Я нисколько не сомневаюсь в безопасности решений PGP/GPG, но они находят свое применение именно в сегменте частной безопасности, делая упор на простое распространение ключевой информации между участниками обмена.
Для уровня Enterprise и «серьезных» взаимоотношений, как выше отмечал пользователь dendery, необходимо управление ключами, основанное на единой точке доверия. На сегодняшний день это технология PKI и Удостоверяющие Центры. Именно они призваны связать конкретное физическое лицо с его открытым ключом. Это необходимо для того, чтобы всегда был известен ответчик по конкретному инцеденту.
По Вашим вопросам: > Соответствует ли этот стандарт статье 10 закона об электронной подписи?
Статья 10. Обязанности участников электронного взаимодействия при использовании усиленных электронных подписей.
В данной статье не требований, которым что-то могло бы соответствовать или нет
> К какому виду подписи его можно отнести исходя из статьи 9?
Статья 9. Использование простой электронной подписи
Статья описывает использование простой подписи
Возможно ли его использовать как доказательство в суде?
Возможно, в случае наличия между участниками обмена соглашения, соответствующего части 2 статьи 9 63-ФЗ.
Практически любое устройство, с которым с составе идет библиотека PKCS#11 (токен, смарт-карта, HSM и пр.), обладает своими специфичными функциями.
Например, функции инициализации устройства, задания специфичных для конкретной реализации параметров.
Специфичные вещи никак не могут быть стандартизованы, поэтому для выполнения подобных операций возможно внедрение расширений PKCS#11.
Для примера, если Вы посмотрите SDK практически на любую смарт-карту, например eToken PRO (Java) или Gemalto TPC, то их реализация PKCS#11 имеет ряд расширений как раз для подобных целей.
Прошу Вас не интерпретировать мои слова по-своему.
Посмотрите, пожалуйста, 5-й абзац, прежде чем присваивать мне слова о том, что управление ключами не причем.
Повторюсь еще раз. Управление ключами — отдельная тема, которая в данной статье не затрагивалась. Для ее раскрытия необходимо уделять внимание не технологиям работы с электронной подписью, а технологиями построения PKI.
Тема несколько обширна и освящение поднятых Вами вопросов — не одной статьи об'ем.
То, что Вы не увидели того, что хотите — извините, не угодил.
Относительно Ваших вопросов:
1. Мультиподпись в статье описана. Подробности — прошу смотреть стандарт или задать корректно интересующий вопрос.
2. Нотариат относится больше к юридическому аспекту ЭП, а не к техническому. Это тема отдельной дискуссии.
3. Управление ключами при работе с ЭП — удел PKI. Читайте внимательно и смотрите ссылки.
4. См. П. 3.
5. Это вообще не относится к теме статьи. См. введение.
Готов обсудить интересующие вопросы при корректной их постановке. Мешать все темы в одну кучу — будет либо скомкано и ничего не понятно, либо очень много букв.
Если интересно, можно создать цикл статей на эту тему, раскрывающих все аспекты.
Кстати о «подержать».
Если уж мы тут обмениваемся любезностями, может Вы нам тоже дадите подержать вашу поделку?
А то, насколько мне известно, компания, обладающая сверхопытом и всеми возможными сертификатами и лицензиями не очень далеко ушла от прототипа :)
Смартфон, насколько я понимаю, нужен только для работы: почта, интернет, навигация, деловые приложения (ридер документов, органайзеры и пр.)
Но из-за своей функциональности смартфоны нашли себя и в развлечениях: игры, книги, твиттер и пр. Но это не нужда, а именно развлечение.
Мне, например, смартфон стал просто незаменим именно из-за почты (не только оперативное получение, но и написание) и деловых приложений.
Ваши слова, о том, что телефон был флагманским полгода назад напомнили ситуацию с бурным развитием процессоров и видеокарт в совсем недавнем прошлом.
Только купишь супернавороченный компьютер — бац, он уже не тянет современную игрушку.
Сейчас купишь флагманский телефон — через полгода на него не встает современная операционка :(
При использовании sTunnel есть ложка дегтя, о которой Вы не рассказали.
