Pull to refresh
0
0
Александр Колючкин @Kolyuchkin

Java-программист

Send message
аппаратные модули доверенной загрузки могут контролировать целостность данных только в операционных системах не сложнее DOS


С чего Вы это взяли? АПМДЗ могут контролировать целостность данных независимо от типа ОС. АПМДЗ зачастую и не знают о типе ОС на хосте. Перед загрузкой ОС АПМДЗ могут проверять и файлы в поддерживаемых ФС и отдельные сектора дисков. Так что, какие данные пользователь прикажет проверять, такие АПМДЗ и проверит. А уж с приходом UEFI возможности по контролю расширились)
Сертификация по уровню КС2 — это для защиты от уборщиц)))))) Поясню: класс защищенности КС2 (в самой понятной для обывателя формулировке) подразумевает защищенность изделия от нарушителей Н2 (нарушитель, имеющий доступ в помещение с защищаемыми техническими средствами, но не являющийся пользователем оных средств) и Н1 (нарушитель, не имеющий доступ в контролируемую зону; для осуществления атак может применять только технические средства, полученные из открытых источников)… Так что, чтобы оспорить качество сертифицированных продуктов, необходимо еще соответствующие условия создать.
Начиная с 2016 года в РФ уже действует новый ГОСТ блочного шифрования: http://servernews.ru/916192
Хотя… в статье подразумевается все-таки использование ГОСТ-ов электронной подписи и ХЭШ-функции…

З.Ы.
Не могу также не отметить того факта, что старый ГОСТ 28147-89 большой молодец, продержавшийся без взлома очень-очень долго))) (согласен с Вами, что фактически взлома и небыло)
Вот ссылка на документ с официального сайта ФСБ, в котором содержится актуальный перечень сертифицированных СЗИ — 176 страниц, впечатляет.

