Даешь сертификаты в каждый дом

>Где я буду кприптопровайдер под Linux брать.

Ставьте, ставьте криптопровайдер. Сразу видно нихера не знающего тролля. Сначала для приличия посмотрите как он «работает» под вендой. А потом предлагайте студенческие высеры ставить другим людям. Это же ужас полнейший, начиная от синих экранов, геморроя с восстановлением сертификатов, кончая тотальной несовместимостью зависящего от него ПО. Там 2.0, 3.0, 3.6 между собой не совместимы, никак. Если бы хотя бы хоть один раз имели дело с этой х...ней, молчали бы в тряпочку. Но нет вам надо обязательно без конца и начала копипастить, копипастить и копипастить.

Сначала для приличия посмотрите как он «работает» под вендой.

А зачем он, криптопровайдер, вообще нужен?

Я вот генерировал сертификат для sshd, и ничего такого там не видел.

Тогда тред злостный 4.1. В этой стране для сертификатов нужен криптопровайдер.

В этой стране для сертификатов нужен криптопровайдер.

Пруфлинк на законодательную базу, или 4.2

Я вам не собираюсь ничего доказывать. Просто поработайте в этой сфере и все ваши вопросы отпадут сами собой.

Просто поработайте в этой сфере

Ну Windows с ноутбуков же спилили при помощи ФАС, может и здесь получится.

Чем надёжнее обычной почты? Конверт с маркой по России стоит 14 рублей в Роспечати.
+документы заверенные нотариусом и ценным письмом (можно и бандеролью).

Я вам не собираюсь ничего доказывать.

Да, и это нецелевое расходование бюджетных средств (на обеспечение электронного оборота программным обеспечением Microsoft).

Где Ваша гражданская сознательность?

PS:
на сайте CriptoPro есть версии под разные линуксы
http://www.cryptopro.ru/cryptopro/products/csp/beta.htm
, но нету под генту.

Программно-аппаратные среды, удовлетворяющие стандарту LSB 3.1

* Asianux Server 3 (ia32, x64)
* Bharat Operating System Solutions (BOSS) Linux 1.0 (ia32)
* Bharat Operating System Solutions (BOSS) Linux 2.0 (ia32)
* Booyo 2.5 (ia32, x64)
* Linpus Linux 9.4 (ia32)
* Linpus Linux 9.5 (ia32, x64)
* Mandriva Linux 2007.0 (ia32)
* Mandriva Linux Corporate Desktop 4.0 (ia32)
* Mandriva Linux Corporate Server 4.0 (ia32)
* openSUSE 10.2 (ia32, x64)
* Oracle Enterprise Linux 4 update 5 (ia32, x64)
* Oracle Enterprise Linux 5.1 (Carthage) (ia32, x64)
* Red Hat Enterprise Linux Version 5 (ia32, x64)
* SUSE LINUX Enterprise 10 (ia32, x64)
* SUSE Linux Enterprise 10 Service Pack 1 (ia32, x64)
* Ubuntu 6.06 (dapper) (ia32, x64)
* Xandros Server 1.0 (ia32)

Программно-аппаратные среды, удовлетворяющие стандарту LSB 3.0:

* Asianux 2.0 (ia32, x64)
* Mandriva Linux 2006 (ia32)
* MontaVista Linux Carrier Grade Edition 5.0 (ia32, x64)
* Red Hat Enterprise Linux Version 4 (Update 2) (ia32, x64)
* SUSE LINUX 10.0 (ia32)
* SUSE LINUX 10.1 (ia32)
* SUSE LINUX Enterprise Server 9 with Service Pack 3 (ia32, x64)

Конверт с маркой по России стоит 14 рублей в Роспечати.

+ время на стояние в очереди на почте

документы заверенные нотариусом и ценным письмом (можно и бандеролью).

+ время на стояние в очереди к нотариусу

+ время на перемещение между нотариусом и почтой.


