Выше уже писали, что АНБ/ЦРУ/ФБР встраивают бекдоры в публичные алгоритмы, но сами у себя используются другие способы шифрования
Для чего-то используют NSA Suite A, где сами алгоритмы секретны. Хотя Suite B с AES тоже подходит для SECRET и TOP SECRET.
А вот ФСБ имеет право потребовать любые ключи шифрования, не зависимо от алгоритма. И никакое навешивание дополнительных слоев от этого не спасает. Поэтому очень странно подозревать спецслужбы в таком сложном умышленном способе стрельбы в собственную ногу.
Неужели кто-то и в самом деле думает, что в алгоритм специально встроен бекдор, что бы ФСБ могло читать переписку?
Зачем это делать с использованием уязвимости, которая может быть потенциально известна противнику, вместо того, что бы просто потребовать ключи шифрования?
Очень тяжело читать.
Хотя мне данная тема интересна, но я так и не смог осилить до конца.
Материала много, но очень тяжело часто переключаться с картинок на текст.
И сразу непонятно, с анимацией картинка или без оной.
А ждать гифки, но не дождаться — очень сильно раздражает.
Ну раз так, тогда ОК. Может поделитесь статистикой, сколько разработчиков СКЗИ у вас уже консультировались?
А насчет словоблудия, перечитайте пожалуйста исходный тезис. Я уже несколько раз вам пояснял, что речь идет о вопросе с точки зрения разработчика СЗКИ.
Реализация алгоритма != разработка СКЗИ.
Но мы же говорим про гипотетическую возможность реализации AES поверх ГОСТ в рамках честного СКЗИ, значит у честного разработчика эта лицензия должна быть.
2) Никто из лицензиатов не будет внедрять…
Вам не кажется, что это дело самих лицензиатов?
3) А вот как пользователю, который приобрел сертифицированное СКЗИ...
Пользователю вообще запрещено что либо модифицировать внутри СКЗИ, тем более, если этот функционал не закладывался разработчиком.
4) Не понятно пока, где это возможно применить...
На вскидку могу предложить следующие варианты:
реализация единого решения как для продажи внутри России, так и для экспортого варианта
всякие шлюзы, для подключение зарубежных представительств российских компаний к головному офису в России (у них западное оборудование, а у нас ГОСТ)
удовлетворение академического интереса (ну прям как сейчас ;-) )
Спасибо за статью!
Хотя мне больше понравился не достигнутый результат, а отступления от основной темы с рассказами о других проектах. Получился очень хороший обзор проектов по данной тематике.
Спасибо за развернутый материал! Совершенно не ожидал, что затянет и дочитаю до конца.
Причем сперва казалось, что будет очередной срыв покровов. А в результате оказалось, что подобные технологии действительно существуют (хотя в фильмах действительно перегибают палку)
Ведь есть же вагон и маленькая тележка сервисов мониторинга сайтов, которые можно настроить как душе угодно, включая различные способы оповещения о проблемах. А в чем преимущество данного решения?
Давайте попробуем на примерах:
Представим, что нужно выполнить требование: «обеспечить криптографическую защиту канала связи»
Это требование вы не закроете ни одним западным алгоритмом, т. к. что бы пройти наших регуляторов, им требуется шифрование ГОСТ. Поэтому я и написал, что западный алгоритм за шифрование не считается (за сертифицируемое шифрование).
Но что вы накрутите сверх этого, зависит от вас. Сможете обосновать необходимость дополнительного преобразования, например эквивалентного AES, значит сертификацию пройдете (конечно, если ГОСТ будет правильно реализован).
Какая разница, как именно реализовано шифрование — аппаратным блоком или программно. Шифрованием оно от этого не перестает быть.
Я специально выделил ключевые места. Чужое устройство или свое с исходниками. В данном контексте, возможность задействования аппаратных блоков роли не играет.
Требуется, но по другой причине.
Неужели не видно разницы, когда ты ввозишь чужое устройство, и когда предоставляешь свое устройства для изучения вместе с исходниками?
