Comments 283
превосходит зарубежные и отечественные аналоги за счёт высокой степени защищённости информации и является лучшим решением на рынке в отношении цены и качества
Как насчёт независимого аудита «невзламываемости» и всего вот этого? Про цены вообще молчу…
И по соотношению цена/качество
Мое личное мнение:Очередной распил
Вопрос, разумеется, риторический — просто хочется понять, это громкие фразы для внутреннего употребления или там внутри действительно нечто интересное, как бы ни была призрачна надежда на последнее.
Отношение цена/качество у Телеграм, у Вотсап и у любого бесплатного продукта равно нулю по определению. Превзойти его с любой ценой отличной от нуля не получится.
Это да, но, пожалуй, имеет смысл рассматривать соотношение себестоимость/качества.
Т. е., соотношение затрат на разработку и итоговых качеств продукта.
Хотя с оценкой этих самых затрат (и в случае многих коммерческих продуктов, и в случае таких военных продуктов) могут быть сложности.
Т. е., соотношение затрат на разработку и итоговых качеств продукта.
Хотя с оценкой этих самых затрат (и в случае многих коммерческих продуктов, и в случае таких военных продуктов) могут быть сложности.
>у Телеграм, у Вотсап и у любого бесплатного продукта равно нулю по определению
Качество тоже нулю, поэтому их из сравнения выкидываем. Речь идёт про аналог Skype for business, на что телеги и вотсапики совершенно не тянут.
p.s. не оправдываю такие цены. Распил, разумеется. Но всякие бесплатные мышеловки с непонятной системой монетизации ЕЩЁ НЕУМЕСТНЕЕ.
Качество тоже нулю, поэтому их из сравнения выкидываем. Речь идёт про аналог Skype for business, на что телеги и вотсапики совершенно не тянут.
p.s. не оправдываю такие цены. Распил, разумеется. Но всякие бесплатные мышеловки с непонятной системой монетизации ЕЩЁ НЕУМЕСТНЕЕ.
Я кстати имел ввиду не только это, но и защищенный ноутбук и защищенный телефон.
>у Телеграм, у Вотсап и у любого бесплатного продукта равно нулю по определению
Качество тоже нулю, поэтому их из сравнения выкидываем. Речь идёт про аналог Skype for business
Я понимаю, что если сделать тот же Signal с внедрением видеоконференции IVA AVES S этим и будет. А нет, Signal же не продаёт обязательно свой сервер. Для него можно свой настроить.
Речь идёт про аналог Skype for business, на что телеги и вотсапики совершенно не тянут.
Да, они гораздо лучше. А вам приходилось использовать этот перелицованный MS Lync? Мы его внедряди, с болью настраивали несколько линий IP-телефонии и всё равно он работал хуже обычного Скайпа, про интерфейс вообще молчу
>А вам приходилось использовать этот перелицованный MS Lync
Да, он отвратительный, но это корпоративный мессенджер с корпоративными фичами, а не хомячковая болталка.
Да, он отвратительный, но это корпоративный мессенджер с корпоративными фичами, а не хомячковая болталка.
Да, он отвратительный, но это корпоративный мессенджерЗвучит как: «корпоративные пользователи обязаны страдать».
Пользовался на одной из работ — основной косяк был, что история не хранилась, а в остальном обычный мессенджер, не хуже других
История падает в специальную папку в outlook, и никак иначе.
>обычный мессенджер, не хуже других
Интеграция с маздай-инфраструктурой, глобальная адресная книга, календарь, ВКСики на Х человек. Такое ощущение, что на хабре одни школьники и фрилансеры, если всерьёз считают Телегу заменой Линку.
«История не хранилась»
Посмеялся. История не показывается в клиенте, но исправно хранится у безопасников. И это тоже важная фича корпоративного мессенджера.
У Телеги история хранится у дяди Паши и товарища маёра. Школьникам ОК, бизнесу не очень.
Интеграция с маздай-инфраструктурой, глобальная адресная книга, календарь, ВКСики на Х человек. Такое ощущение, что на хабре одни школьники и фрилансеры, если всерьёз считают Телегу заменой Линку.
«История не хранилась»
Посмеялся. История не показывается в клиенте, но исправно хранится у безопасников. И это тоже важная фича корпоративного мессенджера.
У Телеги история хранится у дяди Паши и товарища маёра. Школьникам ОК, бизнесу не очень.
У Телеги история хранится у дяди Паши и товарища маёра. Школьникам ОК, бизнесу не очень.
Какие ваши доказательства?
Разве возможность прочтения истории после смены телефона — не доказательство хранения её на сторонних серверах?
Хранить можно по разному. В частности, так, что в любой момент времени никто из персонала не имеет доступа к полной истории, а сами данные в незашифрованном виде фигурируют только в оперативной памяти и относительно непродолжительное время. Бэкапы, выгружаемые WhatsApp-ом на гуглдрайв вас не беспокоят?
Но вопрос был больше в контексте «товарища майора», «школьников», и гипотетического «бизнеса».
Ибо, бизнес, который контактирует через мессенжеры — как раз телеграмом пользуется, а вот WhatsApp, и нидайбох Viber со Skype — это лютейшее палево.
Другое косвенное подтверждение того, что «товарищам майорам» не дали доступиться к «телу» — это очередь из инвесторов к Дурову.
Поэтому логика «можно читать историю после смены номера — значит всё хранится, все доступно, и все сливается» меня сильно удивляет.
Но вопрос был больше в контексте «товарища майора», «школьников», и гипотетического «бизнеса».
Ибо, бизнес, который контактирует через мессенжеры — как раз телеграмом пользуется, а вот WhatsApp, и нидайбох Viber со Skype — это лютейшее палево.
Другое косвенное подтверждение того, что «товарищам майорам» не дали доступиться к «телу» — это очередь из инвесторов к Дурову.
Поэтому логика «можно читать историю после смены номера — значит всё хранится, все доступно, и все сливается» меня сильно удивляет.
Про историю тут особо ничего смешного не было — насколько помню просто была какая-то проблема с интеграцией с Exchange (они переходили с Лотуса). Даже была какая-то самописная прога, которая грабила и сохраняла историю прямо с окна.
Skype for Business развивается день за днем, c Lync уже не сравнить. Не далее как две недели назад участвовал в презентации на 10 тысяч человек. До сотни участников — по несколько раз за день собираю. Интеграция с Office и Teams. В ближайшем будущем обуздаем связку Project + Planner.
Вы внимательно прочитали, что я написал? Для бизнеса можно настроить свой сервер Signal (открытое ПО), единственным функциональным отличием будет отсутствие видеоконференций (более 2х людей одновременно) у Signal. Поэтому и пишу, что просто-напросто продают ПО, которое уже есть бесплатно и открыто, но добавив видеоконференции.
Дааа, а разработка на что ведется? Все работают бесплатно? Инфраструктура та же бесплатная? У Telergam — не знаю, кто инвесторы. Но про WA — понятно, что платит FB.
Не совсем так. В цене стоит учесть не только ценник за сам софт, но и возможные сопутствующие расходы — трату времени на рекламу, внимания на не-очень-нужные чатики и т.п.
Название является кодированным: "Круиз на Канары".
Написано, что имеет комплект сертификатов. Если речь про сертификат ФСБ, то независимый аудит безопасности был проведен одной из аккредитованных сертификационных лабораторий (специализированной организацией), затем отчетные материалы были изучены 8 центром ФСБ и было получено положительное заключение, а только потом ЦЛСЗ оформили сертификат.
Это-то понятно. Я же не просто так написал «независимый».
Уровень доверия к сертификатам ФСБ с точки зрения криптографии и отсутствия в ПО косяков/закладок сами понимаете какой…
Уровень доверия к сертификатам ФСБ с точки зрения криптографии и отсутствия в ПО косяков/закладок сами понимаете какой…
Именно потому, что у меня есть понимание данной системы, я доверяю ей кардинально больше, чем большинству «независимых аудитов». Вы сталкивались с сертификацией СЗИ в ФСБ РФ? Чем вызвано ваше недоверие к сертификатам ФСБ?
«Доверять ключи от переписки в наше время нельзя никому, порой даже самому себе. Мне можно.»
=Ваша ФСБ
=Ваша ФСБ
На сколько мне известно, 8 центр ФСБ генерирует ключи только для высоких классов сертификации, использующихся для защиты государственной тайны. Если государству принадлежит тайна, то ключи генерирует представитель государства, т.е. ФСБ.
Все КС1, КС2, КС3 системы пользуются ключами, генерирующимися на местах эксплуатации. ФСБ эти ключи никак получить не может, если вы их сами туда не пошлете :) Но шутку я оценил.
Все КС1, КС2, КС3 системы пользуются ключами, генерирующимися на местах эксплуатации. ФСБ эти ключи никак получить не может, если вы их сами туда не пошлете :) Но шутку я оценил.
Так если шифры там ГОСТ — это не безопасно по определению, в отсутствие закладок в ChaCha/TLS я как то больше верю.
Навряд для защиты собственных секретов государством были выбраны заведомо ненадежные шифры.
ФСБ — не единственная в мире организация, умеющая в криптоанализ
ФСБ — не единственная в мире организация, умеющая в криптоанализ
ГОСТ шифры уязвимы, и можно прогнозировать формирование ключа если известна «доп информация при его создании»
ГОСТ шифры уязвимы...ГОСТ симметричных шифров сейчас два, это старая «Магма» ГОСТ 28147-89 и новый «Кузнечик» ГОСТ Р 34.12-2015. Вы так уверенно про оба говорите? На магму известной практической атаки нет. Новый ещё молод, но он структурно очень похож на AES.
… и можно прогнозировать формирование ключа если известна «доп информация при его создании»Смешно. С таким подходом совершенно любой симметричный шифр при прочих равных можно считать уязвимым.
С Магмой есть нюанс — неразбериха с таблицами замен.Есть рекомендации, но нет единого стандарта. Существует легенда о слабых таблицах.
С параноей предлагаю бороться путем последовательного шифрования двумя шифрами конкурирующих контор… Нет, лучше тремя! А еще лучше пятью! Магма — TEA — AES — Кузнечик — Raiden
С параноей предлагаю бороться путем последовательного шифрования двумя шифрами конкурирующих контор… Нет, лучше тремя! А еще лучше пятью! Магма — TEA — AES — Кузнечик — Raiden
как минимум, можете открыть вики и почитать статью про это шифрование, раздел «критика» =)
Тем, что как организация, полезная населению в целом, а не только поддерживающая репрессивными методами статус-кво текущих властных структур ФСБ себя дискредитировала давно, окончательно и бесповоротно. Озвучивать общеизвестные тезисы не буду, Хабр всё-таки не для политики.
То, что сертификацию проводит некая контора, которой доверяет (аккредитовала же) ФСБ — не показатель ничего, кроме наличия взаимовыгодных отношений между данными контрагентами, поскольку институт репутации в нашей стране, к сожалению, находится в зачаточном состоянии.
То, что сертификацию проводит некая контора, которой доверяет (аккредитовала же) ФСБ — не показатель ничего, кроме наличия взаимовыгодных отношений между данными контрагентами, поскольку институт репутации в нашей стране, к сожалению, находится в зачаточном состоянии.
Не очень понимаю при чем тут репутация, доверие и какая-то выгода.
ФСБ является государственным регулятором. Они выпускают регламентирующие документы. Например, стандарт шифрования, методические указания по его применению, требования безопасности к СЗИ, методики исследования ПО, процедуры аккредитации и требования к компаниям-лицензиатам и т.д. Конечно, часть этих документов содержит информацию, составляющую государственную тайну, но это не значит, что она не доступна независимым экспертам, которым она необходима.
Сертфикат ФСБ подтверждает, что ПО прошло исследование на соответствие конкретному набору требований безопасности, по конкретным методикам в организации, удовлетворяющей конкретным аттестационным требованиям.
Ничто не мешает независимому эксперту (например Вам) ознакомиться с данными регламентирующими документами (естественно получив соответствующий допуск).
Например, наш стандарт шифрования (ГОСТ Р 34.12-2015), опубликованный на сайте ТК-26, проходил множество независимых проверок. В интернете полно статей на данную тему.
Считаю, что эмоции и политика в данном вопросе не уместны. Это вопрос исключительно технический.
ФСБ является государственным регулятором. Они выпускают регламентирующие документы. Например, стандарт шифрования, методические указания по его применению, требования безопасности к СЗИ, методики исследования ПО, процедуры аккредитации и требования к компаниям-лицензиатам и т.д. Конечно, часть этих документов содержит информацию, составляющую государственную тайну, но это не значит, что она не доступна независимым экспертам, которым она необходима.
Сертфикат ФСБ подтверждает, что ПО прошло исследование на соответствие конкретному набору требований безопасности, по конкретным методикам в организации, удовлетворяющей конкретным аттестационным требованиям.
Ничто не мешает независимому эксперту (например Вам) ознакомиться с данными регламентирующими документами (естественно получив соответствующий допуск).
Например, наш стандарт шифрования (ГОСТ Р 34.12-2015), опубликованный на сайте ТК-26, проходил множество независимых проверок. В интернете полно статей на данную тему.
Считаю, что эмоции и политика в данном вопросе не уместны. Это вопрос исключительно технический.
Нет оснований считать, что сертификат ФСБ подтверждает какую-то безопасность, если в модели угроз основной угрозой являются ФСБ и другие госслужбы. Сертификат ФСБ может означать высокую защищенность, может наличие бэкдора, а может наличие хороших личных отношений…
В моей системе миропонимания сертификат ФСБ означает полную противоположность понятию "вашу переписку никто не прочтёт".
Телеграм — плохой, потому что не предоставляет ключи. Мессенджер Ростеха хороший, потому что…
Нет оснований считать, что сертификат ФСБ подтверждает какую-то безопасность, если в модели угроз основной угрозой являются ФСБ и другие госслужбы.
Модель угроз определяет для себя эксплуатирующая организация. Если в Вашей модели угроз основной угрозой является ФСБ и другие госслужбы (как, например, в ЦРУ), то Вам действительно необходимо использовать другие СЗИ.
Сертификат ФСБ может означать… наличие бэкдора
Сертификат ФСБ не может означать наличие бэкдора, так как сертификация направлена в том числе на их выявление. Само ФСБ в сертификации конкретного продукта участвует только при выдаче экспертного заключения на отчетные материалы, которые формирует специализированная организация. Специализированная организация хоть и может давать замечания по коду, они могут быть связанны только с невыполнением конкретных пунктов (указываются в замечаниях) регламентирующих документов, в которых про бэкдоры ни слова. Исходники правит только разработчик, бинарники собирает тоже он. Мне кажется, что у вас есть явное недопонимание процессов сертификации.
Сертификат ФСБ может означать… наличие хороших личных отношений
Если вам известны конкретные факты нарушений, просьба обратиться с ними в прокуратуру. Если нет, то вы занимаетесь либо политикой, либо словоблудием. Первое на ресурсе запрещено, второе просто глупо.
Сертификат ФСБ не может означать наличие бэкдора, так как сертификация направлена в том числе на их выявление. Само ФСБ в сертификации конкретного продукта участвует только при выдаче экспертного заключения на отчетные материалы, которые формирует специализированная организация
Все-таки я не понял. Если известно (принят закон), что ФСБ требует от всех производителей мессенджеров ключи, чтобы иметь возможность читать произвольную переписку в произвольный момент времени и даже закрывает Телеграм за отказ предоставить такую возможность, как эта же самая ФСБ может дать сертификат на некую программу, предназначенную в том числе и для переписки, если в этой программе нет бэкдора?
Тут одно из двух, или в этом защищенном мессенджере нет бэкдора и ФСБ считает, что использовать сертифицированный мессенджер будут только те, чью переписку читать не интересно, а злые террористы не читают хабр и про этот замечательный защищенный мессенджер никогда не узнают, или все-таки сертификат означает, что бэкдор есть.
Я далек от мысли демонизировать ФСБ, но в такой уж тупости ФСБшников все-таки врядли стоит упрекать. В чем логика?
Использование сильного и не дырявого алгоритма шифрования совсем не означает, что построенный на его основе программный комплекс будет обеспечивать секретность общения. Есть масса возможностей внедрить уязвимости, которые сведут на нет всю силу алгоритма.
