- openssl 1.0 — почему нигде нет?,
 ImPressed, 19:18 , 02-Окт-10 (1) - openssl 1.0 — почему нигде нет?, аноним, 00:36 , 05-Окт-10 (2) –1
- openssl 1.0 — почему нигде нет?, Xaionaro, 22:46 , 14-Окт-10 (3)
- openssl 1.0 — почему нигде нет?, Andrey Mitrofanov, 12:03 , 15-Окт-10 (4)
- openssl 1.0 — почему нигде нет?, Xaionaro, 17:04 , 15-Окт-10 (5)
- openssl 1.0 — почему нигде нет?, Andrey Mitrofanov, 17:23 , 15-Окт-10 (6)
- openssl 1.0 — почему нигде нет?, DeadMustdie1, 11:56 , 16-Окт-10 (7) +1
> Не понял вашей позиции. Я лишь говорю, что поддержка ГОСТов вовсе не
> "нахрен никому не нужна", как сказал автор выше.Во всяких "конторах" требуется не столько работа по ГОСТ, сколько применение
сертифицированных строго определенным образом средств и решений. Сертификацией
конкретно OpenSSL вряд ли кто всерьёз займётся, тем более что сертифицированной
считается строго та версия, которая проходила процедуру сертификации.
Малейшее изменение - и процесс сертификации нужно начинать заново. Поэтому и применяются в основном "изделия" заведений типа Валидаты, КриптоПро
и Анкад, которые разработаны совершенно самостоятельно, друг с другом несовместимы
и (лично мое IMHO) дьявольски неудобны в применении.
- openssl 1.0 — почему нигде нет?, Xaionaro, 12:55 , 16-Окт-10 (8)
- openssl 1.0 — почему нигде нет?, DeadMustdie1, 20:33 , 16-Окт-10 (9)
> Я на прямую не занимаюсь информационной безопасностью, из-за чего, честно сказать,
> не понимаю, почему не найдётся ни одной "конторы", которая взялась бы за попытки
> добиться сертификации конкретной версии OpenSSL.OpenSSL как таковой не является законченным криптосредством, которое имело
бы смысл сертифицировать. Для набора данного библиотек можно максимум
чего "насертифицировать" - это отсутствие незадекларированных возможностей
и достаточный уровень стойкости алгоритмов ЭЦП и шифрования. Причем
действует ряд "отягощающих факторов": 1. Сертифицироваться придётся отдельно для каждого системного окружения
и набора настроек сборки. Переносимость библиотеки не означает переносимости
сертификатов :) 2. Из всего обилия вариантов применения столь мощной библиотеки, как
OpenSSL, сертифицировать можно лишь некое подмножество, базирующееся
на разрешенных к применению алгоритмов. Весь прочий функционал будет
"мешаться", и не исключено даже, что конкретный орган сертификации
потребует удаления из библиотеки всего неиспользуемого в сертифицируемой
версии функционала. 3. Для обеспечения соответствия рекомендациям некоторых регулирующих
органов может потребоваться дополнительно "плясать с бубном". Например,
сейчас действует требование, что в продуктах начиная с некоего класса
защищённости одним ключем нельзя шифровать последовательность длиной
более 1 килобайта. 4. В большой и сложной библиотеке крайне сложно (сиречь дорого) проверить
отсутствие недекларированных возможностей. Существующие игроки на российском рынке криптосредств необходимую алгоритмику
уже написали, им OpenSSL не нужен. > В любом случае, лично мне видится вполне конкретная польза от добавления поддержки
> ГОСТов. Не только как шанс всё-таки перейти на удовлетворимую реализацию
> советских/русских алгоритмов шифрования, но и как просто возможность использовать
> при желании весьма криптостойкие алгоритмы. Тут уже главный вопрос - вам ехать или шашечки. Для юридической значимости применения
средств защиты информации нужно пользоваться сертифицированными средствами, строго
соблюдая условия, при которых действует сертификация. Если кому-то кажется, что
уровень защиты сертифицированного криптосредства недостаточен, то этот "кто-то" может
вполне легально использовать любые дополнительные средства и методы кодирования
информации "поверх" сертифицированного средства, но позиционировать эти дополнительные
средства и методы как СЗИ - нельзя.
|
Версия для распечатки
openssl 1.0 — почему нигде нет?, 