Ну так, а сервис залочен на криптографический ключ.
А внешний вид, место продаж и т.д. это не вендор-лок, а средства индивидуализации которые относятся к результатам интеллектуальной деятельности, на которые установлено исключительное право интеллектуальной собственности.
Кто-то говорил, что с точки зрения нормативки, западные алгоритмами шифрованием не считаются.
Поэтому второй слой, это будет просто математическое преобразование по определенному алгоритму (наверно).
Несогласен.
Вендор-лок, это один из способов конкуренции, основанный на монопольном владении ресурсом (технологией, спецификацией, криптографическим ключом).
Если используются используются общие, а еще лучше открытые стандарты и спецификации, попытка подсадить пользователя на вендор-лок решение обычно становится экономически не выгодной.
А вот ФСБ имеет право потребовать любые ключи шифрования, не зависимо от алгоритма. И никакое навешивание дополнительных слоев от этого не спасает. Поэтому очень странно подозревать спецслужбы в таком сложном умышленном способе стрельбы в собственную ногу.
Зачем это делать с использованием уязвимости, которая может быть потенциально известна противнику, вместо того, что бы просто потребовать ключи шифрования?
И если да, то для каких целей?
Хотя мне данная тема интересна, но я так и не смог осилить до конца.
Материала много, но очень тяжело часто переключаться с картинок на текст.
И сразу непонятно, с анимацией картинка или без оной.
А ждать гифки, но не дождаться — очень сильно раздражает.
Кстати, раз уж вы так гордитесь общением сто ставьте себе еще +1.
А насчет словоблудия, перечитайте пожалуйста исходный тезис. Я уже несколько раз вам пояснял, что речь идет о вопросе с точки зрения разработчика СЗКИ.
Но мы же говорим про гипотетическую возможность реализации AES поверх ГОСТ в рамках честного СКЗИ, значит у честного разработчика эта лицензия должна быть.
Вам не кажется, что это дело самих лицензиатов?
Пользователю вообще запрещено что либо модифицировать внутри СКЗИ, тем более, если этот функционал не закладывался разработчиком.
На вскидку могу предложить следующие варианты:
Хотя мне больше понравился не достигнутый результат, а отступления от основной темы с рассказами о других проектах. Получился очень хороший обзор проектов по данной тематике.
Причем сперва казалось, что будет очередной срыв покровов. А в результате оказалось, что подобные технологии действительно существуют (хотя в фильмах действительно перегибают палку)
Представим, что нужно выполнить требование: «обеспечить криптографическую защиту канала связи»
Это требование вы не закроете ни одним западным алгоритмом, т. к. что бы пройти наших регуляторов, им требуется шифрование ГОСТ. Поэтому я и написал, что западный алгоритм за шифрование не считается (за сертифицируемое шифрование).
Но что вы накрутите сверх этого, зависит от вас. Сможете обосновать необходимость дополнительного преобразования, например эквивалентного AES, значит сертификацию пройдете (конечно, если ГОСТ будет правильно реализован).
Я специально выделил ключевые места. Чужое устройство или свое с исходниками. В данном контексте, возможность задействования аппаратных блоков роли не играет.
Неужели не видно разницы, когда ты ввозишь чужое устройство, и когда предоставляешь свое устройства для изучения вместе с исходниками?
Речь же шла о реализации некого преобразования поверх шифрования ГОСТ.
А внешний вид, место продаж и т.д. это не вендор-лок, а средства индивидуализации которые относятся к результатам интеллектуальной деятельности, на которые установлено исключительное право интеллектуальной собственности.
Поэтому второй слой, это будет просто математическое преобразование по определенному алгоритму (наверно).
Вендор-лок, это один из способов конкуренции, основанный на монопольном владении ресурсом (технологией, спецификацией, криптографическим ключом).
Если используются используются общие, а еще лучше открытые стандарты и спецификации, попытка подсадить пользователя на вендор-лок решение обычно становится экономически не выгодной.