http://www.rfc-editor.org/rfc/rfc5830.txt
http://www.rfc-editor.org/rfc/rfc5831.txt
http://www.rfc-editor.org/rfc/rfc5832.txt
Подписаться на:
Комментарии к сообщению (Atom)
Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Архив блога
-
▼
2010
(267)
-
▼
марта
(26)
- Мифы 70-72
- Проект нового приказа ФСТЭК
- Ожидаемое и реальное поведение людей в окружении б...
- Cisco SAFE Next Generation
- Об ассоциации ИБ, которая мешает рынку, о лживых р...
- Системное исследование человеческого фактора при р...
- Вас взломали? Как общаться с внешним миром?
- 7 способов оценки вероятности риска
- Ексель?.. Моксель?.. Лексиль!
- Указ 334 возвращается?!
- ИБ-выставки уходят в онлайн
- Как предсказать проблемы с безопасностью?
- Мифы 67-69
- Наши ГОСТы по криптографии теперь в виде RFC
- Третий Russian CSO Summit
- Мифы 64-66
- Почему региональные ФСТЭК ничего не знают о 58-м П...
- ФСТЭК отменяет часть четверокнижия
- Создана Ассоциация защиты прав операторов и субъек...
- Privacy filter
- Всех читательниц с 8-м Марта
- Как банкиры и страховщики тратят деньги на безопас...
- Как научить мобильных абонентов думать о безопасности
- Мое выступление на IDC IT Security Roadshow
- Законопроект "О национальной платежной системе"
- Новый документ ФСТЭК по защите ПДн
-
▼
марта
(26)
Категории
- законодательство (633)
- персональные данные (435)
- ФСТЭК (343)
- тенденции (322)
- консолидация (250)
- поглощения (247)
- ФСБ (234)
- выставки (214)
- угрозы (201)
- Банк России (150)
- SCADA (146)
- Россия (141)
- стандарты (137)
- обучение (129)
- SOC (124)
- криптография (121)
- оценка соответствия (109)
- управление инцидентами (104)
- метрики (98)
- стратегия (84)
- цена безопасности (82)
- Роскомнадзор (78)
- НПС (77)
- Разное (75)
- Интернет-ресурсы (74)
- безопасность бизнеса (62)
- Юмор (61)
- проблемы ИБ-компаний (60)
- психология (60)
- экономика (59)
- Threat Intelligence (58)
- философия (56)
- заблуждения (51)
- Минкомсвязь (48)
- наука (48)
- геймификация (47)
- облачная безопасность (47)
- cloud (42)
- повышение осведомленности (41)
- CISO (40)
- SIEM (39)
- аутентификация (38)
- риски (35)
- лицензирование (34)
- антивирус (32)
- SDLC (31)
- DLP (30)
- архитектура (30)
- PCI DSS (28)
- аутсорсинг (27)
- кибервойна (25)
- международная ИБ (25)
- хакеры (25)
- мобильный офис (24)
- APT (23)
- BYOD (22)
- кибербезопасность (22)
- IPS (21)
- ISO 27001 (19)
- электронные платежи (19)
- США (18)
- киберпреступность (18)
- NIST (17)
- Web (17)
- маркетинг (17)
- видео (16)
- кризис (16)
- CERT (15)
- ДБО (15)
- дашборд (15)
- история (14)
- классификация (14)
- аудит (13)
- виртуализация (13)
- госорганы (13)
- атрибуция (12)
- биометрия (12)
- внутренние угрозы (12)
- стартап (12)
- Интернет (11)
- ЭЦП (11)
- книги (11)
- IoT (10)
- NBAD (10)
- Social Media (10)
- open source (10)
- кредитные карты (10)
- культура ИБ (10)
- терминология (10)
- троян (10)
- МинОбороны (9)
- спам (9)
- статьи (9)
- уязвимости (9)
- AI (8)
- Usability (8)
- ВТО (8)
- аналогии (8)
- опыт (8)
- foresight (7)
- Совет Безопасности (7)
- блокчейн (7)
- кадры (7)
- поибешечки (7)
- ООН (6)
- СУБД (6)
- непрерывность бизнеса (6)
- ОДКБ (5)
- ФАИТ (5)
- страхование (5)
- таможенный союз (5)
- этика (5)
- M2M (4)
- МВД (4)
- Олимпиада (4)
- СНГ (4)
- СОРМ (4)
- мошенничество (4)
- перлюстрация (4)
- политика ИБ (4)
