Изучал ли кто поделия типа КриптоПро на наличие закладок от ФСБ?

Запрет на использование не сертифицированных средств шифрования, даже для физических лиц.

проблемы с ввозом любых железок с шифрованием.

Может, стоит повнимательнее прочитать тему? Я как раз о сертифицированных спрашиваю. Там есть закладки, как я понимаю? Или наоборот типа о нас заботятся?

Запрет на использование не сертифицированных средств шифрования, даже для физических лиц.

То есть, любой, зашедший на сайт с https — преступник?

Какие есть основания подозревать, что закладки имеют место быть?

Сертификация же! Они как бы намекают...

Я юзал криптопро под жаву. Жутчайшее бажное поделие. С такими друзьями таким кодом никаких врагов и закладок не надо.

(хотя, возможно, у меня сложилось неверное впечатление из-за наикривейшего юзабилити на уровне администрирования и программирования, а внутри оно супер-офигенское, белое и пушистое.)

ЭПСН

При автоматической генерации нового ключа для каждой сессии не поможет.

А причём здесь линукс Сноуден?

Притом, что тут, возможно, объявится его российский единомышленник.

Ты решил поискать зонды в криптопро?

ищи

Какие есть основания подозревать, что закладки имеют место быть?

Не нужно всех ровнять по свой мерке. Конечно нет никаких. Российские спецслужбы чтут Конституцию.

Если нужда была, что изучали.

ФСТЭК.

http://ru.wikipedia.org/wiki/Федеральная_служба_по_техническому_и_экспортному...

PS: Депардье был актером, приехал в РФ — стал клоуном, Халк был футболистом, приехал в РФ — стал клоуном, Сноуден, был борцом за свободы, приехал в РФ — стал клоуном. Список можно продолжать бесконечно.

Тенденция, однако.

PS: Ржал до слез.

Изучал ли кто поделия типа КриптоПро на наличие закладок от ФСБ?

Да, сотрудники ФСБ изучали.

Сертификация нужна, чтобы гос. предприятия не использовали слабое шифрование с закладками АНБ.

ФСТЭК.

При чём здесь они?

(хотя, возможно, у меня сложилось неверное впечатление из-за наикривейшего юзабилити на уровне администрирования и программирования, а внутри оно

...а внутри оно духовное и православное.

PS: Депардье был актером, приехал в РФ — стал клоуном, Халк был футболистом, приехал в РФ — стал клоуном, Сноуден, был борцом за свободы, приехал в РФ — стал клоуном. Список можно продолжать бесконечно.

В точности по Пелевину: либо ты клоун, либо ты у клоунов, ну ты понял.

Там ГОСТ 28147-89 используется?

Если да, то там все гораздо тоньше чем вонючие закладки пендосов. Критерии выбора таблиц замен S-блока ГОСТ 28147-89 не опубликованы и умельцами не определены. При этом доказано, что стойкость зависит от них. Известны так же критерии для нахождения некоторых слабых таблиц. И даже найдено то ли 7, то ли 11 для которых показано что они слабые. Есть некоторый набор таблиц который рекомендуется направо и налево, однако так же известно, что спецслужбы используют другой набор у себя, хотя и не известно какой именно.

нутыпонел...

Ссылочки можно? А то если «доказано» и «известны критерии» - дык может быть можно и «рекомендованные» протестировать и даже свои генерировать?

Может, стоит повнимательнее прочитать тему? Я как раз о сертифицированных спрашиваю. Там есть закладки, как я понимаю? Или наоборот типа о нас заботятся?

У мени даже сомнений нет - конечно заботятся...

Чтобы сесть лет на 20?

Если задуматься, клоун не самый худший вариант, Литвиненко уехал в Лондон - умер, Березовский уехал - умер, можно продолжать бесконечно.

Не парься, если ты понадобишься, то к тебе на улице подойдет полицейский, ты на него косо посмотришь и тебя заберут за оказания сопротивления сотруднику полиции, дома найдут пакетик с травкой, а негритянка горничная напишет заяву что ты её изнасиловал. Есть куча старых добрых надежных способов. Трудность заключается в сложности стать нужным для спецслужб, вот над чем надо работать.

Может, стоит повнимательнее прочитать тему?

Может, стоит повнимательнее прочитать собственную же тему? :)

Какие есть основания подозревать, что закладки имеют место быть?

Я имел в виду помимо этих. Но эти, если они есть, то повсеместно нарушаются.

Чтобы писать на ЛОР, не обязательно жить в России.

Остался в России - жил вечно. :)

Что характерно, проблемы с упомянутым софтом начинаются обычно ещё до того, как оно устанавливается..

Побольше слушай, ага, я этот вопрос копал года два назад. Запрещено передавать *секретную* информацию, зашифрованную несертифицированными средствами. Закон защищает гос.структуры от утечки из-за чиновника, тупо паролящего rar, он не запрещает шифрование вообще. Свой прон можешь чем угодно шифровать, разве что аппаратные средства для этого не ввезти.

