Pull to refresh

Comments 6

"Применение российских криптоалгоритмов позволяет добиться юридической значимости коммуникаций в соответствии с действующим законодательством, повысить защищенность каналов связи и способствует снижению рисков несанкционированного доступа к конфиденциальной информации. " да-да, слышали, протокол шифрования "Кузнечик" с бэкдором в значениях S-блока и хэш-функций...

А как же тогда брать под контроль личную жизнь граждан? Для этого есть бэкдоры в гос. алгоритмах. Только вот... Во всех современных процессорах (или почти всех) есть железная поддержка АЕС (Интел к примеру). Как с этим бороться? Придумывать отечественные Эльбрусы и призывать (а скорее всего принуждать, этим вряд ли проблему в целом можно вылечить) переходить на них. Повсеместно. А потом придумывать велосипед совместимое ПО, вместо допустим винды под ключ с огромным парком написанных для неё программ. И переводить народ на него тоже повсеместно и скорее всего в принудительном порядке. Мы уже сейчас наблюдаем смартфоны с РУССКИМ софтом, от которого избавляются по причине некомфортности. Короче, если сейчас переходить на отечественную криптографию, то ломать всё.

В девяностые надо было вертеться, господа. Кто раньше встал, того и тапки.

Государственная "криптография" не годится для долгосрочного хранения. После истечения срока сертификата ключ нужно перегенерировать. В результате все что было зашифровано становится мусором.

Почему же? При применении как ГОСТ, так и других криптографических алгоритмов возможно использовать механизмы, разработанные для долговременного хранения документов, подписанных ЭП. Например, можно применять штампы времени (https://ru.wikipedia.org/wiki/Time_Stamp_Protocol) или расширенные форматы электронной подписи CADES (https://ru.wikipedia.org/wiki/CAdES)

Знаете, я читаю про криптографию и безопасность в офисе. Потом я захожу на сервера клиентов и вижу валяющиеся приватные части ключей в открытом доступе для всех (сотрудников фирмы. под 50 человек где-то имеют доступ, когда должны человека 3). И меня такой смех разбирает.
Вобщем, то что я вижу — это почти весь персонал обладает околонулевой квалификацией и поэтому все сводится к «пароль лежит под клавиатурой». Ну какая криптография? Чтобы она работала — все, кто хоть как-то ее касается — должны хорошо разбираться. И ладно, допустим, понимание слабое у далекого от ИТ персонала, но когда сисадмин не видит никаких проблем в валяющихся так закрытых ключах — о криптографии можно не вспоминать.
Вот знаете, pgp появился более 20 лет назад (вместе с плагинами, упрощающими его использования в почтовых клиентах) — вот скажите, у вас есть хоть один пример из бизнеса ведения зашифрованной переписки (вне ЭДО, где того требует провайдер)? у меня нет.

Добрый день. Статья немного про другое, конечно, но согласен с вами, что частое отсутствие базовых гигиенических правил по обеспечению ИБ это огромная проблема, которая может поставить крест на всех усилиях производителей средств защиты информации. Человек как был, так и остается самым слабым звеном в системах защиты.
По поводу ведения зашифрованной переписки – лично я встречал такие примеры, но к сожалению гораздо реже, чем хотелось бы. И одна из наших целей как раз и состоит в том, чтобы создать безопасные инструменты коммуникаций, которыми будет удобно пользоваться 🙂

Sign up to leave a comment.