Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Общие » Флейм » Обсудим КОАП с изменениями от 374 ФЗ

Модерирует : 3xp0, TechSup

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

krserv



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
КОАП: Статья 13.6. Использование средств связи или несертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям
(в ред. Федерального "закона" от 06.07.2016 N 374-ФЗ)
 
1. Использование в сетях связи несертифицированных "средств" связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети "Интернет", если законодательством предусмотрена их обязательная сертификация, -
(в ред. Федерального "закона" от 06.07.2016 N 374-ФЗ)
влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; ....
 
возникает вопрос попадают ли под эту статью программные средства VPN, криптографические программы, например та же самая ОС Linux и в ней Open VPN; утилиты шифрования файлов, тот же самый TrueCrypt и его последователи и т.д, если эти программные средства установлены у физического лица, для использования в личных целях или у юридического лица, для обеспечения его деятельности в соответствии с законом о "Комерческой тайне"
Вот сейчас я общаюсь с техподдержкой Mozzila - их сайт поддержки работает по протоколу HTTPS - естественно он не сертифицирован в России.  
С другой стороны не понятно, относится ли эта статья к обычным пользователям, т.к она относится к сетям связи, а входят ли в состав сетей связи оконечные хосты пользователей? Или это относится только к провайдерам, обеспечивающим работы сети связи.
 
 
Добавлено:

Цитата:
 если законодательством предусмотрена их обязательная сертификация, -  

 
а предусмотрена законом обязательная сертификация программных средств кодирования (шифрования), установленных на хостах пользователей?
 
Добавлено:
вот нашел ответ  на этот вопрос:
http://www.fsb.ru/fsb/science/single.htm!id=10437738@fsbResearchart.html

Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 19:19 24-09-2016
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
если законодательством предусмотрена их обязательная сертификация

Список в студию. Что в законодательстве предусмотрено насчет обязательной сертификации.
 
Добавлено:
Ну, то есть о гостайне... Через интернет ее передавать только с сертифицированными сертификатами.
Лично меня - не касается.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 19:32 24-09-2016
krserv



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
меня тоже, поэтому для меня вопрос закрыт, можно работать спокойно. Жаль что нельзя нормальные криптографические средства ввести из-за границы, а только вот эту ерунду, которую не составит труда для некоторых декодировать:
http://bankir.ru/publikacii/20090714/mif-49-v-rossii-zaprescheno-ispolzovat-nesertificirovannie-sredstva-shifrovaniya-2228626/

Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 19:43 24-09-2016
oldjoe

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
krserv
У тебя везде интересные вопросы...
Я тебе про другое раскажу...
В 1972 году было такое развлечение у неформальной молодежи - радиохулиганство.
Ну точнее оно было давно - еще А.Н.Толстой про него писал.
Но у нас в городе рассвет и конец его пришелся именно на 1972 год.
Принцип простой - брался ламповый - тогда других почти и не было - радиоприемник, усилитель низкой частоты.
И к нему лепилась приставка("шарманка").  
Схема примитивная - где-то в интернетах она есть...
И она позволяла вещать в радиусе 2-3 километров, крутить музыку,"алекать"...
Но вот за это была статья  в УК...
Штраф 150 рублей, повторно 300, с конфискацией радиаппаратуры или без таковой...
И в 1972 году при массовой облаве поступали так: если "дяденька, я больше не буду...", то 150 рублей, а если "Знаете кто у меня папа!..", то выносили всю аппаратуру включая цветной телевизор и радиоточку.

Всего записей: 338 | Зарегистр. 25-09-2006 | Отправлено: 20:21 24-09-2016
krserv



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Читаю https://habrahabr.ru/company/cisco/blog/234491/
и думаю благодаря сложности запрещения кое-кем распространения OpenSSL - дышать можно свободно!

Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 20:53 24-09-2016
krserv



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хороший блог по теме, мне нравится:
http://www.risspa.ru/aggregator/sources/2?page=1

Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 23:40 24-09-2016
shok

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
oldjoe

Цитата:
И она позволяла вещать в радиусе 2-3 километров

Усиль ватт 80 (4 6П3С), генератор на ГК-71 с киловольтом на аноде и несколько тысяч киллометров легко.
 

Всего записей: 11531 | Зарегистр. 30-04-2006 | Отправлено: 00:06 25-09-2016
krserv



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пока читал про 374 ФЗ, появился интерес приобретения несертифицированного аппаратного шифратора для шифрования файлов.  
Я по коммерческим и личным вопросам переписываюсь с иностранцами, использую  VPN, создаваемый программно для выхода на зарубежный сайт почтового провайдера. Хочу еще и сами сообщения шифровать.
Можно использовать программный enigmail Open PGP, Fork of TrueCrypt etc,  но заинтересовался аппаратным.
Начал искать в инет, ничего не нашел, только Российские - Криптон, Анкад, Шипка и т.д.
Если кто знает где можно купить импортный в России, напишите пож. в личку. Люблю я такие разные штучки
На перспективу нужно разобраться с OpenSSL для Linux и развернуть свой почтовый сервер, хорошо бы и VPN для сервера организовать, но для этого за границей нужен VPN клиент или сервер, а у меня такого партнера нет с которым можно VPN канал организовать.

Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 03:49 25-09-2016 | Исправлено: krserv, 03:52 25-09-2016
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
krserv

Цитата:
Жаль что нельзя нормальные криптографические средства ввести из-за границы
Для личного использования - welcome.
 
Добавлено:
krserv

Цитата:
 использую  VPN, создаваемый программно для выхода на зарубежный сайт почтового провайдера.

Пардон, а вы SSL совсем не доверяете, что прячете его еще и в VPN?

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 07:05 25-09-2016
krserv



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а вы SSL совсем не доверяете, что прячете его еще и в VPN?

ага как кащей бесмертный сердце свое хранил в сказке помните?  374 ФЗ - это только начало, все еще впереди, и нужно готовиться защищаться и от дальнейших поползновений на права человека и защиту "Коммерческой тайны" от любопытных.
Еще мне нужен  персональный сертификат иностранного УЦ, чтобы создать доверенное соединение, исключающее атаки man in the middle.
 
Смотрите о чем они думают сейчас: http://www.3dnews.ru/939734?from=most-commented-publication
У них полный доступ на уровне провайдеров и не помню в каком законе говорится, что провайдеры должны не разглашать информацию о методах и технологиях взаимодействия с ними.

Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 14:05 25-09-2016
krserv



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
изучая мат.часть: https://blog.torproject.org/blog/experimental-defense-website-traffic-fingerprinting
 
Добавлено:
Придется наверное Tor пользователем становится, начинаю его изучать, только я не знаю есть у него защита от атаки man in the middle. Ведь если у провайдера будет оборудование, которое будет перехватывать весь входящий и исходящий трафик в реальном времени, то если не будет идентификации сертификатом с Удостоверяющим центром, то провайдер сможет выступить от моего имени и таким образом получать все мне приходящее, а затем отправлять его мне.

Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 22:16 25-09-2016
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
krserv
Для провайдера весь ваш шифрованный трафик - белый шум. Для осуществления подобной атаки, требуются некие условия, которые, обычно, в популярных статьях опускаются, как "незначительные". Что бы не ходить за другими во тьме, советую осилить, начиная со страницы 807 вот этот небольшой труд. Тем более, что вы настолько заинтересованы. Такого "шифрующегося" не часто встретишь.
ЗЫ А тор разве совместим с ВПН?
 
Добавлено:
Файл 22М. Лучше скачать. Просмотр в браузере неудобен.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 06:44 26-09-2016
krserv



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо, почитаю, очень интересно. Да Тор с ВПН отлично работает. Вот сейчас я через ВПН, Тор пишу это сообщение.

Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 13:30 26-09-2016
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Вот сейчас я через ВПН, Тор пишу это сообщение.

И энд провайдер его читает Ибо http. Шутка, шутка. Смысл провайдеру, оно и так будет видно, достаточно зайти на http://forum.ru-board.com

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 13:54 26-09-2016
krserv



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
я не в  смысле анонимности, а для проверки работы технологий.
Я только учусь защищаться после принятия 374 ФЗ
 
И польза от этого закона тоже есть - он стимулирует активность интернет сообществ разрабатывать и совершенствовать технологии защиты от новых и будущих угроз.
 
Добавлено:

Цитата:
советую осилить, начиная со страницы 807 вот этот небольшой труд.

Пролистал я этот труд, не вникая в подробности полагаю, что если "те" смогут создать оборудование, которое в реальном времени на стороне провайдера сможет изменять содержимое всех первичных запросов пользователя, когда соединение еще не зашифровано, а посылаются только udp запросы на установление соединения, то полагаю, что атака "Man in the middle" будет возможна, если у пользователя не будет персонального удостоверяющего сертификата, выданного иностранным  УЦ. Но тут все сложно, обычному пользователю можно голову сломать, пытаясь во все это вникнуть, Другое дело смогут ли создать такое оборудование, работающее синхронно с отправителем, где разница метки времени будет равна времени длительности cуществования TCP пакета. Чтобы не забивать себе голову проще взять для защиты иностранное оборудование, например VPN маршрутизатор CISCO c AES 256 SSL VPN. Полагаю, что лидеры в области инф. безопасности, крупные компании со своими исследовательскими центрами знают лучше чем обычные пользователи, а также использовать другие методы защиты, популярные в интернете, как Tor; PGP; TrueCrypt.
При этом основательно изучать Linux, общаться по темам на английском языке с сообществами разработчиков. И ждать, когда, наконец, появятся в небе дирижабли от Google для подключения к свободному Интернету от цензуры и контроля. Т.к уже отсутствие возможности иметь анонимный аккаунт в "Свободном Интернете" это уже нарушение Конституции и свободы слова, не говоря уже о содержании 374 ФЗ.  
Как говорится в той книге: В Интернете возникает множество вопросов, в которых технологические проблемы переплетаются с государственной политикой.
А принятие  374 ФЗ показывает нам путь в будущее....

Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 14:00 26-09-2016 | Исправлено: krserv, 14:23 26-09-2016
ZlydenGL



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Жаль что нельзя нормальные криптографические средства ввести из-за границы
Почему нельзя? Можно Подсказка - устройства Cisco категории K8.

Всего записей: 4264 | Зарегистр. 22-06-2002 | Отправлено: 16:31 26-09-2016
zivstack

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
60-70% популярных сайтов в интернете используют шифрование — это значит, что даже если вы перехватите трафик от пользователя к сайту, то не сможете его прочитать. Ключ шифрования есть в сертификате, их выдают специальные компании, которые называются удостоверяющими центрами (УЦ). Браузеры при обращении к ресурсам спрашивают удостоверяющий центр, действительно ли он выдал именно тот сертификат, который предлагает сайт. Если нет — браузер ругается и сообщает, что сертификат поддельный.
 
Суть атаки MiTM (Man-in-the-Middle) в том, что посередке на канале связи устанавливается оборудование, которое будет представляться сайту «пользователем», а пользователю — «сайтом». А чтобы браузеры не ругались и работали с сайтами, эфэсбэшники решили сделать свой УЦ.
 
Возможны два варианта. В первом УЦ выдает сертификат всем сайтам. Понятно, что его поставят, скажем, какие-нибудь 20 послушных ресурсов, и никто всерьез таким сертификатом пользоваться не будет. Компании, у которых бизнес сильно завязан на российском законодательстве, наверное, поставят — какие-нибудь «ВКонтакте» или «Одноклассники». Но сложно представить, чтобы Facebook или Twitter поставили себе сертификат, который им выписал УЦ ФСБ РФ.
 
