Как создать СКЗИ
У меня есть идея, которую я хотел бы воплотить в жизнь.
На выходе должно получиться сертифицированное средство защиты информации.
Где можно узнать перечень требований, которым должна соответствовать моя разработка, что бы пройти сертификацию?
Мне дали вот такую ссылку http://www.fstec.ru/_razd/_serto.htm, однако я там так и не обнаружил нужной мне информации (возможно плохо искал).
У меня есть возможность общаться с профессионалами, есть немного средств, которые я готов вложить это дело. Есть очень дальнее знакомство (на уровне телефонного разговора) с начальником одной из лабораторий.
Как Вы считаете насколько реальна такая затея? Существуют вероятность найти организацию специализирующуюся в этой области (защита информации), которая на каких либо условиях поддержит это дело?
Спасибо.
Эти требования секретны, и выдаются ФСБ на условиях неразглашения. Ввиду этого в криптографическом сообществе отношение к сертифицированым СКЗИ резко отрицательное.
Предполагаю, что в списке требований будет использование ихних алгоритмов и внедрение ихних бекдоров.
Ну чё за бред? Есть ПКЗ-2005, есть ГОСТы и регламенты ФСТЭК. Пишете полное ТЗ и техдокументацию, реализуете в соответствии с ними код, и всё будет в порядке. Alex_B, главное требование я Вам уже называл: лицензия ФСБ на разработку СКЗИ. Как частное лицо Вы её просто не получите.
SATtva, спасибо еще раз (уже в который).
Где можно получить требования к ТЗ и примеры?
Насколько реально получить лицензию ФСБ? (помимо денежного барьера, о котором Вы меня уже предупреждали)?
ТЗ Вы пишите сами. Читайте /Библиотека/Право/ПКЗ2005[link1].
Для этого понадобится коллектив сотрудников с соответствующим образованием и стажем — это одно из требований. Где-то у меня валялся полный перечень условий, попробую найти.
Вот Вам для затравки то, что успел найти. Это, правда, старые, ещё за 2002 год, но в сущности там мало что поменялось (можно сделать sed s/ФАПСИ/ФСБ/ и получить практически современный вариант. :-)
Напомнило:
По теме: наверное, если кому-то так хочется разрабатывать сертифицированные системы защиты то проще попытаться устроить ся на работу в ФСБ. В любом случае, если речь идёт об официальной ИБ, там обязательно фсб будет рядом.
Извиняюсь за нескромный вопрос: а зачем вам это?
Видимо, человек хочет иметь возможность работать с госпредприятиями (тогда шире рынок сбыта продукции будет).
Вопрос наконец-то решен. (Три раза постучать по дереву)
Еще порция вопросов:
1. Какие алгоритмы хеширования можно использовать?
2. Какие алгоритмы вычисления ЭЦП можно использовать?
3. Какие билиотеки, реализующие криптографические преобразования, можно использовать?
4. Предъявляются ли какие-нибудь требования к СУБД (MS SQL SERVER подойдет?)
1. ГОСТ Р 34.11-94
2. ГОСТ Р 34.10-2001
3. С сертификатом ФСБ. Например, у КриптоПро есть сертифицированная реализация. Есть и другие.
4. Сертификат ФСТЭК у MSSQL есть?
4. Сертификат ФСТЭК у MSSQL есть?
Оказывает да, а еще у Windows XP Professional и Windows Server 2003.
http://www.cybersecurity.ru/data/20672.html
Требуется описать алгоритм работы, одно из требований — в описании обязательно должны участвовать материальные объекты.
Т.е. Вот такое мое описание было забраковано:
Как же это должно правильно звучать? Типа такого ?:
Или например как добавить материальные объекты в следующую фразу?
12.
Подскажите, пожалуйста, примеры грамотных фраз.
А если вместо "служба" писать "сервер" ? ;)
Хороший совет, спасибо.
Хе-хе, и конфигурацию сервера, содержащего материнскую плату с чипсетом, ЦП, ОЗУ, жёсткий диск. Уйма материальных объектов. :-)
Электромагнитное поле – тоже материальный объект! ;)
Да! Мне говорили не стесняться использовать такие понятия как импульс :) Но я не настолько силен с АСВТ что бы грамотно разъяснять как же именно происходит вычисление хеш значения.
Все "службы" заменим на "сервер", везде где речь идет о сохранении дописал "с использованием ЗУ". Там где речь идет о передаче дописал:
"Для передачи может быть использована локально вычислительная сеть организации, Интернет и/или любой другой вид проводной или беспроводной связи. Так же для передачи информации могут быть использованы материальные носители: диски, дискеты, флеш накопители и т. п."
И все же осталось масса шагов в которые не удалось всунуть чего-нибудь материального.
Тут без
бутылкимногоуровневой модели ISO/OSI[link2] не разберёшся! :) Первый (физический) уровень этой модели и описывает взаимодействие... эээ... информации и материи. Во!Всё-таки OSI описывает модель взаимодействия систем, но не процессы на аппаратно-программных уровнях в рамках одной системы, что требуется от Алекса.
