Сомнения в стойкости шифрования коммерческих версий PGP


Аргументы для сомнений в стойкости шифрования коммерческих версий PGP:
1. Здесь на сайте http://www.pgpru.com/faq/common/#1 по прежнему утверждается о свободном распространении исходных кодов PGP,однако реально исходные коды продуктов PGP это собственность фирмы США (юр. адрес 3460 West West Bayshore, Palo Alto, CA 94303, USA) и согласно правилам http://www.access.gpo.gov/bis/ear/pdf/734.pdf) экспортного контроля США (изложено в §734.3((b)(2),(3) и примечание в конце пункта (b)(3) ) даже опубликованные ранее исходные коды, если они попадают под действие ограничений (длина симметричного алгоритма > 64, а ассиметричного > 512 для конечного поля (112 – эллиптические кривые), и то действует экспортное ограничение (исключая книжные публикации). Можете убедиться в действии этого ограничения – PGP Corporation декларирует возможность получить коды http://www.pgp.com/downloads/sourcecode/srcrequest.html только при подписании соглашения-лицензии и не факт, что коды получит любой, кто заполнит и отошлет подобное соглашение. На странице про исходные коды сделана оговорка, что "Please note that PGP Corporation does not make its source code available to others for reuse or to provide information about implementation details.", где последние слова значают, что получая коды, вы обязуетесь не распространять информацию о деталях реализации системы. Да и
никаких обязательств о соответствии отправляемых исходных кодов и купленой Вами версии Компания на себя не принимает.

Риторические вопросы:
– входят в "детали реализации" выбор корректных криптографических параметров при реализации алгоритмов генерации пар открытых и закрытых ключей, выработки ключей симметричного шифрования и получения случайных чисел при их использовании в этих системах. Ведь в итоге те аналитики, кто получит исходные коды по соглашению и при этом ещё до конца разоберется в мсходниках, связаны обязательством не распространять детали реализации.
– чего стоит проверка исходных кодов, если PGP не обязуется представить исходные коды именно той реализации корпоративной версии, которую скачаете в инсталляционном коде? Ведь в нюансах реализации модулей можно легко сделать усечение длины ключа симметричного шифрования – в реализации функции шифрования она останется большой (как в исходных кодах SDK), но после вызова функции генерации случайного сеансового ключа, можно добавить операцию наложения маски/фиксированного алгоритма(например на основе параметров открытого ключа получателя)чтобы случайными в ключе остались лишь 64 бит( чтобы удовлетворить требования экспорта США), а остальные – по фиксированной функции от первых.

2. Делаются ссылки http://www.pgp.com/products/sdk/fips.html на проведенные оценки NIST USA качеств шифрования PGP SDK, служащего ядром для всех PGP продуктов, для ряда алгоритмов при работе в режиме FIPS. Однако обратите внимание, что от версии PGP SDK 3.0.3 (http://csrc.nist.gov/cryptval/140-1/140sp/140sp394.pdf )к последней рабочей версии PGP SDK 3.5.3 (http://csrc.nist.gov/cryptval/140-1/140sp/140sp630.pdf) длина ключей ассиметричных алгоритмов (разделы 2.1 в обоих документах) резко ограничена при использовании для функции шифрования (например для защиты сеансового ключа симметричного алгоритма), но не для режима подписи. Вот вам и стойкость и конфиденциальность!!!.

3. Как пример скрытой двойственности в вопросах "сильной" криптографии в США можно привести продукты Мicrosoft, где давно заявлено о стойкости 128 бит симметричного шифрования для всех её основных продуктов, однако при внимательном рассмотрении находим, что оценка криптографии проведена по значению 5D992.b.1 (http://www.microsoft.com/exporting/matrix_w.htm)
смысл этой оценки поясняется (http://www.microsoft.com/exporting/termsmx.htm#eccn) как соответсвие требованию – Information Security – Software (data confidentiality encryption less than or equal to 64-bits in key space or data authentication encryption). Обратите внимание там же на термин "Mass Market" "The U.S. government regulations allow mass market encryption products containing strong encryption to be exported under 5D992, NLR (see above) after a 30-day review. A "Mass Market" in this column indicates that the software has been reviewed by the U.S. Government and has been approved as mass market software.” На мой взгляд это явно подразумевает ослабленную защиту сеансового ключа шифрования или сужение ключевого пространства введением зависимости между битами симметричного ключа.


Комментарии
Гость (16/06/2006 19:14)   
меня это взволновало
хотелось бы услышать мнение Sattva
— serzh (16/06/2006 20:13)   
По поводу всего сказать не могу, но вот экспортные ограничения уже сняты давно.
— unknown (17/06/2006 04:13)   
Так или иначе, но в качестве обычной риторики:

Всё больше хороших криптографических алгоритмов не патентуется. Создатели не хотят зарабатывать деньги, лишая людей свободного доступа к знаниям и технологиям, возможности развивать и создавать что-то свое.

Аналогично и с программами. Криптософт должен идти под GPL/BSD совместимой лицензией и быть свободным. Иначе ни о каком интересе к анализу его безопасности не может быть и речи.
— SATtva (17/06/2006 08:52)   
Аргументы для сомнений в стойкости шифрования коммерческих версий PGP

Экспортные ограничения США были полностью сняты уже шесть лет назад. Единственное исключение составляет ряд стран ограниченного экспортного контроля высокотехноголичной и военной продукции (Ирак, Иран, Ливия, Серверная Корея и т.д.).

Здесь на сайте по прежнему утверждается о свободном распространении исходных кодов PGP, однако реально исходные коды продуктов PGP это собственность фирмы США

Любой исходный код, под какой бы лицензией он ни распространялся, является собственностью своего правообладателя. Иногда автор делигирует свои имущественные права третьей стороне либо передаёт своё произведение в общественное достояние, но в мире ПО такое случается редко. Даже GPL не предусматривает отказ от имущественных прав.

Всё, что делает PGPCorp как коммерческая организация — это открывает исходный код для свободного доступа. Это вполне адекватная мера и вполне достаточная.

PGP Corporation декларирует возможность получить коды только при подписании соглашения-лицензии и не факт, что коды получит любой, кто заполнит и отошлет подобное соглашение

Рекомендую вначале проверить это самому, прежде чем делать подобные заявления и водить читателей в заблуждение. Здесь Вы говорите о специальном исходном коде системы PGP Universal. Эта система состоит из трёх программных элементов, лицензируемых совершенно различным образом: это, во-первых, системная основа в виде модифицированной и преднастроенной Linux, лицензируемой по GPL, во-вторых, криптоядро PGP SDK, передаваемое по весьма либеральной лицензии, и непосредственно программные модули PGP Universal (интерфейсы, системы управления и пр.). Последнее — исключительно проприетарное ПО, причём довольно увесистое, и PGPCorp передаёт его исходный код на жёстких носителях.

Please note that PGP Corporation does not make its source code available to others for reuse or to provide information about implementation details.

Это значит лишь то, что, несмотря на публикацию исходного кода, компания не санкционирует его использование в сторонних приложениях. Дабы не было путаницы между понятиями open source software и free software.

Да и никаких обязательств о соответствии отправляемых исходных кодов и купленой Вами версии Компания на себя не принимает.

Источник? Где Вы это прочитали? Скомпилируйте исходный код в среде, аналогичной официальной, и получите идентичный программный код.

Риторические вопросы:

На это я ответил выше.

Криптософт должен идти под GPL/BSD совместимой лицензией и быть свободным. Иначе ни о каком интересе к анализу его безопасности не может быть и речи.

На мой взгляд, комплексные бизнес-приложения, к которым относится современный PGP, всё же останутся исключением. Здесь заинтересованность в анализе будет сохраняться, во-первых, вследствие зависимости крупного бизнеса и национальной инфраструктуры от подобных приложений (т.е. будет во многом осуществляться самими заказчиками как непосредственно, так и аутсорсными организациями) и, во-вторых, из-за интереса независимых исследователей к "лакомуму куску": получение известности от атаки на популярное приложение и другие нематериальные мотивы.

Так или иначе, но сохранение коммерческого ПО в бизнес-процессах неизбежно. А вот формы окупаемости разработки действительно могут меняться. Но это уже тема для другой дискуссии.
— unknown (17/06/2006 20:10)   


На мой взгляд, комплексные бизнес-приложения, к которым относится современный PGP, всё же останутся исключением. Здесь заинтересованность в анализе будет сохраняться, во-первых, вследствие зависимости крупного бизнеса и национальной инфраструктуры от подобных приложений (т.е. будет во многом осуществляться самими заказчиками как непосредственно, так и аутсорсными организациями) и, во-вторых, из-за интереса независимых исследователей к "лакомуму куску": получение известности от атаки на популярное приложение и другие нематериальные мотивы.



Верно. Возможно, чрезмерное увлечение некоторыми идеями привело у меня к сужению взгляда на проблему и излишней категоричности суждений. ;-)
Но от своего мнения я просто так не откажусь!
Обычно я привык считать основной формой криптографии чисто научные публикации и исследования, а там в основном рассматривают свободный софт.

Если некоторое количество лет назад в книгах и научных статьях рассматривали алгоритмы и примеры кусков кода из PGP, то сейчас мало кто из исследователей будет делать рекламу крупной фирме, даже для "получение известности от атаки на популярное приложение ".
Мое скромное мнение – вероятность просуществовать ошибке незамеченной велика и в свободном софте и в коммерческом, но в коммерческом всё-таки больше.

Это я к вопросу выбора – если соображения безопасности, легкости аудита и прочее важнее, проще перейти на свободный софт и не заморачиваться с тем, что там придумали производители тяжеловесного ПО.

Если же есть жёсткие требования по внедрению в типичное бизнес окружение, то неизбежно придёться мириться с некоторыми возможными ограничениями.



Так или иначе, но сохранение коммерческого ПО в бизнес-процессах неизбежно. А вот формы окупаемости разработки действительно могут меняться. Но это уже тема для другой дискуссии.



Да, тут каждый ищет ту нишу, которая ему интереснее, выгоднее. Ничего нового мы здесь не скажем.



это, во-первых, системная основа в виде модифицированной и преднастроенной Linux, лицензируемой по GPL



Любопытно, можно что-нибудь узнать именно про эту часть системы? Описания. Ссылки. Ваше личное мнение.
— Евген (19/06/2006 11:39)   
SATtva:
Экспортные ограничения США были полностью сняты уже шесть лет назад. Единственное исключение составляет ряд стран ограниченного экспортного контроля высокотехноголичной и военной продукции (Ирак, Иран, Ливия, Серверная Корея и т.д.).

2 serzh, SATtva Экспортные ограничения США были полностью сняты уже шесть лет назад.

1. По поводу якобы отмены экспортных ограничений прелагаю самим обратиться к первоисточнику по действующим ограничениям экспорта США: http://www.access.gpo.gov/bis/ear/ear_data.html, в частности по криптографии $15 в http://www.access.gpo.gov/bis/ear/pdf/742.pdf

2. Экспортный контроль как был, так и остался – просто продукты PGP проходят под термином "Mass market encryption", т.е. были одобрены уполномоченными агенствами правительства США и потому требуют лишь уведомления агенств США о покупателе и целях использования, исключая правда экспорт в пять стран и использование правительственными службами США за границей. Ссылки самой PGP на контроль явно даются – http://www.pgp.com/downloads/s.....rcecode_license.html[link1] "8. Export Control Laws. ..."

3. Теперь об экспортном контроле под термином "Mass market encryption" под коим и идет распространение PGP.
Чтобы получить право экспортировать из США одобреную "сильную" криптографию под таким термином и без индивидуальных лицензий правительства, производитель сначала должен направить запрос в уполномоченные агенства США и предоставить необходимую информацию, причем эти агенства имеют право запретить отнесение продукта к этому классу, запрет означает уже требование индивидуальных разрешений правительства (можно предполагать, что разработчик выполнит все негласные ограничения, выданные ему, чтобы получить одобрение для экспорта без лицензий, иначе бизнес резко сузится и усложнится).
Привожу выдержки из документа – CONTROL POLICY — CCL BASED CONTROLS (http://www.access.gpo.gov/bis/ear/pdf/742.pdf, Export Administration Regulations, April 24, 2006)

§742.15 ENCRYPTION ITEMS
– paragraph (a)(2):
(2) Encryption items controlled under ECCN
5A992, 5D992, or 5E992.
(i) Licensing requirements. Items controlled
under ECCN 5A992, 5D992 or 5E992 are
controlled for anti-terrorism (AT) reasons to
countries listed in AT column 1 or AT column 2,
as applicable, of the Commerce Country Chart
(Supplement No. 1 to Part 738 of the EAR). A
license also may be required to certain
destinations or persons for other reasons specified
elsewhere in the EAR (e.g., embargoes). In
addition, these encryption items are subject to the
notification or review requirements described in
paragraph (b)(1) and (b)(2) of this section, unless
specifically excluded by paragraph (b)(3)

– paragraph (b)(1) (в конце)

The following encryption items controlled by ECCN
5A992, 5D992, or 5E992 are eligible for export
or reexport without a license, to most
destinations, with notification only:
(i) Up to (and including) 64-bit mass market
encryption commodities and software;
(ii) Encryption items (including key
management products and company proprietary
implementations) with key lengths not exceeding
56 bits for symmetric algorithms, 512 bits for
asymmetric key exchange algorithms, and 112
bits for elliptic curve algorithms;

"P. S. Т.е. выше требуется лишь уведомления компетентных органов об экспорте слабой криптографии"

– paragraph (b)(2)

(2) Review requirement for mass market
encryption commodities and software
exceeding 64 bits: Mass market encryption
commodities and software employing a key length
greater than 64 bits for the symmetric algorithm
(including such products previously reviewed by
BIS and exported under ECCN 5A002 or 5D002)
remain subject to the EAR and require review by
BIS, prior to export or reexport under this
paragraph (b)(2).

– далее paragraph (b)(2)(i)(ii)

(i) Procedures for requesting review. To
request review of your mass market encryption
products, you must submit to BIS and the ENC
Encryption Request Coordinator the information
described in paragraphs (a) through (e) of
Supplement No. 6 to this part 742, and you must
include specific information describing how your
products qualify for mass market treatment under
the criteria in the Cryptography Note (Note 3) of
Category 5, Part 2 (“Information Security”), of
the Commerce Control List (Supplement No. 1 to
part 774 of the EAR). Review requests must be
submitted on Form BIS-748P (Multipurpose
Application), or its electronic equivalent, as
described in §748.3 of the EAR.

(ii) Action by BIS. Once BIS has completed
its review, you will receive written confirmation
concerning the eligibility of your items for export
or reexport as mass market encryption
commodities or software controlled under ECCN
5A992 or 5D992. If, during the course of its
review, BIS determines that your encryption items
do not qualify for mass market treatment under
the EAR, or are otherwise controlled under
ECCN 5A002, 5B002, 5D002 or 5E002, BIS will
notify you and will review your commodities or
software for eligibility under License Exception
ENC (see §740.17 of the EAR for review and
reporting requirements for encryption items under
License Exception ENC). BIS reserves the right
to suspend your eligibility to export and reexport
under the provisions of this paragraph (b)(2) and
to return review requests, without action, if the
requirements for review have not been met.
— unknown (19/06/2006 13:41)   
Вообще эти вопросы подробно разобраны на ресурсе

http://rechten.uvt.nl/koops/cryptolaw/

И конкретно для США http://rechten.uvt.nl/koops/cryptolaw/cls2.htm#us

Я извиняюсь, что опять про своё, но свободные (некомерческие) продукты с открытым кодом вообще никакому контролю не подвергаются и могут использовать любую длину ключа, что не может не радовать.

Что касается коммерческих продуктов у меня сложилось мнение, что это просто техосмотр. Вероятность того, что кому-то будут угрожать невыдачей лицензии в обмен на сотрудничество невелика.

Хотя законы там какие-то все друг другу противоречащие. Какой ещё бы серьёзный коммерческий продукт взять для сравнения с PGP и посмотреть, на какие законы ссылается его производитель?
— Евген (19/06/2006 15:04)   
2 unknown

Что касается коммерческих продуктов у меня сложилось мнение, что это просто техосмотр. Вероятность того, что кому-то будут угрожать невыдачей лицензии в обмен на сотрудничество невелика.


1."Техосмотр" на предмет соответствия чему ?
Какой смысл Вы вкладываете здесь в понятие "коммерческий продукт" – ослабленное шифрование ?
Я считаю что "Mass market encryption", это прошедшие одобрение – читай ослабленные до стойкости уровня 64 бит симметричного или 512 ассиметричного алгоритма (я думаю путем алгоритмического способа сокращения ключевого пространства )
Насчет невыдачи лицензии – я в предыдущем посте прямо вам привел цитату – перечитайте последний абзац моего предыдущего поста (ii) – а это их законодательный акт и законы там чтут.
2. По поводу продуктов –
а) я привел в первом посте пример про микрософт, где тоже заявляют о стойкости 128 бит, но сами же и поясняют на всякий случай, что оценка проведена по требованиям =<64 бит.
б) возьмите криптоборудование серьёзной банковской платежной системы и посмотрите, как обстоят дела с неограниченными лицензиями.
— SATtva (19/06/2006 17:13)   
unknown:
Это я к вопросу выбора – если соображения безопасности, легкости аудита и прочее важнее, проще перейти на свободный софт и не заморачиваться с тем, что там придумали производители тяжеловесного ПО.

Если же есть жёсткие требования по внедрению в типичное бизнес окружение, то неизбежно придёться мириться с некоторыми возможными ограничениями.

Согласен.

unknown:
Любопытно, можно что-нибудь узнать именно про эту часть системы? Описания. Ссылки. Ваше личное мнение.

Всё лежит здесь[link2].
— SATtva (19/06/2006 17:26)   
Евген, если полагаться на приведённый Вами документ, из каких оснований исходит PGPCorp, выкладывая исходный код СКЗИ в свободный доступ? Действия любой скептически настроенной стороны: скачать исходники, проанализировать их, скомпилировать, купить легальный код активации у PGPCorp и использовать ПО на общих основаниях.
— Евген (20/06/2006 14:33)   
SATtva писал:
Действия любой скептически настроенной стороны: скачать исходники, проанализировать их, скомпилировать, купить легальный код активации у PGPCorp и использовать ПО

1. Если у скептической стороны-фирмы есть возможность оплатить и найти а) специалистов, способных провести детальный анализ исходных кодов, доведя его до полного формализованного алгоритмического описания, б) группу аналитиков -криптографов, уровень познания которых позволяет оценить корректность реализации криптоалгоритмов, использование слабых криптографических переменных (например начальные вектора в симметричных, параметры генерации ассиметричных алгоритмов, образующие эллипт. кривые и т.п.) и иные скрытые каналы, и при этом группы а) и б) способны к взаимодействию и пониманию между собой
– подобная фирма действительно могла так поступить.
Впрочем могу допустить, что если они и найдут некорректность, то PGP заявит о случайной ошибке и именно им вышлет исправленный вариант, а затем подготовит новую общую версию с новыми "ошибками" – информация о деталях реализации не должна ведь уходить на сторону по лиц. соглашению. Некая фирма с таким бюджетом для крипто-анализа будет скорее из числа Top-100 (для России) и при таких возможностях проще создать своё функционально подобное общекорпоративное решение на базе GnuPG, но ведь приватность и бизнес-секреты есть и у малого бизнеса, и у рядовых граждан.

2. Ваши слова "выкладывая исходный код СКЗИ в свободный доступ" отражают некое лукавство – доступ НЕ свободен:
а) продукт SDK (где сосредоточено криптоядро) согласно информации сайта PGP доступен к получению в версии 3.0 и только после заполнения формы и оплаты лицензии ( но разве коммерческие продукты не идут уже с версией 3.5.3 ?)
Далее, Вы будете утверждать, что в рамках бесплатного и упрощенного режима получения исходников Desktop и Command line версий туда войдут и основные части последнего SDK, чья предыдущая версия доступна за плату и с заполнением форм – "Complete the SDK Request Form to be granted export clearance. Note: It is important that customers use all proper legal names of individuals and corporate entities when completing the form to expedite the granting of export clearance. A PGP Corporation representative will contact you shortly " ?

б) Главное – лицензионное соглашение для ВСЕХ продуктов PGP ограничивает любую передачу исходных кодов кому-либо (кроме сотрудников внутри одной компании, оформившей соглашение), а значит официально не позволяет специалистам, даже независимо друг от друга запросившим и получившим исходные коды, обсуждать публично в Internet (или в рамках очных конференций специалистов) особенности реализации конкретного криптоядра и его алгоритмов, а также публиковать, пусть даже небольшие куски- цитаты исходного кода в своих анализах/докладах. Тем самым научные круги и специалисты, да и сама эта область рассмотрения продуктов PGP, отстранены от анализа, т.к. публичным и известным людям все же претит нарушать закон (тем более в условиях, когда правительства взывают к гражданскому сознанию в борьбе с террором. Найдите на сайте Циммермана, как он был вынужден был по сути оправдываться за свой продукт после событий в США, 11 сентября и последующих публикаций)
— SATtva (20/06/2006 15:57)   
1. Если у скептической стороны-фирмы есть возможность оплатить и найти <...>

В Ваших постингах, начиная с первого, слишком много допущений. Вы, вероятно, видите их оправданными, но я — нисколько. Почему, к примеру, наличие экспортной лицензии для mass market product или проведение анализа продукта в BIS тут же означает наличие в продукте заведомых ослаблений? Из чего Вы делаете такой вывод? Только исходя из недоверия к той или иной политической коньюнктуре? Не убедительно, как и большинство теорий заговоров...

2. Ваши слова "выкладывая исходный код СКЗИ в свободный доступ" отражают некое лукавство – доступ НЕ свободен:
<...>
Далее, Вы будете утверждать, что в рамках бесплатного и упрощенного режима получения исходников Desktop и Command line версий туда войдут и основные части последнего SDK

Я буду утверждать, что библиотека pgpsdk.dll последней версии входит в полном виде (а не частями) во все коммерческие продукты PGP. Соответственно, её исходный код свободно доступен в пакетах исходников названных Вами продуктов. Берите, изучайте. А лицензирование SDK — это совсем другая история.

б) Главное – лицензионное соглашение для ВСЕХ продуктов PGP ограничивает любую передачу исходных кодов кому-либо <...> официально не позволяет <...> обсуждать публично в Internet <...> а также публиковать, пусть даже небольшие куски- цитаты исходного кода в своих анализах/докладах.

Пожалуйста, приведите конкретные цитаты из текста лицензии, на основании которых Вы делаете подобные выводы.

Только прошу не ссылаться на политику обнародования уязвимостей PGPCorp, запрещающую опубликования уязвимостей в продуктах компании в течение 30 дней с момента её уведомления о находках: это абсолютно нормальная практика, никоим образом не ограничивающая исследования. (Мистер и Цуккерато, к примеру, ожидали положенный месяц, прежде чем предать свои находки гласности.)
— Евген (20/06/2006 18:17)   
2 SATtva
В Ваших постингах, начиная с первого, слишком много допущений.

Цитируемое Вами мое допущение вполне разумно и обосновано.

Почему, к примеру, наличие экспортной лицензии для mass market product или проведение анализа продукта в BIS тут же означает наличие в продукте заведомых ослаблений?

излагаю -
во первых, отнесение стойкого продукта к mass market encryption product невозможно без анализа продукта в BIS – такое отнесение исключительно компетенция BIS. В экспортных ограничениях США сказано ( http://www.access.gpo.gov/bis/ear/pdf/ccl5-pt2.pdf, page1) – ++ "N. B. to Cryptography Note: Mass market encryption commodities and software eligible for the Cryptography Note are subject to the notification or review requirements described in §742.15(b)(1) and (b)(2) of the EAR, unless specifically excluded from these requirements by §742.15(b)(3) of the EAR. Mass market commodities and software employing a key length greater than 64 bits for the symmetric algorithm must be reviewed in accordance with the requirements of §742.15(b)(2) of the EAR in order to be released from the “EI” and “NS” controls of ECCN 5A002 or 5D002. All other mass market commodities and software eligible for the Cryptography Note are controlled under ECCN 5A992 or 5D992 (without review) and may be exported or reexported to most destinations without a license, following notification, in
accordance with the requirements of §742.15(b)(1) of the EAR." ++

Мой смысловой перевод требования выше – оговорено, что "слабое" шифрование (симметричный ключ < 64 бит) регулируется нормами 5A992 or 5D992 (т.е. не лицензируется и не требует анализа BIS), а вот ОСТАЛЬНЫЕ криптопродукты сразу отнесены к жестко лицензируемому контролю по нормам 5A002 or 5D002 (по категории NS – U. S. national security) с ограничениеми в частности почти по всей xUSSR территории. Лишь по результатам обследования в BIS криптопродукт с ключем > 64 может быть исключен из контроля по нормам 5A002 or 5D002.

Изначально понятие mass market encryption product несет лишь ещё некоторые ограничения, которые в этом же документе найдете.

во-вторых:
Подумайте сами и дайте разумное объяснение: почему вдруг стойкие криптосредства (ключ >64бит ), жёстко ограничиваемые к распространению по мотивам угрозы безопасности США, вдруг магическим образом из списка лицензирования исключаются и становятся допустимы без ограничений, а главное – по каким мотивам: т.к. а) они расчитаны на массовое применение b). The cryptographic functionality cannot be easily changed by the user; c. Designed for installation by the user without further substantial support by the supplier; д) прошли успешное обследование в BIS.? И это в условия, когда и за своими граждами в США сейчас пытаются установить полный контроль коммуникаций, а уж контроль за информацией в других странах – это старая мечта со времен Эшелона.

Вы наверно большой по жизни оптимист, если обладая такой информацией, мои сомнения считаете основанными
Только исходя из недоверия к той или иной политической коньюнктуре? Не убедительно, как и большинство теорий заговоров...


P. S. Про SDK и публичность обсуждения исходников отвечу позже
— unknown (21/06/2006 09:18)   
1."Техосмотр" на предмет соответствия чему ?
Какой смысл Вы вкладываете здесь в понятие "коммерческий продукт" – ослабленное шифрование ?
Я считаю что "Mass market encryption", это прошедшие одобрение – читай ослабленные до стойкости уровня 64 бит симметричного или 512 ассиметричного алгоритма (я думаю путем алгоритмического способа сокращения ключевого пространства )
Насчет невыдачи лицензии – я в предыдущем посте прямо вам привел цитату – перечитайте последний абзац моего предыдущего поста (ii) – а это их законодательный акт и законы там чтут.

Скорее всего, просто бюрократия, попытка содержать штат сотрудников, которые контролируют то, что уже давно бессмысленно контролировать. Имитация некоей деятельности, направленной на защиту нацинтересов (чем десятилетиями занимаются разные ведомства), а на деле просто формальная выдача бумажек.
Разумная сертификация еще имела бы смысл для госучреждений или критически важной нацинфраструктуры.

В принципе этот механизм вполне можно реанимировать в сторону ужесточения, что конечно же настораживает.
Будет интересно, если Вы или Sattva докопаетесь до чего-то конкретного. Хотя это и маловероятно.
— Евген (21/06/2006 12:31)   
2 SATtva

Цитата:
б) Главное – лицензионное соглашение для ВСЕХ продуктов PGP ограничивает любую передачу исходных кодов кому-либо <...> официально не позволяет <...> обсуждать публично в Internet <...> а также публиковать, пусть даже небольшие куски- цитаты исходного кода в своих анализах/докладах.
Пожалуйста, приведите конкретные цитаты из текста лицензии, на основании которых Вы делаете подобные выводы

Привожу:
1. текст на сайте http://www.pgp.com/downloads/s.....rcecode_license.html[link1]

"DEFINITIONS: ... “You/you” means the individual person installing or using PGP Source Code on his or her own behalf; or, if the PGP Source Code is being downloaded or installed on behalf of an organization, such as an employer, “you” means the organization for which the PGP Source Code is downloaded or installed, and the person installing or using the PGP Source Code represents that he or she has the authority to do so on your behalf. "
"2. What You Cannot Do. ...
d) give (meaning sell, loan, distribute, or transfer) the PGP Source Code files, as originally provided by PGP Corp or as modified by you or anyone else, to anyone else (unless you are downloading the PGP Source Code files in the course of performing duties for your employer, in which case you can share the PGP Source Code files with fellow employees as long as you do not make additional copies and otherwise comply with these license terms); "

PGP декларирует доступ к исходному коду программы строго на индивидуальной разрешительной основе. Исходя из этого, разве публичное опубликование где-нибудь на форуме Internet или на очной конференции куска исходного кода, в рамках обоснования позиции и представления и обсуждения идей по анализу кода, не будет нарушением выше указанного? Или сначала надо известить PGP о таком мероприятии и ввести обязательную регистрацию участников по согласованию с ними ?
Уточню ещё раз, что я говорю не об обсуждении конкретной, уже найденной кем-то строго на индивидуальной основе и сообщенной им предварительно в PGP уязвимости, а об общественном, колллективном научном обсуждении идей и подходов в анализе конкретного продукта с цитированием затрагиваемых кусков исходного кода криптоядра (типа выбора алгоритма AES). Разве может называться "свободным" доступ с исключением последнего?
Я буду утверждать, что библиотека pgpsdk.dll последней версии входит в полном виде (а не частями) во все коммерческие продукты PGP. Соответственно, её исходный код свободно доступен в пакетах исходников названных Вами продуктов.

Доверенные люди утверждают, что в скачаной в апреле версии по запросу Desktop с официального сайта исходников по ссылке, пришедшей на почт. адрес из зоны RU, оказался указан номер версии SDK "3.5.0", а куда он инсталлирован, оговорено – PGP 9.0.0 (Build 101 Alpha), но ведь уже в феврале обсуждалась работа версии PGP 9.0.5 [build5050].
— Евген (21/06/2006 14:13)   
2 unknown
unknown:

Скорее всего, просто бюрократия, попытка содержать штат сотрудников, которые контролируют то, что уже давно бессмысленно контролировать. .

Почему бессмыслено? Прикиньте, сколько компаний и людей, которые используют встроенные криптопровайдеры в коммерческих операционках (персоналии понятны :lol: ), например для SSL/TLS шифрования, удаленной авторизации и VPN, плюс все производители сетевой аппаратуры, firewall и пр. систем информ. безопасности со штаб квартирой в США. А IP телефония с защитой сетевого трафика стандартными устройствами?
Если бы бессмыслено, то их правительство так не отстаивали право контролировать провайдеров. Почитайте на примере http://blog.wired.com/27BStroke6/index.blog (http://blog.wired.com/27BStroke6/att_klein_wired.pdf)
— unknown (21/06/2006 14:47)   
Ааа! Может они ещё как в России и откаты получают с этого дела?

Так или иначе, Евген, Ваши дотошные наблюдения весьма интересны. Хотя я лично думаю, что это у всех коммерческих компаний такое болото. Впервую очередь для того чтобы зарабатывать деньги. А то что это ещё и государство хочет и может преследовать на этом свои интересы, то потенциально мы получаем закрытую среду очень благоприятную для создания решений с обманчивым уровнем безопасности.

Но всё-таки это домыслы, а не факты, хотя PGPcorp не священная корова и всё может быть.
— SATtva (11/07/2006 19:28)   
Прошу извинить, что давно не посещал эту ветку. Мне хотелось получить информацию из первых уст, но возникли затруднения с почтой. Теперь же всё благополучно.

Я связался с Джоном Калласом, вице-президентом, директором по безопасности PGPCorp и автором стандарта OpenPGP. Он любезно согласился ответить на некоторые вопросы, поднятые здесь Евгеном. Далее я целиком публикую его ответ, как он и просил:

[quote:940ceab7fc="Jon Callas"]We have a number of goals, and this license reflects them. We have
spent a *lot* of time on this license, and dealing with the fact that
Lawyer English isn't what real people speak. I'm sure you can squint
the right way with the page turned sideways and make it say anything
you want it to. But then you're being a lawyer, too. Here's what it
really says.

* We want people to be able to download PGP, look at it, examine it,
and convince themselves it really works. We want people to be able to
discuss it. There are several universities here in the US who use PGP
source code in their courses to teach programming and cryptography.
We think that's cool. They don't pay us anything. You can do that,
too. By the way, if you find anything wrong, please send mail to
security@pgp.com. That mail address ends up in several people's mail
boxes, including mine. We take it seriously.

* We want people to be able to compile it themselves. Many people
want to run code they compiled themselves. That's fine with us.

* We don't want to give away the store. I don't know how that
translates into Russian. Let me try to explain. We offer PGP
freeware. We offer PGP pay-ware. If you are a freeware user, and you
want to compile it yourself, that's fine! However, if you are a
freeware user and you turn on pay-ware features, that is *not* fine.
We want to say you're not allowed to turn on things you haven't paid
for.

* We don't want unauthorized versions of PGP software. Unlike most
other open source software, we want to be the people who release PGP.
We've had problems in the past with this. Some we minded, others we
did not mind. There are lots of people who hack things for their own
benefit, but we don't want to have to support those. We want you to
ask, so we know what's going on. There are out there now, for
example, rogue versions of PGP with built in spyware in them. We
think we should be able to shut those down, and we do, as fast as we
find out about them.

Additionally, there some other things we want. We want to know how
many copies of the source get downloaded. In the old days, we had no
way to know how many people downloaded freeware, downloaded the
source, and so on. Now we do.

So no, our license does not forbid you from discussing PGP software
on web sites, in conferences, and so on. People do that all the time.
If you want to let us know, please do! Especially if you find
something we should fix.

Jon
]>
Если кому-то понадобится перевод, я или другие участники форума его опубликуют.

Когда у меня будет достаточно времени, чтобы задать Джону оставшиеся вопросы, обязательно это сделаю. Надеюсь, он найдёт время, чтобы дать на них авторитетный ответ.
— Евген (19/07/2006 16:13)   
To SATtva
Спасибо за публикацию сообщения Jon Callas.
Текст этого ответа однако оставляет двойственное чувство, то ли и впрямь Callas разницы не видит (особенно для среды Windows), то ли намеренно подменил понятие – одним из моих вопросов был о допустимости обсуждать куски ИСХОДНЫХ кодов PGP на открытых Internet форумах, очных конференциях (т.е. где участники могли по отдельности не запрашивать у PGP получение полных исходников каждый по отдельности, а именно такое условие ставит сейчас текст лицензии на исходные коды), а в ответ получаем-
Jon Callas:
So no, our license does not forbid you from discussing PGP software
on web sites, in conferences, and so on.

Отмечаем разницу – в этом ответе исчезли определяющие слова "Source code" !!! А тогда непонятно, какую лицензию Callas обсуждает. Если говорить про обсуждение применения конечных программ PGP, а именно об этом Callas говорит в цитируемом выше – то и так было понятно, что это не запрещено, в частности здесь на сайте этим и занимаются.
Как бы Callas не ссылался на особый английский язык их юристов (или в частном порядке не разъяснял, что на самом деле всё разрешено), но текст лицензии на исходные коды http://www.pgp.com/downloads/s.....rcecode_license.html[link1]
однозначно в п.2 запрещает опубликовывать осоенности реализации и передачу исходных кодов другим лицам без санкции PGP и не делает исключений по тексту. Таким образом PGP всегда имеет право по закону привлечь любого, кто опубликует в Internet или представит на очной конференции для широкой аудитории куски исходного кода для комерческих версий программ без их (PGP) согласия. Против кого PGP воспользуется таким своим правом – это вопрос, но любой, дорожащий репутацией западный специалист, не станет на основании частного ответа Callas публично нарушать требования официальной лицензии.

SATtva, а может при повторном общении с Callas передадите ему пожелание, что если он искренне желает широкого обсуждения качества продуктов PGP, причем не только в России, но в первую очередь и на Западе (мы за демократию и у НИХ!), то предлагается PGP внести скорректированный ответ Callas в текст лицензии на ИСХОДНЫЕ коды в виде дополнительного пункта;
" 1. (f) This license does not forbid you from discussing and to cite as an example any segments ( any parts of any programm module, but not as a whole ) of source code for any PGP software on web sites, in conferences, and so on "
— SATtva (20/07/2006 10:41)   
одним из моих вопросов был о допустимости обсуждать куски ИСХОДНЫХ кодов PGP на открытых Internet форумах, очных конференциях (т.е. где участники могли по отдельности не запрашивать у PGP получение полных исходников каждый по отдельности, а именно такое условие ставит сейчас текст лицензии на исходные коды), а в ответ получаем-

По-моему, Вы ушли в слишком дремучее крючкотворство. Как и моё обращение, так и весь ответ Калласа посвящены именно исходным кодам, а Вы пытаетесь поймать его на словах. Вот, например, ещё одна цитата:
[quote:8905f19e5e="Jon Callas"]There are several universities here in the US who use PGP
source code in their courses to teach programming and cryptography.
We think that's cool. They don't pay us anything. You can do that,
too.

может при повторном общении с Callas передадите ему пожелание <...>

Дельное предложение, обязательно передам.
— SATtva (21/07/2006 09:57)   
Это что касается экспорта PGP. Если одной фразой, то разрешено всё, что не запрещено. Вся процедура носит уведомительный характер.
[quote:f0ea3df916="Jon Callas"]
SATtva:
As PGPCorp is an
encryption software exporter, what requirements you had to met to be
eligible for PGP export operations and to place it on a public website
for free downloads? Of course if you can discuss this topic (I
doubt you would confess about weakened keys :-) ).

We haven't had to do much. The export requirements are easy to meet,
it's just a few forms to fill out. We have an export lawyer do it for
it.

Since 2000, things are much easier. Before then, you had to apply,
and supposedly, they would respond in 60 days. Usually, they didn't.
But if they didn't reply, then you could not export. So they could
stymie an export application by keeping it on a desk. The most
important change now is that if they don't refuse within 30 days, you
are allowed to export.

When I was at Counterpane, we tested the new procedure with a fun
test. John Kelsey and I created 15 new ciphers that are all variants
of Blowfish. We tossed them in with an export request, and they came
back with no questions.

This is a *huge* change, if you remember what we had to do in the
late '90s, which was to print things on paper, and have someone in
Switzerland scan them in.

We do, however, do an export check before you can download the
software or source. We so a geolocation check on your IP address to
make sure you're not in one of the unapproved countries (Iran, Iraq,
Syria, Libya, Sudan, North Korea, and Cuba), and not on the secondary
list of people we are not supposed to export to. But again, there are
services you can subscribe to that will do that for you.

Trust me, if we had to print books to export crypto without
restrictions, we would. We're the world's expert in that.

И по поводу дополнительного пункта к лицензии на исходный код. Как видите, не такие уж там кровопийцы, не едят они детей по утрам.
[quote:f0ea3df916="Jon Callas"]I'll discuss that with out lawyer, but I think that is actually
somewhat dangerous. It is a general principle of US law that you're
allowed to do anything that isn't forbidden. If we put that in, it
implies that there used to be something that forbade it.

Saying that we don't forbid you from discussing things (which you
have every right to do) is like saying we don't forbid you from
eating in restaurants, or breathing air, or dancing when you are happy.

Yes, I am being flippant by picking those things, but really, it's
not needed, and putting it in there sets a bad precedent.

However, actions speak louder than words. Last year, for example,
someone published a bug in PGP at Black Hat, and didn't tell us about
it first. We didn't sue them. Yeah, I was grumpy, but that was
because I would have wanted to release a fix on the day they
presented at Black Hat.

We believe in free speech, privacy, and openness. An old friend of
mine said that freedom is not doing what you want. Freedom is letting
other people do what they want, even if you don't like it.

— Евген (21/07/2006 13:03)   
To SATtva
1. Насчет крючкотворства – я предпочитаю логически последовательную позицию, а Callas, судя по смыслу его ответа, до сих пор не знаком с текстом их собственной лицензии на исходные коды -
Jon Callas писал(а):
I'll discuss that with out lawyer, but I think that is actually
somewhat dangerous. It is a general principle of US law that you're
allowed to do anything that isn't forbidden. If we put that in, it
implies that there used to be something that forbade it.

Почему же в тексте оригинальной лицензии ПЕРВЫМ пунктом идет (:http://www.pgp.com/downloads/s.....rcecode_license.html[link1] )
[quote ]1. What You Can Do. Under this license, you have the right to:

Причем там далее аж 5 разрешающих подпунктов перечислено – что можно делать с исходными кодами. Неужели добавить туда ещё один подпункт, это оказывается будет нарушением их главного принципа -"разрешено всё, что не запрещено"
SATtva, а Вы в этой позиции видите логику? По моему в простом вопросе начинается какое-то плутовство.

2. SATtva писал(а):
Это что касается экспорта PGP. Если одной фразой, то разрешено всё, что не запрещено. Вся процедура носит уведомительный характер.


Правильно!!! Но я уже приводил ссылку, что законы США по прежнему запрещают экспорт (в том числе и в Россию) сильной криптографии (> 64бит симметричного, для ассиметр:> 512 для конечного поля (112 – эллиптические кривые)). Исключением являются продукты "mass market encryption", куда попала и PGP. Что же это за могучее свойство "mass market encryption", что продукт лишь с уведомлением BIS свободно распространяется по миру ?
Предлагаю Callas задать по этому поводу такой вопрос:
"Почему в верифицированных и подтвержденных NIST реализациях режимов шифрования от версии PGP SDK 3.0.3 (http://csrc.nist.gov/cryptval/140-1/140sp/140sp394.pdf ) к последней рабочей версии PGP SDK 3.5.3 (http://csrc.nist.gov/cryptval/140-1/140sp/140sp630.pdf) длина ключей ассиметричных алгоритмов (разделы 2.1 в обоих документах) резко ограничена при использовании для функции шифрования, которая использутся, например, для защиты сеансового ключа симметричного алгоритма.
— SATtva (21/07/2006 21:01)   
Почему в верифицированных и подтвержденных NIST реализациях режимов шифрования <...>

Вы говорите о FIPS-compatible-режиме SDK. Но это опция, предназначенная для клиентов, нуждающихся именно в режимах, соответствующих нормативам NIST. По умолчанию этот режим отключен.
— DDRTL (23/03/2009 21:11)   
а почему тишина? Интересная же тема!

Ссылки
[link1] http://www.pgp.com/downloads/sourcecode/sourcecode_license.html

[link2] http://www.pgp.com/downloads/sourcecode/index.html#gplsrc