Второй вариант: сам этот УЦ выдает сертификат пользователям, а они все должны будут установить его в браузеры на своих компьютерах.
 
До сих пор это пытались сделать в двух странах — Иране и Казахстане. Не скажу точно, чем закончилось в Иране, а в Казахстане «Кахазтелеком», один из крупных операторов, выпустил было сообщение: всем пользователям необходимо установить сертификат, который провайдер им выдаст — но потом эту новость очень быстро убрали, объяснив технической ошибкой. Очень сложно обязать всех пользователей взять сертификат. Можно только ввести ответственность за то, что человек его не использует.
 
Но главная проблема в том, что не все браузеры позволяют установить сертификат. А так как атака MiTM очень популярна, почти все браузеры скоро не позволят работать с сайтами с поддельным сертификатом. Например, в последнем Safari в операционной системе iOS 10 на странице с предупреждением уже нет кнопки «продолжить», браузер уже не ругается, а просто не дает работать с таким ресурсом.
 
Возможно, они попытаются пойти к владельцам браузеров, чтобы внедрить сертификаты, но это нереально. Представьте, ну как они пойдут в Apple и заставят их встроить сертификат в Safari?
 
В итоге совершить MiTM-атаку получится при обращении пользователя только к нескольким российским сайтам.  
 
Дальше трафик анализируется с помощью оборудования DPI, его можно будет изучить вплоть до сообщений «ВКонтакте». Пока такой трафик видимо, будет складываться на систему СОРМ (Система оперативно-розыскных мероприятий — прим. «Медузы»), которая хранит его в течение 12 часов.
 
У крупных провайдеров типа «Ростелекома» (на них приходится около 60% пользовательского трафика) данные уже «дипиаятся». Им останется только настроить сертификаты. Более мелким провайдерами придется это внедрить, что очень накладно по деньгам — провайдеру с абонентской базой в 100 тысяч человек это будет стоить порядка 30 миллионов рублей. Хотя это все же дешевле, чем просто хранение данных («пакет Яровой» обязывает провайдеров с 1 июля 2018 года года хранить трафик в течение полугода — прим. «Медузы»), но все равно это — неподъемные суммы.  
 
Вообще, все это адская чушь. Есть масса технических нюансов, из-за которых эта схема не заработает. Например, сейчас все чаще используется протокол HTTP/2, который создан для того, чтобы вообще исключить MiTM-атаки. То же самое с протоколом TLS, при его использовании клиент и сервер обмениваются новыми ключами несколько раз в секунду, атака тут невозможна. Есть и другие мелочи.
 
При этом ФСБ в последние полгода очень активно заставляет провайдеров «сормить» трафик — пропускать через систему СОРМ, которая по закону должна быть внедрена у всех операторов. Оборудование для этого подешевело раз в десять за последнее время. И если раньше ФСБ не придиралось к тому, что оператор «сормит» несколько процентов всего трафика, то сейчас они настаивают, чтобы закон выполнялся. Так что там есть очень серьезные намерения.
 
Но в конце концов, если ничего не изменится, я думаю, мы придем к «белому списку» сайтов. Спецслужбы разрешат, например, 10 тысяч зарубежных ресурсов, а потом будут исключать из этого списка то, что им не нравится. Как только какой-нибудь ресурс не идет на сотрудничество по любому вопросу, например, по тем же сертификатам, они его исключают.
 
