следующая тема »

[Urix]

Если Да, то тогда вопрос: "А кто будет проверяющим: Хакеры, пользователь СКЗИ, орган, уполномоченный государством либо производителем СКЗИ или кто-то иной?"

cybercop! Вопрос неверен в принципе, поскольку:
Только сам владелец информации имеет право выбора методов, способов и средств защиты своей информации, ибо только он один несет всю ответственность за ущерб, нанесенный распространением его информации.
Исходя из вопроса, то Вы отказываете владельцу в защите его информации, ибо изначально предполагаете, что кто-то обязан проверять, как владелец защищает свою информацию. Никто же не проверяет, как Вы храните свою личную переписку у себя дома? А то, давайте, назначим проверяющих именно вашей корреспонденции. Любителей покопаться в чужом белье более чем достаточно.

Так что нет никакой необходимости сертифицировать связку СКЗИ с конкретным ключом!

Yeoman! Для справки: DES Имеет четыре "слабых" (или тривиальных) ключа. ГОСТ их имеет поболее и обладает еще дополнительной "слабостью". RSA так же имеет минимум две "слабые" пары ключей, хотя теоретически их должно быть значительно больше - каждая вторая пара. И т.д.
Однажды я стал свидетелем того, как за 2-3 минуты снималась защита с информации, которая была защищена стоявшим (возможно, и еще стоящим) на вооружении программным средством защиты информации. Защиту снимал не я, но я обосновал возможность легкого снятия защиты. О каком средстве идет речь и как снималась защита, естественно, рассказывать не буду, дабы не навредить. Эту демонстрацию наблюдало не менее 20-ти человек, после чего из них никто уже этим средством не пользовался для защиты ДЕЙСТВТЕЛЬНО ОПАСНОЙ информации.

[CyberCop]

  Уважаемый Yeoman!
Как Вы считаете: Знаком ли Urix с решением полиноминальных задач или нет?

  Уважаемый Urix! Нельзя однозначно решить то, что заведомо предполагает множественность решений - это один из основных принципов современной криптографии. А Вы предлагаете "отдать замок и ключ" на исследование потенциальному правонарушителю и, тем самым, подсказать ему единственно верное решение. Таким образом будут выброшены на ветер силы и средства, потраченные на создание "замка и ключа".

Между прочим, не всем странам "по карману" создавать национальные алгоритмы криптографического преобразования данных. На разработку только одного криптоалгоритма необходимы десятки лет и колоссальные материальные и интеллектуальные ресурсы! Поэтому естественна защита государством этого дорогостоящего продукта.

[Urix]

Нельзя однозначно решить то, что заведомо предполагает множественность решений - это один из основных принципов современной криптографии

cybercop! Вы меня пугаете...
Рассмотрим постановку задачи шифрования с симметричным ключем. Есть некое сообщение А, есть ключ шифрования K, есть шифрующая функция encrypt() и есть дешифрующая функция decrypt(). Для этих объектов справедливо следующее: A = decrypt(K,encrypt(K,A)).
Рассмотрим постановку задачи шифрования с несимметричными ключами. Есть некое сообщение А, есть ключи шифрования S и P, есть шифрующая функция crypt(). Для этих объектов справедливо следующее: A = crypt(S,crypt(P,A)).
Нет здесь множественности решений. Какое сообщение было зашифровано, такое и должно быть получено после расшифровки.

А Вы предлагаете "отдать замок и ключ" на исследование потенциальному правонарушителю и, тем самым, подсказать ему единственно верное решение.

А что, ФАПСИ не может быть потенциальным правонарушителем? "Только жена цезаря вне подозрений". А возьмите СОРМ. Чьи права нарушаются? И Какие?
Вы ВНИМАТЕЛЬНО посмотрите понятие слова "серификация".

[Yeoman]

DES Имеет четыре "слабых" (или тривиальных) ключа.

А еще вы забыли что таблицу S-блоков "утверждали" в АНБ.
А еще из-за того что ключ "коротковат" прямым перебором быстро вскрывается. Поэтому многие уже используют 3DES.

ГОСТ их имеет поболее и обладает еще дополнительной "слабостью".

Говоря такие вещи уточняйте номер ГОСТ'а о котором идет речь.
Никто не спорит что ГОСТ может иметь слабые ключи, НО говоря дополнительная "слабость" - говорите конкретно какой ГОСТ, а не отделывайтесь общими словами. Такие вещи доказывать надо.

RSA так же имеет минимум две "слабые" пары ключей, хотя теоретически их должно быть значительно больше - каждая вторая пара. И т.д.

А вот за это спасибо Urix!!! Честное слово давно я так не смеялся -  фраза про RSA полностью вас характеризует. Чьи теоретические выкладки вы используете?

