Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 6
Есть где-то сравнительная табличка по open source библиотекам c поддержкой CAdES-A и ГОСТ? Тот же Bouncy Castle поддерживает?
Какие посоветуете для реализации on-line сервиса перештамповки (без сертификации)?
Использование подобных open source библиотек не попадает под «Незаконная деятельность в области защиты информации»?
TL;DR тонна никчемушного геморроя с заметными затратами на проприетарный софт и неиллюзорной уголовной ответственностью. Как говорится, нафига?
ГОСТ появился не на пустом месте. В начале 2010-х выяснилось, что АНБ протолкнуло в NIST генератор случайных чисел (Dual чтто-то там, не помню сходу) с бэкдором и заплатило RSA Security 10 млн длр, чтобы сделать его дефолтным в их продукте. После этого делать собственные алгоритмы и не доверять чужим — вполне рациональная позиция. Своя криптография кроме США и РФ есть и у Китая, Кореи, Японии, в ЕС тоже что-то делают сейчас. Национальные криптоалгоритмы — норма для любой страны с претензией на технологическую независимость.
Ну и юрчасть часть вообще не про криптографию — это просто закон, как лицензия на алкоголь или сертификация медтехники. Если работаешь с госзаказчиками или регулируемыми данными, то это просто условие допуска. Если нет — живёшь на стандартном стеке и не паришься.
После этого делать собственные алгоритмы и не доверять чужим — вполне рациональная позиция. Своя криптография кроме США и РФ есть и у Китая, Кореи, Японии, в ЕС тоже что-то делают сейчас. Национальные криптоалгоритмы — норма для любой страны с претензией на технологическую независимость.
Спорное утверждение. Полагаю, что этот зоопарк нац-стандартов с такими же мотивами как когда-то PAL, SECAM, NTSC - со временем будет побежден. Все это, что в аналоговых ТВ-стандартах, что в криптоАлгоритмах, - лоббирование интересов национальных производителей, конечно с "красивой" легендой - "обоснованием" о технологической независимости. Такой зоопарк приносит только вред. Выгодоприобретатели от подобного в РФ исключительно "КриптоПро и Ко". Каждая компания РФ, внедряющая что-то из "регламентированного крипто", например тот же КЭДО, платит ненужную наценку за "этот ГОСТ".
Потому что, если вы делает что то не для себя а для банковского сектора или гос услуг. то сразу сталкиваетесь с требованиями ЦБ и пр.
И просто не можете использовать “не ГОСТ” и не “сертифицированное ПО”. Что бы там не говорили про “безопасность” (видел я реализации этого “сертифицированное ПО”. facepalm) Мне кажется основная причина - бабло. Бабло на сертификации, бабло на продажах. И везде уши выскопоставленных чиновников от ФСБ.
Т.е. это просто кормушка для приближенных.
Получатель получает КЕК
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
ГОСТ-криптография для разработчиков: что реально происходит при интеграции