- прорывные технологии (4)
- русский язык (4)
- сканеры безопасности (4)
- DNS (3)
- NGFW (3)
- UTM (3)
- VoIP (3)
- Wi-Fi (3)
- ГосСОПКА (3)
- Интернет-маньяки (3)
- женщины (3)
- кибертерроризм (3)
- коронавирус (3)
- мобильные платежи (3)
- служебная тайна (3)
- тендер (3)
- фишинг (3)
- CIP (2)
- GDPR (2)
- ISACA (2)
- RFID (2)
- SECaaS (2)
- UEBA (2)
- resilience (2)
- БРИКС (2)
- ЕАЭС (2)
- УЭК (2)
- ЦОД (2)
- безопасность (2)
- визуализация (2)
- карьера (2)
- NIAC (1)
- RPA (1)
- SDN (1)
- zero trust (1)
- Время (1)
- ШОС (1)
- искусственный интеллект (1)
- киберустойчивость (1)
- терминальный доступ (1)
- транспорт (1)
- управление потоками (1)
- электронное правительство (1)
Следить за мной
Категории
- аналогии
- антивирус
- архитектура
- атрибуция
- аудит
- аутентификация
- аутсорсинг
- Банк России
- безопасность
- безопасность бизнеса
- биометрия
- блокчейн
- БРИКС
- видео
- визуализация
- виртуализация
- внутренние угрозы
- Время
- ВТО
- выставки
- геймификация
- госорганы
- ГосСОПКА
- дашборд
- ДБО
- ЕАЭС
- женщины
- заблуждения
- законодательство
- Интернет
- Интернет-маньяки
- Интернет-ресурсы
- искусственный интеллект
- история
- кадры
- карьера
- кибербезопасность
- кибервойна
- киберпреступность
- кибертерроризм
- киберустойчивость
- классификация
- книги
- консолидация
- коронавирус
- кредитные карты
- кризис
- криптография
- культура ИБ
- лицензирование
- маркетинг
- МВД
- международная ИБ
- метрики
- Минкомсвязь
- МинОбороны
- мобильные платежи
- мобильный офис
- мошенничество
- наука
- непрерывность бизнеса
- НПС
- облачная безопасность
- обучение
- ОДКБ
- Олимпиада
- ООН
- опыт
- оценка соответствия
- перлюстрация
- персональные данные
- повышение осведомленности
- поглощения
- поибешечки
- политика ИБ
- проблемы ИБ-компаний
- прорывные технологии
- психология
- Разное
- риски
- Роскомнадзор
- Россия
- русский язык
- сканеры безопасности
- служебная тайна
- СНГ
- Совет Безопасности
- СОРМ
- спам
- стандарты
- стартап
- статьи
- стратегия
- страхование
- СУБД
- США
- таможенный союз
- тенденции
- тендер
- терминальный доступ
- терминология
- транспорт
- троян
- угрозы
- управление инцидентами
- управление потоками
- УЭК
- уязвимости
- ФАИТ
- философия
- фишинг
- ФСБ
- ФСТЭК
- хакеры
- цена безопасности
- ЦОД
- ШОС
- экономика
- электронное правительство
- электронные платежи
- этика
- ЭЦП
- Юмор
- AI
- APT
- BYOD
- CERT
- CIP
- CISO
- cloud
- DLP
- DNS
- foresight
- GDPR
- IoT
- IPS
- ISACA
- ISO 27001
- M2M
- NBAD
- NGFW
- NIAC
- NIST
- open source
- PCI DSS
- resilience
- RFID
- RPA
- SCADA
- SDLC
- SDN
- SECaaS
- SIEM
- SOC
- Social Media
- Threat Intelligence
- UEBA
- Usability
- UTM
- VoIP
- Web
- Wi-Fi
- zero trust
Архив блога
-
▼
2010
(267)
-
▼
марта
(26)
- Мифы 70-72
- Проект нового приказа ФСТЭК
- Ожидаемое и реальное поведение людей в окружении б...
- Cisco SAFE Next Generation
- Об ассоциации ИБ, которая мешает рынку, о лживых р...
- Системное исследование человеческого фактора при р...
- Вас взломали? Как общаться с внешним миром?
- 7 способов оценки вероятности риска
- Ексель?.. Моксель?.. Лексиль!
- Указ 334 возвращается?!
- ИБ-выставки уходят в онлайн
- Как предсказать проблемы с безопасностью?
- Мифы 67-69
- Наши ГОСТы по криптографии теперь в виде RFC
- Третий Russian CSO Summit
- Мифы 64-66
- Почему региональные ФСТЭК ничего не знают о 58-м П...
