Криптостойкость современного PDF
Уважаемые, подскажите, на каком уровне ныне находится криптостойкость современных версий формата PDF ?
Взломы времен Дмитрия Склярова давно прошли, и наверное, стойкость в Adobe подтянули.
Пользуюсь LibreOffice, но о стойкости там найти не удалось.
Такие вещи скажет только тот, кто ковырял и дизассемблил адоб (если кому-то это вообще нужно). Спрашивать надо на крякерских форумах типа крэклаба и ему подобных. Проверяли, скорей всего, только какие-то конкретные версии, да и их вряд ли досконально. Если есть незакрытая дыра, вам о ней не скажут, так как для кое-кого это источник дохода. Если были дыры, но их закрыли, то могут и рассказать. Это всё на случай, если совсем пускаться в тяжкие. Ну, а так, unknown уже всё по существу сказал.
Создайте PGP ключ для форума, загрузите его в профиль, подписав случайную строку, вам данную сайтом, тогда окончательно потеряете доступ к форуму, если (и только если) потеряете ключ.
В России есть аналогичные требования для лицензирования услуг и сертификации по защите информации для госорганизаций, и что с того?
Некорректная поставновка вопроса, равно как и попытка сравнения. Видимо автор поста знает о "russian compliance" лишь по наслышке, но имеет какое-то мнение, которое очень хочет довести до хоть какой-нибудь аудитории.
Таким образом технику Apple некоторое время не разрешали использовать в США различным службистам и некоторым коммерческим структурам. До тех пор, пока Apple не подтянуло качество реализации некоторых функций до набора утвержденных требований.
Примерно такая же ситуация и в РФ – есть требования ФСТЭК, ФСБ и какой-то там части минобороны. В отношении организаций бюджетных или коммерческих, допущенных до работы в каком-то режиме секретности. Насколько помнится у ФСО персональных требований нет – оно полагается на шкалу оценки ФСБ.
Что в США, что в РФ коммерческий софт проходит сертификацию с предоставлением исходников и средств сборки в бинарники. Анализируется с позиции комплексной оценки различных сценариев/моделей угроз. Как сами исходники, так и работа бинарников. Исходя из того уровня сертификации, которую хотел бы подтвердить вендор. Анализ выполняется не госслужащими, а несколькими аналитическими агенствами. Очень опасающимися потерять лицензию на право заниматься подобной деятельностью.
Только таким образом продукция Microsoft, Apple, Adobe и других именитых вендоров может быть допущена до использования с документами содержащими "чувствительную информацию" какого либо рода.
Потому оценка качества реализации шифрования содержимого документов PDF может быть произведена через анализ того на какой уровень сертифицирована та продукция Adobe, посредством которой сформирован данный документ.
комментариев: 1060 документов: 16 редакций: 32
Сертифицированные шифрующие USB-накопители оказались с лёгкостью взломаны.
Журнализды такие журнализды.
FIPS140-2 описывает модули лишь в контексте защиты информации промышленных систем, аналог в России зовется "для служебного пользования".
Т.е. FIPS140-2 никогда неиспользуется для уровней типа "коммерческая тайна", не говоря уже о "секретно" и выше.
комментариев: 9796 документов: 488 редакций: 5664
Напомнило. С последующим. И вот этим до кучи.
А сертификация — это штука такая. Больше формально-бюрократическая.
комментариев: 1060 документов: 16 редакций: 32
Дело не в этом, а в том, что сайт перманентно перлюстрируется специалистами, и на сомнительные ответы следует немедленная реакция. Если реакции нет, значит, все согласны. Если эти несколько специалистов перестанут систематически сюда писать, pgpru превратится в обычный базар типа того, что просиходит на остальных форумах.
P.S. Unknown аццки повеселил, добавил ваш пост в копилку. :)
Угу, сразу видно "специалиста" не наделенного опытом сертификации в ФСБ программных систем с криптографией.
Взятки не работают, процесс длится от полугода до двух-трех годов, в среднем порядка полутора лет.
Бюрократия зашкаливает. Всё, как положено. В РФ почти все значимые справки долго оформляются по тем же причинам, а не потому, что процесс очень ответственный.