Дело в том, что эта программа самостоятельно открывает TLS-соединение с нужным сервером. При широкой распространенности этого решения неизбежно возникают ситуации, когда корпоративная сетевая политика предписывает работать нестандартными способами (прокси, VPN, ограничения портов, веб-фильтры и т. д.). И часто возникают ситуации, когда sTunnel просто не работает.
По этой причине очень ограниченно используются похожие продукты. Например, InterPro от Сигнал-Ком.
Браузер пользователя работает по HTTP.
sTunnel, получая запросы по HTTP, перенаправляет их на нужный сервер (указанный в его настройках) по TLS-соединению. Он тут работает как прокси.
Так что конечный браузер даже не знает, что его защищают
Насколько я понял из описания, тайна голосования обеспечивается маскированием хеша бюллетеня.
Было бы неплохо привести описание маскирования/демаскирования более подробно (криптостойкость, откуда математические выкладки и пр.).
Или данные преобразования соответсвуют какому-либо криптоалгоритму?
У нас вопрос в том, что все взаимоотношения порождает Наймодатель.
И пока Наймодатель первым делом будет идти к риэлтеру — ничего не изменится. Никакие сайты и рейтинги не будут действовать. Максимум, чего можно будет добиться — появится несколько риэлтеров с высоким уровнем доверия. Но чем это отличается от существующих крупных агентств?
А Наймодатель идет к риэлетру по одной причине: «зачем мне морочиться — пусть все делает агент. Мне все равно это бесплатно».
ИМХО, в сложившейся у нас ситуации с жильем (дефицит), риэлтерские услуги по найму жилья должны регулироваться законодательно: платит и наймодатель и наниматель. Но тут возникает вопрос контроля, завязывающийся на НДФЛ со сдачи жилья в найм. А это уже совсем другой вопрос…
Сложная ситуация, которая полностью повернута этими пронырами в свою сторону. Значит есть спрос.
Евгений,
Я бы на Вашем месте поостерегся говорить о доверии, так как используемые Вашей компанией методы и технологии довольно далеки от категории «доверенные». Если Вам интересно, могу конкретизировать.
Если Вы сомневаетесь в профессионализме компании SafeTech, то прошу аргументировать свои слова и привести обоснование, отличное от «зарабатывается годами» и «неизвестно кто».
Как мне кажется, в если в довольно тесном кругу специалистов по защите ДБО Вы называете основателей компании SafeTech «неизвестно кем», то Вы, мягко говоря, сами мало знакомы с темататикой.
Ну Вы же должны понимать, что сертификат — своего рода страховка. Здесь Вы также, как и при страховании, перекладываете ответственность.
УЦ, в свою очередь, оценивает риски (риск что УЦ вводят в заблуждение, риск компрометации закрытого ключа УЦ и пр.), соотношение между величиной этих рисков и затратами на их минимизацию (стоимость проверки владельца открытого ключа по определенному уровню контроля, стоимость защиты инфраструктуры УЦ и пр.), страховую премию (стоимость сертификата) и из этих величин выводит стоимость страховой выплаты (величина ответственности).
Это всего лишь значит, что Сбербанк эта сумма страховой выплаты устраивает. Вот и все. В противном случае для Сбера сертификат стоил бы дороже, так как повышается ответственность УЦ.
Я конечно рискую нарваться на грубость, но, на мой взгляд, предпосылки создания Convergence появились из-за непонимания принципов PKI.
УЦ не продает воздух под видом сертификатов. Идеологический принцип УЦ — перемещение ответственности за принятие решения о доверии тому или иному открытому ключу на организацию, которая выдала сертификат (удостоверение) открытого ключа.
То есть Вы платите не за набор бит, а за ответственность, которую несет УЦ, удостоверяя Ваш открытый ключ. Чем выше ответственность, тем серьезнее будут проверки перед выдачей сертификата (EV-сертификаты)
По поводу стоимости сертификатов — УЦ несет финансовую и другую ответственность за то, что он выдал сертификат именно владельцу открытого ключа. Исходя из этого, УЦ крайне заинтересован в том, чтобы его инфраструктура была в безопасности в разрезе конфиденциальность-целостность-доступность. В случае нарушения одного из этих свойств — с УЦ может быть привлечен к ответственности. Для примера, в России минимальный размер обеспечения ответственности УЦ — 5 млн. рублей.