- ФСТЭК отменяет часть четверокнижия
- Создана Ассоциация защиты прав операторов и субъек...
- Privacy filter
- Всех читательниц с 8-м Марта
- Как банкиры и страховщики тратят деньги на безопас...
- Как научить мобильных абонентов думать о безопасности
- Мое выступление на IDC IT Security Roadshow
- Законопроект "О национальной платежной системе"
- Новый документ ФСТЭК по защите ПДн
-
▼
марта
(26)
Copyright ©
Бизнес без опасности | Powered by Blogger
25 коммент.:
Сорри а что это значит ?
Это значит, что теперь буржуины не смогут на вопрос об усилении роли России в разных процессах, заявлять, что наши криптоалгоритмы проприетарны и никому неизвестны. Теперь мы в мировой струе... И можем требовать включения наших алгоритмов в список рассматриваемых в разных протоколах и стандартах.
Так сейчас пойдет другая волна ! "В РФ требуют какие то там лицензии !!!"
и когда в ASA будет ГОСТ? :)
Полный бред... ГОСТы на криптографию в виде RFC... Соединение с головой разорвано навеки...
А если серьезно, то ГОСТы рано или поздно нужно было выводить на международный уровень, но не такими методами. RFC IETF не то место, где нужно описывать стандарты шифрования.
Алексею: Все зависит от целей, которые преследовались, делая ГОСТ в виде RFC. Зная их, такое положение вещей вполне логично.
Очень интересные Contributors. Получается процесс публикации был инициирован коммерческой организацией.
Интересно... КриптоКом решил штурмовать IETF, КриптоПро ведут борьбу с RSA (чтобы наши алгоритмы попали в PKCS) - при этом известно, что реализации наших производителей почти всегда несовместимы (точнее почти всегда найдется ситуация, в которой они несовместимы).
Внимание вопрос: что же мы на выходе получим?
Главное понять, кто это "мы" ;-)
Надо четко отдавать себе отчет, что западный вендор будет смотреть в сторону наших стандартов только в одном случае - он видит большой бизнес. Если этого нет, то никакие RFC и т.п. не помогут. Так что российский потребитель от такой стандартизации ничего не получит. Западному российские алгоритмы нафиг не нужны.
Лично мне хватит того, чтобы они просто осознали существование чего-то отличного от DES, AES и прочих стандартных алгоритмов - это, в идеале, сделает так, что приложения, использующие криптографию будут реально независимы от криптопровайдера. Пока это ни фига не так - достаточно почитать многочисленные ветки на форумах КриптоПро по поводу поддержки ГОСТа в Firefox и Thunderbird.
От себя могу добавить проблемы с системами управления сертификатами (например, MS FIM CM) и, банально, удостоверяющими центрами (может MS CA научиться бэкапить не RSA ключи).
А смысл в осознании? Они знают о ГОСТах. Важно чтобы признавали.
Ну а публикация RFC (на драфта - а именно RFC) - это и есть признание...
> при этом известно, что реализации наших производителей почти всегда несовместимы
В этих RFC эта проблема решена.
Несовместимость россиских криптоалгоритмов обусловлена тем, что каждый разраблотчикиспльзует собственный S-блок (который, если я не ошибаюсь, назначается 8-ым центром ФСБ). Специально смотрел: в RFC 5830 оговорено, что в RFCшных реализациях российских криптоалгоритмов все разработчики будут будут пользоваться КриптоПрошными S-блоками:
"Remark: the standard doesn't define any S-boxes. Some of them are defined in [RFC4357]"
Это переводится все-таки по-другому: "Вы должны определить узлы замен. Некотрые из них показаны в RFC таком-то". Т.е. КриптоПрошный RFC просто как пример дан. Т.е. ты и сам можешь их выбрать... если знаешь как и если тебе не нужна совместимость ;-)
RFC не решает тех проблем, которые есть сейчас важнее ISO, поэтому расцениваю это как пиар акцию, но с определенным прицелом для самого Криптокома
а проблемы совместимости уже решены предыдущей серией RFC от КриптоПро......правда надо понимать, что это совместимость по принципу "встречной работы", а не одно убрал другое поставил
Для ряда людей из IETF community важно - что ГОСТ по сути первый ECC алгоритм в RFC без проблем с IPR
(intellectual property rights)
А эти RFC появились как необходимая информация при работе над
https://datatracker.ietf.org/doc/draft-ietf-dnsext-dnssec-gost/
> Это переводится все-таки по-другому
Угу. В RFC 4357,кстати, сами узлы замены не определены, так что проблема выбора и совместимости остается :(
Собственно у DES таже проблема, если мне не изменяет память.