http://clsz.fsb.ru/files/download/svedenia_po_sertifikatam_(010716).doc
Вот как раз изучив как работает Swing (по книге Портянкина, например) и попробовав «набрасывать» GUI в Idea-евских или NetBeans-овских редакторах графического интерфейса, я пришел к выводу, что легче все делать «ручками» — Swing это позволяет делать достаточно легко в коде.
На моей памяти Путин еще в 2003 году выпустил приказ об осуществлении информационного взаимодействия органов государственной власти посредством сетей общего пользования только с использованием сертифицированных СКЗИ с функциями межсетевого экранирования. И именно из-за этого в сертификатах ФСБ на УЦ компании «Крипто-Про» было примечание: «использовать без выхода в сети общего пользования». В результате чего отсутствовала возможность обновлять сертификаты открытых ключей через Интернет (вынуждены были использовать дискетки). Так что Вы правы насчет скорого исполнения обсуждаемого закона… что и огорчает и радует одновременно…
И это «подробная инструкция»? Да-а-а…
С Вами все ясно… Оставайтесь при своем мнении… Вы, наверное, каждый день клепаете изделия для ВПК и «регуляторов»…
Кажется мне, что это Вы как раз не разрабатывали и не запускали в серию ни одного изделия. На серийном производстве из каждой партии выбирают определенное кодличество изделий (или все, если изделие «серьезное») и «прогоняют» их по ТУ (Технические Условия, если не в курсе). Так вот чтобы эти проверки (в данном случае затрагивающие «специальные свойства» изделия и его аппаратную часть) осуществить, зачастую требуется перевести изделие в «необычное» состояние, для этого и необходимы и технологическое оборудование и технологические прошивки. А еще чаще бывает, что Заказчик даже заводу-изготовителю не предоставляет реальных прошивок требуемых алгоритмов, требуя, чтобы они вводились на месте эксплуатации. Так то.
Тогда у меня возникает следующий вопрос: «Знакомы ли Вы с процессом разработки аппаратно-программных комплексов — от макетирования до серийного производства?» В моем опыте еще ни разу не встречалось ни одно устройство, которое бы не проходило этапы отладки-тестирования-корректировки. Поэтому наличие отладочных и технологических интерфейсов просто необходимо, чтобы те же тестеры, настройщики и программисты не проклинали Вас))) А раз так, то использование проверенного и гибкого в настройках загрузчика — это еще одна необходимость. Есть исходники U-Boot, так вот гораздо проще портировать нужный Вам его функционал, чем писать свой «велосипед» с присущими «велосипедными багами». Еще U-Boot спроектирован так, что позволяет легко менять (обновлять) Вашу прошивку на уже работающем (проданном, находящимся у Заказчика) оборудовании (конечно, если вы предусмотрели это «правило хорошего тона»). Еще хочется добавить, что даже в серийном производстве (приемо-сдаточные испытания все прошли, Ваше изделие получило литеру «О1») есть этапы промпежуточного контроля, на которых в устройство зашивается тестовое (технологическое) ПО, чтобы, например, получить печать ОТК.
Про Линукс тоже не сказано, что он поддерживает ту или иную программно-аппаратную архитектуру, в которую его портируют «умелые руки»)) На мой взгляд, у Вас неправильный подход к разработке… Во-первых, U-Boot — загрузчик с открытыми исходниками и модульный — позволяет портировать нужные компоненты под любой МК (все зависит от квалификации разработчика). Во-вторых, на моей практике не встречался еще аппаратно-программный проект, в котором отсутствовала бы фаза тестирования-отладки-настройки и железа и ПО — на этом этапе приходится часто перепрошивать МК и перекраивать железо. В процессе же уже серийного производства загрузчик прошивается на «железном» этапе и с помощью его происходит сначало загрузка технологического и тестового ПО для проверки аппаратной части и сдаче ОТК, а уж потом шьется боевое ПО.
Чем Вам U-Boot не нравится?
Позволяя Ubunte (и иже с ней) по-умолчанию выделять под своп место на SSD, Вы, тем самым, косвенно продлеваете время «нормального быстродействия» диска. Потому как известно, что SSD-шки начинают тормозить, когда забиваются полностью. И даже есть советы оставлять 10-15% неиспользованными…
Уберите код в спойлер… все равно укажут на это.
Ознакомьтесь, пожалуйста, с отечественной концепцией применения биометрии — госты из серии ГОСТ Р 52633.
Может у нас с вами разное «недавно» или я не правильно понимаю термин «пачками», но еще когда я писал блочный драйвер для ядра 2.4.32 по LDD-2 (~2001 год выпуска), то уже там были рекомендации и примеры реордеринга очереди запросов (накопил, отсортировал и выплюнул в устройство), если конечно был асинхронный режим.
Недавно в одном аппаратно-программном проекте на базе как раз ОС РВ (Embox) для моментальной реакции на принятые сетевые пакеты нам пришлось настраивать EMAC в драйвере следующим образом: по-умолчанию прерывания приходили от каждого принятого пакета, по интенсивности приема на лету производилась корректировка контроллера прерываний, чтобы он реагировал не на каждый принятый пакет. Далее, по таймеру, производилась обратная перенастройка контроллера прерываний. Так же приходилось играться и с приоритетами обслуживающих потоков (клиентов).
Очень интересно) А видео-записи докладов будете выкладывать в общий доступ? А может и трансляция будет? Я бы посмотрел.
Болтовня и пререкания тоже ничего не делают для исчезновения наркоторговцев и педофилов — это такое же «изображение авиабазы». Как еще говорится, спрос рождает предложение, а хоть какая-то цензура, пусть даже неэффективная, хоть как-то убережет от этой «рекламы», тех, кто этого специально не ищет. То то и оно, что из всей этой ветки дискуссии не прозвучало ни одного поистине дельного предложения — альтернативы цензуры.
А выкрикивать популярные лозунги и критиковать регуляторов, ума много не надо. Вот и все — минусуйте дальше.

Information

Rating
Does not participate
Location
Пенза, Пензенская обл., Россия
Date of birth
Registered
Activity