id: Гость   вход   регистрация
текущее время 02:23 29/03/2024
Автор темы: Гость, тема открыта 22/03/2004 17:06 Печать
http://www.pgpru.com/Форум/Криптография/ПрактическоеИспользование
создать
просмотр
ссылки

практическое использование


Подскажите, уважаемые, могу ли я использовать PGP для обмена информацией в государственной организации? Основная задача – передать информацию, чтоб её никто не фальсифицировал. Я на прочитал форуме сообщение от SATva "Ограничений на стойкость нет, депонирование ключей не требуется" и захотел узнать, из каких официальных документов это следует. Есть ли у кого опят в этой области? Особенно интересно, если были какие-то трения.


всем спасибо


 
Комментарии
— SATtva (22/03/2004 17:27)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Подскажите, уважаемые, могу ли я использовать PGP для обмена информацией в государственной организации?

Не можете. Использованию в госструктурах подлежат только сертифицированные ФАПСИ/ФСБ средства криптозащиты информации. PGP к таковым не относится и в обозримом будущем отнесён не будет.

То, что Вы процитировали из моих слов, относилось к чисто коммерческому / частному применению СКЗИ. Для государственных организаций используется совершенно иной порядок.

Вся интересующая Вас правовая информация есть в Литературе.
— Гость (22/03/2004 23:53)   <#>
то есть, нельзя использовать даже просто при обмене информацией, например, внутри отдела или между отделами.
не для обращения в суд, в случае обнаружения поттасовок. вся кухня варится внутри одной организации. загвоздка
в том, что она государственная. )-:

является ли использование несертифицированных средств нарушением и насколько серьёзным?
если не сложно, то можно указать на конкретные документы или (еще лучше) их статьи.

кстати, помнится, какая-то вертия PGP была сертифицирована в свое время ФАПСИ, и примнялась им
для внутриведомственного пользования. поправьте, если переврал.
— SATtva (23/03/2004 15:48)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Закон "Об информации...", гл. 5, ст. 21-22 (с комментариями к 22), п.3 ст.24.
Закон "Об ЭЦП", гл. 2, п. 2-3 ст. 5.

Если возможно, уточните, в какой организации служите (не название, а характер выполняемых ею функций или оказываемых услуг) и для каких конкретно целей собираетесь использовать PGP?

кстати, помнится, какая-то вертия PGP была сертифицирована в свое время ФАПСИ, и примнялась им для внутриведомственного пользования. поправьте, если переврал.

Никогда не слышал. В PGP Corporation тоже, кстати. PGP не имеет сертификатов соответствия ни ФАПСИ, ни Гостехкомиссии. Не потому, что программа плоха, а потому, что разработчик с заявкой не обращался, и надёжность программы названными организациями не исследовалась.
— Гость (24/03/2004 11:57)   <#>
организация занимается сбором и обработкой данных несекретного свойства (максимум ДСП) со всей страны.
часть функций делегирована удаленному подрзделению, они должны пересылать нам свой полуфабрикат.
PGP кажется удобным средством для подтверждения целостности (чтоб по телефону не читать md5-хэш ).
кроме того, можно (не обязятельно) и зашифровать передаваемый пакет.
Раз уж шифрование прерогатива ГОСТовых алгоритмов --
не претендую. не очень-то, в общем и надо.
— SATtva (24/03/2004 14:08)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Есть альтернативный способ контроля целостности пересылаемых данных без привлечения PGP, работа с которым госструктуры имеет множество подводных камней, — имитовставка. Скачайте небольшую утилиту HashCalc (ссылка есть здесь), обменяйтесь с удалённым подразделением секретным паролем (лучше передать через коммандированного сотрудника или по иному надёжному каналу). Теперь с помощью этой программы можно вычислять код аутентификации сообщений — зависимое от сообщения-прообраза и секретного ключа значение хэш-функции, HMAC, или имитовставку.

В программу вводите имя файла, который нужно "обсчитать", отмечаете галками HMAC и, например, SHA1, в строку HMAC вводите текстовую последовательность ключа (согласованный пароль) и жмёте Calculate. Вычисленное имитозащищённое хэш-значение можно просто переслать вместе с файлами по любому незащищённому каналу. По получении файлов из удалённого представительства вы повторяете описанную процедуру. Если ваше хэш-значение совпало с присланным, значит данные подлинны.

В идеале для Вас программа должна была бы вырабатывать имитовставку на основе ГОСТ 28147-89, но бесплатных программ, реализующих алгоритм для этой цели, я в Сети, к сожалению, не нашёл.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3