tag:blogger.com,1999:blog-4065770693499115314.post8402838015018846321..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Когда сертифицированных СКЗИ попросту нет ;-(Алексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger25125tag:blogger.com,1999:blog-4065770693499115314.post-1162869133060799962010-05-28T16:50:24.813+04:002010-05-28T16:50:24.813+04:00Про ввоз скоро будет отдельная заметка. А токен бу...Про ввоз скоро будет отдельная заметка. А токен будет СКЗИ, если у него на борту криптопроцессор стоит.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-56250265967610899322010-05-27T18:49:53.054+04:002010-05-27T18:49:53.054+04:00Алексей, давно хочу спросить у вас, а токен - это ...Алексей, давно хочу спросить у вас, а токен - это криптосредство?<br />Если я в чемодане из Европы сотню привезу - меня на таможне повяжут?<br /><br />Если серьезно, я так и не могу найти ответ, как все-таки правильно ввезти и использовать в РФ иностранные СКЗИ. Немецкий производитель даже слышать не хочет о сертификации или продаже в РФ... :-(Романhttps://www.blogger.com/profile/05281612414093597341noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-2872773577743873112010-04-30T05:27:50.920+04:002010-04-30T05:27:50.920+04:00pushkinist пишет...
"и что, после выплаты штр...pushkinist пишет...<br />"и что, после выплаты штрафа требования не надо будет выполнять?"<br /><br />А зачем :). Шутка.<br />Будут смотреть как далее пороверяющая служба контролирует процесс выполнения, если не сильно хорошо, то могут и не выполнять. Ждать следующей проверки через год, скажем.<br />Печально конечно, но так.<br />Хотя я провожу работу по улучшению ситуации, и даже начал встречать понимание со стороны руководства компании, но вот когда дойдет до дела тогда и посмотрим...Korwinhttps://www.blogger.com/profile/10371482477667510941noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-60628496075924327962010-04-29T22:15:21.999+04:002010-04-29T22:15:21.999+04:00amt2001: Извините, но заранее неизвестно с какой ц...<b>amt2001:</b> Извините, но заранее неизвестно с какой целью будет использоваться хотспот. А вдруг для обработки ПДн?<br /><br />Что касается криптоядер, то опять же, заранее вы не можете знать, на каком ядре работает хотспот или Интернет-банк или платежная система. А значит вы вынуждены использовать ВСЕ.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-71252637275869901702010-04-29T17:29:40.960+04:002010-04-29T17:29:40.960+04:00Алексей Лукацкий:
Цель какая? Не думаю что для дос...Алексей Лукацкий:<br />Цель какая? Не думаю что для доступа в публичную сеть через wifi нужны сертифицированные СЗКИ. Если последующий доступ в какой-то закрытый контур, то пожалуйста - ставьте 1 сервер доступа с ГОСТом. Тоже самое и с mesh.<br /><br />По поводу 8-ми криптоядер - сейчас уже есть криптопровайдеры от разных производителей совместимые между собой. Остается только надеяться на продолжение данной тенденции.amt2001https://www.blogger.com/profile/08208296753938117681noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-29874377437262427632010-04-29T14:33:47.461+04:002010-04-29T14:33:47.461+04:00doom: Ну там есть примеры с FC, которые тоже никем...<b>doom:</b> Ну там есть примеры с FC, которые тоже никем из отечественных не поддерживаются (если не использовать конвертеры). Ситуация с iSCSI и другими протоколами аналогичная.<br /><br /><b>amt2001:</b> Вот организуется у нас скоро выставка СвязьЭкспоком. На эту площадь и при том количестве народа надо около 100-200 точек доступа. И для каждой вы предлагаете поставить криптошлюз? А как быть с Wi-Fi Mesh? Криптошлюз не сможет адекватно работать в такой среде. Я уже не говорю о стоимости решения.<br /><br />Что же касается кластера, то извините, но 40 отечественных криптошлюхов будет стоить около 200 штук баксов. Это на одном конце. На втором тоже. Плюс резервирование. Очень грамотное решение. А еще их надо научить поддерживать FC или iSCSI или ставить по 40 конвертеров в IP ;-)<br /><br />И каждому иностранцу по 8 сертифицированных криптоядер, т.к. как иначе он сможет подключиться к публичному хотспоту, который может использовать любого из сертифицированных в России криптоядер ;-) Вот бизнес-то попрет ;-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-32022566225902299092010-04-29T14:20:27.076+04:002010-04-29T14:20:27.076+04:00Mikhail :