Поэтому системы типа Convergence — только для частных пользователей, играющих в безопасность. Эта система немасштабируема и нежизнеспособна при пересчете в деньги.
Хороший руководитель, помимо всего прочего, должен брать на себя риски, в отличие от подчиненных. В случае выбора неправильно вектора развития (цели) именно руководитель несет ответственность перед командой и бизнесом в целом.
Наградой за риск и правильно принятые решения является, обычно, более высокий процент от прибыли бизнеса в целом.
Я нисколько не сомневаюсь в безопасности решений PGP/GPG, но они находят свое применение именно в сегменте частной безопасности, делая упор на простое распространение ключевой информации между участниками обмена.
Для уровня Enterprise и «серьезных» взаимоотношений, как выше отмечал пользователь dendery, необходимо управление ключами, основанное на единой точке доверия. На сегодняшний день это технология PKI и Удостоверяющие Центры. Именно они призваны связать конкретное физическое лицо с его открытым ключом. Это необходимо для того, чтобы всегда был известен ответчик по конкретному инцеденту.
По Вашим вопросам:
> Соответствует ли этот стандарт статье 10 закона об электронной подписи?
Статья 10. Обязанности участников электронного взаимодействия при использовании усиленных электронных подписей.
В данной статье не требований, которым что-то могло бы соответствовать или нет
> К какому виду подписи его можно отнести исходя из статьи 9?
Статья 9. Использование простой электронной подписи
Статья описывает использование простой подписи
Возможно ли его использовать как доказательство в суде?
Возможно, в случае наличия между участниками обмена соглашения, соответствующего части 2 статьи 9 63-ФЗ.
Например, функции инициализации устройства, задания специфичных для конкретной реализации параметров.
Специфичные вещи никак не могут быть стандартизованы, поэтому для выполнения подобных операций возможно внедрение расширений PKCS#11.
Для примера, если Вы посмотрите SDK практически на любую смарт-карту, например eToken PRO (Java) или Gemalto TPC, то их реализация PKCS#11 имеет ряд расширений как раз для подобных целей.
Посмотрите, пожалуйста, 5-й абзац, прежде чем присваивать мне слова о том, что управление ключами не причем.
Повторюсь еще раз. Управление ключами — отдельная тема, которая в данной статье не затрагивалась. Для ее раскрытия необходимо уделять внимание не технологиям работы с электронной подписью, а технологиями построения PKI.
То, что Вы не увидели того, что хотите — извините, не угодил.
Относительно Ваших вопросов:
1. Мультиподпись в статье описана. Подробности — прошу смотреть стандарт или задать корректно интересующий вопрос.
2. Нотариат относится больше к юридическому аспекту ЭП, а не к техническому. Это тема отдельной дискуссии.
3. Управление ключами при работе с ЭП — удел PKI. Читайте внимательно и смотрите ссылки.
4. См. П. 3.
5. Это вообще не относится к теме статьи. См. введение.
Готов обсудить интересующие вопросы при корректной их постановке. Мешать все темы в одну кучу — будет либо скомкано и ничего не понятно, либо очень много букв.
Если интересно, можно создать цикл статей на эту тему, раскрывающих все аспекты.
Если уж мы тут обмениваемся любезностями, может Вы нам тоже дадите подержать вашу поделку?
А то, насколько мне известно, компания, обладающая сверхопытом и всеми возможными сертификатами и лицензиями не очень далеко ушла от прототипа :)
Но из-за своей функциональности смартфоны нашли себя и в развлечениях: игры, книги, твиттер и пр. Но это не нужда, а именно развлечение.
Мне, например, смартфон стал просто незаменим именно из-за почты (не только оперативное получение, но и написание) и деловых приложений.
Только купишь супернавороченный компьютер — бац, он уже не тянет современную игрушку.
Сейчас купишь флагманский телефон — через полгода на него не встает современная операционка :(
Забавно на это смотреть. Многое говорит о позиции и методах работы.
Дело в том, что эта программа самостоятельно открывает TLS-соединение с нужным сервером. При широкой распространенности этого решения неизбежно возникают ситуации, когда корпоративная сетевая политика предписывает работать нестандартными способами (прокси, VPN, ограничения портов, веб-фильтры и т. д.). И часто возникают ситуации, когда sTunnel просто не работает.
