id: Гость   вход   регистрация
текущее время 07:41 09/12/2021
Автор темы: dark_di, тема открыта 13/12/2008 17:44 Печать
Категории: политика, законодательство
https://www.pgpru.com/Форум/ПолитикаПравоРеальныйМир/ИспользованиеКриптографииВПротоколах
создать
просмотр
ссылки

использование криптографии в протоколах


Здравствуйте. Подподает ли использование криптографии в протоколах обмена по сети (задачи аутентификации и защиты служебных данных) под ограничения законодательства РФ? Стоит задача обеспечения защиты передачи данных между сетевым фирменным устройствами и ПК. Будут ли проблемы с сертификацией для использования в гос. органах, если не сертифицировать по классу безопасности. Можете подсказать ссылки на статьи или законы, регулирующие данные правовой аспект или подсказать путь дальнейших поисков?


 
Комментарии
— SATtva (13/12/2008 17:59)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4116
Подподает ли использование криптографии в протоколах обмена по сети (задачи аутентификации и защиты служебных данных) под ограничения законодательства РФ?

При использовании в гос. сфере, для защиты гос. тайны и персональных данных — да.

Будут ли проблемы с сертификацией для использования в гос. органах, если не сертифицировать по классу безопасности.

Нет такого понятия как "сертификацией для использования в гос. органах". Сертификация проходит на соответствие чему-то, в данном случае — требованиям к СКЗИ.

Можете подсказать ссылки на статьи или законы, регулирующие данные правовой аспект или подсказать путь дальнейших поисков?

Здесь. Вообще я Вам так скажу: если не ведёте разработку с нуля, ставя целью сертификацию своего продукта, то вы её не пройдёте. У вас, кстати, лицензия на разработку СКЗИ есть?
— dark_di (13/12/2008 19:13)   профиль/связь   <#>
комментариев: 3   документов: 2   редакций: 1
Задача стоит в реализации защищённого канала связи введением элементов криптографии. Вопрос в реализации какого-либо открытого криптографического протокола (бесплатного для коммерческого использования) или "сочинить самим какую-то пародию на него" пока остаётся открытым. Всё дело в том, что изначально система не проектировалась с учётом требований безопасности и существенно её переработкать нет возможности. Задача стоит в том, чтобы завернуть существующий протокол обмена между двумя узлами во что-то.
Требования к протоколу: работа ведётся между двумя конечными узлами по общедоступной линии ethernet, третьеё доверенной стороны нет. Протокол должен отвечать стандартным требованиям безопасности: аутентификация сторон обмена, закрытие потока данных, защита от манипуляций потоком данных (кроме блокирования некоторых сообщений).
Вопрос в том, на сколько законно вообще использование криптографии в протоколах обмена для его "защиты" и какие могут возникнуть проблемы с сертификацией. Соответственно сертифицировать сам протокл и не требуется, устройство уже сертифицированно без него. Вопрос весь в том, не повлияет ли его использование на дальнейшую сертификацию. И на возможность использования в гос. учреждениях (аэропорты, заводские помещения и прочее). Некая конфиденциальная информация о пользователях в системе присутствует. Соотвветственно для гарантировнной защиты (в рамках гарантий, ей предостявляемых) заказчик может использовать сертифицированные решения СКЗИ сторонних производителей или ещё каким-либо способом решить проблему безопасности.
У вас, кстати, лицензия на разработку СКЗИ есть?