Однажды я стал свидетелем того, как за 2-3 минуты снималась защита с информации, которая была защищена стоявшим (возможно, и еще стоящим) на вооружении программным средством защиты информации. Защиту снимал не я, но я обосновал возможность легкого снятия защиты. О каком средстве идет речь и как снималась защита, естественно, рассказывать не буду, дабы не навредить. Эту демонстрацию наблюдало не менее 20-ти человек, после чего из них никто уже этим средством не пользовался для защиты ДЕЙСТВТЕЛЬНО ОПАСНОЙ информации.

Слова, слова... Urix давайте говорить конкретно или не говорить вообще - не надо общих слов.  А то как то даже не серьезно получается...как в анекдоте.

[Yeoman]

Уважаемый cybercop!

Как Вы считаете: Знаком ли Urix с решением полиноминальных задач или нет?

Я не знаю знаком ли Urix с решением упомянутой вами задачи, поэтому не могу себе позволить высказываться по этому вопросу. Спросите его сами.  

[Николай Николаевич Федотов]

Между прочим, не всем странам "по карману" создавать национальные алгоритмы криптографического преобразования данных.

Между прочим, в создании собственного криптоалгоритма нет никакой необходимости. Существуют  публичные алгоритмы, давно известные и, следовательно, проверенные на "дыры" и "закладки". Создавать собственный криптоалгоритм можно пытаться в двух случаях:

а) в случае запущенной паранойи, когда все без исключения зарубежные учёные-криптографы завербованы иностранными разведками;

б) в случае безнадёжной мании величия, когда считаешь себя в состоянии сделать криптоалгоритм с "чёрным ходом", который никогда никто не найдёт.

[Urix]

А вот за это спасибо Urix!!! Честное слово давно я так не смеялся -  фраза про RSA полностью вас характеризует. Чьи теоретические выкладки вы используете?

Ключи, со значениями 0 и 1. Проверьте и убедитесь, что они тривиальные. Вернее 0 - это вырожденный случай.

P.S. Смеяться над теми, кто не знает основ теории считаю неприличным, а посему, ограничусь лишь советом еще раз ВНИМАТЕЛЬНО перечитать теорию колец.

[CyberCop]

      Уважаемый Urix!
   ФАПСИ похоронили в июле прошлого года. Зачем плохо говорить об усопшем? Зачем говорить о той организации, которой уже нет?
   Не надо "вешать лапшу на уши" участникам форума! Хотелось бы более достоверной информации: ведь остались организации - правоприемники расформированного ФАПСИ - ФСБ и Гостехкомиссия. Давайте всё же привыкать к реалиям сегодняшнего времени и строить свою дискуссию в ракурсе их присутствия.

[Urix]

правоприемники расформированного ФАПСИ - ФСБ и Гостехкомиссия

Гостехкомиссия - это консультативный орган и существовала еще тогда, когда был КГБ. Остается - ФСБ.
Вы уж правильно освещайте произошедшие события. А то, чего доброго, не знающие люди подумают, что члены Гостехкомиссии носят погоны, им разрешено проводить ОРМ, возбуждать уголовные дела, проводить расследования...

[CyberCop]

   Уважаемый Urix!
   Вам неплохо было бы ознакомиться с Положением о Государственной технической комиссии при Президенте РФ (утв. Указом Президента РФ от 19 февраля 1999 г. № 212, в ред. от 05.10.2002 №1129)
«1. Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) является федеральным органом исполнительной власти, осуществляющим межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную или служебную тайну, от ее утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования и по противодействию техническим средствам разведки на территории Российской Федерации (далее именуется – техническая защита информации), а также единую государственную научно – техническую политику в области защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств (http://www.infotecs.ru/gtc/default.html). Гостехкомиссия России организует деятельность государственной системы защиты информации в Российской Федерации от технических разведок и от ее утечки по техническим каналам.
     Гостехкомиссия России и региональные центры входят в состав государственных органов обеспечения безопасности Российской Федерации."
   Обратите внимание на последний абзац! Это люди в погонах. Они не только занимаются, как Вы выражаетесь, "консультационной" работой. Их основная цель - инспектирование и контроль за соблюдением требований по защите информации во всех организациях независимо от форм собственности.
   Эти люди инспектируют и ФСБ, и МВД, и Минобороны, а также другие силовые и правоохранительные органы. Их решения обязательны к исполнению всеми физическими и юридическими лицами, действующими на территории России.
   
   Между прочим, Гостехкомиссия никогда не входила в состав КГБ! Это заблуждение дилетантов. Это ведомство существовало параллельно с КГБ и находилось, мягко говоря, в конкуренции с ним по отдельным вопросам.