А можно один раз получить сертификат на 30 лет и настроить ПО.

Хотите зависит от определенных версий ядра и дистрибутивов? Зависте. И этот КриптоПро стоит в 10 раз дороже чем десктопный, потому что многопользовательский.

но нету под генту

Ищу howto, как привести генту в соответствие с ISO/IEC 23360
Linux Standard Base

Там модули ядра в комплекте, LSB тут не причем.

Там модули ядра в комплекте

Поделка какая-то.

Длина ключей электронной цифровой подписи:

* закрытый ключ - 256 бит;

Длина ключей, используемых при шифровании:

* закрытый ключ - 256 бит;

Мне кажется с такой длиной их подобрать не проблема

К сожалению, на настоящий момент в операционных системах типа Unix

не существует единой системы криптографической защиты.

Наиболее широко распространённые интерфейсы

mod_ssl, PKCS#11, Netscape, OpenSSL.

При построении систем на основе «КриптоПро CSP»

на этих системах разработчики могут использовать:

* CAPILite реализация CrypoAPI 2.0;

* SSPI для TLS;

* Приложение командной строки cryptcp;

* mod_ssl для WEB-серверов Apache;

Предварительная версия PKCS#11 модуля доступна по запросу.

Чорт знает я взломом ключей не занимался. Но криптопровайдеры это просто ЗЛО! Это как тивоизация, вроде BIOS стандартный, а дистрибутив не сменишь. Я работал с этими криптопровайдерами и ощущения после работы с ними хуже чем после литра ерша.

В нормальных условиях единое хранилище не особо нужно. Ключ можно поставить куда угодно. Но нет в этой стране надо выкашивать бабки и требовать покупку нафиг не нужного криптопро.

в этой стране надо выкашивать бабки

и требовать покупку нафиг не нужного криптопро

предлагаю поднять вопрос о нецелевой растрате бюджетных средств
начальником Центра защиты информации и специальной связи ФСБ России
А.Е. Андреечкин(ым)

Ключ можно поставить куда угодно.

Интересно, существует ли где-нибудь в законодательстве требование единственности ключа?
Т.е. обязательно ли требуется некопируемый физический носитель?

Не знаю, но ключи вроде должны лежать в сейфе.

> Но криптопровайдеры это просто ЗЛО! Это как тивоизация, вроде BIOS стандартный, а дистрибутив не сменишь. Я работал с этими криптопровайдерами и ощущения после работы с ними хуже чем после литра ерша.

Открой для себя Java CryptoAPI.

> Мне кажется с такой длиной их подобрать не проблема

С такой длинной ключа они идут нафиг в любой серьёзной области применения.

>Открой для себя Java CryptoAPI.

Сходи со своей явой в ФСБ.

> Сходи со своей явой в ФСБ.

От я бы небыл так категоричен. За ФСБ не скажу, а СБУ вот:

Лицензия ДСТСЗИ СБУ позволяет компании «БИФИТ» провести работы по встраиванию в систему Интернет-Банкинга «iBank 2 UA» Java-криптобиблиотеки, сертифицированной ДСТСЗИ СБУ, а также осуществлять поставки iBank 2 UA со встроенной сертифицированной Java-криптобиблиотекой.

Я не на Украине.

Я не на Украине.

Вот тебе ФСБ:

Для криптографической защиты информации в систему «iBank 2» встроены и поставляются в составе системы две взаимно совместимые сертифицированные ФСБ РФ многоплатформенные криптобиблиотеки: 
      - «Агава-С» разработки компании «Р-Альфа» 
      - «Крипто-КОМ 3.2» разработки компании «Сигнал-КОМ» 

Сертификаты соответствия ФСБ РФ: 
      - рег. № СФ/114-1171 от 01.08.2008г. на Агава-С 5.0 
      - рег. № СФ/114-1170 от 15.07.2008г. на Крипто-КОМ 3.2 
      - рег. № СФ/114-1069 от 07.11.2007г. на Крипто-КОМ 3.2 
      - рег. № СФ/114-1068 от 07.11.2007г. на Крипто-КОМ 3.2 

Криптобиблиотеки представлены в виде динамических библиотек (DLL для Win32, SO для UNIX) и встроены в клиентские Java-апплеты, в клиентские и серверные Java-приложения. Криптобиблиотеки сертифицированы ФСБ РФ для работы на платформах:
Intel x86 — Windows 2000/XP/2003/Vista
Intel x86 — Linux, FreeBSD, Solaris
SPARC — Solaris

А пощупать можно бесплатно?

