ГОСТ-криптография и GnuPG
Недавно в libgcrypt начали добавлять поддержку российских криптоалгоритмов.
На текущий момент есть симметричный шифр (28147-89) и хэш-функции (как старая,
так и Стрибог). ЭЦП будет позже. (Кстати, а ЭЦП по 34.10-94 кому-нибудь
реально нужна? А то влом реализовывать.)
1. Принимаются критика у улучшения.
2. Есть ли у кого-нибудь желание озаботиться дизайном/реализацией для поддержки
алгоритмов в OpenPGP? GnuPG использует именно libgcrypt в качестве
криптобиблиотеки.
P.S. Коллизионная нестойкость — это тоже весело. ☺
Сейчас получив эту супер-пупер квалифицированную ЭЦП – единственное, что может обычный пользователь с ее помощью – это заходить на портал гос.услуг. Для подписывания любых документов – надо покупать отдельный, узко-специализированный (и ни с чем аналогичным не совместимый!) софт у узкого числа фирм, получивших сертификацию (остальным, похоже, вообще не интересно это). С шифрованием файлов, насколько знаю еще хуже.
Если будет хоть какая-нибудь пригодная для ежедневного использования реализация – это может стать хорошим толчком в сторону повсеместного внедрения криптографии в России. А также может сдвинуть процесс искоренения vendor-lock'ов в отечественной криптографии.
Ждать, что в России начнут использовать международные стандарты на гос.уровне – глупо. Будь реализация, я бы с удовольствием скинулся на сертификацию ОТКРЫТОЙ реализации ГОСТ-ов (да и поучаствовал тоже), если бы это приблизило возможность использования электронного документооборота взамен бумажному (без vendor-lock'ов и немеренного количества сопроводительной БУМАЖНОЙ волокиты). Этот путь кажется реалистичнее, чем ожидание, когда государство по своей инициативе захочет сделать по-человечески.
комментариев: 9796 документов: 488 редакций: 5664
Ждать, что практическая госкриптография кому-то станет интересна хоть с какими стандартами — тоже. Кроме коммерсов, которые занимаются её локингом и тех, кто получает
откатдоход от сертификаций.Сомнительно, в условиях когда весь смысл существования гражданской госкриптографии — это локи от государственных вендоров.
Оно всё-равно не даст. Да и не нужно, чтобы давало. Если вы только не занимаетесь в России электронной коммерцией или чем-то таким. Для чего-кого нужны криптопродукты от государства?
Сайт посвящён вопросам безопасности и анонимности отдельных лиц или малых любительских сообществ. Государственную, корпоративную и коммерческую безопасность здесь стараются не обсуждать.
Возможность полностью отказаться от бумажных документов, в т.ч. чтобы суд принимал их – не интересно разве?
Смысл в том, чтобы был "lock" на алгоритмы и протоколы, принимаемые государством, а не на реализацию их.
Удостоверение личности. Как пример: на всяких key-sign party обычно сверяют имя и фамилию с тем, что в бумажном паспорте, а так можно сверять без личной встречи с помощью эцп.
Еще примеры использования: взять расписку с должника, написать на работе заявление на отпуск, написать ребенку справку в школу/садик. Вообщем-то везде где мы лично встречаемся только для того, чтобы отдать подписанную бумажку должно быть эцп и e-mail (или сервис какой-нибудь).
комментариев: 9796 документов: 488 редакций: 5664
Всякие применения криптографии для обслуживания госбюрократии будут госбюрократичными by-design.
Если там и дальше будет всё также убого как и сейчас, то это проблема внедренцев. Ну т.е. это скорее всего специально так делается. Есть допущенные к внедрению компании и в эту сферу не пустят остальных. Если они делают разработки как попало, то бюрократический аппарат это устраивает, на этом ему даже какие-то средства выкачивать можно. А бюрократы всё равно придумают как помотать нервы пользователям.
Если это для государства, то будет «лок» от государства; если из обслуживания государственных интересов можно извлекать прибыль, то «лок» всё равно будет от структур, имеющих связи с государством.
"Why the Web of Trust Sucks"
13 причин не прибегать к использованию PGP.