как эта же самая ФСБ может дать сертификат на некую программу, предназначенную в том числе и для переписки, если в этой программе нет бэкдора?
Как я уже писал выше, СЗИ является изделием поэкземплярного учета, т.е. ФСБ знает поименно все организации, которые купили себе такой мессенджер. Никаких бэкдоров там нет, просто потому, что «террористам» такой мессенджер не продадут :)
Понятно. Значит можно расслабиться. В реальной жизни со всеми этими штуками нормальный человек никогда не столкнется. Так что есть они, или нет — совершенно не важно. :-)
Вы абсолютно правы, но я бы несколько переформулировал мысль. Большинство людей в нашей стране никогда не столкнется с данными изделиями, так как данные изделия применяются там, где требуется сертификат ФСБ.
Чаще всего, это случаи, когда требуется аттестация информационной системы. Т.е. если вы не защищаете чужую информацию, не хотите лицензию ФСБ и не управляете экологически-опасными объектами, это вам не понадобится, можете спокойно пользоваться бесплатными мессенджерами :)
Хотя организация и может заказать добровольную аттестацию своей информационной системы, я очень редко сталкивался с тем, чтобы такое происходило где-то кроме государственных предприятий. Зато в госах (налоговая, МВД, ФСИН и т.д.) это сплошь и рядом.
Чаще всего, это случаи, когда требуется аттестация информационной системы. Т.е. если вы не защищаете чужую информацию, не хотите лицензию ФСБ и не управляете экологически-опасными объектами, это вам не понадобится, можете спокойно пользоваться бесплатными мессенджерами :)
Хотя организация и может заказать добровольную аттестацию своей информационной системы, я очень редко сталкивался с тем, чтобы такое происходило где-то кроме государственных предприятий. Зато в госах (налоговая, МВД, ФСИН и т.д.) это сплошь и рядом.
Большинство людей в нашей стране никогда не столкнется с данными изделиями, так как данные изделия применяются там, где требуется сертификат ФСБ.
Да, я уже понял. Это все для мест, где требуется не безопасность и конфиденциальность, а сертификат. Безопасность же достигается совсем другими средствами.
Я даже немного удивлен своему собственному поведению. Просто по жизни я оптимист и на какой-то момент мелькнула глупая мысль, что решили сделать что-то реально полезное.
Я работал одно время (очень давно) в организации, где была форма допуска, на входе охранник с пистолетом, первый отдел, документы с грифом «СС», прошнурованные «рабочие тетради», служебный загранпаспорт, ограничения на выезд даже после увольнения и все сопутствующие прелести. Изнутри отлично видно, что все эти атрибуты «секретности» к реальной безопасности вообще никакого отношения не имеют.
Думаю, что отношение к гостайне и безопасности зависит от конкретного предприятия. Мой опыт говорит, что лучше не проецировать один конкретный случай из своей практики на всех.
А если отвлечься от темы злобного/жадного ФСБ и вернуться к технической стороне вопроса, то наличие сертификата не делает продукт безопасней, чем он был без него. Но сертификат говорит о том, что хотя бы одна независимая компания провела всесторонний аудит данного продукта на соответствие конкретным требованиям безопасности и не выявила несоответствий.
Безопасность не может быть достигнута просто применением конкретного продукта, она достигается целым комплексом организационно-технических мероприятий. Супер-шифрование не поможет, если нацеплять на комп вирусов и бесполезно ставить бронированную дверь, если стены из картона.
Важно понимать несколько фактов:
1. Сертификация не направлена на оценку качества продукта. Т.е. он может быть глючным, бажным, неудобным, но удовлетворять тербованиям безопасности.
2. Сертификат подтверждает не безопасность в целом, а соответствие конкретным требованиям в рамках конкретной модели угроз. Т.е. сертификат по классу КС1 говорит о том, что продукт не защищает от внутреннего нарушителя, а побочка вообще не проверялась. Телефон в статье — это класс КА, т.е. высший конфиденциальный класс, там все круто должно быть.
3. В правилах пользования на продукт (документ, подписываемый ФСБ) может быть достаточно увесистая ограничительная часть, регламентирующая в каких условиях эксплуатация продукта будет безопасной.
Утверждать, что они не сделали ничего полезного — не стоит. Это могут быть очень нужные продукты, возможно даже хорошего качества. По крайней мере, я этих продуктов в живую не видел, а вы?
А если отвлечься от темы злобного/жадного ФСБ и вернуться к технической стороне вопроса, то наличие сертификата не делает продукт безопасней, чем он был без него. Но сертификат говорит о том, что хотя бы одна независимая компания провела всесторонний аудит данного продукта на соответствие конкретным требованиям безопасности и не выявила несоответствий.
Безопасность не может быть достигнута просто применением конкретного продукта, она достигается целым комплексом организационно-технических мероприятий. Супер-шифрование не поможет, если нацеплять на комп вирусов и бесполезно ставить бронированную дверь, если стены из картона.
Важно понимать несколько фактов:
1. Сертификация не направлена на оценку качества продукта. Т.е. он может быть глючным, бажным, неудобным, но удовлетворять тербованиям безопасности.
2. Сертификат подтверждает не безопасность в целом, а соответствие конкретным требованиям в рамках конкретной модели угроз. Т.е. сертификат по классу КС1 говорит о том, что продукт не защищает от внутреннего нарушителя, а побочка вообще не проверялась. Телефон в статье — это класс КА, т.е. высший конфиденциальный класс, там все круто должно быть.
3. В правилах пользования на продукт (документ, подписываемый ФСБ) может быть достаточно увесистая ограничительная часть, регламентирующая в каких условиях эксплуатация продукта будет безопасной.
Утверждать, что они не сделали ничего полезного — не стоит. Это могут быть очень нужные продукты, возможно даже хорошего качества. По крайней мере, я этих продуктов в живую не видел, а вы?
Думаю, что отношение к гостайне и безопасности зависит от конкретного предприятия. Мой опыт говорит, что лучше не проецировать один конкретный случай из своей практики на всех.
Мы с коллегами из смежных предприятий общались. На 3-4 предприятиях, с которыми мы взаимодействовали, ситуация была такая же.
Но, конечно, вы правы. Утверждать, что «так везде» я не могу. Безопасность процентов на 90 определяется не техническими средствами, а «человеческим фактором». Независимо от того, какой телефон стоит на столе у ответственного сотрудника и какой мессенджер он использует. Если можно позвонить по объявлению и получить за очень небольшие деньги персональные данные любого человека, то какая разница, что за шифрование используется в телефоне…
Я прекрасно понимаю, что дает сертификат. И даже понимаю, зачем он нужен. Даже признаю, что в некоторых областях, где качество продукта (например, стойкость шифрования) не очевидно, а цена использования недостаточно качественного продукта высока, без сертификатов не обойтись, как бы странно это не звучало.
Утверждать, что они не сделали ничего полезного — не стоит. Это могут быть очень нужные продукты, возможно даже хорошего качества. По крайней мере, я этих продуктов в живую не видел, а вы?
Я, конечно, этих продуктов не видел и очень надеюсь не увидеть. Вы, кстати, тоже писали о крайне низкой вероятности для нормального человека с ними ознакомиться. Так что на счет их нужности и полезности для меня лично я сильно сомневаюсь.
Что касается качества продукта, то достоверно узнать это, наверное, не получится. К моему огромному сожалению, в последние годы слова «работа на государство» и «распил» стали практически синонимами. А распил оставляет очень и очень мало места для качественного продукта — при всем желании просто не остается денег на качество, даже если телефон продается за немаленькие деньги и госконторы обязаны его покупать в приказном порядке.
Раз уж делиться опытом, то и я расскажу. Сразу скажу, что ответ не столько на ваш пост, сколько на все обсуждение.
Я работаю в отрасли защиты информации 15 лет, и все эти годы активно взаимодействую с 8 центром, компаниями эксплуатирующими СЗИ, выполнил десятки гос-контрактов. Сначала в качестве программиста, затем ПМ, а теперь начальника отдела программистов. Я никак не аффелирован с нашим государством или какими-либо госучреждениями и работаю в частной компании.
Я не понимаю, почему сообщество на столько убеждено во всеобщем распиле и коррупции, что мне уже даже в карму накидали :) Это диаметрально расходится с моим опытом.
1. Норма прибыли с госконтракта не может превышать 10-15%. У нас полная финансовая отчетность по стоимости разработки, производства, поддержки и т.д. Постоянные проверки, спец-счета, военная приемка и т.д. Обмануть кого-то просто нереально. Гайки на столько затягиваются, что многие компании предпочитают уйти с рынка, так как это становится просто невыгодно.
2. Меня совершенно не удивляет цена в 85к за телефон, и я считаю, что это очень близко к себестоимости. Просто потому, что этих телефонов производится очень мало, а стоимость разработки и сертификации под требования к КА поднебесная.
3. Госконторы не обязаны покупать конкретно этот телефон или любой другой продукт. Это такой же конкурентный рынок, просто игроков на нем поменьше, потому что нормы прибыли очень низкие. ФАС злобствует как может и все крупные тендеры и контракты проходят серьезные проверки.
3. Я выполняю госконтракты и делаю качественные продукты, которыми пользуются тысячи людей. Если вы столкнулись с каким-то конкретным некачественным продуктом, сделанным по госконтракту, не надо пытаться проецировать свой негативный опыт на всех остальных.
4. Я был в десятках компаний, работающих с гостайной. Видел и бардак и хорошую безопасность. В большинстве государственных учреждений безопасность подтянули за последние 5 лет. Вы абсолютно правы, это зависит от конкретных людей, а все люди разные.
5. Я уже много лет не встречал коррупции на низких уровнях. Бардак прекратился где-то в 2010 и с тех пор ситуация только улучшается.
6. Я тоже читаю новости про коррупцию, взятки и распилы. Также как и Вы я переживаю по этому поводу, ненавижу зажравшихся чиновников у нашей власти и государственных воров. Но мой опыт показывает, что это все происходит, то где-то на другом уровне. Все сотрудники 8 центра, с которыми я взаимодействовал (десятки человек), честно делали свою работу.
7. Мне также как и всем не нравится тенденция по прослушке и деанонимизации с отмазками про терроризм. Но это никак не связано с конкретной областью защиты информации, сертификации СЗИ и 8 центром ФСБ. Не надо равнять всех под одну гребенку.
8. Думаю, что это особенности человеческого восприятия. Ты можешь построить 1000 мостов и один раз… оступиться. И войдешь в историю не как отличный мостостроитель :) Так и с ФСБ, даже если среди десятков тысяч сотрудников найдется 0.1% уродов, мы будем воспринимать негативно всю организацию.
Я работаю в отрасли защиты информации 15 лет, и все эти годы активно взаимодействую с 8 центром, компаниями эксплуатирующими СЗИ, выполнил десятки гос-контрактов. Сначала в качестве программиста, затем ПМ, а теперь начальника отдела программистов. Я никак не аффелирован с нашим государством или какими-либо госучреждениями и работаю в частной компании.
Я не понимаю, почему сообщество на столько убеждено во всеобщем распиле и коррупции, что мне уже даже в карму накидали :) Это диаметрально расходится с моим опытом.
1. Норма прибыли с госконтракта не может превышать 10-15%. У нас полная финансовая отчетность по стоимости разработки, производства, поддержки и т.д. Постоянные проверки, спец-счета, военная приемка и т.д. Обмануть кого-то просто нереально. Гайки на столько затягиваются, что многие компании предпочитают уйти с рынка, так как это становится просто невыгодно.
2. Меня совершенно не удивляет цена в 85к за телефон, и я считаю, что это очень близко к себестоимости. Просто потому, что этих телефонов производится очень мало, а стоимость разработки и сертификации под требования к КА поднебесная.
3. Госконторы не обязаны покупать конкретно этот телефон или любой другой продукт. Это такой же конкурентный рынок, просто игроков на нем поменьше, потому что нормы прибыли очень низкие. ФАС злобствует как может и все крупные тендеры и контракты проходят серьезные проверки.
3. Я выполняю госконтракты и делаю качественные продукты, которыми пользуются тысячи людей. Если вы столкнулись с каким-то конкретным некачественным продуктом, сделанным по госконтракту, не надо пытаться проецировать свой негативный опыт на всех остальных.
4. Я был в десятках компаний, работающих с гостайной. Видел и бардак и хорошую безопасность. В большинстве государственных учреждений безопасность подтянули за последние 5 лет. Вы абсолютно правы, это зависит от конкретных людей, а все люди разные.
5. Я уже много лет не встречал коррупции на низких уровнях. Бардак прекратился где-то в 2010 и с тех пор ситуация только улучшается.
6. Я тоже читаю новости про коррупцию, взятки и распилы. Также как и Вы я переживаю по этому поводу, ненавижу зажравшихся чиновников у нашей власти и государственных воров. Но мой опыт показывает, что это все происходит, то где-то на другом уровне. Все сотрудники 8 центра, с которыми я взаимодействовал (десятки человек), честно делали свою работу.
7. Мне также как и всем не нравится тенденция по прослушке и деанонимизации с отмазками про терроризм. Но это никак не связано с конкретной областью защиты информации, сертификации СЗИ и 8 центром ФСБ. Не надо равнять всех под одну гребенку.
8. Думаю, что это особенности человеческого восприятия. Ты можешь построить 1000 мостов и один раз… оступиться. И войдешь в историю не как отличный мостостроитель :) Так и с ФСБ, даже если среди десятков тысяч сотрудников найдется 0.1% уродов, мы будем воспринимать негативно всю организацию.
Слава Богу, я окончательно расстался с защитой информации и секретностью в далеком 2001 году. Все «неформальные» взаимоотношения с госструктурами наблюдал только со стороны и по рассказам тех, кто в этих взаимоотношениях участвовал. Сам я только писал программы.
О распиле и коррупции можно судить по некоторым другим общедоступным данным. По рассказам знакомых бизнесменов и т.д.
1. По отчетности даже представления не имею. Возможно, что-то делается где-то на других уровнях. По-моему, начальник отдела программистов — это не тот уровень, где должна быть видна коррупция. Хотя я могу и ошибаться.
2. Цена в 85К меня тоже не удивляет совершенно. Скорее, я бы удивился, что она настолько невысокая. С учетом небольшого тиража и проблем с сертификацией заметно ниже зарубежных аналогов.
3. Именно потому, что для такого оборудования рынок, мягко говоря, не велик, сложно предположить, что кто-то ввалит кучу денег в разработку без достаточных гарантий того, что тираж позволит хотя бы в ноль выйти. А если при этом еще и конкурент найдется и сертифицируется, то вообще не понятно что делать. А где взять гарантии, если закупки обязательно через тендер? Вот тут и появляется поле для коррупции в виде откатов.
3 еще раз. Достаточно посмотреть на сайты госорганов. Тот же сайт налоговой, ФССП. Иногда приходится напрягаться или тыкать наугад, пока попадешь в нужное место. Иногда если следовать указаниям можно бесконечно тыкать по кругу.
4. У меня и выборка меньше и времена гораздо более древние. Я ушел из этой области раньше, чем вы туда попали :-)
Отлично помню процесс работы с секретными документами. Сделал работу — надо писать отчет. Отчет секретный, но пишется на стандартном компьютере, много раз распечатывается, правится, согласовывается с начальством. Никакого учета. Всем некогда, поэтому распечатанный отчет зачастую берется домой, чтобы поработать с ним по дороге в транспорте. Когда все написано и согласовано, идешь в первый отдел, получаешь пустую, но уже прошнурованную тетрадь. От руки переписываешь в нее с печатного документа отчет. Потом это рукописное творение идет специальной секретной машинистке, которая печатает все это на печатной машинке, а потом туда еще и формулы с числами от руки переписывать, поскольку печатная машинка формулы не умеет, а все цифры должны быть от руки, чтобы, типа, даже секретная машинистка их не видела. И в результате получается полноценный и абсолютно безопасный секретный документ. Ну а самое интересное в том, что ничего реально секретного в этом отчете нет изначально…
5. Очень хочется верить, что это на самом деле так и рано или поздно скажется на экономическом росте и общем климате в стране.