> А пощупать можно бесплатно?

Все вопросы на www.bifit.com/ru

А ещё проще:

http://www.cryptopro.ru/cryptopro/download/default.asp?n=9

должны быть установлены с дистрибутива,

полученного у производителя

или у официального дилера производителя

на материальном носителе, а не через этот веб-сайт.

И эти люди продают криптозащиту.
Неужели нельзя было защищенный с сайта обеспечить?

«КРИПТО-ПРО» предложила свои форматы мировому сообществу в IETF,

и в настоящее время эти форматы определены на уровне RFC.

Кто читал эти RFC?

> Открой для себя Java CryptoAPI.

Открой для себя как все они используют native libraries.

> (DLL для Win32, SO для UNIX)

И что здесь осталось от слова «Java»? Школьники такие школьники, блин...

> И эти люди продают криптозащиту.

Эти люди быдло. Выстригальщики бабла.

Неужели нельзя было защищенный с сайта обеспечить?

Достаточно было просто выложить подписаный дистрибутив, но они даже этого не осилили. Представьте теперь качество их кода...

Открой для себя как все они используют native libraries.

Зачем?
http://www.linux.org.ru/forum/talks/4515115

> Школьники такие школьники, блин...

А слово JNI «нешкольникам» известно? И, кстати, вопросы производительности никто не отменял.

вопросы производительности никто не отменял

Java - УГ. Вот в моно можно сделать массив байтов и из программы использовать только value-типы. Будет производительность как у C.

> Представьте теперь качество их кода...

Качество кода в вопросах сертификации стоит далеко не на первом месте. Основное - соответствие требованиям ДСТЗИ, например. А критерии там серьёзные. И с какой стати они должны _выкладывать_ дистрибутив ? Нужно - обращайтесь к ним, покупайте. Вы, вообще, хоть в курсе сколько стоит и сколько требует времени подобная сертификация ?

> Java - УГ.

Спорить с ЭТИМ - не буду, ибо согласен.

Вот в моно можно сделать массив байтов и из программы использовать только value-типы. Будет производительность как у C.

Ага, только вот конкретную жаба-машину можно и сертифицировать, а вот как сертифицировать постоянно меняющуюся моно ? Как там с PKI и PKCS#11 ?

Вы, вообще, хоть в курсе сколько стоит?

нисколько
OpenSSL открыт под GPL

сколько требует времени подобная сертификация ?

критерии там серьёзные.

нет, не в курсе, поясните, пожалуйста, зачем она вообще нужна с учетом
того, что окружающее ПО может быть изменено?
http://www.linux.org.ru/forum/talks/4515115

> OpenSSL открыт под GPL

И где у него сертификат ФСТЭК или ДСТСЗИ ?

нет, не в курсе, поясните, пожалуйста, зачем она вообще нужна с учетом того,

Закон такой. Крипта поставляющаяся госам или воякам _обязано_ иметь сертификат. Точка.

что окружающее ПО может быть изменено?

Да пожалуйста. Только вот работа с закрытыми ключами например в Alladdin'овских ключах происходит внутри ключа, в памяти, которая снаружи недоступна никаким образом - вам наружу подпись отдали и что вы с ней сделаете, с учётом того что закрытый ключ недоступен ?

работа с закрытыми ключами

например в Alladdin'овских ключах

происходит внутри ключа

Т.е. ключ - сам с процессором и внутрь него закачивается письмо, а на выходе считывается подпись.