Закладки разумеется есть, название страны забыл что-ли? Если любишь логические аргументы, то криптопро «единственный на рынке» и полностью подконтролен. Когда у фейсов вопрос стоит не «как?», а «почему нет?»... ну ты понел.

А сабж, помимо того что проприетарное говно, чем-то лучше gpg?

криптопро «единственный на рынке»

Разве?

А какого рода закладки ты имеешь в виду? Вот как ты себе это представляешь?

Что угодно может быть. Например, специально сделанные уязвимости в алгоритме. Или же посредством стеганографии в шифротекст встраивается ключ. Или, если ключи генерируются динамически, то они генерируются не случайно, а используется определённый набор ключей.

Тем, что в некоторых случаях его применение обязательно. Но, думаю, ничто не мешает использовать двойное шифрование: сначала зашифровать gpg, а этот шифротекст — сертифицированной СКЗИ.

даже для физических лиц.

А можно пруф? Я что-то не помню такого.

Сертификация - лишь соответствие какому-то набору требований, никаких гарантий сама по себе не даёт

Сертификация - лишь соответствие какому-то набору требований, никаких гарантий сама по себе не даёт

?

Как раз таки дает. Но только тоже конкретных. Типа нет закладок такого и такого типа.

http://wikisec.ru/index.php?title=Требования_к_3_уровню_контроля_отсутствия_НДВ

Много раз встречал используемые таблицы из приложения с примерами к 34.11. Много думал.

Защищенность (СВТ, НДВ,...):

Выдержки из документа ФСТЭК:

1. Red Hat Enterprise Linux AS, WS Version 4 Update 1+Audit Pack Операционная система Red Hat Enterprise Linux AS, WS Version 4 Update 1+Audit Pack- по 4 уровню контроля отсутствия НДВ, имеет оценочный уровень доверия ОУД4 (усиленный компонентом ALC_FLR.3) соответствии c ОК

2. ALT Linux 4.0 SЕ Операционная система ALT Linux 4.0 Server Edition – по 4 уровню контроля НДВ, по 5 классу СВТ

3. ALT Linux 4.0 DP Операционная система ALT Linux 4.0 Desktop Professional, децимальный номер 46.21376425.501110-02 DVD – по 4 уровню контроля НДВ, по 5 классу СВТ (может использоваться для защиты информации в ИСПДн до 2 класса включительно)

4. Astra Linux Special Edition Операционная система специального назначения «Astra Linux Special Edition» - на соответствие РД СВТ по 3 классу и РД НДВ по 2 уровню

5. Windows XP(SP3) Операционная система Microsoft Windows XP Professional соответствует заданию по безопасности MS.Win_XP_SP3.ЗБ и имеет оценочный уровень доверия ОУД 1 (усиленный) по РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий»

6. Microsoft Windows 7 (SP1) Операционная система Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» – по 5 классу СВТ (может использоваться в 1Г и может использоваться для защиты информации в ИСПДн до 2 класса включительно)

7. Microsoft Windows Server 2008 R2 (SP1) Операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter – по 5 классу СВТ (может использоваться в 1Г и может использоваться для защиты информации в ИСПДн до 2 класса включительно)

Вывод эти версии Linux имеют более надежную защиту (чем ниже номер, тем лучше), чем версии Windows. 1. Astra Linux: НДВ-2, СВТ-3. 2. Redhat, ALT Linux: НДВ-4, СВТ-5 3. Windows 7, Windows Server 2008: СВТ-5, НДВ — отсутствует. 4. Windows XP: НДВ — отсутствует, СВТ — отсутствует.

Это данные согласно официальному документу ФСТЭК, на который можно ссылаться.

PPS: СВТ, НДВ-4

Уязвимость в криплоалгоритме не найдут с большой вероятностью.

для прохождения сертификации не заявлено требования вносить закладки. а дальше - только воображение. если кто-то что-то знает наверняка и до сих пор не высказался, то тут тем более не отпишется :)

НДВ-4 не предполагает каких-либо проверок, компиляется - и ладно.

И да, сертификацией средств шифрования занимается ФСБ, и только ФСБ.

специально сделанные уязвимости в алгоритме

Уязвимости или «пасхальные яйца»?

Ну и ты представляешь себе последствия утечки информации об этом? На такие вещи сознательно не идут. Органы могут административно вынудить делать дубликаты ключей итп

Как раз таки дает. Но только тоже конкретных. Типа нет закладок такого и такого типа.

Ничего оно не дает

Ну либо несознательно, либо имея вид на жительство в недружественной России стране.

Несознательных наверняка триллион :]

Или наоборот типа о нас заботятся?

С наркотой завязывай.