Под воздействием бутылки демоны и зомби становятся материальными объектами. Слово сервис заменяется на "демон".
Описать эти процессы я не в состоянии (только если на самом примитивном уровне), похоже что этого и не требуется.
Как мне объяснили, заковыка в следующем — в каких то там документах понятия "методы и средства" определены через понятие "материальных объектов".
Таким образом, если в вашем описании нет материальных объектов – то у вас нет ни методов ни средств, а раз так с вами и разговаривать не будут.
Опять забраковали...
По всей видимости нужно хотя бы приблизительное описание "процессов на аппаратно-программных уровнях".
Как будет звучать следующая фраза (а дальше я по аналогии):
"Клиент, используя каналы связи, передает серверу информацию в цифровом виде. Сервер вычисляет хеш значение от принятой информации и сохраняет полученный дайджест в своем хранилище, используя Запоминающее Устройство (ЗУ)".
Нужно описание на подобии такого:
"Сетевая карта получает сигнал...", "происходит запись на магнитный носитель..." — я даже придумать не могу толком.
"Разность электрических потенциалов вызывает сложноорганизованное движение электронов в проводниках и полупроводниках, которое может быть проинтерпретировано как вычисление математических функций..." :)
Вместо материальных объектов лучше предложите им материальную поддержку за их помощь в составлении правильного описания. ;)
Alex_B, не лезли бы Вы в эту мерзость. Сами ведь видите, насколько это нелепо.
Хотите написать "средство защиты информации"? Браво. Пишите код. А вот сертифицированное средство... Кому оно нужно? Дяденькам из больших компаний, которые в этом абсолютно не разбираются и которые тоже делают всё исключительно для галочки? По-моему, недостойная цель.
А по моему мерзость в том, чтобы отделять мысль от того, что дано нам в ощущении, и требование хотя-бы в общих чертах знать устройство аппаратной части и уметь объяснять её взаимодействие с програмной направлено на противодействие тенденции всеобщей виртуализации и разрыва с реальностью.
Это типа кандидатского минимума, где надо сдавать экзамены и не по специальности – для общей культуры, чтобы люди имели понятие, что булки не на деревьях растут.
Гость (30/07/2008 15:51), правда в Ваших словах конечно есть.. Если Вы сами обладаете "кандидатским минимумом", пожалуйста, найдите время написать в общих чертах фразу которую я изложил тремя постами выше[link3].
Вот такое требование:
"Если способ характеризуется использованием средств, достаточно эти средства раскрыть таким образом, чтобы можно было осуществить этот способ".
Может быть под "средствами" имеется ввиду не одна только аппаратная часть, а вместе с установленным на ней стандартным и сертифицированным ПО, с той же WinXP например? В таком случае, вероятно, "раскрытие средств" будет состоять в более подробном описании используемых интерфейсов и способов их использования, "чтобы можно было осуществить...", а не в описании работы уже сертифицированной программнго-аппаратной части. То есть типа "сервер вычисляет хеш значение от принятой информации вызывая стандартную подпрограмму ... из модуля ... (файл c:\...dll) и передавая ей в качестве параметров ..."
Нет, интересует именно аппаратная часть.
"Способом является процесс осуществления действий над материальным объектом с помощью материальных средств."
Примерно такое описание у меня и было в самом начале...
Сейчас раскрываю фразу "Сервер вычисляет хеш значение от принятой информации и сохраняет полученный дайджест в своем хранилище, используя Запоминающее Устройство (ЗУ)":
Для сохранеия дайджеста предлагается использовать накопитель, содержащий один или несколько обработанных с высокой точностью алюминиевых и керамических дисков со специальным магнитным покрытием смонтированных на оси шпинделя приводимом в движение специальным двигателем. Цифровая информация, содержащая дайджест, преобразуется в переменный электрический ток, сопровождаемый переменным магнитным полем. Переменный ток подается на головку записи-чтения. Головка записи-чтения с помощью позиционера скользит над поверхностью диска на расстоянии порядка 0,13мк метра. Позиционер головок перемещается с помощью соленоидального двигателя. Магнитное покрытие диска это множество доменов спонтанной намагниченности. При воздействии магнитного поля головки магнитные поля доменов ориентируются в соответствии с ее направлением. После снятия внешнего поля (создаваемого головкой) на поверхности остаются зоны остаточной намагниченности."
Наверно слишком подробно, сократить будет просто.
А вот процесс получения информации по каналам связи и вычисления хеш значения..
Вообще получается такое описание, которое никто кроме немногих не сможет переварить.. Если бы я его не писал я бы не смог :)
http://ru.wikipedia.org/wiki/Аппаратное_обеспечение
Это всё (то что по ссылке), как говорил один препод, огуречные попки ))
А вы по ссылкам походите. По моему, достаточно подробно для ваших целей. А то вот зайдите на http://www.opencores.org/ – там подробнее :)