Но пока ФСБ движется не в эту сторону, а в сторону перехвата трафика, и это очень хорошо. Потому что вся их схема технически маловероятна, и даже если им удастся поставить DPI-оборудование у большинства провайдеров, обычным пользователям спасаться от этого будет можно.
источник

 
как думают местные эксперты, осилит ли фсб расшифровку ВСЕГО трафика в пределах Рунета? понятно, что пакеты идущие на серверы в других странах им вряд ли удастся читать целиком

Всего записей: 510 | Зарегистр. 29-11-2015 | Отправлено: 16:41 26-09-2016
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
krserv

Цитата:
когда соединение еще не зашифровано, а посылаются только udp запросы на установление соединения

Пардон, но TCP.
Вы хотите сказать, что провайдер подменит конечный IP, на который идет запрос? Установит с вами свою шифрованную сессию (вернее вы с ним) от имени конечного сервера, будет расшифровывать трафик, слушать, а затем пересылать его на конечный сервер от имени клиента. Выступать своеобразным SSL прокси.
Не стану сейчас искать, но где-то там есть защита в алгоритме открытый закрытый ключ, емнип. Разработчики не особо отличались дуростью и предусмотрели это.
К тому же, ему надо перехватывать и анализировать весь ваш трафик в онлайне, ибо не факт, что вы будете использовать стандартные порты.
В таком случае и при таких, затраченных именно на вас вычислительных ресурсах (видимо, все суперкомпьютеры мира) ничто вас не спасёт. Он расшифрует весь ваш ВПН и прочий трафик и запроксирует его.
Но, повторюсь, емнип, нельзя выступить от имени сервера, имеющего закрытый ключ, не получив этот ключ себе любимому в контейнер.
Кто же вам отдаст закрытый ключ? Выпущен он вполне себе иностранным CA, например... яндекс, ты где... вот... крутой ты яндекс, получил право выпускать от имени Certum Trusted Network CA. Вполне себе заграничный центр.
Ваши контрагенты сдают закрытые ключи в организации из трех букв? не думаю. А значит, от их имени выступать нельзя.
 
Добавлено:

Цитата:
маршрутизатор CISCO  

Долго не искал, в общем-то https://geektimes.ru/post/279662/
 
Добавлено:
http://www.cnews.ru/news/top/raskryt_spisok_zhuchkov_anb_ssha_dlya
 
Добавлено:
Память не изменила. Прочтите 8.7.3 (а лучше с 8.7.1) скачанной вами книги.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 17:57 26-09-2016
oldjoe

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shok

Я ему про шарманку...
У нас одному деятелю за ГУ-81 дали 5 лет - ЕМНИС...
"Мешал судоходству на Ладожском озере..." - как было написано в советской прессе.

Всего записей: 338 | Зарегистр. 25-09-2006 | Отправлено: 21:02 26-09-2016
krserv



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Почему нельзя? Можно Подсказка - устройства Cisco категории K8.

Да, этим путем и иду, единственное, что есть в продаже и категория K9 тоже.
 
Добавлено:

Цитата:
как думают местные эксперты, осилит ли фсб расшифровку ВСЕГО трафика в пределах Рунета? понятно, что пакеты идущие на серверы в других странах им вряд ли удастся читать целиком

они не будут расшифровывать весь трафик, для этого нужно полстраны взять в свои ряды, они возможно будут проключать только тех, кто представляет для них оперативный интерес.
 
Добавлено:

Цитата:
Долго не искал, в общем-то https://geektimes.ru/post/279662/

мне понравилось - была уязвимость, но которую использовала АНБ. Ах какая АНБ умная, какие в них хакеры, находят такие уязвимости в оборудовании CISCO
 
Добавлено:

Цитата:
http://www.cnews.ru/news/top/raskryt_spisok_zhuchkov_anb_ssha_dlya

о жучках пишут АНБ, а Вы не задумывались что все концентрируется, если идеи с облаками не так хорошо, как некоторым хотелось внедряются, то WhatsApp (из Калифорнии) Viber (не признаются где у них основной центр находится) и Google c Android - всех, кто представляет для них интерес посадят под колпак в любой момент. Или Вы думаете, что AES 256 для АНБ не прозрачен? Хрен бы они его разрешили в этом случае.
Помните как в России запрещали WiFil роутеры с 802.11n? Запрещали до тех пор, пока противоядие не нашли,  а как нашли так и разрешили ввозить и так.... везде...
 
