использование PGP в своих разработках.
Господа, помогите пожалуйста разобраться. Я программист, наша фирма получила заказ на разработку проекта, требующего защиты передаваемых между филиалами клиента данных. Я подумываю насчет PGP, но возникает вопрос: есть ли версии библиотек, которые можно использовать бесплатно для разработки приложения, продаваемого клиенту (исходники в комплект поставки не включаются). Если нет, то сколько стоят лицензии.
Timour, несколько устаревшая версия криптографического ядра PGP SDK 2.1, на которой основаны шестые-седьмые версии программы, есть в Ссылках. Другое дело, что использовать любую версию SDK в коммерческих целях без лицензии PGP Corporation незаконно (думаю, вашей компании миллионные судебные иски не нужны).
PGPCorp ведёт довольно комплексную политику лицензирования SDK (в том числе и на условии бесплатного предоставления) в зависимости от назначения и области применения разрабатываемых лицензиатом приложений, поэтому не зная примерной архитектуры вашего проекта точно ответить по ценам я не смогу. Но если передача зашифрованных данных планируется на межсерверной основе, а мне показалось, что это именно так, вам придётся лицензировать SDK 3.0 в качестве PGP Command Line 8.0 (8.5 на базе SDK 3.2 выйдет в апреле), что обойдётся в 4500 у.е. в год для двухсерверного варианта, 7500 у.е. в год для шестисерверного и т.д. Более подробно о политике и вариантах лицензирования можете почитать на http://www.pgp.com/products/sdk.html .
Альтернативой PGP SDK может послужить реализация в виде криптографического движка вашей системы GnuPG. Но в этом случае соответствующая часть системы должна поставляться вами в исходных текстах по нормам лицензии GPL, что, как я понял, в планы опять же не входит.
Самый дешёвый вариант, конечно, — это самостоятельно криптографический движок написать: литературы и готового кода в Интернете и в книжных магазинах полно. Но если у вас в команде нет специалиста по ИБ, способного проанализировать итоговый вариант реализации криптографических примитивов, надёжность всей системы будет под большим вопросом.
Благодарю за исчерпывающий ответ. Действительно, мы работаем абсолютно легально, а проект достаточно невелик (пара сотен человеко дней = несколько десятков тысяч уе), поэтому ни затевать собственную разработку ни покупать лицензии дороже пары сотен желания нет. Что ж – поищем другие варианты. Еще раз спасибо.
Timour, зайди к нам мы этим уже пять лет занимаемся опыт вроде есть , может чем поможем. И PGP это не панацея в интернете от взломщиков. Лучше всего использывать ГОСТы в вопросах кодирования Р 34.10-2001 и Р 34.11-2001 все таки я думаю так надежнее. Так что заходи к нам, а там решай сам
[Удалено цензурой в соответствии с положениями Правил поведения в Форуме: несанкционированная реклама. Все вопросы коммерческого характера обсуждаются при личной встрече или посредством частной переписки. /Администрация]
ГОСТ Р 34.10-94 "Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма".
ГОСТ Р 34.11-94 "Функция хэширования".
Где Вы тут, пардон, шифрование нашли? Это и есть пятилетний опыт в вопросах ИБ? ;-) Специалист...
На PGP свет клином не сошелся, есть другие библиотеки всё зависит от того что вам надо.
на вскидку, пара ссылок на LGPL, BSD библиотеки
GnuTLS – лицензия LGPL[link1]
BeeCrypt (LGPL)[link2]
OpenSSL (BSD)[link3]
Botan (BSD)[link4] (!)
Crypto++ (BSD)[link5] (!)
(!) – на мой взгляд, весьма достойный и качественный софт
Действительно. Если нет желания по определённым причинам поставлять весь продукт в исходных текстах по лицензии GPL, стоит подключить библиотеку, передаваемую в исходниках, оставляя саму разработку полностью проприетарной.
SATtva, при условии что библиотека распространяеться по LGPL лицензии.
GPL запрещает линковать свой код с проприетарным.
Это еще называеться GPL-вирусом, всё что касается GPL тоже становится GPL
paranoid ant, так Вы и привели ссылки на LGPL. О GPL и её несоответствии заявленным Timour'ом требованиям я выше отвечал.
Текст BSD не помню, так что на сей счёт ничего добавить не могу. :)
SATtva, мне показалось важным подчеркнуть разницу между GPL и LGPL.
я дал ссылки на код лицензированный по новой BSD лицензии, его можно использовать без ограничений (но надо помнить что некоторые алгоритмы могут быть защищеные патентом)
Автор не указал платформу. Win/Linux/...?
Забыли libgcrypt (от GnuPG Team) под LGPL?
Можно еще сам GnuPG использовать через pipe.
Мне необходимо использовать Pgp wipe для удаления некоторых файлов в *.bat-ке. Подскажите, можно ли работать с PGP из командной строки и где про это можно почитать. Заранее спасибо
Никто незнает или такого нет
Подозреваю, что нельзя.
Но есть другие программы для этих целей. В частности, Eraser.
Посмотрите на сайте, в разделе Soft.
Нужно сгенерировать пару ключей постедством SDK PGP?
Кто мне может помочь?
Мне попала в руки програма на Delphi работающая с Pgp 8.1
В ней вызываються ф-ции pgp из dll-ок. Но я не могу найти описания этих ф-ий.
Если гдето такое?
Посмотрите старую документацию по pgp sdk. Ссылка есть в Софте > Скачать PGP.
Посмотрю, спасибо. Но как с тем что написано выше?
Тоесть надо пролистать все и выташить нужное?
А просто справочника нет?
А я Вам что предлагаю? Не хотите — загляните в мануал этой Вашей программы или обратитесь к её разработчику.