- openssl 1.0 — почему нигде нет?, ImPressed, 19:18 , 02-Окт-10 (1)
- openssl 1.0 — почему нигде нет?, аноним, 00:36 , 05-Окт-10 (2) –1
- openssl 1.0 — почему нигде нет?, Xaionaro, 22:46 , 14-Окт-10 (3)
- openssl 1.0 — почему нигде нет?, Andrey Mitrofanov, 12:03 , 15-Окт-10 (4)
- openssl 1.0 — почему нигде нет?, Xaionaro, 17:04 , 15-Окт-10 (5)
- openssl 1.0 — почему нигде нет?, Andrey Mitrofanov, 17:23 , 15-Окт-10 (6)
- openssl 1.0 — почему нигде нет?, DeadMustdie1, 11:56 , 16-Окт-10 (7) +1
> Не понял вашей позиции. Я лишь говорю, что поддержка ГОСТов вовсе не > "нахрен никому не нужна", как сказал автор выше.Во всяких "конторах" требуется не столько работа по ГОСТ, сколько применение сертифицированных строго определенным образом средств и решений. Сертификацией конкретно OpenSSL вряд ли кто всерьёз займётся, тем более что сертифицированной считается строго та версия, которая проходила процедуру сертификации. Малейшее изменение - и процесс сертификации нужно начинать заново. Поэтому и применяются в основном "изделия" заведений типа Валидаты, КриптоПро и Анкад, которые разработаны совершенно самостоятельно, друг с другом несовместимы и (лично мое IMHO) дьявольски неудобны в применении.
- openssl 1.0 — почему нигде нет?, Xaionaro, 12:55 , 16-Окт-10 (8)
- openssl 1.0 — почему нигде нет?, DeadMustdie1, 20:33 , 16-Окт-10 (9)
> Я на прямую не занимаюсь информационной безопасностью, из-за чего, честно сказать, > не понимаю, почему не найдётся ни одной "конторы", которая взялась бы за попытки > добиться сертификации конкретной версии OpenSSL.OpenSSL как таковой не является законченным криптосредством, которое имело бы смысл сертифицировать. Для набора данного библиотек можно максимум чего "насертифицировать" - это отсутствие незадекларированных возможностей и достаточный уровень стойкости алгоритмов ЭЦП и шифрования. Причем действует ряд "отягощающих факторов": 1. Сертифицироваться придётся отдельно для каждого системного окружения и набора настроек сборки. Переносимость библиотеки не означает переносимости сертификатов :) 2. Из всего обилия вариантов применения столь мощной библиотеки, как OpenSSL, сертифицировать можно лишь некое подмножество, базирующееся на разрешенных к применению алгоритмов. Весь прочий функционал будет "мешаться", и не исключено даже, что конкретный орган сертификации потребует удаления из библиотеки всего неиспользуемого в сертифицируемой версии функционала. 3. Для обеспечения соответствия рекомендациям некоторых регулирующих органов может потребоваться дополнительно "плясать с бубном". Например, сейчас действует требование, что в продуктах начиная с некоего класса защищённости одним ключем нельзя шифровать последовательность длиной более 1 килобайта. 4. В большой и сложной библиотеке крайне сложно (сиречь дорого) проверить отсутствие недекларированных возможностей. Существующие игроки на российском рынке криптосредств необходимую алгоритмику уже написали, им OpenSSL не нужен. > В любом случае, лично мне видится вполне конкретная польза от добавления поддержки > ГОСТов. Не только как шанс всё-таки перейти на удовлетворимую реализацию > советских/русских алгоритмов шифрования, но и как просто возможность использовать > при желании весьма криптостойкие алгоритмы. Тут уже главный вопрос - вам ехать или шашечки. Для юридической значимости применения средств защиты информации нужно пользоваться сертифицированными средствами, строго соблюдая условия, при которых действует сертификация. Если кому-то кажется, что уровень защиты сертифицированного криптосредства недостаточен, то этот "кто-то" может вполне легально использовать любые дополнительные средства и методы кодирования информации "поверх" сертифицированного средства, но позиционировать эти дополнительные средства и методы как СЗИ - нельзя.
|