем продукции.

я так думаю и все согласятся что судится с производителем носителей бесполезно и малоэффективно.
нужны другие рычаги управления данной ситуацией. Я предлагаю страхование.