Лицензии на разработку средств СКЗИ нет. Есть задача закрыть канал передачи. А приглажение соответсвующих фирм с лициензией на разработку и интеграцию систем КСЗИ пока не рассматривается. Ежу понятно, что грамотно реализовать криптосистему не удастся. Всё равно в ей будет какое-то слабое звено (хоть хранение ключевой информации на концах соединения), но какую-то видимость безопасности оно создаст. Тем более даже в мысялх нет пытаться её сертифицировать. Вся проблема в том, что не создаст ли данная работадлягалочки больше проблем, чем решит.
Это не моя позиция, таково положение дел.
— dark_di (13/12/2008 19:46)   профиль/связь   <#>
комментариев: 3   документов: 2   редакций: 1
Видимо, чтобы получить правильный ответ, надо задать правильный вопрос. Вопрос: можно ли использовать в гос. структурах ПО, которое обменивается по закрытому каналу данных. Если его ставить так, то ответ нет. А если криптография используется при обмене между ip-камерой и ЦУБ с соответсвующим ПО, то требуется ли сертификация изделия в данном случае с учетом используемого им протокола передачи или нет, если данная камера ставится, скажем, в аэропорту. и может ли ip-камера вообще использовать криптографию, разрешено ли это законодательно. ведь ПО тоже использует криптографию, правда только для обмена с камерой.
Я понимаю, что в данном случае можно ответить, что требуется сертификация ПО соотв. органами и самой камеры, а так как протокол есть часть состемы, то и его. А если ПО сертифицированно, камера сертифицированна и добавляется криптография в протокол обмена, то может это стать проблемой при сертификации или нет, так как это уже средства криптографии, система может продаваться за рубеж, а это подподает уже под ведомсто ФСБ, или не подпадает? В России же легальное применение криптоалгоритмов подразумевает наличия разрешения спецслужб. Что в таком случае получается?
— SATtva (13/12/2008 20:47, исправлен 13/12/2008 20:51)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4116
Мысль понятна. Даю наводку: откройте утверждённое Правительством fileположение о лицензировании деятельности, связанной с СКЗИ, где в пунктах 1 и 2 даётся исчерпывающий перечень предметов, подлежащих лицензированию и изъятых из этого требования. Обратите внимание на п. 1(з, и, к).

система может продаваться за рубеж, а это подподает уже под ведомсто ФСБ, или не подпадает?

Экспорт криптотехнологий регулируется ФСБ.

В России же легальное применение криптоалгоритмов подразумевает наличия разрешения спецслужб.

Использование — нет. Разработка и продажа — да.
— dark_di (13/12/2008 22:02)   профиль/связь   <#>
комментариев: 3   документов: 2   редакций: 1
Мысль понятна. Даю наводку: откройте утверждённое Правительством положение о лицензировании деятельности, связанной с СКЗИ, где в пунктах 1 и 2 даётся исчерпывающий перечень предметов, подлежащих лицензированию и изъятых из этого требования. Обратите внимание на п. 1(з, и, к)

Если предположить, что технологический канал – это канал, через который осуществляется управление, контроль состояния и пользователь не может воспользоваться им для передачи данных, тогда вроде подпадает под п1(к).
Например есть бесконтактный считыватель карт и при проходе через зону ответственности на терминал передаётся информация о номере карты. Так же по этому каналу осуществляется проверка состояния устройства и некоторая настройка. Вроде бы этот канал является технологическим (я правильно понимаю?) и защита передачи данных по нему не подлежит сертиифкации на основе ПОСТАНОВЛЕНИЕ
от 29 декабря 2007 г. N 957 п1(к).
Если это камера и передача сообщений по сети в полностью зашифрованном виде, то это можно отнести к аппаратуре коммерческого вещания на ограниченную аудиторию (а можно ли?), то это уже вроде не технологический канал, и вроде как уже согласно п2 нужна сертификация. Есть ещё вариант ограничить размер ключа согласно п1(з). Из данного ПОСТАНОВЛЕНИЯ следует, что не доступность пользователю манипуляций с потоком данных не является поводом отнесения его к технологическим каналам (вещание на аудиторию например). Значит, надо либо отнести канал к технологическому ( кто это мождет сделать и на основе чего?) либо ограничить параметры криптосистемы п1(з). То есть это ложится на те, кто сертифицирует изделие и требует юридического заключения?
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3