Добавлено:

Цитата:
Память не изменила. Прочтите 8.7.3 (а лучше с 8.7.1) скачанной вами книги

можно и не читать, в сообщении выше ответ написан
 
Добавлено:
zivstack я имею ввиду Ваш пост
 
 
Добавлено:
Да, для "этих" свободный интернет сейчас как кость в горле, да еще со свободной  криптографией "тех" - AES 256 везде, Linux c его OpenSSL. Тут явно преимущество на той стороне. И если эти пойдут дальше по начатому пути, то возможно и придут к аналогии Китайского интернета.  
 
Добавлено:
кстати уже пробовали предложить отменить в России иностранные DNS сервера и отменить UPD протокол в семействе TCP/UDP. Но пока, у них технических возможностей для этого нет. Лет через 10.... Я например сижу под OpenDNS, а если они отменят в Российском секторе интернета UPD протокол и начнут внедрять в России DNSSec на ТСP протоколе, вот Вам и Рунет в подарок....
 
Добавлено:
вообще этот вопрос открытый, т.к у нас к сожалению нет сведений, которые являются засекреченными о методах, формах. технологиях работы "этих"
Никто об этом не напишет и учебники в открытом доступе не выпустит.
Вот Вам пример со всем известным SSL:
https://www.google.com/?gws_rd=cr,ssl&ei=LBOlV57wPIaL6AShz6m4BQ&fg=1#q=ssl+%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C
 