Если брать из расчета 1 сервер - 1 Гбит...Mikhail :<br /><br />Если брать из расчета 1 сервер - 1 Гбит/с, то получается 40 серверов, например, лезвиев. При желании 2-3 шасси с лезвиями влезают в одну стойку.<br />По софту не готов сказать.amt2001https://www.blogger.com/profile/08208296753938117681noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-38863378938895383732010-04-29T12:16:34.274+04:002010-04-29T12:16:34.274+04:00"Бизнес решает что ему выгоднее: заплатить шт..."Бизнес решает что ему выгоднее: заплатить штраф или выполнить требования."<br /><br />и что, после выплаты штрафа требования не надо будет выполнять?pushkinisthttps://www.blogger.com/profile/12741340648681850497noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-40181794572559414362010-04-29T11:27:53.198+04:002010-04-29T11:27:53.198+04:00amt2001
ну про балансировку - это ещё как повезёт....amt2001<br />ну про балансировку - это ещё как повезёт.<br />Не нравится именно кластер из софтовых устройств.<br />Ну может, положим, одна железка перелопатить гиг. А нужно 40 гиг. Вы поставите пару стоек орущего оборудования, жрущего дофига киловатт и потом будете неизвестным способом балансировать трафик? Да, расскажите, как будете балансировать на 40 устройств шифрования.Unknownhttps://www.blogger.com/profile/11593046476993694320noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-48154373169423823532010-04-29T09:34:43.396+04:002010-04-29T09:34:43.396+04:00Mikhail:
Кластер с балансировкой нагрузки и подде...Mikhail:<br /><br />Кластер с балансировкой нагрузки и поддержкой многоядерности. Что Вас смущает?<br /><br />Алексей Лукацкий:<br />Криптошлюзы на клиентах - это перебор. Хватит какого-нибудь софтварного решения. За точками (или группой точек) хоть по криптошлюзу. Но это уже детали. <br /><br />В данном случае, если речь в целесообразности применения каких-либо решений, то это второй вопрос. Мы же с Вами говорим об имеющихся(потенциальных) сертифицированных СКЗИ.amt2001https://www.blogger.com/profile/08208296753938117681noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-4436856922470141602010-04-29T09:08:11.653+04:002010-04-29T09:08:11.653+04:002 Алексей Лукацкий
Вы как-то еще не упомянули, чт...2 Алексей Лукацкий<br /><br />Вы как-то еще не упомянули, что при синхронизации ЦОД-РЦОД большая часть трафика совсем даже не IP ;)<br />Так что предложение с кластером из VPN шлюзов придется дополнить предложением переводить взаимодействие между СХД с FC на какой-нибудь iSCSI или еще что похуже - куда пошлют такого предлагателя примерно понятно (я уж молчу про дополнительный latency от шлюзов).<br /><br />Ну а про беспроводку - всем сертифицированного клиента на рабочую станцию и вперед :) IPSec поверх wi-fi.doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-90080832137960814612010-04-29T04:40:25.068+04:002010-04-29T04:40:25.068+04:002 pushkinist.
Бизнес решает что ему выгоднее: запл...2 pushkinist.<br />Бизнес решает что ему выгоднее: заплатить штраф или выполнить требования. А проблема защиты информации это совсем другой вопрос, который ближе к КТ и надежности.<br />Проблема по моему в том, что ИТ служба, когда видит требования сразу ищет варианты, чтобы их не выполнять совсем, так как 100% их выполнение не достижимо.Korwinhttps://www.blogger.com/profile/10371482477667510941noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-40068926809582999852010-04-28T22:34:48.816+04:002010-04-28T22:34:48.816+04:00еще прикол в том что если брать трансграничную пер...еще прикол в том что если брать трансграничную передачу, то мы из россии можем передавать данные в страны с "адекватной защитой пдн", а в обратную сторону процесс невозможен.<br />то есть несмотря на все потуги в области защиты персональных данных мы получается не можем обеспечить такую же "адекватную" защиту персональных данных иностранным субъектам, потому что скорее всего при передаче будут использовать средства не обеспечивающие должной защиты с точки зрения наших регуляторов<br />это не бред ли?pushkinisthttps://www.blogger.com/profile/12741340648681850497noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-9988518932315538022010-04-28T21:35:17.744+04:002010-04-28T21:35:17.744+04:00Mikhail: Ну зарубеж - это тоже проблема, которую н...<b>Mikhail:</b> Ну зарубеж - это тоже проблема, которую надо решать. По 6-9 - у вас передаются персданные. По требованиям ФСБ вы обязаны использовать сертифицированные СКЗИ. А СКЗИ не на ГОСТ никогда не будут сертифицированы.<br /><br /><b>Alexander:</b> Инкапсуляцию где? На точке доступа это нереализуемо. Перед каждой ставить по криптошлюзу? А с клиентами что делать? Интел пока не встроил к себе ГОСТ и не сертифицировал (и НИКОГДА не сертифицирует) это решение.<br /><br /><b>Алексею Т.:</b> Попробуйте разберитесь ;-) И потом можо подисскутировать. Ни в одном из рассмотренных мной случаев сертифицированные СКЗИ не применимы ни сейчас, ни в блжайшем будущем. Вариант с кластером я даже не рассматриваю. Представьте, что у вас синхронизация с резервным ЦОДом на 40 Гбит/сек. 40+1 криптошлюхов ставить?Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-89012943171756202902010-04-28T17:49:05.107+04:002010-04-28T17:49:05.107+04:00логи на сетевом оборудовании находятся у одного оп...логи на сетевом оборудовании находятся у одного оператора,<br />возможность изменения логов существует, речь идет о взаимодействии ИС различных операторов.<br />Как мне обязать стороннего, ленгитимно допущенного оператора, без применения ЭЦП, верить моим логамTeePeehttps://www.blogger.com/profile/13207562900228570731noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-75384813569112563222010-04-28T16:36:00.065+04:002010-04-28T16:36:00.065+04:002 TeePee я бы не советовал это требование 58 прика...2 TeePee я бы не советовал это требование 58 приказа воспринимать с т.з. реализации ЭЦП. Лучше попытайтесь его реализовать стандартными средствами идентификации/аутентификации/регистрации. По идентификатору и записям в журналах также можно доказать "получение/передачу ПДн". Возможно по записям на сетевом оборудовании о сетевых сессиях (если идет удаленный доступ).Алексей Т.https://www.blogger.com/profile/18336548034862391527noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-7639367701500611152010-04-28T16:00:09.714+04:002010-04-28T16:00:09.714+04:00подскажите, вопрос по моему по теме,
есть требован...подскажите, вопрос по моему по теме,<br />есть требования 58 приказа ФСТЭК "предотварщение возможности отрицания полученных/переданных ПДн", есть WEB сервер на которой собираются запросы/ответы, существует ли какое то сретифицированоое ЭЦП-шное средство для реализации этих требований.<br />подписываются ЭЦП ответы сервера (без участия человека)<br />я так понимаю подразумевается ЭЦП. ЭЦП выдается на Пользователя? а подписывать необходимо сервером? как такое реализовать?TeePeehttps://www.blogger.com/profile/13207562900228570731noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-54266611318663511672010-04-28T12:37:55.559+04:002010-04-28T12:37:55.559+04:00ну и что в итоге бизнес решает?
как история заканч...ну и что в итоге бизнес решает?<br />как история заканчивается-то?pushkinisthttps://www.blogger.com/profile/12741340648681850497noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-75235522384517836982010-04-28T12:20:20.188+04:002010-04-28T12:20:20.188+04:00Господа ИТшники пишут такие ответы, когда я выстав...Господа ИТшники пишут такие ответы, когда я выставляю им требования ФСТЭК. Им в обратку идут ответы как у Mikhail и Alexander. Но никакого движени в сторону выполнения требований нет. Поэтому пршлось вынести эту проблему повыше и теперь бизнес решает, что ему критично, а что нет. Вопрос обычно упирается в деньги, которые могут быть инвестированы в бизнес-процессы.Korwinhttps://www.blogger.com/profile/10371482477667510941noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-56756959071248180732010-04-28T11:36:37.466+04:002010-04-28T11:36:37.466+04:00господа возражающие, лол.
