практическое использование
Подскажите, уважаемые, могу ли я использовать PGP для обмена информацией в государственной организации? Основная задача – передать информацию, чтоб её никто не фальсифицировал. Я на прочитал форуме сообщение от SATva "Ограничений на стойкость нет, депонирование ключей не требуется" и захотел узнать, из каких официальных документов это следует. Есть ли у кого опят в этой области? Особенно интересно, если были какие-то трения.
всем спасибо
комментариев: 11558 документов: 1036 редакций: 4118
Не можете. Использованию в госструктурах подлежат только сертифицированные ФАПСИ/ФСБ средства криптозащиты информации. PGP к таковым не относится и в обозримом будущем отнесён не будет.
То, что Вы процитировали из моих слов, относилось к чисто коммерческому / частному применению СКЗИ. Для государственных организаций используется совершенно иной порядок.
Вся интересующая Вас правовая информация есть в Литературе.
не для обращения в суд, в случае обнаружения поттасовок. вся кухня варится внутри одной организации. загвоздка
в том, что она государственная. )-:
является ли использование несертифицированных средств нарушением и насколько серьёзным?
если не сложно, то можно указать на конкретные документы или (еще лучше) их статьи.
кстати, помнится, какая-то вертия PGP была сертифицирована в свое время ФАПСИ, и примнялась им
для внутриведомственного пользования. поправьте, если переврал.
комментариев: 11558 документов: 1036 редакций: 4118
Закон "Об ЭЦП", гл. 2, п. 2-3 ст. 5.
Если возможно, уточните, в какой организации служите (не название, а характер выполняемых ею функций или оказываемых услуг) и для каких конкретно целей собираетесь использовать PGP?
Никогда не слышал. В PGP Corporation тоже, кстати. PGP не имеет сертификатов соответствия ни ФАПСИ, ни Гостехкомиссии. Не потому, что программа плоха, а потому, что разработчик с заявкой не обращался, и надёжность программы названными организациями не исследовалась.
часть функций делегирована удаленному подрзделению, они должны пересылать нам свой полуфабрикат.
PGP кажется удобным средством для подтверждения целостности (чтоб по телефону не читать md5-хэш ).
кроме того, можно (не обязятельно) и зашифровать передаваемый пакет.
Раз уж шифрование прерогатива ГОСТовых алгоритмов --
не претендую. не очень-то, в общем и надо.
комментариев: 11558 документов: 1036 редакций: 4118
В программу вводите имя файла, который нужно "обсчитать", отмечаете галками HMAC и, например, SHA1, в строку HMAC вводите текстовую последовательность ключа (согласованный пароль) и жмёте Calculate. Вычисленное имитозащищённое хэш-значение можно просто переслать вместе с файлами по любому незащищённому каналу. По получении файлов из удалённого представительства вы повторяете описанную процедуру. Если ваше хэш-значение совпало с присланным, значит данные подлинны.
В идеале для Вас программа должна была бы вырабатывать имитовставку на основе ГОСТ 28147-89, но бесплатных программ, реализующих алгоритм для этой цели, я в Сети, к сожалению, не нашёл.