Правильно ли я понимаю, что в циске нет ГОСТа из-за того, что помимо его внедрения в закрытый IOS (или не закрытый) необходимо еще и проведение работ по проверке корректности его встраивания, а иначе, те требования которые заставляют использовать ГОСТ в сетях не будут удовлетворены?
С другой стороны других производителей (Checkpoint к примеру) такая штука не пугает ...
Мне кажется из-за этого стопора циско теряет достаточно много, потому, что во многих крупных РФ компаниях инфраструктура выстроена на базе оборудования данной компании и из-за отсутствия интегрированного решения заказчикам приходится держать различный зоопарк ...
Алексей есть ли какие либо подвижки в этом направлении у Cisco, особенно интересен SSL с ГОСТом?
2 Void Z7:
ситуация со встраиванием криптографии не совсем однозначная. Как правило, в сертификате на СКЗИ написано, что аттестацию корректности встраивания надо проводить только если речь идет о встраивании в прикладное ПО - аргумент - иначе установка СКЗИ в обычной ОС Windows было бы тоже встраивание.
Если исходить из такого предположения, то встраивание СКЗИ (например, того же Крипто Про) в шлюз безопасности Check Point - это типа не встраивание в прикладное ПО, а потому ничего аттестовывать не надо. Однако, мнения со стороны регулятора могут быть различные - некоторые разделяют такую точку зрения, некоторые нет.
Ну а у циски еще сложность в том, что КриптоПро для ISO нет :)
To doom:
А если себе представить все таки к примеру, что в IOS удалось внедрить криптобиблиотеку с ГОСТ кто даст гарантии, что IOS действительно вызывает функции из этой библиотеки?
Кто даст гарантии, что в самом устройстве не заложен не декларированный механизм вскрытия передаваемой информации по управляющему сигналу?
Это конечно паранойя в определенной степени, но когда во главу угла поставлена стойкость какого нибудь КВО то мысли нехорошие приходят.
Отвечаю:
1. В IOS ГОСТа нет и не будет. Проблема не в невозможности встраивания, а в том, что необходимо будет отдавать исходные коды на проверку. Ни один западный производитель нормально это пока так и не сделал. Опасений слишком много, а бизнеса слишком мало, чтобы рисковать. Как-то мы сделали такую ошибку в ожном восточном государстве. Через полгода после предоставления правительству этой страны наших исходников появилась компания с неблагозвучным названием. Второй раз на те же грабли мы не наступим.
2. Повторю - ни один из вендоров не выстроил адекватного процесса предоставления своих исходников. Все идут по пути подключения к своему софту ВНЕШНЕЙ СКЗИ. У Чекпойнта это CryptoPro, у нас это S-Terra. Только если у первых это решение никак не признаваемое регулятором, т.к. никто не проверял корректность встраивания (да и сам софт ввозился контрабандой в нарушение действующего таможенного законодательства), то у нас модуль, имеющий положительное заключение ФСБ (сертификат уже на подписи).
А вообще почти в любой стране отношение к чужой криптографии особое. Но там это отношение не распространяют на ВСЕ, а ограничиваются только госорганами, ВПК и КВО. А у нас, к сожалению, пытаются в условиях ограниченных ресурсов контролировать абсолютно все. Отсюда и проблема. Как можем отдел из двух человек, который максимум около 1000 разрешений на ввоз выдавал в год (!), выдать уже несколько десятков тысяч разрешений. За тот же период и теми же силами.
2 Void Z7:
Озвученная проблема верна и в ситуации, когда мы устанавливаем СКЗИ (криптопровайдер) на свой компьютер - где гарантия, что тот же браузер его будет использовать правильно? Просто тут надо до какого-то разумного уровня паранойи доходить - для какого-нибудь госоргана, где обрабатывается информация особой важности это очень даже резонный вопрос - а для обычной коммерческой конторы - это уже излишняя озабоченность.
2 Алексей Лукацкий:
S-terra тоже не является СКЗИ как таковой - они используют КриптоПро или СигналКом. Причем некоторые злые языки утверждают, что S-terra также совершенно незаконно используется в качестве криптошлюза, поскольку сертификата ФСБ у них нет.
Считай, что уже есть - на подписи. А что касается С-Терры в те времена, то все зависит на каком CSP они работали. Если на КриптоПро, то в ТУ на него написано, что нужно проверять корректность встраивания. А если на СигналКоме, то не нужно.
Отправить комментарий