вы насколько в быту и в ...господа возражающие, лол.<br />вы насколько в быту и в работе обычно сталкиваетесь с сертифицированной криптографией?<br />судя по вашим постам предположу, что не сталкиваетесь, да?<br /><br />"интернет-банки на платформе ibank2 (производитель бифит) используют ГОСТ и содержат криптопровайдер в самом java апплете. Так что в любом интернет-кафе любой страны, где есть на компьютере стандартная sun java, будет ГОСТ"<br />для вас гост - синоним сертифицированности, а это не так.<br />бифит использует сертифицированные пбзи и скзи агава-с и криптоком, а они не содержатся в жаба-аплете, а копируются в ось.<br />плюс у него есть несертифицированное средство, реализующее гост, которое не копируется в ось.<br />но оно, как вы могли прочесть пару слов назад - несертифицированное.<br /><br />хотя вообще я думаю, что Алексей Лукацкий говоря о ДБО скорее имел в виду реализации ДБО не на ЭЦП, потому что в ДБО вопросы использования сертифицированных средств накладываются требованиями цб по асп и законом об эцп.<br />согласно цб, дбо для юрлиц возможен только при таком асп, под которое подходит только эцп, а согласно фз об эцп проверка эцп возможна только сертифицированными средствами.<br />в случае же реализаций ДБО для физлиц можно использовать не ЭЦП, следовательно вопрос касается SSL/TLS и сертифицированных криптопровайдеров, а здесь проблемы с их наличием у пользователей и распространением среди пользователей.<br /><br />ну так вот использование сертифицированных скзи везде где только можно создаст ситуацию при которой практически все поголовно будут нарушать законодательство в части распространения, учета и использования скзи.<br />распространение должно производиться под роспись в получении и с внесением записей в журнал. вариант же с распространением через инет не вариант ибо следуя требованиям законодательства это вызовет рекурсию: при передаче надо обеспечить целостность и подлинность скзи, а удаленно это можно сделать используя эцп, только вот эцп должно быть сертифицированное, то есть принимающая сторона изначально должна иметь сертифицированные скзи для проверки подлинности сертифицированных скзи.<br /><br />плюс работа отечественных компаний с клиентами-нерезидентами породит эпичный гемор. <br /><br />"2) Если будет спрос на STB с ГОСТом, будет и предложение."<br />дак надо чтоб этот гост сертифицирован был.<br />и по поводу спроса: ну вот есть спрос на высокопроизводительные сертифицированные решения с гостом, вот только предложений чето не ахти.<br />"кластер из криптошлюзов" - гениальная идея :Dpushkinisthttps://www.blogger.com/profile/12741340648681850497noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-24030979514427844182010-04-28T11:15:38.037+04:002010-04-28T11:15:38.037+04:00В поддержку высказавшихся - мне тоже показалось, ч...В поддержку высказавшихся - мне тоже показалось, что Лукацкий лукавит. Нет возможности и времени разбираться, на мой взгляд в половине случаев реализация возможна и сейчас, а в остальных возможна в принципе. Никогда не говори никогда! Особенно такой пункт, как "аутсорсинг". :-) Алексей, для кого Вы это писали?Алексей Т.https://www.blogger.com/profile/18336548034862391527noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-66609765093388380542010-04-28T10:07:23.806+04:002010-04-28T10:07:23.806+04:00pushkinist
Я, из регулятора? побойтесь бога! ;)
A...pushkinist<br />Я, из регулятора? побойтесь бога! ;)<br /><br />Alexander<br />кластер из "писюков" для шифрования по ГОСТу - это даже как-то не спортивно...Unknownhttps://www.blogger.com/profile/11593046476993694320noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-18918370933228829772010-04-28T09:47:36.052+04:002010-04-28T09:47:36.052+04:002Mikhail, Alexander:
а вы из какого регулятора? :D...2Mikhail, Alexander:<br />а вы из какого регулятора? :Dpushkinisthttps://www.blogger.com/profile/12741340648681850497noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-12997607306955928732010-04-28T09:16:26.906+04:002010-04-28T09:16:26.906+04:00можно еще добавить следующее:
1. если стандарт 802...можно еще добавить следующее:<br />1. если стандарт 802.11i не предполагает ГОСТ, то почему не использовать инкапсуляцию пакетов в протоколы с ГОСТом<br />2. по магистралям с шириной канала 1Гб/с и выше, можно попробовать использовать криптошлюзы с ГОСТом в кластерном исполненииamt2001https://www.blogger.com/profile/08208296753938117681noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-13490833851651017822010-04-28T08:26:45.710+04:002010-04-28T08:26:45.710+04:00Алексей, не всё так тяжко
1) можно построить в ро...Алексей, не всё так тяжко<br /><br />1) можно построить в россии сеть на сертифицированных решениях, плюс стандартный ipsec туннель зарубеж. Последний, конечно, ставит под сомнение всю схему...<br />2) Если будет спрос на STB с ГОСТом, будет и предложение. <br />3) см. 2)<br />4-5) Проблема. С кадрами, умеющими разрабатывать чипы, в стране туго...<br />6-9) а в каком законе говорится, что на территории России иные криптоалгоритмы в принципе запрещены? Я нарушаю закон, если у меня в браузере сейчас url начинается с https://www.blogger.com ?<br />10) интернет-банки на платформе ibank2 (производитель бифит) используют ГОСТ и содержат криптопровайдер в самом java апплете. Так что в любом интернет-кафе любой страны, где есть на компьютере стандартная sun java, будет ГОСТ<br /><br />ну и т.д.Unknownhttps://www.blogger.com/profile/11593046476993694320noreply@blogger.com