Вот если бы у нас была симметричная криптография гарантированной стойкости сертифицированная для работы с гос. тайной с одной стороны и аналогичная криптография с другой стороны и мы бы их поставили в VPN последовательно друг за другом, тогда можно было быть спокойным за тайну переписки,  а так я полагаю, что эта защита от всех, кроме "тех" и "этих". Если бы это было не так, то не было бы такой истории там:
"Экскурс в историю депонирования ключей и встраивания "легальных" закладок в средства шифрования"
А теперь обратимся к истории. В 1992-м году в США заговорили о системе депонирования ключей (key escrow), которая бы позволяла спецслужбам по решению суда получить ключи шифрования пользователей и восстановить всю защищенную переписку. Предполагалось, что такая функция будет встроена во все средства шифрования, разрабатываемые в США. Альтернативой, также обсуждаемой в США, стала система trap door, позволяющая встраивать в оборудование специальную лазейку, которая бы позволяла спецслужбам дешифровывать информацию даже не имея актуального ключа шифрования. Знакомо, да? 1992-й год. Почти 25 лет назад.
В 1993-м году администрация Клинтона предложила специальный чип Clipper, который был разработан в АНБ и NIST и включал новый криптографический алгоритм Skipjack, призванный заменить DES. 80-тибитный Skipjack считался более надежным, чем 56-тибитный DES, однако все ключи шифрования должны были храниться в специальной государственной базе данных (ох уж это стремление государства к всяким базам данных, реестрам, регистрам и другим кадастрам). Технология депонирования ключей была встроена в сам чип и производители, которые должны были встраивать Clipper в телефоны (стандартные и мобильные), должны были передавать ключи соответствующим федеральным ведомствам. Для того, чтобы продвинуть этот чип на рынок администрация Клинтона предложила оснастить все компьютеры и телефоны, используемые в госорганах, этим чипом, обеспечив тем самым большой госзаказ на него. Столь большой заказ должен был снизить стоимость на изготовление чипа и сделать его привлекательным и для бизнеса.
Чип ClipperОднако инициатива с Clipper предсказуемо наткнулась на сопротивление американского бизнеса и общественности, которое сопровождалось тремя ключевыми тезисами:
чип Clipper нарушает права гражданина на тайну переписки и личной жизни,
с практической точки зрения возник вопрос к защищенности базы данных ключей шифрования и что пришлось бы делать государству, если бы база была бы взломана и ключи украдены,
алгоритм Skipjack был засекречен и независимые исследователи не имели возможности проанализировать его на предмет уязвимостей и скрытых возможностей. У экспертов было стойкое подозрение, что помимо базы данных ключей алгоритм содержал ряд функций, которые позволяли получать доступ к зашифрованным данным даже при отсутствии актуального ключа.
В итоге идея с чипом Clipper провалилась, но это не помешало Администрации Клинтона в 1995-м году выйти с обновленным планом Clipper II. Помимо прочего в новой версии Clipper допускались частные базы ключей, к которым все равно могли получить доступ сотрудники спецслужб. 20 мая 1996 года был выпущен документ под названием “Enabling Privacy, Commerce, Security and Public Safety in the Global Information Infrastructure”, который критики сразу обозвали Clipper III. Эта инициатива отличалась от предыдущих больше интеллектуальностью - она не использовала никаких чипов Clipper, идея которых была похоронена. Вместо этого была предложена инфраструктура управления ключами (Key Management Infrastructure), которая позволяла рядовым гражданам и бизнесу простой способ удостоверения сертификатов открытых ключей, так нужных в электронной коммерции. По сути речь шла о федеральном удостоверяющем центре ценой использования которого стали… ключи пользователей. Как и две предыдущих идея эта тоже была похоронена под критикой со стороны экспертов.
1-го октября 1996-го года администрация Клинтона вышла с очередной инициативой, которая должна была вступить в силу с 1-го января 1997 года. Речь шла о переходе ответственности за экспорт криптографии из рук Министерства Юстиции в Министерство торговли, длина ключей, разрешенных к экспорту без ограничений была увеличена с 40 бит до 56, а американские производители получили право экспортировать более стойкую криптографию, запрашивая соответствующее разрешение в Минторге. Однако все оказалось не столько радужно - право на экспорт сопровождалось требованием встраивания в средства шифрования механизма восстановления ключей (key recovery), позволяющего спецслужбам получать доступ к защищенным коммуникациям. Очевидно, что данная инициатива была опять встречена негативно, но Администрация Клинтона, устав биться с противниками усиления нацинальной безопасности, сдала все полномочия по решению вопроса с криптографией в Конгресс.
Спустя непродолжительное время в Конгресс был внесен законопроект - “Security and Freedom Through Encryption Act” (SAFE), который зафиксировал сразу несколько важных моментов:
запрет требования от американских производителей встраивать в свои продукты подсистемы депонирования или восстановления ключа,
разрешение производить, распространять и использовать на территории США любые средства шифрования независимо от используемого алгоритма и длины ключа,
разрешение экспортировать криптографию (исключая ее применение для военных или террористических целей), если аналогичный продукт уже присутствует на международном рынке,
запрет использования средств шифрования для криминальных целей.
Кстати, в одну из редакций этого законопроекта предлагали включить норму, что любое импортируемое в США криптографическое оборудование или ПО, должно иметь функции восстановления ключей шифрования, но она не прошла. Сегодня в США нет никаких ограничений на импорт средств шифрования.
SAFE обсуждался в США почти 2 года, но так и не был принят. После в Конгресс вносилось множество иных законопроектов, которые должны были урегулировать вопросы применения и экспорта средств шифрования:
The Promote Reliable On Line Transactions to Encourage Commerce and Trade (PROTECT) Act.
The Electronic Rights for the 21st Century Act.
The Encryption for the National Interest Act.
The Secure Public Networks Act.
и еще около десятка законов, которые в той или иной степени затрагивали тему шифрования.
Но никто из них так и не был в итоге подписан Президентом США. С 2001-го года в Конгресс США не вносился ни один законопроект в этой области.
В сентябре 1998-го года в правила экспорта средств шифрования были внесены правки, которые уточнили список стран и индустрий, в которые можно продавать американские средства шифрования без ограничения, а в остальных случаях требовалась соответствующая лицензия Министертсва торговли США (про экспорт криптографии из США я уже писал). Требования к системе депонирования ключей были ослаблены, а чуть позже, в январе 2000 года и вовсе отменены. Связано это было не только с трудностями, с которыми столкнулась Администрация Клинтона, но и с принятием в декабре 1998 года Вассенаарских соглашений, которые по сути запретили депонирование ключей. США пытались получить определенные преференции при экспорте средств шифрования, отнесенных к технологиям двойного назначения, но им это не удалось. Отсутствие консенсуса в рабочей группе и привело к отказу США от своих планов.
В конце 90-х годов идею с депонированием ключей пытались адаптировать во Франции. В январе премьер-министр Жюспен заявил о желании внедрить такую систему, но уже в марте работы в этом направлении были ослаблены. Тайвань, заявивший о своей системе депонирования в 1997 году, спустя год объявил о сдвиге своих планов на более дальний срок.
Сегодня всего несколько стран официально говорят о депонировании ключей. Испания, требует это для телекоммуникаций с 1998 года, но так и не запустила систему в промышенную эксплуатацию. Великобритания несколько лет продвигала политику, согласно которой национальные удостоверяющие центры могли получить соответствующую лицензию на работу только при условии вытребования приватных ключей у пользователей. Позже от этой политики отказались и в Великобритании.
Сегодня в США нет никаких законов, обязывающих американских производителей встраивать какие-либо лазейки в подсистемы шифрования своих продуктов (достаточно вспомнить нашумевший кейс "ФСБ против Apple", который доказывает, что несмотря на звучащие теории заговора американских спецслужб с американскими же производителями, ничего такого нет)! Хотя в инициативном порядке такие системы создавались. Очень неплохой обзор делала Дороти Деннинг. И хотя он был написан в 1996-м году, сами принципы там описаны недурно. На государственном уровне я сейчас не припомню стран, которые бы требовали от своих производителей реализовывать системы депонирования криптографических ключей. И вот спустя 25 лет Россия вступает на этот путь.
 