6. На уровне технических специалистов коррупции я вообще никогда не встречал. Даже не предполагал, что она вообще может быть. Так что ни разу не удивительно.
7. Тут я совершенно согласен. Секреты у государства быть должны и средства, чтобы наладить защищенные коммуникации, тоже быть должны. С этим глупо спорить.
8. Думаю, вы просто работаете с другими отделами ФСБ. Одни обеспечивают защиту своей информации, другие пытаются прочитать чужую, а третьи придумывают сказки про террористов и телеграм.
О распиле и коррупции можно судить по некоторым другим общедоступным данным. По рассказам знакомых бизнесменов и т.д.
1. По отчетности даже представления не имею. Возможно, что-то делается где-то на других уровнях. По-моему, начальник отдела программистов — это не тот уровень, где должна быть видна коррупция. Хотя я могу и ошибаться.
2. Цена в 85К меня тоже не удивляет совершенно. Скорее, я бы удивился, что она настолько невысокая. С учетом небольшого тиража и проблем с сертификацией заметно ниже зарубежных аналогов.
3. Именно потому, что для такого оборудования рынок, мягко говоря, не велик, сложно предположить, что кто-то ввалит кучу денег в разработку без достаточных гарантий того, что тираж позволит хотя бы в ноль выйти. А если при этом еще и конкурент найдется и сертифицируется, то вообще не понятно что делать. А где взять гарантии, если закупки обязательно через тендер? Вот тут и появляется поле для коррупции в виде откатов.
3 еще раз. Достаточно посмотреть на сайты госорганов. Тот же сайт налоговой, ФССП. Иногда приходится напрягаться или тыкать наугад, пока попадешь в нужное место. Иногда если следовать указаниям можно бесконечно тыкать по кругу.
4. У меня и выборка меньше и времена гораздо более древние. Я ушел из этой области раньше, чем вы туда попали :-)
Отлично помню процесс работы с секретными документами. Сделал работу — надо писать отчет. Отчет секретный, но пишется на стандартном компьютере, много раз распечатывается, правится, согласовывается с начальством. Никакого учета. Всем некогда, поэтому распечатанный отчет зачастую берется домой, чтобы поработать с ним по дороге в транспорте. Когда все написано и согласовано, идешь в первый отдел, получаешь пустую, но уже прошнурованную тетрадь. От руки переписываешь в нее с печатного документа отчет. Потом это рукописное творение идет специальной секретной машинистке, которая печатает все это на печатной машинке, а потом туда еще и формулы с числами от руки переписывать, поскольку печатная машинка формулы не умеет, а все цифры должны быть от руки, чтобы, типа, даже секретная машинистка их не видела. И в результате получается полноценный и абсолютно безопасный секретный документ. Ну а самое интересное в том, что ничего реально секретного в этом отчете нет изначально…
5. Очень хочется верить, что это на самом деле так и рано или поздно скажется на экономическом росте и общем климате в стране.
6. На уровне технических специалистов коррупции я вообще никогда не встречал. Даже не предполагал, что она вообще может быть. Так что ни разу не удивительно.
7. Тут я совершенно согласен. Секреты у государства быть должны и средства, чтобы наладить защищенные коммуникации, тоже быть должны. С этим глупо спорить.
8. Думаю, вы просто работаете с другими отделами ФСБ. Одни обеспечивают защиту своей информации, другие пытаются прочитать чужую, а третьи придумывают сказки про террористов и телеграм.
1. Бюджет проекта рассчитывается исходя из трудоемкости и средней ЗП, которую я предоставляю. На контракте (в котором бюджет утверждается) стоит моя подпись. Так что я отлично вижу как это считается. Именно поэтому наша компания активно старается уйти от госконтрактов в сторону коммерческих работ. Работать с государством становится просто невыгодно.
3. Именно потому, что рынок узкий и гарантий нет, большая часть СЗИ разрабатывается не за свой счет, а в рамках государственных ОКРов. Т.е. государство сначала оплачивает разработку, а потом производство. При этом интеллектуальная собственность принадлежит, конечно, государству.
4. Сейчас все кардинально поменялось. С гостайной работают только в аттестованных помещениях и на аттестованных компах. Чаще всего это первый отдел. Но количество информации, которую относят к гостайне, сильно сократилось. К примеру, в ОКР на такой телефон гостайной будет ТЗ и отчетные материалы по тематическим исследованиям. Все остальное ДСП. Ну и требования ФСБ обычно секретные.
8. Полностью согласен. Именно об этом я и веду речь, что люди, занимающиеся сертификацией софта, не виноваты в остальном бедламе :) Они честно выполняют свою работу. Поэтому равнять всех ФСБшников под одну гребенку не стоит.
3. Именно потому, что рынок узкий и гарантий нет, большая часть СЗИ разрабатывается не за свой счет, а в рамках государственных ОКРов. Т.е. государство сначала оплачивает разработку, а потом производство. При этом интеллектуальная собственность принадлежит, конечно, государству.
4. Сейчас все кардинально поменялось. С гостайной работают только в аттестованных помещениях и на аттестованных компах. Чаще всего это первый отдел. Но количество информации, которую относят к гостайне, сильно сократилось. К примеру, в ОКР на такой телефон гостайной будет ТЗ и отчетные материалы по тематическим исследованиям. Все остальное ДСП. Ну и требования ФСБ обычно секретные.
8. Полностью согласен. Именно об этом я и веду речь, что люди, занимающиеся сертификацией софта, не виноваты в остальном бедламе :) Они честно выполняют свою работу. Поэтому равнять всех ФСБшников под одну гребенку не стоит.
1. Вы же понимаете, что трудоемкость, особенно если это ОКР, заранее рассчитать не просто. Вполне можно обосновать +- в полтора-два раза на различные возможные риски проекта. Более того, эти риски вполне реальные.
3. Тогда понятно. Тендер проводится на ОКР, поэтому в случае выигрыша все гарантировано.
4. Гостайна в данном случае, это реально «СС»? Я вообще довольно слабо понимаю, что там может быть такого секретного? Каким образом может быть секретным ТЗ или исследование уже миллион раз исследованных шифров? Или алгоритмов установки сессии? По-моему, как раз упор на то, что никакие знания внутреннего устройства PGP, вплоть до исходников, не могут помочь перехватить/изменить/подделать сообщение и было основой его успеха. А исходники и код тестов тоже «СС»?
8. Это уже следующий уровень абстракции — понимание, что ФСБ — это не только уголовные дела за лайки и репосты. Как говорится, сначала ты работаешь на репутацию, потом репутация работает на тебя. И только потом человек начинает задумываться и приходит к выводам, что в ФСБ тоже могут работать приличные вполне люди.
3. Тогда понятно. Тендер проводится на ОКР, поэтому в случае выигрыша все гарантировано.
4. Гостайна в данном случае, это реально «СС»? Я вообще довольно слабо понимаю, что там может быть такого секретного? Каким образом может быть секретным ТЗ или исследование уже миллион раз исследованных шифров? Или алгоритмов установки сессии? По-моему, как раз упор на то, что никакие знания внутреннего устройства PGP, вплоть до исходников, не могут помочь перехватить/изменить/подделать сообщение и было основой его успеха. А исходники и код тестов тоже «СС»?
8. Это уже следующий уровень абстракции — понимание, что ФСБ — это не только уголовные дела за лайки и репосты. Как говорится, сначала ты работаешь на репутацию, потом репутация работает на тебя. И только потом человек начинает задумываться и приходит к выводам, что в ФСБ тоже могут работать приличные вполне люди.
1. Да, я на этом собак наелся :(
4. «СС» вне защиты гостайны не встречал, только при разработке СЗИ под гостайну. Под коммерческие классы достаточно «С». Что под какой гриф подпадает определяется отдельным документом типа «реестр информации, подлежащей засекречиванию». Исходники СЗИ и тестов не для гостайны все ДСП.
Для всех нормальных СЗИ модель подразумевает полное знание нарушителем устройства СЗИ. Поэтому секретить исходники смысла никакого. А отчетные материалы могут содержать информацию о том, что какое-то требование не выполнено или выполнено плохо, т.е. они облегчают нарушителю его работу, поэтому их секретят.
8. Спасибо! Вы первый кто меня понял :)
4. «СС» вне защиты гостайны не встречал, только при разработке СЗИ под гостайну. Под коммерческие классы достаточно «С». Что под какой гриф подпадает определяется отдельным документом типа «реестр информации, подлежащей засекречиванию». Исходники СЗИ и тестов не для гостайны все ДСП.
Для всех нормальных СЗИ модель подразумевает полное знание нарушителем устройства СЗИ. Поэтому секретить исходники смысла никакого. А отчетные материалы могут содержать информацию о том, что какое-то требование не выполнено или выполнено плохо, т.е. они облегчают нарушителю его работу, поэтому их секретят.
8. Спасибо! Вы первый кто меня понял :)
4. В принципе, секретить исходники, возможно, имеет смысл, чтобы затруднить поиск уязвимостей (ошибок кодирования), которые не описаны в ТЗ и, соответственно, которые не были учтены при проработке моделей противодействия атакам.
8. Вас все поняли бы. Просто на третий день обсуждения в комментариях никого не остается :-)
8. Вас все поняли бы. Просто на третий день обсуждения в комментариях никого не остается :-)
Про использование сильного алгоритма. В процессе тематических исследований проводится криптографический анализ, направленный на выявление алгоритмических уязвимостей в криптосхеме, ДСЧ и т.д.
У меня нет оснований считать, что сертификация ФСБ направлена на то и только то, что заявлено публично, и что наличие сертификата ФСБ означает то и только то, что заявлено публично. И я допускаю куда бОльшую вероятность того, что процесс сертификации направлен на достижение незаявленных публично целей в ведомственных и государственных интересах, отличных от задекларированных в ст. 2 Конституции России. Это без учёта возможных частных интересов, слабо связанных с добросовестным исполнением служебных или должностных обязанностей.
Процесс сертификации не верифицируется обществом, что означает (де-факто, а не де-юре в публичном пространстве) сертификат мы просто не знаем, нам просто предлагают поверить наслово тому, что реально он означает то и только то, что обозначено в публичных нормативных актах.
Процесс сертификации не верифицируется обществом, что означает (де-факто, а не де-юре в публичном пространстве) сертификат мы просто не знаем, нам просто предлагают поверить наслово тому, что реально он означает то и только то, что обозначено в публичных нормативных актах.
1. Представленные продукты, как и любые сертифицированные СЗИ, нельзя даже купить для личного пользования. Они предназначены для применения в государственных и около-государственных структурах или в компаниях, которые доверяют процессам сертификации ФСБ и хотят пройти процедуру добровольной аттестации информационной системы. Согласитесь, было бы странно, если бы один гос.орган не доверял другому.
Вам, как физлицу, не предлагают верить в честность данных сертификатов, так как применять данные продукты Вы все равно не сможете. Не надо думать, что государство хочет пересадить Вас с телеграмма на свой мессенджер, чтобы читать вашу переписку :) Я вот тоже за opensource, регулярно контрибьючу и юзаю свободное ПО.
2. Ничего не мешает Вам оформить соответствующий допуск (3 форму) и ознакомиться с регламентирующими документами. Можете устроиться на работу в одну из сотен компаний, имеющих лицензию ФСБ, и поглядеть изнутри на эти процессы. В нашей стране этим занимаются десятки тысяч человек. Кстати, мы как раз ищем хороших программистов в Зеленограде ;)
3. Что делает Intel ME в вашем процессоре? А прошивку SSD'шки вы можете проверить? А Intel, в отличие от представленных компаний, никому своих исходников не показывал. Я тоже за открытость и прозрачность, но наше общество устроено так, что мы еще далеки до всеобщего равенства и братства. Каждый сам решает кому доверять, а кому нет. 8 центр ФСБ гораздо более открытая компания, чем большинство игроков IT-рынка.
Вам, как физлицу, не предлагают верить в честность данных сертификатов, так как применять данные продукты Вы все равно не сможете. Не надо думать, что государство хочет пересадить Вас с телеграмма на свой мессенджер, чтобы читать вашу переписку :) Я вот тоже за opensource, регулярно контрибьючу и юзаю свободное ПО.
2. Ничего не мешает Вам оформить соответствующий допуск (3 форму) и ознакомиться с регламентирующими документами. Можете устроиться на работу в одну из сотен компаний, имеющих лицензию ФСБ, и поглядеть изнутри на эти процессы. В нашей стране этим занимаются десятки тысяч человек. Кстати, мы как раз ищем хороших программистов в Зеленограде ;)
3. Что делает Intel ME в вашем процессоре? А прошивку SSD'шки вы можете проверить? А Intel, в отличие от представленных компаний, никому своих исходников не показывал. Я тоже за открытость и прозрачность, но наше общество устроено так, что мы еще далеки до всеобщего равенства и братства. Каждый сам решает кому доверять, а кому нет. 8 центр ФСБ гораздо более открытая компания, чем большинство игроков IT-рынка.
Представленные продукты, как и любые сертифицированные СЗИ, нельзя даже купить для личного пользования.
ЕМНИП, фискальные накопители — тоже сертифицированы ФСБ, и тоже СЗИ. Внимание, вопрос: если я за свои кровные пойду, куплю, демонтирую оттуда криптопроцессор и буду пользоваться в личных целях в хвост и в гриву — это нарушение закона, или таки у вас где-то пробелы в логике?
Пример второй. Есть одна трехбуквенная компания, которая имеет сертификат ФСБ на производство СЗИ, и защищает финансовые данные клиентов этим СЗИ, при этом означенное СЗИ можно свободно скачать с сайта компании, и порядок использования никто не ограничивает — в частности можно использовать как компонент приложения при помощи интерфейсов ActiveX.
Мне всё еще интересно, как это согласуется с вашим утверждением, что «любые сертифицированные СЗИ нельзя даже купить для личного пользования».
0. Извиняюсь, пока писал два предложения объединил в одно и получилось некорректно. Купить в личное пользование конкретно эти СЗИ нельзя. А любые сертифицированные СЗИ предназначены, прежде всего, для взаимодействия с государством. Вы можете абсолютно легально приобрести в личное пользование, например, средства ЭЦП именно для того, чтобы в суде (при взаимодействии с государством) ваша ЭЦП считалась квалифицированной.
1. Я не уверен (я не юрист, а программист) может ли физическое лицо (не ИП) купить себе и зарегистрировать ФН/ККА. Лучше задать этот вопрос юристам.
2. Фискальные накопители также как и СЗИ являются изделием поэкземплярного учета и производитель (Атлас) предоставляет в ФСБ сведения обо всех, кто их приобрел.
3. Ничего не мешает оформить юрлицо и купить даже такой телефон :)
4. Пользуйтесь сколько хотите, вы же за это деньги заплатили. На сколько я знаю, закон не ограничивает использование криптографии физическими лицами для защиты собственной информации. Если вы собираетесь защищать чужую информацию, то придется оформлять лицензию ФСБ, а для этого нужно быть юрлицом.
5. Компания применяет СЗИ, которое сама разработала, для защиты данных своих клиентов. Клиентам раздается клиентский компонент, который они используют для связи с компанией. Не вижу противоречия. Судя по отсутствию требований по фиксированию среды функционирования, СЗИ это соответствует самому низкому классу защиты, т.е. КС1 и защищает только от внешнего нарушителя.
1. Я не уверен (я не юрист, а программист) может ли физическое лицо (не ИП) купить себе и зарегистрировать ФН/ККА. Лучше задать этот вопрос юристам.
2. Фискальные накопители также как и СЗИ являются изделием поэкземплярного учета и производитель (Атлас) предоставляет в ФСБ сведения обо всех, кто их приобрел.
3. Ничего не мешает оформить юрлицо и купить даже такой телефон :)
4. Пользуйтесь сколько хотите, вы же за это деньги заплатили. На сколько я знаю, закон не ограничивает использование криптографии физическими лицами для защиты собственной информации. Если вы собираетесь защищать чужую информацию, то придется оформлять лицензию ФСБ, а для этого нужно быть юрлицом.
5. Компания применяет СЗИ, которое сама разработала, для защиты данных своих клиентов. Клиентам раздается клиентский компонент, который они используют для связи с компанией. Не вижу противоречия. Судя по отсутствию требований по фиксированию среды функционирования, СЗИ это соответствует самому низкому классу защиты, т.е. КС1 и защищает только от внешнего нарушителя.
На сколько я знаю, закон не ограничивает использование криптографии физическими лицами для защиты собственной информации. Если вы собираетесь защищать чужую информацию, то придется оформлять лицензию ФСБ, а для этого нужно быть юрлицом.Вы затронули интересную тему. А как вообще закон характеризует opensource в области ИБ? Это тоже вне закона? Почему нельзя без лицензии разрабатывать СЗИ не для взаимодействия с государством? Ведь «чужой информацией» может быть информация физ.лица, который принимает все риски на себя и имеет право использовать то, что считает нужным. Как человек, имеющий опыт в данном направлении, прокомментируйте, пожалуйста.
Я не работаю в этой области, но ответ, наверное, знаю.
Потому что Телеграм.
Давным давно был принят закон, что производить любые СЗИ можно только при наличии лицензии ФСБ.
Государство хочет с одной стороны, контролировать надежность СЗИ, которыми пользуются государственные структуры и иметь гарантию отсутствия закладок в таких СЗИ.
С другой стороны, государство хочет контролировать использование СЗИ остальными гражданами, которых государство не контролирует непосредственно. Отсюда поэкземплярный учет и только юридические лица. Для «неопределенного круга лиц» с точки зрения государства защиты от прослушки быть не должно.
Почему нельзя без лицензии разрабатывать СЗИ не для взаимодействия с государством?
Потому что Телеграм.
Давным давно был принят закон, что производить любые СЗИ можно только при наличии лицензии ФСБ.
Государство хочет с одной стороны, контролировать надежность СЗИ, которыми пользуются государственные структуры и иметь гарантию отсутствия закладок в таких СЗИ.
С другой стороны, государство хочет контролировать использование СЗИ остальными гражданами, которых государство не контролирует непосредственно. Отсюда поэкземплярный учет и только юридические лица. Для «неопределенного круга лиц» с точки зрения государства защиты от прослушки быть не должно.
Пожалуйста, не путайте народ…
1. СКЗИ. СЗИ по линии ФСБ — это совсем другая песня…
2. Можно разрабатывать СЗИ/СКЗИ без лицензии. Для частного пользования, т.е. «физ.лицо-физ.лицо». И не для защиты информации, охраняемой законодательством. Аналогично с применением зарубежных криптоалгоритмов…
3. Государство, ограничивая доступ к исходникам и итоговым продуктам, а также путем предварительной сертификации, хочет гарантировать, что разработка, внедрение и эксплуатация СЗИ/СКЗИ, которые в первую голову применяются для работы с государственными ресурсами и органами (организациями), не вызовет:
— появления неопубликованных 0-day от неустановленных лиц, которые будут использоваться против государства в первую очередь;
— подделки продуктов с целью их сбыта и снижения защищенности оконечных систем;
— подключения к распределенным гос.системам неустановленных контор, использующих оные СЗИ/СКЗИ.
Под гарантированием следует понимать снижение вероятности до приемлемых значений. imho, как по мне, разумные и понятные причины…
А вы все телеграм, телеграм…
1. СКЗИ. СЗИ по линии ФСБ — это совсем другая песня…
2. Можно разрабатывать СЗИ/СКЗИ без лицензии. Для частного пользования, т.е. «физ.лицо-физ.лицо». И не для защиты информации, охраняемой законодательством. Аналогично с применением зарубежных криптоалгоритмов…
3. Государство, ограничивая доступ к исходникам и итоговым продуктам, а также путем предварительной сертификации, хочет гарантировать, что разработка, внедрение и эксплуатация СЗИ/СКЗИ, которые в первую голову применяются для работы с государственными ресурсами и органами (организациями), не вызовет:
— появления неопубликованных 0-day от неустановленных лиц, которые будут использоваться против государства в первую очередь;
— подделки продуктов с целью их сбыта и снижения защищенности оконечных систем;
— подключения к распределенным гос.системам неустановленных контор, использующих оные СЗИ/СКЗИ.
Под гарантированием следует понимать снижение вероятности до приемлемых значений. imho, как по мне, разумные и понятные причины…
А вы все телеграм, телеграм…
2. Вы можете чем-то подкрепить свои слова?
Несколько не понял, мне ли адресован вопрос? По иерархии ссылок вроде нет, а по контексту вроде бы да…
Как бы то ни было, вдруг будет полезно: clsz.fsb.ru/license.htm, п. 4 и 7. Далее см. ПП РФ 313 и ПП РФ 171. Оба касаются юр.лиц и ИП, на физ.лиц не распространяются…
Что же касается второй части — случая защиты информации, не охраняемой законодательством РФ, — то здесь надо открывать ФЗ, ПП РФ и действующие приказы ФСБ (ФСТЭК, если СЗИ без криптографии). Собственно, при разработке без лицензии программных или программно-аппаратных изделий защиты информации их будет некорректно именовать СЗИ/СКЗИ в разрезе инфобеза в РФ. Впрочем, не суть важно. Позиция закона аналогичная: для защиты сведений, охраняемых законодательством (ПДн, ГТ, гос.КИ и т.д.) допустимы к применению СЗИ/СКЗИ, прошедшие процедуру сертификации. А сертификация подразумевает наличие лицензии у юр.лица (ИП) разработчика. Исключений три:
1. КИ коммерческой организации («коммерческая тайна») — при ее защите можно использовать любые методы и средства, не важно кем разработанные. Но есть нюанс, заключающийся в доказательстве эффективности системы защиты, построенной на базе таких средств, при аттестации системы (первый случай) и при судебном процессе, ее затрагивающем (второй случай).
2. ПДн. Тут аналогично КОНФИ, но только для СЗИ (не СКЗИ!). И только в случаехитрож грамотного построения бумажной (редко, но возможно, что и фактической) стороны общей системы защиты информации.
3. Служебная тайна (она же «ДСП»). Поскольку до сих пор нет ФЗ, ее утверждающего. Есть, правда, и крайний случай — атомная промышленность и иже с ней согласно одному древнему ПП РФ. Но, положа руку на сердце, скажу, что по факту служебную тайну рассматривают как охраняемую законом информацию и, следовательно, требуют и сертификации, и лицензирования производства/разработки применяемых средств защиты…
ЗЫ Написал и понял, что Хабр как-то странно поступает с отображением иерархических связей ответов. То ли мне так «повезло», то ли достигнут конец функции «сдвига». Не важно. Понял, тов. Inanity, что вопрос был ко мне :)
Как бы то ни было, вдруг будет полезно: clsz.fsb.ru/license.htm, п. 4 и 7. Далее см. ПП РФ 313 и ПП РФ 171. Оба касаются юр.лиц и ИП, на физ.лиц не распространяются…
Что же касается второй части — случая защиты информации, не охраняемой законодательством РФ, — то здесь надо открывать ФЗ, ПП РФ и действующие приказы ФСБ (ФСТЭК, если СЗИ без криптографии). Собственно, при разработке без лицензии программных или программно-аппаратных изделий защиты информации их будет некорректно именовать СЗИ/СКЗИ в разрезе инфобеза в РФ. Впрочем, не суть важно. Позиция закона аналогичная: для защиты сведений, охраняемых законодательством (ПДн, ГТ, гос.КИ и т.д.) допустимы к применению СЗИ/СКЗИ, прошедшие процедуру сертификации. А сертификация подразумевает наличие лицензии у юр.лица (ИП) разработчика. Исключений три:
1. КИ коммерческой организации («коммерческая тайна») — при ее защите можно использовать любые методы и средства, не важно кем разработанные. Но есть нюанс, заключающийся в доказательстве эффективности системы защиты, построенной на базе таких средств, при аттестации системы (первый случай) и при судебном процессе, ее затрагивающем (второй случай).
2. ПДн. Тут аналогично КОНФИ, но только для СЗИ (не СКЗИ!). И только в случае
3. Служебная тайна (она же «ДСП»). Поскольку до сих пор нет ФЗ, ее утверждающего. Есть, правда, и крайний случай — атомная промышленность и иже с ней согласно одному древнему ПП РФ. Но, положа руку на сердце, скажу, что по факту служебную тайну рассматривают как охраняемую законом информацию и, следовательно, требуют и сертификации, и лицензирования производства/разработки применяемых средств защиты…
ЗЫ Написал и понял, что Хабр как-то странно поступает с отображением иерархических связей ответов. То ли мне так «повезло», то ли достигнут конец функции «сдвига». Не важно. Понял, тов. Inanity, что вопрос был ко мне :)
Ну… Я стараюсь никого не путать, но иногда путаюсь сам.
Желание государства обеспечить контроль и лицензирование деятельности и сертификация СЗИ, которые применяются для защиты государственных секретов совершенно понятны и никаких вопросов не вызывают.
Из того что написано в законе (Закон РФ № 24-ФЗ от 25.01.1995г.) не следует, что речь идет только о тех, кто разрабатывает СЗИ для гос. структур:
Ст. 19:
Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется законодательством Российской Федерации.
После внимательного прочтения у меня зародились сомнения. По ходу изложения несколько раз указывается на защиту государственных секретов и персональных данных. Но тем не менее, в 19 статье не указывается явно, что лицензируется только деятельность по защите гос. секретов, а секреты граждан может защищать кто угодно.
Есть, правда, слабое впечатление, что в этом законе вообще все, что написано о защите, относится к гостайне, а никак не к персональной информации.
В общем, не знаю. Хорошо, если так, как вы говорите.
Желание государства обеспечить контроль и лицензирование деятельности и сертификация СЗИ, которые применяются для защиты государственных секретов совершенно понятны и никаких вопросов не вызывают.
Из того что написано в законе (Закон РФ № 24-ФЗ от 25.01.1995г.) не следует, что речь идет только о тех, кто разрабатывает СЗИ для гос. структур:
Ст. 19:
Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется законодательством Российской Федерации.
После внимательного прочтения у меня зародились сомнения. По ходу изложения несколько раз указывается на защиту государственных секретов и персональных данных. Но тем не менее, в 19 статье не указывается явно, что лицензируется только деятельность по защите гос. секретов, а секреты граждан может защищать кто угодно.
Есть, правда, слабое впечатление, что в этом законе вообще все, что написано о защите, относится к гостайне, а никак не к персональной информации.
В общем, не знаю. Хорошо, если так, как вы говорите.
На всякий случай уточню (вижу у вас некоторую сложность с понятиями и определениями), что персональные данные по законодательству != «любая информация, ценная для физ.лица». Посмотрите 152-ФЗ от 2006 г…
А главное, что 24-ФЗ от 95 г. уже нет. Его давно заменил 149-ФЗ от 27.07.2006З (посл. ред. от 18.12.2018). В первую голову посмотрите ст. 9 этого ФЗ…
А главное, что 24-ФЗ от 95 г. уже нет. Его давно заменил 149-ФЗ от 27.07.2006З (посл. ред. от 18.12.2018). В первую голову посмотрите ст. 9 этого ФЗ…
24-ФЗ от 95 г. уже нет.
Да. С законом я был не прав. Есть более свежий. И он гораздо хуже.
(вижу у вас некоторую сложность с понятиями и определениями)
У меня нет сложности с этими определениями. В законе специально оговаривалась защита гостайны и персональных данных граждан — это то, защиту чего закон требует в обязательном порядке и для защиты чего я считаю вполне разумным использование только сертифицированных СКЗИ, произведенными лицензированными компаниями.
Остальное — «любая информация, ценная для физ.лица» по части защиты информации регламентироваться никак не должно. Я должен иметь право и возможность защищать это так, как считаю нужным. И это право у меня есть (на бумаге). Вот только реализовать это право я могу только в том случае, если сам напишу программу для такой защиты. Поскольку производить СКЗИ «не для собственных нужд» может только лицензированная организация, согласовывая буквально каждый чих, начиная с ТЗ, с ФСБ. Я посмотрел еще связанные документы — положения о лицензировании, условия производства и т.п. — выяснил, что по закону в РФ в принципе невозможны защищенные мессенджеры. Потому что любая криптография длиннее 56/127 бит — только с поэкземплярным учетом.
В первую голову посмотрите ст. 9 этого ФЗ
Почему глава 9 должна так меня заинтересовать? Я посмотрел, но не понял, что там такого интересного.
Далее будет фрагмент из Федерального закона от 04.05.2011 N 99-ФЗ (ред. от 27.12.2018) «О лицензировании отдельных видов деятельности»
На мой взгляд, из этого фрагмента (где вполне четкие формулировки и нет ни слова про гостайну и общение с госорганами) однозначно следует, что если кто-то хочет оказывать любые услуги по защите информации, по разработке криптографических средств защиты информации и т.п. — в общем, ЛЮБОЙ деятельностью, связанной с защитой информации или с обнаружением утечек информации, то делать это он может только для своих собственных нужд или предварительно получив лицензию на эту деятельность. Для чего вообще нужно такое лицензирование? Я видел интервью одного специалиста (из компании с лицензией) по поиску жучков. Он рассказывал, что если приходит заказ на проверку помещения, то он обязан сообщать о каждом заказе в ФСБ и по команде должен «ничего не находить» или под выдуманным предлогом отказывать в проведении обследования. Вы думаете в случае с криптографией лицензия нужна, чтобы гарантировать качество услуг? Я уверен, что в случае разработки криптографических средств «для рынка», а не для особо доверенных компаний и с поэкземплярным учетом, условием получения лицензии будет внедрение бэкдоров или использование заведомо слабого легко ломаемого шифрования.
Фрагмент текста закона:
Глава 2. ОРГАНИЗАЦИЯ И ОСУЩЕСТВЛЕНИЕ ЛИЦЕНЗИРОВАНИЯ
Статья 12. Перечень видов деятельности, на которые требуются лицензии
1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:
1) разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
…
3) деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
4) разработка и производство средств защиты конфиденциальной информации;
5) деятельность по технической защите конфиденциальной информации;
Не хотел задеть. Всего лишь неверно понял опус про «персональные данные» и «персональную информацию» из вашего предыдущего комментария…
Давайте еще раз. Для защиты «личной информации», не регулируемой законодательством, физ.лица могут использовать без «поэкземплярного учета» и проч. заморочек:
— зарубежное ПО с любой длиной ключа;
— отечественное ПО, не классифицированное как СЗИ/СКЗИ (читай, без сертификата — такие имеются в огромном количестве);
— самопальное ПО.
Защищенные мессенджеры возможны (с длиной ключа по-выше). Выявление ЭУНПИ возможно. Но… не забывайте, что ФСБ рассматривает свою сферу деятельности применительно к государству, его организациям и комм.орг., желающим взаимодействовать с государством. Аналогично и ФСТЭК, и Минкомсвязь, и проч. От того и 149-ФЗ такой. И он не хуже, он, во всяком случае, вполне понятен…
Что же до «простых смертных»… Много чего и сам могу сказать нелицеприятного о сложившейся ситуации, но не буду — не для того мы тут собрались :)
И да, либо вы неверно поняли, либо ваш товарищ решил нагнать паники — с выявлением ЭУНПИ дела обстоят иначе. Но да, поскольку это вид деятельности особого характера, он полностью под контролем регулятора находится…
Давайте еще раз. Для защиты «личной информации», не регулируемой законодательством, физ.лица могут использовать без «поэкземплярного учета» и проч. заморочек:
— зарубежное ПО с любой длиной ключа;
— отечественное ПО, не классифицированное как СЗИ/СКЗИ (читай, без сертификата — такие имеются в огромном количестве);
— самопальное ПО.
Защищенные мессенджеры возможны (с длиной ключа по-выше). Выявление ЭУНПИ возможно. Но… не забывайте, что ФСБ рассматривает свою сферу деятельности применительно к государству, его организациям и комм.орг., желающим взаимодействовать с государством. Аналогично и ФСТЭК, и Минкомсвязь, и проч. От того и 149-ФЗ такой. И он не хуже, он, во всяком случае, вполне понятен…
Что же до «простых смертных»… Много чего и сам могу сказать нелицеприятного о сложившейся ситуации, но не буду — не для того мы тут собрались :)
И да, либо вы неверно поняли, либо ваш товарищ решил нагнать паники — с выявлением ЭУНПИ дела обстоят иначе. Но да, поскольку это вид деятельности особого характера, он полностью под контролем регулятора находится…
Для защиты «личной информации», не регулируемой законодательством, физ.лица могут использовать без «поэкземплярного учета» и проч. заморочек:
— зарубежное ПО с любой длиной ключа;
— отечественное ПО, не классифицированное как СЗИ/СКЗИ (читай, без сертификата — такие имеются в огромном количестве);
— самопальное ПО.
Защищенные мессенджеры возможны (с длиной ключа по-выше).
Да, я это заметил. Для защиты «своей» информации можно использовать что угодно. А вот оказывать услуги по защите «чужой» информации (даже путем установки и настройки зарубежных СКЗИ) можно только с лицензией ФСБ. Хотя, по идее, государству должно быть глубоко безразлично, кто, как и с чьей помощью защищает свою приватную информацию, которая не имеет отношения к государственным секретам.
Я тут вижу несколько возможных вариантов.
1. Я что-то не прочитал или не так понял, а на самом деле государство не требует лицензии для осуществления деятельности по разработке, установке и настройке СКЗИ, которые не предназначены и не используются для защиты гостайны или для общения с госорганами, независимо от длины ключа. Я могу разработать полноценную СКЗИ с любой длиной ключа и продавать ее как абсолютно надежную систему защиты информации, но пока я не пойду в ФСБ за сертификатом претензий ко мне ни у кого не возникнет.
2. Государство заботится о сохранности приватной информации граждан и компаний, поэтому лицензирование деятельности в области защиты информации призвано обеспечить частных лиц и организации, желающих защитить свою информацию, качественными продуктами и услугами. Чтобы непрофессиональные конторы не могли такие некачественные услуги оказывать, государство запрещает любую подобную деятельность без лицензии ФСБ.
3. Лицензия ФСБ требуется, чтобы ограничить круг компаний и физических лиц, которые пользуются СКЗИ и поставить пользующихся на учет. Если компании или частные лица хотят защитить от посторонних глаз что-то не слишком законное, то врядли они за такой защитой обратятся в компанию с лицензией ФСБ. Скорее всего, свою черную бухгалтерию или софт для распределения заказов на закладки наркотиков они будут делать сами и спалятся на том, что не смогут сделать СКЗИ достаточно профессионально и ФСБ без труда вскроет все что надо при необходимости, поскольку профессиональные конторы без лицензии с какими-то обязательствами перед ФСБ заниматься такой деятельностью не смогут.
3а. Контора с лицензией ФСБ по условиям лицензии должна сообщать в соответствующие органы о подозрительных заказах и при необходимости внедрять уязвимости/ослаблять защиту, чтобы ФСБ могла получить доступ к защищаемой информации.
4. Лицензирование деятельности по разработке, установке и настройке СКЗИ является методом ограничения конкуренции на этом рынке в пользу «дружественных» компаний, которые принадлежат правильным людям или «благодарят» ФСБ и ее представителей при получении лицензии и одновременно вынуждены «отбивать» эту благодарность, повышая цены на свои услуги. Таким образом, заодно можно отсечь «неправильные» конторы и оставить только «правильные», которые будут сотрудничать с ФСБ за пределами лицензионных обязательств, подставляя своих клиентов (см. пункт 3а) под угрозой потери лицензии.
И да, либо вы неверно поняли, либо ваш товарищ решил нагнать паники — с выявлением ЭУНПИ дела обстоят иначе. Но да, поскольку это вид деятельности особого характера, он полностью под контролем регулятора находится…
Это не мой товарищ. Я всего лишь читал интервью. А как на самом деле дела обстоят? Что делать, если ФСБ или МВД ставит кому-то домой или в кабинет жучок, а человек обращается в лицензированную контору и просит обследовать помещение на предмет ЭУНПИ?
Весь вопрос в грамотном юридическом обосновании, сами понимаете. Если информацию считает критичной владелец (хоть физ.лицо, хоть контора) + оная информация не классифицирована в рамках закона (например, она якобы ограниченного доступа внутри конторы, но при этом не заявлена как «коммерческая тайна»), то и применять можно любые средства и меры защиты. Включая вопросы их получения и привлечения сторонних лиц. Но это может аукнуться уже в других сферах деятельности…
Ограничение длины ключа (да и необходимость лицензирования в общем случае) касается «производства в целях продажи»…
Про порядки выявления и согласования со всеми заинтересованными сторонами ЭУНПИ, извините, но без комментариев…
Ограничение длины ключа (да и необходимость лицензирования в общем случае) касается «производства в целях продажи»…
Про порядки выявления и согласования со всеми заинтересованными сторонами ЭУНПИ, извините, но без комментариев…
то и применять можно любые средства и меры защиты
Вот и я о том же. Применять можно любые средства и привлекать кого угодно.
Проблема в том, что тот, кто привлекается для помощи, получит по шапке, если будет помогать, не имея лицензии ФСБ на подобную «помогательную» деятельность.
То есть ограничивают не тех, кто хочет защитить свою информацию, а тех, кто может сделать эту защиту надежной. А о возможных целях такого ограничения я писал выше.
К сожалению, я не юрист, а программист (нач.отдела), поэтому мой опыт в юридической части вопроса достаточно скромен. Зато я хорошо знаю технику :)
1. Если я правильно помню (а я могу ошибаться) разработка шифрсредств подпадает под лицензирование для всех случаев, кроме описанных в 957 постановлении.
2. Вроде бы закон регламентирует только деятельность юрлиц и ИП, а к просто физлицам не относится. Т.е. просто коммитить в опенсерс можете сколько угодно :)
1. Если я правильно помню (а я могу ошибаться) разработка шифрсредств подпадает под лицензирование для всех случаев, кроме описанных в 957 постановлении.
2. Вроде бы закон регламентирует только деятельность юрлиц и ИП, а к просто физлицам не относится. Т.е. просто коммитить в опенсерс можете сколько угодно :)
Я Вас сильно удивлю, если скажу, что платит этой «конторе» заказчик, а не ФСБ? И нету там взаимовыгодных отношении. Лабораторий полно и между ними есть конкуренция. ФСБ на лабы пофиг.
Я лично сталкивался несколько лет назад, получали бумаги ФСТЭК на ПО. Тогда оформление сертификата было лишь вопросом времени и денег. В некотором смысле, была коррупционная составляющая: ПО с документацией и суммой порядка 1 млн рублей отдавались фирме, которая этим занималась.
В программе, как я сейчас понимаю, было немало дыр. Однако бумагам это не мешало, они жили в ортогональной плоскости.
Ничего не могу сказать про сертификацию ФСТЭК, в данной ветке обсуждается сертификация ФСБ.
В этом случае, если ПО не удовлетворяет каким-либо требованиям, сертификат на него получить невозможно ни за какие деньги. У ФСБ нет кассы, куда можно придти с деньгами. Экспертиза отчетных материалов проводится за счет государства. Ни у специализированной организации, ни, тем более, у разработчика нет никаких финансовых отношений с ФСБ.
В этом случае, если ПО не удовлетворяет каким-либо требованиям, сертификат на него получить невозможно ни за какие деньги. У ФСБ нет кассы, куда можно придти с деньгами. Экспертиза отчетных материалов проводится за счет государства. Ни у специализированной организации, ни, тем более, у разработчика нет никаких финансовых отношений с ФСБ.
Но (сугубо гипотетически) у специализированной организации могут быть финансовые отношения с конкретными физлицами.
Я уже писал выше, что если Вам известны конкретные случаи нарушений, я прошу Вас обратиться с этой информацией в прокуратуру.
Если нет, то это является не более чем словоблудием.
У меня гораздо больше оснований доверять официальной компании, которая рискует своей лицензией (получение которой — очень сложный процесс) и возможным тюремным заключением, чем интернет-экспертам, проводящим «независимый аудит».
Если нет, то это является не более чем словоблудием.
У меня гораздо больше оснований доверять официальной компании, которая рискует своей лицензией (получение которой — очень сложный процесс) и возможным тюремным заключением, чем интернет-экспертам, проводящим «независимый аудит».
Я уже писал выше, что если Вам известны конкретные случаи нарушений, я прошу Вас обратиться с этой информацией в прокуратуру.
Это шутка такая? Здесь говорят Вам, что в реальной процедуре сертификаций есть коррупция. Более того, вот пример из реальной жизни. В той же реальной жизни есть полковник Захарченко как один из самых распиаренных представитель преступного сообщества. Однако он не единственный.
Еще раз: сертификация в ФСБ сейчас уже формальная, это лишь кормушка. Если Вы напишите сотни заявлений в прокуратуру, вы можете повлиять на будущее, однако сейчас там хватает воровства. И хватало раньше.
Телефон сертифицировался в то же время, когда в ФСБ царила коррупция (а не в классном будущем, когда её не будет). Потому и претензии к нему, как к якобы безопасному и так далее.
Еще раз: сертификация в ФСБ сейчас уже формальная, это лишь кормушка. Если Вы напишите сотни заявлений в прокуратуру, вы можете повлиять на будущее, однако сейчас там хватает воровства. И хватало раньше.
Судя по вашим заявлениям, вы сталкивались только с сертификацией ФСТЭК и довольно давно. Я по работе уже 15 лет постоянно сталкиваюсь с сертификацией ФСБ. Мы с вами будем меряться у кого опыт больше? Врядли мы сможем доказать это друг другу через интернет. Ни вы ни я не обязаны верить списку предоставляемых анонимом регалий.
Так вот, мой опыт абсолютно противоположен вашему. На таком низком уровне, как сертификация софта, никакого воровства уже очень давно нет. Если что-то и воруют, то ни я ни вы на тот уровень заглянуть не можем. Гайки серьезно затянули еще в 2010 году и с тех пор процедура сертификации ежегодно усложняется: выходят новые нормативные документы, усложняются методики, эксперты более строго трактуют требования…
Мне очень понравилась позиция 8 центра: мы нужны, чтобы все на рынке играли по одним правилам. Т.е. если одному мы что-то разрешили, то это придется разрешить и остальным, и наоборот.
Ох уж эти сказочки, ох уж эти сказочники…
1. Пример со ссылкой на МСВС так же голословен, как и все словоблудия в Сети. Товарищ virens и иже с ним анализировали дистрибутив на предмет интерфейса и краткого экскурса в состав. Выложи ли бы они кейсы для обхода встроенной системы защиты МСВС — был бы другой коленкор. И тогда ссылочка уже была бы в тему текущего обсуждения про сертификацию СЗИ/СКЗИ…
2. Полковник Захарченко разве из ФСБ? Разве отвечал или касался вопросов сертификации средств защиты информации по какой-либо линии? Странный выстрел мимо темы, как чуть выше с Телеграмом…
3. Номер сертификата на Круиз-К не подскажете? Или его шифр-наименование? Тут без шуток, в реестр ФСБ его не нашел. Заодно любопытно будет понять — по дате выдачи сертификата — когда в ФСБ царила коррупция, раз уж пошла такая пьянка. Не козней ради, но личного тезауруса для…
1. Пример со ссылкой на МСВС так же голословен, как и все словоблудия в Сети. Товарищ virens и иже с ним анализировали дистрибутив на предмет интерфейса и краткого экскурса в состав. Выложи ли бы они кейсы для обхода встроенной системы защиты МСВС — был бы другой коленкор. И тогда ссылочка уже была бы в тему текущего обсуждения про сертификацию СЗИ/СКЗИ…
2. Полковник Захарченко разве из ФСБ? Разве отвечал или касался вопросов сертификации средств защиты информации по какой-либо линии? Странный выстрел мимо темы, как чуть выше с Телеграмом…
3. Номер сертификата на Круиз-К не подскажете? Или его шифр-наименование? Тут без шуток, в реестр ФСБ его не нашел. Заодно любопытно будет понять — по дате выдачи сертификата — когда в ФСБ царила коррупция, раз уж пошла такая пьянка. Не козней ради, но личного тезауруса для…
UFO just landed and posted this here
Просьба воздержаться от политики в комментариях на хабре. Это запрещено правилами ресурса
Вы политику с банальным воровством не путаете?
UFO just landed and posted this here
Ответил на комментарий про коррупцию выше.
Вы не обязаны верить моему опыту, так же как я вашему. Мой опыт говорит, что позиция «кругом коррупция» сильно устарела.
Вы не обязаны верить моему опыту, так же как я вашему. Мой опыт говорит, что позиция «кругом коррупция» сильно устарела.
А какие такие формальные требования? Берем текстовый файл с hello word внутри, шифруем и убеждаемся что ничего нельзя прочитать? У меня больше доверия открытому исходному коду и премиям в 10кбаксов за найденную уязвимость.
Требования никак не связаны с «нельзя прочитать». Они затрагивают всю процедуру разработки:
И еще пипец как много требований :) Так что это гораздо больше, чем просто поиск уязвимостей.
А при компрометации проводится расследование и если будет выявлено нарушение со стороны разработчика, специализированной или экспертной организации, то последствия будет сильно хуже 10к$: тюрьма, отзыв лицензий и т.д.
- требования к организации работ в компании-разработчике и спец-организации
- к процедурам согласования ТЗ и контракта
- к процессам производства софта и железа, к учету, упаковке, первозке...
- функциональные требования к аутентификации, авторизации доступа, журналированию, ДСЧ, замкнутости программной среды, среде функционирования софта, контролю целостности, доверенной загрузке и т.д.
- криптографические требования к алгоритмам, криптосхеме, ДСЧ и т.д.
- инженерно-криптографические требования к работе с ключами и КОИ, вероятностям сбоя, самотестированию и т.д.
- требования к анализу кода, соответствию бинарника и исходника, статическому анализу, динамическому анализу, покрытию тестами, фиксации контрольных сумм бинарников и т.д.
- специальные требования (ПЭМИН, виброакустика и т.д.)
И еще пипец как много требований :) Так что это гораздо больше, чем просто поиск уязвимостей.
А при компрометации проводится расследование и если будет выявлено нарушение со стороны разработчика, специализированной или экспертной организации, то последствия будет сильно хуже 10к$: тюрьма, отзыв лицензий и т.д.
ну ок, но вот например сим карты. Там тоже шифрование. А первая версия шифрования легко ломалась, может помните были популярны программируемые сим карты. А тут, все закрыто, уязвимости может есть, а может их нет. Энтузиасты это проверить не могут. Зато если штаты взломают, то они же не будут об этом кричать на весь мир? Где то читал что в закрытом ПО гораздо больше уязвимостей, именно по той причине что оно закрытое.
Никогда не слышал про сертифицированные в ФСБ сим-карты. У вас есть такая информация?
Открою вам секрет: большая часть отечественного софта основана на открытом. Более того, мы чуть не ежедневно контрибьютим в опен-серс. А еще все исходники мы не прячем, а отдаем на анализ сторонним компаниям, да еще и платим за это большие деньги (сильно болье, приведенных 10к$).
Открою вам секрет: большая часть отечественного софта основана на открытом. Более того, мы чуть не ежедневно контрибьютим в опен-серс. А еще все исходники мы не прячем, а отдаем на анализ сторонним компаниям, да еще и платим за это большие деньги (сильно болье, приведенных 10к$).
Слышал что кассы фсб находятся в офисах рпц, туда все и заносят под видом пожертвований
UFO just landed and posted this here
Про сертификаты и независимый аудит замечательно написано в «Криптография и свобода» Масленникова. По расположению кнопок на клавиатуре телефона можно вполне конкретно определить модель платы китайца-исходника.
Какой-то старый SNOM, нет?
На столе стоит, не сильно отличается. Модель устарела, обновлённые 6к рублей.
Вообще-то, двоичный метод сложения позволяет шифровать с гарантированной защитой. Проблема только в длительности работы с используемым ключом.
проблемы на самом деле три:
строго однократное использование этого ключа
передача этого ключа
хранение этого ключа
строго однократное использование этого ключа
передача этого ключа
хранение этого ключа
1. Эти ключи всегда одноразовые. Но с учетом современных алгоритмов и вместимости носителей это вообще не проблема. Закатал на флешку 100500 ключей, предупредил пользователя, что один ключ работает, допустим, час, все остальное организационный момент.
2, 3. Все давно отработано. Я на ЗАС-телеграфе работал в восьмидесятые, и задолго до меня еще организация работы данного боевого поста была прописана целой книжкой. В которой было все, от продолжительности работы на одном ключе до требований к дверям и форточкам. И очень прекрасно все соблюдалось. Поскольку требования к кадрам и уголовная ответственность были прописаны тоже.
2, 3. Все давно отработано. Я на ЗАС-телеграфе работал в восьмидесятые, и задолго до меня еще организация работы данного боевого поста была прописана целой книжкой. В которой было все, от продолжительности работы на одном ключе до требований к дверям и форточкам. И очень прекрасно все соблюдалось. Поскольку требования к кадрам и уголовная ответственность были прописаны тоже.
Это очень сложно для массового пользователя. Поэтому — TLS для транспорта, и ECDH/RSA для согласования ключей end-to-end. А дальше — AES-CBC с храповиком, который собственно ключ и/или вектор инициализации перещелкивает на каждую дейтаграмму.
Представления не имею, что значат данные аббревиатуры. Но чисто организационно не представляю, чего там может быть сложного. Если у вас реальные секреты, то у вас и служба безопасности имеет достаточную квалификацию для работы с ними. Если же вы этот аппарат на поиграться взяли, и о ключах не заботитесь, то вы сам себе злобный Буратино.
Безопасность и секретность всегда в первую очередь зависят от людей.
Безопасность и секретность всегда в первую очередь зависят от людей.
Безопасность и секретность всегда в первую очередь зависят от людей.
Если у вас конечный пользователь ключа не может повлиять на состояние и распространение этого самого ключа — то нет. Это уже чисто техническая задача. Собственно в современных средствах криптозащиты в массовых продуктах типа ноутбуков и смартфонов — оно примерно так, автомагически и работает.
Представления не имею, что значат данные аббревиатуры.
А вы точно шифровальщиком работали?
1. Логически рассуждая, если ключ постоянно находится в аппарате, рано или поздно можно отследить закономерность. Если ключ меняется, закономерность проследить невозможно принципиально.
2. Я уже говорил, что предотвращение несанкционированных действий с ключом, это организационная задача. Если для вас это не по силам, то какая вам разница, скопирует ли кто-то ключ, или передаст секретную информацию напрямую?
3. Я не был шифровальщиком. Я был механиком ЗАС-телеграфа.
2. Я уже говорил, что предотвращение несанкционированных действий с ключом, это организационная задача. Если для вас это не по силам, то какая вам разница, скопирует ли кто-то ключ, или передаст секретную информацию напрямую?
3. Я не был шифровальщиком. Я был механиком ЗАС-телеграфа.
если ключ постоянно находится в аппарате, рано или поздно можно отследить закономерность
Да, но нет. Шифруемые данные обычно востребованы к перехвату «вотпрямщас», а время, требуемое на восстановление ключа по криптограммам резко превышает любое разумное. Что сопоставимо с принципиальной невозможностью.
предотвращение несанкционированных действий с ключом, это организационная задача
… а когда у вас ключ в защищенном носителе, и никогда его не покидает, при этом для использования ключа пользователь должен быть аутентифицирован, организационная часть сводится к «нажать красную кнопку для очистки памяти ключей»
Да, но нет. Шифруемые данные обычно востребованы к перехвату «вотпрямщас», а время, требуемое на восстановление ключа по криптограммам резко превышает любое разумное. Что сопоставимо с принципиальной невозможностью.В большинстве коммерческих дел — да. Хотя, в свое время отцы-командиры говорили, что ЗАС-телеграф широко используется в торговом флоте. Если же говорить о государственной безопасности, учитывая скорость развития вычислительной техники, есть риск, что важная информация будет расшифрована сильно раньше, чем будут сняты грифы секретности.
а когда у вас ключ в защищенном носителе, и никогда его не покидаетА ключ и так в защищенном месте. И никогда его не покидает. Вплоть до того, что на боевом посту предусмотрена специальная железная банка с ситечком, где сжигаются использованные ключи и растираются специальным пестиком. И ситуации, в которых требуется уничтожить все ключи, так же описаны в упомянутой выше книге. Кстати, на самой книге тоже стоял гриф «Совершенно секретно».
Что до скорости уничтожения ключей, то использованные ключи уничтожаются сразу после завершения сеанса, поэтому захват аппаратуры ничего не дает.
учитывая скорость развития вычислительной техники, есть риск, что важная информация будет расшифрована сильно раньше, чем будут сняты грифы секретности.
Если мы говорим о «в лоб», не имея никаких данных кроме собственно криптограммы и используемых алгоритмов — то нет.
После длины ключа в 128 бит на хорошем источнике энтропии — уже всё равно: вечностью раньше, вечностью больше.
Кстати, именно режим «шифровальной книги» не рекомендуется при использовании шифра AES. Режим с обратной связью, или со счетчиком считаются сильно безопасней. Что, в общем, логично — если один и тот же ключ, и вектор инициализации, то криптограммы поддаются статанализу.
Вплоть до того, что на боевом посту предусмотрена специальная железная банка с ситечком, где сжигаются использованные ключи
А можно я просто микросхеме команду на очистку дам? :)
1. Не буду спорить, поскольку в теме разбираюсь чуть менее, чем никак. Сомнение только по поводу статанализа. Там же вроде достаточное количество данных для обработки надо? А если ключ меняется, момент начала передачи информации неизвестен, то что там анализировать?
2. Да пожалуйста. Я не против микросхем, и выше писал, что на современной шифровальной технике ключ возможен на флешке, например. И ключ этот даст возможность шифрования большего количества информации, чем сутки о скоростью до ста бод.
2. Да пожалуйста. Я не против микросхем, и выше писал, что на современной шифровальной технике ключ возможен на флешке, например. И ключ этот даст возможность шифрования большего количества информации, чем сутки о скоростью до ста бод.
Как бы экономика не загнулась с этим импортозамещением.
Упороться с*** б****, кабы я так бабки пилил
Особенно интересен защищенный ноутбук на «отечественной защищенной платформе Эльбрус-1C». Что там защищенного, кроме корпуса? За что полмиллиона? Вот, например, защищенный ноутбук от Dell для американских копов, цена вопроса: от 1400 долларов.
upd. Поигрался с опциями. Максимальная комплектация — 5600 USD. И все равно это меньше полумиллиона.
upd. Поигрался с опциями. Максимальная комплектация — 5600 USD. И все равно это меньше полумиллиона.
По вашей ссылке — 14-дюймовый semi-rugged notebook.
Ростеховский обещан как 17" fully-rugged. Таких в мире пока только один — Amrel RF10. Цен на него не публикуют, по прикидкам и сравнению с другими fully-rugged поменьше, можно предположить тысяч пятнадцать долларов, наверное.
Ростеховский обещан как 17" fully-rugged. Таких в мире пока только один — Amrel RF10. Цен на него не публикуют, по прикидкам и сравнению с другими fully-rugged поменьше, можно предположить тысяч пятнадцать долларов, наверное.
Latitude 7424 Rugged Extreme — 14" fully rugged notebook with enhanced graphics performance and up to 4TB of storage.
Хотя он не 17", но так ли это важно? fully-rugged присутствует))
Хотя он не 17", но так ли это важно? fully-rugged присутствует))
А присутствует ли в ноутбуках Dell процессор Эльбрус-1С, заботливо произведенный на отечественных заводах?
А что, он тоже стоит $1400? Кажется, Listprice там обозначен $4998.
Важно ли то, что он не 17, а 14? Конечно же, это не важно. Кто вообще смотрит на такие вещи, как диагональ экрана? Тем более, в военных устройствах, где этот самый уязвимый элемент конструкции ничего не стоит защитить от различных внешних факторов. Все производители тоже думают, что это не важно, в результате чего мы имеем множество моделей устройств 14 и 15 дюймов и лишь одну модель 17.
Важно ли то, что он не 17, а 14? Конечно же, это не важно. Кто вообще смотрит на такие вещи, как диагональ экрана? Тем более, в военных устройствах, где этот самый уязвимый элемент конструкции ничего не стоит защитить от различных внешних факторов. Все производители тоже думают, что это не важно, в результате чего мы имеем множество моделей устройств 14 и 15 дюймов и лишь одну модель 17.
В силу специфики своей работы, я работал как с импортными защищенными ноутбуками, так и с отечественными.
Какой толк от 17", если там максимум WSXGA+ (1680x1050)? Даже FHD не смогли сделать. С сохранением пропорций, могли бы поставить WUXGA(1920х1200). Убогий резистивный тачскрин, с ложными срабатываниями(как на весах в супермаркете). Убогий процессор, когда конкуренты предлагают i5 и i7 вплоть до последних моделей.
Похоже на сравнение Мерседеса и Лады Калины.
Какой толк от 17", если там максимум WSXGA+ (1680x1050)? Даже FHD не смогли сделать. С сохранением пропорций, могли бы поставить WUXGA(1920х1200). Убогий резистивный тачскрин, с ложными срабатываниями(как на весах в супермаркете). Убогий процессор, когда конкуренты предлагают i5 и i7 вплоть до последних моделей.
Похоже на сравнение Мерседеса и Лады Калины.
От предположения, что диагональ экрана 14 или 17 — это не важно, вы плавно перешли к предположению, что диагональ экрана 17 — это не нужно.
А может быть и нужно, не знаю для чего, но например, если на экране картинка с БПЛА, а вокруг десяток человек стоят, рассматривают.
А вот как раз FullHD, могучий процессор, куча памяти и всяческие мультитачи могут быть не нужны, потому что там никогда не будет запущено кучи вкладок на Хроме, Поверпоинта с мультиками и модной 3D стреляки.
PS Я работал только с импортными защищёнными ноутбуками, они приходили как составная часть оборудования. Никаких вариантов спецификации не предполагалось и даже вопросов таких не возникало. Могла запускаться и работать только основная софтина. Ничего другого с ними делать было нельзя. А шутка про Мерседес и Калину уже оскомину набила.
А может быть и нужно, не знаю для чего, но например, если на экране картинка с БПЛА, а вокруг десяток человек стоят, рассматривают.
А вот как раз FullHD, могучий процессор, куча памяти и всяческие мультитачи могут быть не нужны, потому что там никогда не будет запущено кучи вкладок на Хроме, Поверпоинта с мультиками и модной 3D стреляки.
PS Я работал только с импортными защищёнными ноутбуками, они приходили как составная часть оборудования. Никаких вариантов спецификации не предполагалось и даже вопросов таких не возникало. Могла запускаться и работать только основная софтина. Ничего другого с ними делать было нельзя. А шутка про Мерседес и Калину уже оскомину набила.
Я не говорил, что не нужно. В некоторых ситуациях может и нужно, но и разрешение должно быть соответствующее. Гипотетические ситуации придумывать не стоит, т.к. угадать очень сложно)
Разрешение должно быть соответствующее чему? Поставленным для этого устройства задачам или некоему значению, которое вы привыкли видеть у офисных и домашних семнадцатидюймовых машин? У американского военного ноутбука Amrel RF10 17" разрешение экрана составляет 1440 x 900.
Процессоры эльбрус сейчас производятся мелкой серией. там просто обычная плат то 50-70 стоит. Плата за мелкосерийность. Тоже самое и тут. Приведенный вами ноутбук стоит так потому что серия более менее крупная.
Скорее всего эта техника позиционируется для использования не в патрульной машине дпс, а, скажем в составе пункта боевого управления С-400. На фоне полмиллиарда USD за комплекс полмульта рублей за ноут теряются.
Догого? Конечно. Попилили? Сомнений нет.
С другой стороны и вариантов других нет: ноут по любому нужен 'свой': ставить условный Dell — не вариант (вспоминайте историю с мирным суперджетом). Делать с нуля железяку интересную только военным в весьма скромных количествах — удовольствие недешевое. Ни при каких раскладах вы не сможете конкурировать с Dell по цене, поэтому коммерческий рынок — не для вас. А прибыль получать все же хочется. И воякам в принципе не критично, будет ноут стоить 200 тысяч, или 500.
Догого? Конечно. Попилили? Сомнений нет.
С другой стороны и вариантов других нет: ноут по любому нужен 'свой': ставить условный Dell — не вариант (вспоминайте историю с мирным суперджетом). Делать с нуля железяку интересную только военным в весьма скромных количествах — удовольствие недешевое. Ни при каких раскладах вы не сможете конкурировать с Dell по цене, поэтому коммерческий рынок — не для вас. А прибыль получать все же хочется. И воякам в принципе не критично, будет ноут стоить 200 тысяч, или 500.
Толку вспоминать суперджет, вспомните zte, а китай много чего у себя производит. Если эльбрус делают в тайване то перестать их делать элементарная задача.
Если эльбрус делают в тайване то перестать их делать элементарная задачаСогласен. Но надеюсь на этот случай есть план Б. Все же наладить производство какого-никакого, но собственного изделия на другом фабе — задача подъемная. Ну и одному главнокомандующему известно, сколько эльбрусов уже лежит в закромах родины.
ps:
А что за история с zte?
Мне интересно — такие телефоны заменят наконец ряды антикварных «вертушек», стоящие на столах приближенных к власти, или это уже насколько въевшийся фетиш, что они будут стоять как предмет декора вечно?
Вертушки более надёжны в радиусе поражения ядерного взрыва :)
У них еще бывают телефоны вообще без всего: ни вертушек, ни кнопок. Как звонить – не понятно.
барышня, дайте смольный
Они только для приема звонков.
UFO just landed and posted this here
А так с ними просто, это или телефоны прямой линии — где тупо два телефона на проводе — обычно такие замов с начальством связывают — снял трубу — пошел звонок. А у начальника батарея телефонов на столе. При союзе они как-раз количеством телефоном мерялись — чем больше, тем ты более крутой начальнег) А иногда еще через телефониста — снял и надо сказать кто-ты и с кем тебя соединить — два раза видел, как пароль спрашивали, наверное чтоб подтвердить что на проводе тот кто нужен. Я как-то подрабатывал — насмотрелся на это чудо кабинетной техник )
При союзе они как-раз количеством телефоном мерялись — чем больше, тем ты более крутой начальнегБатарея телефонов — это у поселковых райкомов.
У «правильных пацанов» были многоканальные телефоны, типа этого:
Крутость тут определялось уже по количеству кнопочек.
Дизайн очень похож на офисные IP-телефоны Cisco, очень узнаваемые элементы. Навевает мысли о белорусских мониторах «Интеграл».
Всё это импортозамещение именно так и работает.
Вы покупаете худшее, по сравнению с оригиналом, и за существенно большие деньги.
За такие деньги какой-то он слишком офисно-попсовый. Герба РФ на нем не хватает, вместо «ОК» нужно «Добро!», вместо звездочки — пятиконечную звезду, а вместо решетки — православный крест. Вот тогда да, будет стоить этих денег :)
Православный крест надо вместо плюса
Как-то очень уж отчетливо повеяло «Днем опричника»
В МСВС что-то такое есть. К примеру, местами «есть» и «отставить», вместо «ок» и «отмена».
Нотубук ЕС1866 может использоваться силовыми структурами для решения различных задачВпринципе это надо оставить под фоткой и дальше не продолжать
«превосходит зарубежные и отечественные аналоги за счёт высокой степени защищённости информации и является лучшим решением на рынке в отношении цены и качества.»Они хоть бы не позорились и не писали, что ноутбук является лучшим решением на всем рынке. Например, TOUGHBOOK CF-33 и Dell Latitude 5424 явно лучше по цене + качество.
Самое обидное, что «это» является лучшим отечественным аналогом и такими темпами чего-то стоящего можно не ждать.
Про мессенджер в котором при установке будет встроена функция «сливать данные товарищу майору» и сколько на закупках всего этого софта распилят денег, даже писать не хочу.
Они хоть бы не позорились и не писали, что ноутбук является лучшим решением
Про ноутбук вроде и не писали…
Самое обидное, что «это» является лучшим отечественным аналогом и такими темпами чего-то стоящего можно не ждать.
Понимаете, сделать крутой ноутбук в принципе можно и это не представляет из себя какой-то сверхзадачи, на это нужно 10-50 млн руб, но коммерческий успех этот предприятия будет, скорее всего, плачевный по вполне объективным причинам, конкурировать на уже поделенном рынке с предприятиями, которые уже имеют наработки, производство, налаженный сбыт, бренд, лояльных клиентов и т.д. затея обычно бессмысленная, нужно сделать что-то принципиально новое, а не пытаться догнать тех, кто уже близок к совершенству в данном вопросе. Получается замкнутый круг: мало заказчиков — высокая цена. Практически единственный способ в данном случае что-то делать — делать для государства, которое вполне обосновано пытается заниматься импортозамещением. СтОящего российского ноутбука в капиталистической реальности действительно не будет, это тупо убыточно.
Про мессенджер в котором при установке будет встроена функция «сливать данные товарищу майору»
Вряд ли там есть такая функция, среди майоров тоже есть неравнодушные к судьбе страны люди, возьмут да и сольют в сеть откровения премьер-министра президенту или хотя бы переписку депутатов ГД. Граждане, не обличённые властью, этим мессенджером всё равно не смогут воспользоваться.
сколько на закупках всего этого софта распилят денег, даже писать не хочу
А вот это зря, было бы крайне интересно :))))
ой, не надо тут про импортозамещение, баблопиление это, внедрили у нас один отечественный гвнософт, который кроме как звонить не умеет по факту, хотя они себя пяткой в грудь били и орали, что их решение в 100500 раз круче Avaya…
Видел «инновационную» телефонию от НПО «Стрела». Когда ставили, там были бирки, пломбы, печати и гарантия. Когда гарантия кончилась и блоки стали вылетать один за другим, оторвали печати и посмотрели внутрь: платы местами не лакированы, под ёмкостями какие-то соляные отложения. Провода, напаянные сверху на микросхемы типа QFP, я даже сфоткал на память. А ещё платы все почему-то разные и разных годов выпуска.
UFO just landed and posted this here
Про ноутбук вроде и не писали…Да, вы правы. Кстати про мессенджер, тоже спорно.
нужно сделать что-то принципиально новое, а не пытаться догнать тех, кто уже близок к совершенству в данном вопросе.А что своё можно сделать? Эльбрус не конкурент ни AMD, ни Intel. Видеокарты и ОЗУ также требуют больших вложений. Сделать всё своим как в этом ноутбуке, чтобы его кто-то купил не представляется реальным. Такими темпами нормального российского рынка «железа» скорей всего не будет, только если кто-то с большими деньгами не захочет инвестировать отрасль.
вполне обосновано пытается заниматься импортозамещениемНа деньги налогоплательщиков, когда эти ноутбуки(как и мессенджер) скорей всего никому не будут нужны.
Граждане, не обличённые властью, этим мессенджером всё равно не смогут воспользоваться.из ссылки на новость
разработал комплексную систему унифицированных онлайн-коммуникаций для бизнеса
Для широкого круга потребителей IVA LARGO будет представлен во втором квартале 2019 года.
Входящие в систему мобильные клиентские приложения для Android и iOS уже доступны в Google Play и AppStoreДумаю, что для людей и бизнеса тоже будет.
А что своё можно сделать?
По части бытовой электроники, наверное, ничего.
Вполне реально что-нибудь сделать для промышленности, какой-нибудь industrial pc со специфическими требованиями по климатике и механике (это просто для примера), какие-нибудь станки, которые после девальвации рубля стали стоить космических денег.
Если говорить о науке — то какой-нибудь квантовый компьютер.
Такими темпами нормального российского рынка «железа» скорей всего не будет, только если кто-то с большими деньгами не захочет инвестировать отрасль.
Согласен. Подозреваю, что и деньги не помогут.
На деньги налогоплательщиков
Сейчас на деньги налогоплательщиков закупаются Getac X500 за 360 000 руб. + стоимость спец. проверок/спец. исследований, в сумме это тоже порядка 500 000 руб. Сейчас эти деньги уходят в ФОТ США, а так хотя бы частично пойдут в ФОТ РФ. Есть шанс, что налогоплательщики окажутся хотя бы и в маленьком, но плюсе.
какой-нибудь industrial pc со специфическими требованиями по климатике и механике (это просто для примера)Этот же ноутбук и является решением для специфических условий и ПК/телефон/etc вряд ли будет намного лучше.
Если говорить о науке — то какой-нибудь квантовый компьютер.Было бы хорошо, но сомневаюсь.
Почему бы не делать рассыпуху? МАХ конвертер spi-7led 500 рублей за штуку, а транзисторов там хорошо если 1000 наберется. И таких приложений вагон можно накопать. Микросхемы для иис, свою шину а ля i2c запилить с полной линейкой ис и тд и тп. Но на этом так много не распилишь как на эльбрусах
Жаль, не смогу воспользоваться их мессенджером, в 2019 году ни у меня, ни у друзей, ни друзей друзей уже много лет нет привода CD.
клиентские приложения для Android и iOS уже доступны в Google Play и AppStore
Так на их ноутбуке есть же, перейдите аппаратно, а потом и мессенджером сможете пользоваться
На диске напечатано «Эксплуатационная документация» и «Выставочный образец»
А как вы тогда собираетесь получать ключи? Через недоваренный канал, интернет?
Под низкие классы сертификации, ключи генерируются на местах эксплуатации. ;)
Открытый ключ удостоверяющего центра должен как-то попасть к пользователю программного продукта.
На CD? Обычно корневой сертификат УЦ (если вы про него) храниться так же как и секретные ключи пользователя, на токене/смарт-карте или любом другом ключевом носителе.
Как конкретно решен вопрос в данном мессенджере я, конечно, не знаю. Если вы обадаете такой информацией, будет интересно услышать.
Как конкретно решен вопрос в данном мессенджере я, конечно, не знаю. Если вы обадаете такой информацией, будет интересно услышать.
Я не знаю. Просто речь идёт о программном продукте. Сомневаюсь, что у пользователя Tyusha, у которого нет дисковода, есть зато устройство для чтения ключевых смарткарт.
UFO just landed and posted this here
Не вижу проблемы в получении сертификата УЦ по HTTPS, например. Когда веб-сервер имеет сертификат, подписанный УЦ, входящим в систему.
Del.
Интересно, а за разработку этого телефона ростех хоть пять копеек заплатил МО РФ, ибо когда я там работал за счет денег МО РФ был разработан Круиз-С в точности такой же. Хотя за 20 лет, наконец-то, что-то выкатили для контор, а то каждый год на собрании директор запаривал объяснениями о необходимости гражданской продукции… Только вот какой вменяемый человек из частной компании ни связанной с государтсвом их будет покупать — крайне интересный вопрос, ибо что с этим телефоном, что с обычным — результат для абонентов по прослушке ФСБ будет таким же…
МО РФ не является собственником в буквальном смысле, оно распоряжается собственностью Российской Федерации. Как и Ростех. Так что вопрос со взаимными расчётами очень мутный.
То, что владельцем МО РФ является РФ, как и главным акционером Ростеха, не означает, что у них все общее, это два юридических лица с собственными материальными, интеллектуальными и финансовыми средствами, у них там постоянно возникают разборки, кто, кому и сколько должен и за что…
МО РФ (государственное учреждение) и Ростех (госкорпорация) не являются акционерными обществами, поэтому у них не может быть владельцев и акционеров. И собственных средств, формально говоря, у них тоже нет. То, что в просторечии называется их собственностью, на самом деле является собственностью РФ на праве распоряжения. Это никоим образом не исключает разборок по задолженностям, но такие разборки носят, по сути, софистический характер. Хотя в практическом отношении распоряжаться государственным имуществом каждый хочет сам :)
У меня немножко другой взгляд эту проблему, еще до создания ростеха и после него, предприятия входящие в госкорпорацию являются акционерными обществами (как например тот же Автоматика) имеют свои патенты, интеллектуальную собственность, прибыль и контракты, и в пределах своих договоров — они на халяву не пользуются собственностью других ФГУП, АО или силовых структур — все покупается по тендору или контракту. Например, в автоматике покупаются лицензии на МС ВС, абсолютно так же как на Windows…
Смущает расхождение на сайте Круиза: КА + засекреченная связь, но «не выше конфиденциально». Для конфи-связи 85к реально многовато, а вот в ином случае…
С ноутбуком тоже не совсем ясно: если он не только корпусом и внутренней укладкой компонент похож на защищенные Getac, но и ОПО/ППО/СЗИ имеет в защищенном исполнении (для обработки особо чувствительной информации) + мобильность его не ограничена палаткой высокого руководителя, то ценник вменяемый. Для справки, обычный ноутбук превратить в защищенное рабочее место под такие условия выйдет дороже…
Про «личный» (серверы в периметре организации, а не в облаке чужого дяди) мессенджер радует само движение: слушают там абонентов или нет (больно надо ФСБ всех подряд слушать), не суть важно. Главное, чтобы к онлайн-обсуждению гос.информации были допущены конкретные люди, а не штаб владельцев-разрабочиков «популярных сетевых средств коммуникации». А то понаставят WhatsApp/Skype/etc из принципа «все побежали и я побежал» или «оно же удобно, да и кому я нужен?»…
С ноутбуком тоже не совсем ясно: если он не только корпусом и внутренней укладкой компонент похож на защищенные Getac, но и ОПО/ППО/СЗИ имеет в защищенном исполнении (для обработки особо чувствительной информации) + мобильность его не ограничена палаткой высокого руководителя, то ценник вменяемый. Для справки, обычный ноутбук превратить в защищенное рабочее место под такие условия выйдет дороже…
Про «личный» (серверы в периметре организации, а не в облаке чужого дяди) мессенджер радует само движение: слушают там абонентов или нет (больно надо ФСБ всех подряд слушать), не суть важно. Главное, чтобы к онлайн-обсуждению гос.информации были допущены конкретные люди, а не штаб владельцев-разрабочиков «популярных сетевых средств коммуникации». А то понаставят WhatsApp/Skype/etc из принципа «все побежали и я побежал» или «оно же удобно, да и кому я нужен?»…
Пардон, а что такое особо чувствительная информация"? К какой категории она относится: ДСП, С, СС, ОВ?
мессенджер радует само движение
Джаббер сервер можно у себя поставить ну очень давно и даже с шифрованием, а в последнее время развелось еще очень много разнообразных решений помимо.
Да тот же DeltaChat например. Все просто, ясно и понятно.))
Поднять можно. Сегодня как раз поднимали с коллегой s2s — с первого раза не взлетело. И техподдержки кроме man никакой, разумеется…
Но в гос.органах своя специфика. Opensource требует грамотности и прямых рук. Проприетарные поделия, заведенные на чужую среду, не рассматриваются принципиально по причине отсутствия к ней доверия. Проприетарщина же, разворачиваемая в локали, возможна, но у нас же курс на «поддержи отечественного»? :)
Вот и получается, что даже если IVA AVES S — это jabber отечественного розлива, но со сбалансированной схемой xmpp + jingle (например) + STUN + прочие приблуды для ВКС + win/lin/android/iOS + гарантированная техподдержка, то для гос.сектора это будет лучшим выходом из сложившейся ситуации. Стоимость, конечно, решает многое, но…
Но в гос.органах своя специфика. Opensource требует грамотности и прямых рук. Проприетарные поделия, заведенные на чужую среду, не рассматриваются принципиально по причине отсутствия к ней доверия. Проприетарщина же, разворачиваемая в локали, возможна, но у нас же курс на «поддержи отечественного»? :)
Вот и получается, что даже если IVA AVES S — это jabber отечественного розлива, но со сбалансированной схемой xmpp + jingle (например) + STUN + прочие приблуды для ВКС + win/lin/android/iOS + гарантированная техподдержка, то для гос.сектора это будет лучшим выходом из сложившейся ситуации. Стоимость, конечно, решает многое, но…
Ноутбук ЕС1866Интересно, они что же, советский модельный ряд решили продолжить?
Мне моя память при виде «ЕС1866» напомнила 90-е годы. Но, оказывается, не было такой модели. Всё остановилось на ЕС-1865…
А почему нет? Инкрементировали на единичку и вперед)
Не совсем в тему, но! Довелось однажды ковырять советскую военную клавиатуру, из самых интересных деталей что запомнились — внутри неё был паспорт изделия, в котором подробно указывалось содержание драг металлов, все переключатели (магнитные, эффект Холла) — имели не только дополнительные магниты для отказоустойчивости, но и целых 2 отдельных набора запасных контактов на каждом переключателе!
В вышеуказанном изделии, как мне кажется, кроме процессора — всё наиболее дешёвый китайский ширпотреб, батарея, клавиатура, экран и т.д.
В вышеуказанном изделии, как мне кажется, кроме процессора — всё наиболее дешёвый китайский ширпотреб, батарея, клавиатура, экран и т.д.
Вскоре сторонние источники сообщили, что Минобороны закупит эти ноутбуки по 500 000 руб. за штуку.
По моему кол-во ноликов в цене явно намекает на коррупционные схемы закупок
Тут где-то опечатко…
10000 часов=1,14 года.
наработка на отказ: не менее 10 000 часов;
срок службы: не менее 7 лет.
10000 часов=1,14 года.
Думаю речь про длительность разговора. Т.е. за 7 лет можно гарантированно говорить по нему 1 год, т.е. ~4 часа в день.
Если я правильно понял статью в Википедии, это значит, что за 7 лет (61320 часов) его придется чинить около 6 раз: 61320 / 10000
Важно что именно подразумевали под «работой» телефона при рассчете наработки. Если работа — это когда он просто стоит, то да, а если только когда по нему говорят, то нет :)
Это значит что вероятность его отказа в течение 10000 часов (по всей видимости разговора) — от данного момента времени — 60%. Если сегодня не сломался — то завтра от завтрашнего момента времени в течение 10000 — опять 60%. И так в течение 7 лет. То есть спустя 6 лет — если он не сломался и мы встали утром — то с этого момента вероятность его отказа в течение последующих 10000 — 60%.
Короче — это вероятностная оценка. Срок жизни определяет интервал времени в течение которого она справедлива. Например спустя 7 лет наработка на отказ становится 3000 часов (от балды цифра). То есть вероятность безотказной работы — снижается.
Чтобы проще понять смысл — примите как данность, что отказ — это случайное событие никак не связанное с предыдущей наработкой. То есть его вероятность всегда одна и та же. Что сейчас, что через 7 лет.
А 60% (а не 100), потому что вероятность безотказной работы за период MTBF — это 1/exp, то есть примерно 37%. Если использовать экспоненциальный закон. А по нему все и считают, так как он самый дубовый и лучше всего подходит для электроники.
Короче — это вероятностная оценка. Срок жизни определяет интервал времени в течение которого она справедлива. Например спустя 7 лет наработка на отказ становится 3000 часов (от балды цифра). То есть вероятность безотказной работы — снижается.
Чтобы проще понять смысл — примите как данность, что отказ — это случайное событие никак не связанное с предыдущей наработкой. То есть его вероятность всегда одна и та же. Что сейчас, что через 7 лет.
А 60% (а не 100), потому что вероятность безотказной работы за период MTBF — это 1/exp, то есть примерно 37%. Если использовать экспоненциальный закон. А по нему все и считают, так как он самый дубовый и лучше всего подходит для электроники.
Спасибо за пояснение! :)
Серьезные вендоры часто иногда дают 3 цифры MTBF — например так:
1 год — 70к часов (приработка)
2-5 год — 140к часов (нормальный режим)
6+ — 30к часов (окончание срока жизни)
Это как с автомобилем — если за первую 1000км не сломался — значит уже и не сломается. А через 5 лет начнет все подряд сыпаться =).
1 год — 70к часов (приработка)
2-5 год — 140к часов (нормальный режим)
6+ — 30к часов (окончание срока жизни)
Это как с автомобилем — если за первую 1000км не сломался — значит уже и не сломается. А через 5 лет начнет все подряд сыпаться =).