Тогда вопрос - зачем нужно сертифицировать программное обеспечение, работающее снаружи?
Почему такое программное обеспечение не может быть открытым?

> Тогда вопрос - зачем нужно сертифицировать программное обеспечение, работающее снаружи?

Потому что ассиметричное шифрование очень медленное и для больших обьёмов данных негодицца. Тот же Secret Disk берёт из ключа данные только периодически, а крипту дёргает сам. А требования к защищённым системам класса A[123] позволяют контролировать целостность установленного ПО.

Почему такое программное обеспечение не может быть открытым?

Может. Но сертифицируется конкретная версия с конкретными исходниками.

> Может. Но сертифицируется конкретная версия с конкретными исходниками.

А потом в ней находят remote code execution, но... вы продолжаете фапать на сертификацию, даже когда вас оттрахали по кругу :-)

> Вы, вообще, хоть в курсе сколько стоит и сколько требует времени подобная сертификация?

В курсе, в курсе.

И с какой стати они должны _выкладывать_ дистрибутив?

А с какой стати хоть кто-то вообще имеет право от меня требовать, чтобы я подписывал свои документы ЭЦП каким-то конкретным продуктом? Рекомендую запомнит - ЭЦП будет признана валидной или не валидной по результатам математических операций, а не по тому, каким продуктом она сформирована. :-)

Вы, вообще, хоть в курсе сколько стоит

и сколько требует времени подобная сертификация?

В курсе, в курсе.

И сколько?

с какой стати хоть кто-то вообще имеет право от меня требовать,

чтобы я подписывал свои документы ЭЦП каким-то конкретным продуктом

Вот я тоже пытаюсь выяснить, зачем все-таки нужны физические ключи, если:
во-первых при этом приватный ключ известен кому-то еще кроме его владельца
во-вторых при помощи ПО можно организовать удаленный доступ на виртуальную машину и подписывать все равно с десяти мест?

> А потом в ней находят remote code execution, но... вы продолжаете фапать на сертификацию, даже когда вас оттрахали по кругу :-)

Фапаете вы - ибо понятия не имеете что в таком случае происходит.

> А с какой стати хоть кто-то вообще имеет право от меня требовать, чтобы я подписывал свои документы ЭЦП каким-то конкретным продуктом?

Почему конкретным ? Любым сертифицированным. Ж-)

Рекомендую запомнит - ЭЦП будет признана валидной или не валидной по результатам математических операций, а не по тому, каким продуктом она сформирована.

Малшик, я этим деньгу зарабатываю, так что не надо мне, пожайлуста, рассказывать о методах проверки валидности ЭЦП.

> И сколько?

В среднем от $30K

во-первых при этом приватный ключ известен кому-то еще кроме его владельца

С чего бы это вдруг ?

во-вторых при помощи ПО можно организовать удаленный доступ на виртуальную машину и подписывать все равно с десяти мест?

А ещё можно дверь членом прищемить. Повторяю - ключ имеет PIN. Если вы просрёте пин вместе с кредиткой в этом банк виноват будет ?

Если вы просрёте пин вместе с кредиткой в этом банк виноват будет ?

Я могу использовать PGP и не просирать приватный ключ.

Мне не ясно, почему навязывается именно Ваше решение.

> Ваше решение.

Не моё. :-) Я - интегратор и разработчик, но не разработчик КриптоПРО или Aladdin Ltd.

Мне не ясно, почему навязывается именно

Ничего не навязывается. Закон требует сертификации. Dura lex, sed lex.

Хотите использовать вашу любимую программу ХХХ - не пробема - берёте $30K-$40K, месяцев 9-ть времени (да, такая себе «беременность») и идёте сертифицировать. Если это железка - не забываем про Pmin и прочую физику. Вот так люди и живут, или вы думаете собственные разработки в этой области как-то по другому рожаются ?