По этой причине очень ограниченно используются похожие продукты. Например, InterPro от Сигнал-Ком.
sTunnel, получая запросы по HTTP, перенаправляет их на нужный сервер (указанный в его настройках) по TLS-соединению. Он тут работает как прокси.
Так что конечный браузер даже не знает, что его защищают
Благодарю за пояснения.
Было бы неплохо привести описание маскирования/демаскирования более подробно (криптостойкость, откуда математические выкладки и пр.).
Или данные преобразования соответсвуют какому-либо криптоалгоритму?
И пока Наймодатель первым делом будет идти к риэлтеру — ничего не изменится. Никакие сайты и рейтинги не будут действовать. Максимум, чего можно будет добиться — появится несколько риэлтеров с высоким уровнем доверия. Но чем это отличается от существующих крупных агентств?
А Наймодатель идет к риэлетру по одной причине: «зачем мне морочиться — пусть все делает агент. Мне все равно это бесплатно».
ИМХО, в сложившейся у нас ситуации с жильем (дефицит), риэлтерские услуги по найму жилья должны регулироваться законодательно: платит и наймодатель и наниматель. Но тут возникает вопрос контроля, завязывающийся на НДФЛ со сдачи жилья в найм. А это уже совсем другой вопрос…
Сложная ситуация, которая полностью повернута этими пронырами в свою сторону. Значит есть спрос.
Я бы на Вашем месте поостерегся говорить о доверии, так как используемые Вашей компанией методы и технологии довольно далеки от категории «доверенные». Если Вам интересно, могу конкретизировать.
Если Вы сомневаетесь в профессионализме компании SafeTech, то прошу аргументировать свои слова и привести обоснование, отличное от «зарабатывается годами» и «неизвестно кто».
Как мне кажется, в если в довольно тесном кругу специалистов по защите ДБО Вы называете основателей компании SafeTech «неизвестно кем», то Вы, мягко говоря, сами мало знакомы с темататикой.
Я так думаю, здесь уже вступила в силу оптимизация расходов со стороны УЦ.
УЦ, в свою очередь, оценивает риски (риск что УЦ вводят в заблуждение, риск компрометации закрытого ключа УЦ и пр.), соотношение между величиной этих рисков и затратами на их минимизацию (стоимость проверки владельца открытого ключа по определенному уровню контроля, стоимость защиты инфраструктуры УЦ и пр.), страховую премию (стоимость сертификата) и из этих величин выводит стоимость страховой выплаты (величина ответственности).
Это всего лишь значит, что Сбербанк эта сумма страховой выплаты устраивает. Вот и все. В противном случае для Сбера сертификат стоил бы дороже, так как повышается ответственность УЦ.
УЦ не продает воздух под видом сертификатов. Идеологический принцип УЦ — перемещение ответственности за принятие решения о доверии тому или иному открытому ключу на организацию, которая выдала сертификат (удостоверение) открытого ключа.
То есть Вы платите не за набор бит, а за ответственность, которую несет УЦ, удостоверяя Ваш открытый ключ. Чем выше ответственность, тем серьезнее будут проверки перед выдачей сертификата (EV-сертификаты)
По поводу стоимости сертификатов — УЦ несет финансовую и другую ответственность за то, что он выдал сертификат именно владельцу открытого ключа. Исходя из этого, УЦ крайне заинтересован в том, чтобы его инфраструктура была в безопасности в разрезе конфиденциальность-целостность-доступность. В случае нарушения одного из этих свойств — с УЦ может быть привлечен к ответственности. Для примера, в России минимальный размер обеспечения ответственности УЦ — 5 млн. рублей.
Поэтому системы типа Convergence — только для частных пользователей, играющих в безопасность. Эта система немасштабируема и нежизнеспособна при пересчете в деньги.
Хороший руководитель, помимо всего прочего, должен брать на себя риски, в отличие от подчиненных. В случае выбора неправильно вектора развития (цели) именно руководитель несет ответственность перед командой и бизнесом в целом.
Наградой за риск и правильно принятые решения является, обычно, более высокий процент от прибыли бизнеса в целом.