Цифры от балды придумали вот и все.
А где можно купить или потеснить этот чудо защищенный заменитель к skype-пу — IVA AVES S?
Защищенный телефон я видел. Не этот конкретно, но похожий по смыслу. Трубкой при желании обороняться можно. Она натурально тяжелая. :) Что характерно с гербом на корпусе.
Меня очень смущает мессенджер. Не верю я в оригинальные разработки с нуля. Хочу верить, но столько раз уже обманывали.
А ноут вроде на каком-то форуме видел.
Меня очень смущает мессенджер. Не верю я в оригинальные разработки с нуля. Хочу верить, но столько раз уже обманывали.
А ноут вроде на каком-то форуме видел.
Хм… А варианта месседжера на дискете нет? А то вдруг еще не у всех есть CD-ROM…
Лучше бы вот этот ужас давить трактором, а не сырочки.
Телефон то может и защищенный, но только не от ФСБ.
Раньше тоже удивляло — ну какой коммерческий смысл делать защищённый девайс в виде полноценного такого же девайса? (В данном случае в виде замены телефона.) Достаточно же просто недорогой маленькой коробочки размером не больше droid stick, вставляемого в разрыв линии и всё. Потом стало ясно что никаким коммерческим смыслом тут и не пахнет.
Объясню. Есть требования «неотчуждаемости» криптографии. Например, в случае «коробочки» для шифрования сетевого трафика её было бы нельзя просто вынуть и воткнуться «напрямую» в сеть отправляя туда радостно открытый трафик.
Почему именно так? Как часто, когда у вас что-то не работает в сети, вы первым делом отключаете firefall? =)
Почему именно так? Как часто, когда у вас что-то не работает в сети, вы первым делом отключаете firefall? =)
Ничто не мешает отслеживать вытыкание или неправильное подключение, но это уже организационные моменты, которые должны решаться организационными методами. А упомянутая «неотчуждаемость» часто делается наличием внутри съёмного дополнительного блока.
а можно мне в ваш волшебный мир? Где пользователи выполняют все оргмеры: не записывают пароли, не кликают ссылки, не скачивают левого софта и т.д… Погуглите требования к классу КА и подумайте, как бы вы закрывали это оргмерами. А потом сможете и до PCI DSS дотянутся! Там наверняка тоже столько железяк не нужно…
Вы уже забыли от чего вам защита нужна. В статье обсуждается устройство, делающее проблематичным прослушивание пользователей и препятствующее утечками информации. И конечно же в этом случае исключительно важной является организационная работа, препятствующая расхлябанному поведению пользователей. Вы же почему-то переводите акцент на дуракоупорность/вандалоустойчиавость оборудования. И если вы не занимаетесь воспитанием пользователей, то как вообще вы их допускаете к секретной информации? Это просто нонсенс или пофигизм, когда по факту отчитались об установке «защиты» на один из каналов утечки, а реально пользователи своё поведение не поменяли и остальные каналы утечки остались.
Полагаю что это «устройство» будет обязательно к импортозамещению всяких цискофонов / еалинков ценой в 5-10тыр. Собственно совсем неясно отчего такой дикий ценник, ведь кроме прошивки (и то думаю частично) с прослушкой для спецслужб — там ничего нет российского. Вот бы его открыть и заглянуть внутрь — определить стоимость компонентов и уровень «защищенности».
Мне любопытно, если этот защищённый телефон подключить к серверу на основе незащищённого cisco, dell, hp — кто кого будет «слушать»? ФСБ — их, они — ФСБ, или они и ФСБ — нас?
А что так ополчились на телефончики и ноуты?
Они же будут использоваться ограниченным количеством. Да финансирование велось за счет гос бюджета(где копейка с налогов каждого из вас), но оно же не в публичную торговлю это выпускают. Другой вопрос, соответствуют ли данные решения требованиям по защищенности или это туфта с филькиной грамотой за много рублей?
Они же будут использоваться ограниченным количеством. Да финансирование велось за счет гос бюджета(где копейка с налогов каждого из вас), но оно же не в публичную торговлю это выпускают. Другой вопрос, соответствуют ли данные решения требованиям по защищенности или это туфта с филькиной грамотой за много рублей?
Смущает вот это выражение:
«Специалист пояснил, что в аппарате установлена операционная система реального времени собственной разработки — очень жёсткая и сильно урезанная в целях информационной безопасности»…
Урезанная? Попахивает тем что взяли какую то «готовую ось» (клон Linux,QNX..etc) и «урезали». То есть выбросили из неё «излишки». Думаю на поверку очередной аппарат с openVpn и SRTP (ZRTP) протоколом (привет BolgenOs). Ну и сертифицированный бэкдор в придачу. Ну и ценник думаю для «солидности». Ибо «не поймут» если будет на уровне средних. Печаль короче очередная.
«Специалист пояснил, что в аппарате установлена операционная система реального времени собственной разработки — очень жёсткая и сильно урезанная в целях информационной безопасности»…
Урезанная? Попахивает тем что взяли какую то «готовую ось» (клон Linux,QNX..etc) и «урезали». То есть выбросили из неё «излишки». Думаю на поверку очередной аппарат с openVpn и SRTP (ZRTP) протоколом (привет BolgenOs). Ну и сертифицированный бэкдор в придачу. Ну и ценник думаю для «солидности». Ибо «не поймут» если будет на уровне средних. Печаль короче очередная.
Вы предлагаете писать все совсем с нуля?)
Ну так и заявлено ведь «система реального времени собственной разработки». Только мы вам её не покажем. Доверяйте нам.
Только мы вам её не покажем. Доверяйте нам.
Ваша компания выдаёт исходные коды ваших продуктов по первому запросу? Или же это как минимум коммерческая тайна? Тогда не могли бы вы хотя бы полностью перечислить все библиотеки и компоненты с их версиями, которые вы используете? =) У нас, например, взято стандартное ядро линукса, сильно порезано, написаны всякие обертки + дополнительные фичи безопасности в ядро и мы это называем тоже «собственной разработкой». Если сможете меня аргументированно переубедить почему это не так — велком!
Ну так Вы прямо и говорите. Мы взяли ядро линукса. Дописали, сделали свои фичи и обертки. Думаю что алгоритм работы Вы тоже предоставите (хотя бы общую схему) дабы заинтересованный в Вашем изделии понимал что у него «под капотом». Ведь простите на данный момент никто не хочет покупать «черный ящик». Тут как раз и проявляется вся прелесть опенсорса. Ведь никто не будет сомневаться в надежности например AES, openVpn? Ну а если мне будут предлагать новый вид шифрования… бла бла бла… круче тучи. Сертифицирован вот этими и этими институтами. В наше время как показывает практика, все наши беды, катастрофы и ляпсусы в жизни, как правило были «сертифицированы», под чутким «глюкнадзором» и т.п. Всегда мучил вопрос. Какую персональную (свят свят свят) несут ответственность эти организации что сертифицируют? Ведь на момент катастрофы отговорка будет одна — на тот момент продукт удовлетворял строгим правилам! Ну и зачем это мне? Зачем я буду переплачивать за эту сертификацию? Если я знаю что в основе все того же AES лежит математика, не подверженная никаким полит и фин хотелкам?.. Хорошо. Разработали они свою RTOS… ну вот я например в своих «приблудах» на все тех же АТмелках применяю весьма не распространенную JacOS. Я знаю как она работает и кем собрана и что от неё ожидать. Ну либо все та же freeRTOS… все понятно и наглядно. А что мне ожидать от предлагаемой? Уж простите но пусть докажут и покажут что она намного безопасней и лучше чем все что было до неё. Или я слишком многого хочу?
Какую персональную (свят свят свят) несут ответственность эти организации что сертифицируют?
Честно? В определенных случаях уголовную. Я вот принимал участие в реальной сертификации по КС1 по ФСБ, но переубеждать кого-то ни в чем не буду. Используйте AES и OpenVPN. Их разработчики, кстати, тоже никакой ответственности не несут. Пока вы частное лицо к вам никаких претензий! Никто вас не заставляет покупать это «исчадие ада» нашей промышленности)
А в гос. структурах (не важно, кстати, Россия, Штаты, Европа, Китай) есть необходимость некого доверия к единой методике и требованиям. И каждое государство создает свой такой центр доверия. У нас в плане криптухи это ФСБ, а в плане соответствия обычным требованиям ФСТЭК.
P.S. Про «так и говорите», кстати, маленькая ремарка. Вы удивитесь, но во многих лидерах рынка информация о бизнес-процессах и стеке инструментов NDA. И они уж никак не связаны с государством.
Спасибо за ответ. Буду надеяться что не все так плохо. Опенсорс он и есть опенсорс. Во всяком случае можно провести аудит исходника. Использовать «чистый» (относительно) компилятор и собрать нужную софтину. Во всяком случае в опенсорсе можно прогнозировать и ожидать вектор атаки, по сравнению с «черным ящиком».
Кстати, там не обязательно и опенсорс. Есть, например, Kaspersky OS. Она написана с нуля (т. е. это не форк линукса или какой-то другой существующей ОС) и как раз позиционируется как система для embedded-решений.
os.kaspersky.com
os.kaspersky.com
дин из двух установочных дисков системы IVA AVES S показан на фото.Аналог скайпа на 2-х(!) дисках?
Интересно, для чем там «электронный носитель ключа — карта РИК-2»? Для аутентификации собеседника или там ключи хранятся, и в случае ее изъятия, можно расшифровать переговоры? А так, в шифровании ничего нового — протоколы давно придуманы, и обычные мессенджеры их давно используют.
Да, цена высокая, но это наверно из-за маленького числа покупателей, которым таким образом приходится оплачивать разработку.
Да, цена высокая, но это наверно из-за маленького числа покупателей, которым таким образом приходится оплачивать разработку.
Двоякие чувства после прочтения таких статей.
С одной стороны я думаю что ценники вполне понятны — в себестоимость также заложена работа инженеров, создавших данный телефон, стоимость исследований, патентов и аудитов (думаю тоже не дешево) и т.д. Учитывая скудное количество покупателей данного девайса, а ведь покупать будут те, кому деваться не куда, только такая стоимость и может быть.
С другой стороны — госучереждения тратят огромную кучу бабла на устройства, аналоги которых стоят на порядки дешевле (плюс думаю обслуживание тоже гораздо проще, быстрее и дешевле)
С одной стороны я думаю что ценники вполне понятны — в себестоимость также заложена работа инженеров, создавших данный телефон, стоимость исследований, патентов и аудитов (думаю тоже не дешево) и т.д. Учитывая скудное количество покупателей данного девайса, а ведь покупать будут те, кому деваться не куда, только такая стоимость и может быть.
С другой стороны — госучереждения тратят огромную кучу бабла на устройства, аналоги которых стоят на порядки дешевле (плюс думаю обслуживание тоже гораздо проще, быстрее и дешевле)
Не удивлюсь тому что некоторые гос учреждения обяжут перейти на импортозамещенные сертифицированные средства связи. Ну а тут как раз отечественный производитель. Будет напоминать симулякр конкуренции. Все по честному )
Кто вам мешает сделать альтернативу в 5 раз дешевле и конкурировать?) Лично дам контакты людей, которые очень заинтересуются подобным устройством! Только не забудьте про такие мелочи, как «сертификат ФСБ» хотя бы по КС3. А еще помните, что устройство по классу КА должно защищать данные даже если у злоумышленника есть вся схемота и все исходные коды)
А еще помните, что устройство по классу КА должно защищать данные даже если у злоумышленника есть вся схемота и все исходные коды)
Не сильно разбираюсь в безопасности. Но по моему ВСЕ устойчевые к взлому алгоритмы шифрования открыты и множество популярных их имплементаций тоже открыто.
Вы не поверите, но грамотно встроить и не внести уязвимостей с помошью популярных имплементаций это целое искусство. Посмотрите на историю вирусов-шифровальщиков и их косяки при реализации криптографии.
Бабло, выплаченное в виде зарплаты отечественным инженерам, является самым прямым целевым расходованием средств государства. В отличие от бабла (пусть и меньшей суммы), выплаченного иностранным поставщикам, никак не избавляющего от необходимости кормить и своих граждан тоже.
Как-то этот момент часто упускают из вида при разговорах об импортозамещении.
Как-то этот момент часто упускают из вида при разговорах об импортозамещении.
Развивая вашу логику — намного выгоднее занять всех безработных маханием мётлами/лопатами на улицах вместо того, чтобы купить пару сотен снегоуборочных машин. И ямы рыть тоже вручную, а не зарубежными экскаваторами…
Инженеры, конечно, молодцы, что осилили спроектировать и выпустить работающее устройства. Но объективно — всё уже давно придумано до них и если бы не искуственные ограничения — количество продаж стремительно приближалось бы к нулю.
Инженеры, конечно, молодцы, что осилили спроектировать и выпустить работающее устройства. Но объективно — всё уже давно придумано до них и если бы не искуственные ограничения — количество продаж стремительно приближалось бы к нулю.
Если много безработных, то, действительно, выгоднее занять их рытьём ям вместо импортных экскаваторов. В густонаселённых странах третьего мира так и происходит.
Выгоднее в долгосрочной перспективе по сравнению с обучением квалифицированных рабочих и повышением производительности труда? Ну и мы тут, в РФ, по заявлениям голов из телевизора, претендуем на звание великой державы, а не третьего мира, всё-таки :)
Производительность труда при импорте экскаватора равна нулю.
Предполагается, что мы не в музей его импортировали, а для работы. С уважением, кэп.
Ну и этим мы распределили труд между иностранными инженерами и своим экскаваторщиком. Всяко 99% прибавочной стоимости уйдёт иностранным инженерам, 1% получит экскаваторщик, а ещё надо будет заплатить пособия по безработице мужикам с лопатами.
С точки зрения глобального рынка труда это более эффективно. Но с точки зрения глобального рынка труда вообще не имеет смысла жить на заснеженных просторах России.
С точки зрения глобального рынка труда это более эффективно. Но с точки зрения глобального рынка труда вообще не имеет смысла жить на заснеженных просторах России.
Печальность состоит еще в том, что когда рабочие станут квалифицированными и наберут поболее экспы… что они сделают? Правильно. Уедут на заработки туда где они будут «стоить подороже». Все просто.
И слава богу — это же совершенно естественный процесс, миграция в более благоприятные условия. Чем быстрее сколлапсируют неэффективные организации (будь то коммерческие фирмы или целые государства — не важно), тем лучше, имхо. Эти судорожные «цепляния за жизнь» объективно нежизнеспособных конструкций просто отвратительны, как по мне.
Выгоднее произвести пару сотен снегоуборочных машин или экскаваторов у себя. Вы не учитываете мультипликативные эффекты в экономике. При производстве машин намного больше безработных получат работу, чем если бы безработных просто наняли бы убирать улицы или рыть ямы.
Все прекрасно в этом утверждении. Вот только отсутствует элемент оценки эффективности их стараний (конкуренция-с). КАК эффективно работают гос. предприятия и каков процент брака у них на выходе, тема отдельной статьи (не хочу тут холиварить). А так да. Инженеры работают, стараются. Главнюки получат свои бонусы (даже не сомневаюсь). Это очень напоминает ситуацию во времена Русско-Японской войны. Гигантские суммы шли на перевооружение, закупку для военных… и гигантские суммы «оседали». А так да — хоть как то перевооружение происходило.
85к за что?
Не, я пас.
Не, я пас.
Мне вот что интересно:
MR-CELP на скорости 4,8 кбит/c для работы в режиме засекреченной связи— это ведь описание стандарта FS-1016, разработанного Министерством обороны США (sic!) и давным-давно признанного устаревшим, в том числе по причинам крайне плохого качества передачи речи.
UFO just landed and posted this here
Работал я с этими типами. Они, простите меня, свою задницу защитить не могут. Все пользователи локал админы, политики не настроены, все порты открыты. Не уверен, что их разработкам можно доверять. (А уж про персональные навыки сотрудников я вообще промолчу)
Это же китайский Yealink за 2000 рублей
Sign up to leave a comment.
«Ростех» начал продажи офисного телефона «Круиз-К» за 85 000 руб