ЗЫ. Очень хорошо о том, почему государственная система депонирования не взлетит было написано в 1997-м году известными специалистами по безопасности Райвестом, Шнайером, Диффи, Беллоуином, Андерсоном и другими.  
 
http://www.risspa.ru/aggregator/sources/2
 
 
 
Добавлено:
Полагаю, что-то придумали другое, возможно именно AES и успокоились, иначе бы они бы и сейчас думали, предлагали, запрещали, а раз перестали, значит нашли способ...
 
Добавлено:
помните как одна из версий, еще древних PGP была запрещена в США, а более новые разрешены, и совсем старые разрешены, а вот одна из них была запрещена, не помню какая.
О чем это говорит? Лекарства на нее не было, а на остальные значит было.  И также как и в России в США существуют законы о лицензии производства криптографической продукции, и что после этого лицензирования, сертификации... все одинаково, что у них, что у нас...
 
Добавлено:
поэтому нужно ставить CISCO VPN маршрутизатор, а шифровать сообщения при помощи Российского Анкада, Анкора, СКБ САПР и т.д. И будет нам счастье, но какой ценой... Я интересовался такой реализацией, но возникла проблема, Российскую криптографию вывозить из России нельзя. Поэтому мои сообщения знакомые и партнеры за границей расшифровывать не смогут, защита будет действовать только на территории России. Придется закрыться хоть от одной из сторон - от "этих", допуская, что "те", смогут, а эти возможно что и нет. Возможно...
Или кому-то открываться для какой-то одной из сторон противостояния...Каждый выбирает сторону сам...
 
Добавлено:
все относительно, когда нет фактов, что есть для нас у "этих"  и у "тех"
 
http://www.lookatme.ru/mag/live/experience-news/214367-logjam

Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 15:11 28-09-2016 | Исправлено: krserv, 16:57 28-09-2016
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Общие » Флейм » Обсудим КОАП с изменениями от 374 ФЗ


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru