The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от opennews (ok) on 03-Июл-12, 17:15 
Проект OpenSSL получил (http://www.openssl.org/docs/fips/fipsnotes.html) для версии библиотеки 1.0 сертификат соответствия стандарту безопасности FIPS 140-2 (http://en.wikipedia.org/wiki/FIPS_140-2), определяющего требования к криптографическим модулям, необходимые для их использования в государственных учреждениях США. Сертификат выдан Американским институтом стандартов и технологий (NIST) после проведения соответствующего аудита кода проекта.


Выданные сертификат примечателен тем, что он выдан на исходные тексты продукта, а не конкретную бинарную сборку, что расширяет область использования OpenSSL в государственных проектах. Тем не менее, сертификация кода налагает определённые требования (http://openssl.org/docs/fips/UserGuide-2.0.pdf) на окружение сборки, которое может включать только одобренные FIPS сборочные инструменты и немодифицированные исходные тексты версии библиотеки, прошедшей сертификацию. При этом при выявлении уязвимостей или серьёзных ошибок в сертифицированном коде, пользователи не вправе применить патч с устранением проблемы, не дождавшись результатов сертификации обновлённой версии, так как это приведёт к потере сертифицированного статуса.


Выданный сертификат не охватывает всю библиотеку, а лишь подтверждает безопасность модуля OpenSSL FIPS Object Module, в состав которого включено ограниченное подмножество возможностей OpenSSL. Например, в состав модуля не включены такие популярные, но не совместимые с FIPS алгоритмы, как  Blowfish, CAST, IDEA и RC4/5.


URL: http://www.h-online.com/open/news/item/OpenSSL-1-0-now-with-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=34261

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +8 +/
Сообщение от iCat (ok) on 03-Июл-12, 17:15 
А наши банки и налоговые службы продолжают жрать VipNET и другие несуразности, слепленые на основе КриптоПРО...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –12 +/
Сообщение от pavlinux (ok) on 03-Июл-12, 17:51 
Ваша не понятна, предлагаете юзать амерекосский AES?
Или вы не предлагаете, а так, посрать зашли?!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +1 +/
Сообщение от Аноним (??) on 03-Июл-12, 18:03 
>Ваша не понятна, предлагаете юзать амерекосский AES?

В OpenSSL и ГОСТ есть давно.
>выдан на исходные тексты продукта

А вот так у нас пока не умеют.
Да и на бинарник не умеют, в смысле на электронный файл. Только на носитель. Приходится покупать каждый раз.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

18. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –7 +/
Сообщение от Andrew Kolchoogin on 03-Июл-12, 18:30 
>> Ваша не понятна, предлагаете юзать амерекосский AES?
> В OpenSSL и ГОСТ есть давно.

_В OpenSSL_ -- нету.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

32. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от pavlinux (ok) on 03-Июл-12, 19:12 
pavel@suse64:~> openssl engine gost -vvv

(gost) Reference implementation of GOST engine
     CRYPT_PARAMS: OID of default GOST 28147-89 parameters
          (input flags): STRING

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

42. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –3 +/
Сообщение от Andrew Kolchoogin on 03-Июл-12, 21:35 
Это очень полезная команда, но README.ENGINE в исходниках OpenSSL v1.0.1c говорит чётко и ясно, что built-in engines в OpenSSL следующие:

===
There are currently built-in ENGINE implementations for the following
  crypto devices:

      o CryptoSwift
      o Compaq Atalla
      o nCipher CHIL
      o Nuron
      o Broadcom uBSec
===

GOST -- это Dynamic Engine. Она живёт отдельно от OpenSSL, и может поставляться, а может -- нет.

pavlinux, за тобой, вроде бы, не замечено было "думать быстрее, чем разбираться"...

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

52. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +2 +/
Сообщение от ананим on 03-Июл-12, 23:07 
Во выкручивается! Трухины из(под) мс наверное от зависти позеленели.

зыж
между "_В OpenSSL_ -- нету" и "GOST -- это Dynamic Engine" есть существенная разница.

GOST'овские алгоритмы поставляются в том же тарболе с сырцами openssl. всё!!!
они там есть.
то что они не являются базовыми и используемыми по-умолчанию для пендостана — это та аксиома которую только трухины могут так долго доказывать.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

55. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Michael Shigorin email(ok) on 04-Июл-12, 00:00 
> pavlinux, за тобой вроде бы не замечено было "думать быстрее, чем разбираться"...

Так эээ... https://www.opennet.ru/opennews/art.shtml?num=21076 вроде давно уж.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

60. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Andrew Kolchoogin on 04-Июл-12, 04:03 
>> pavlinux, за тобой вроде бы не замечено было "думать быстрее, чем разбираться"...
> Так эээ... https://www.opennet.ru/opennews/art.shtml?num=21076 вроде давно уж.

-static в ключи линкеру, Миш -- и не будет у тебя никакого ГОСТа. :) Впрочем, на некоторых платформах можно будет dlopen() позвать, но это не универсальное решение, кое-где статически собранный бинарь не сможет подгрузить динамический модуль.

Это crypto engine, которые не есть часть OpenSSL, строго говоря.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

95. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +1 +/
Сообщение от ананим on 04-Июл-12, 14:27 
— Доктор, если я одеваю подтяжки вот так, то спина чешется.
— Что ж. Не одевайте так подтяжки.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

103. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Michael Shigorin email(ok) on 04-Июл-12, 16:55 
> -static в ключи линкеру, Миш -- и не будет у тебя никакого ГОСТа. :)

Так ногу отстрелить завсегда можно по-разному, была бы нужда такая.

ЕМНИП перед мержем собственно ГОСТовой части криптокомовцы именно над engine'ами и поработали -- да вот, гляньте сами: http://lists.altlinux.org/pipermail/devel/2005-June/034122.html -- т.е. всё так и задумано.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

33. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –1 +/
Сообщение от ананим on 03-Июл-12, 19:18 
википедия не согласна
>OpenSSL supports a number of different cryptographic algorithms:
>Ciphers
>    AES, Blowfish, Camellia, SEED, CAST-128, DES, IDEA, RC2, RC4, RC5, Triple DES, GOST 28147-89[2]
>Cryptographic hash functions
>    MD5, MD2, SHA-1, SHA-2, RIPEMD-160, MDC-2, GOST R 34.11-94[2]
>Public-key cryptography

    RSA, DSA, Diffie–Hellman key exchange, Elliptic curve, GOST R 34.10-2001
http://en.wikipedia.org/wiki/OpenSSL

где GOST block cipher, defined in the standard GOST 28147-89, is a Soviet and Russian government standard symmetric key block cipher. Also based on this block cipher is the GOST hash function.
http://en.wikipedia.org/wiki/GOST_%28block_cipher%29

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

43. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –2 +/
Сообщение от Andrew Kolchoogin on 03-Июл-12, 21:35 
> википедия не согласна

А README.ENGINE в исходных текстах OpenSSL не согласен с Викой. Кому верить?

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

51. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от ананим on 03-Июл-12, 22:54 
Правда что ли? :D
а то вон ниже ( https://www.opennet.ru/openforum/vsluhforumID3/85416.html#34 ) уже и реадми привёл.
надо было вам не спешить отвечать, а вначале все ответы глянуть.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

63. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Аноним (??) on 04-Июл-12, 04:39 
> А README.ENGINE в исходных текстах OpenSSL не согласен с Викой. Кому верить?

"Если нечто выглядит как собака и ведет себя как собака, мы называем это собакой". Аналогично насчет поддержки GOST в OpenSSL.


Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

67. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Alex_S (??) on 04-Июл-12, 04:51 
>> википедия не согласна
> А README.ENGINE в исходных текстах OpenSSL не согласен с Викой. Кому верить?

доки в ореnssl -  сырые
могут не отражать действительность


Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

86. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от ананим on 04-Июл-12, 11:00 
Доки нормальные.
А вот реадми не обязана все доки в себя включать.
Тем более гост для буржуев уж очень местечковое дополнение к базовым алгоритмам.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

40. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +2 +/
Сообщение от Аноним (??) on 03-Июл-12, 20:21 
Минус вам за дезу
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

44. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –5 +/
Сообщение от Andrew Kolchoogin on 03-Июл-12, 21:36 
> Минус вам за дезу

Аналогично вам за неумение читать документацию, поставляемую с исходниками (или исходное сообщение автора, или и то, и другое).

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

62. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Аноним (??) on 04-Июл-12, 04:38 
> _В OpenSSL_ -- нету.

Вообще-то уже давно есть. Ручник полезно иногда отпускать.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

46. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –2 +/
Сообщение от Andrew Kolchoogin on 03-Июл-12, 21:40 
> В OpenSSL и ГОСТ есть давно.
>> выдан на исходные тексты продукта

На часть исходных текстов. Dynamic Engines не являются частью OpenSSL FIPS Object Module, если я, конечно, ещё не окончательно спятил.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

47. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +1 +/
Сообщение от Аноним (??) on 03-Июл-12, 22:10 
Да, разумеется. ГОСТу и не нужен сертификат США.
Это были 2 не связанные мысли в одном посте.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

53. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от ананим on 03-Июл-12, 23:16 
Разумеется, кэп.
У кого хватило духу дочитать до последнего абзаца (и понять прочитанное… видимо с этим тоже есть затруднения), что NIST не интересуют не только алгоритмы "потенциального противника", но и ещё ряд:
>Например, в состав модуля не включены такие популярные, но не совместимые с FIPS алгоритмы, как Blowfish, CAST, IDEA и RC4/5.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

64. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +2 +/
Сообщение от Аноним (??) on 04-Июл-12, 04:42 
> На часть исходных текстов. Dynamic Engines не являются частью OpenSSL FIPS

Если б гост стал частью FIPS - вот это был бы номер...

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

54. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Аноним (??) on 03-Июл-12, 23:46 
>покупать каждый раз.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

78. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –1 +/
Сообщение от VoDA (ok) on 04-Июл-12, 09:37 
>>Ваша не понятна, предлагаете юзать амерекосский AES?
> В OpenSSL и ГОСТ есть давно.

А ГОСТ из OpenSSL имеет сертификат? и у кого этот сертификат можно получить?


ЗЫ поддержка без сертификата нах не нужна ибо не позволяет использовать на территории РФ.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

81. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Аноним (??) on 04-Июл-12, 10:22 
сертификат нужен только при использовании в госорганах или общении с ними.
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

90. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от VoDA (ok) on 04-Июл-12, 13:06 
> сертификат нужен только при использовании в госорганах или общении с ними.

собственно весь топик о "сертификации", которая нужна в основном для гос-органов.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

11. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от norguhtar email on 03-Июл-12, 18:09 
OpenSSL включает в себя алгоритмы ГОСТ на базе эллиптических кривых. Это так к слову.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

20. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –5 +/
Сообщение от Andrew Kolchoogin on 03-Июл-12, 18:31 
> OpenSSL включает в себя алгоритмы ГОСТ на базе эллиптических кривых. Это так
> к слову.

_OpenSSL_ -- не включает.

Crypto Engine, реализующий ГОСТ, живёт от OpenSSL отдельно.


Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

34. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от ананим on 03-Июл-12, 19:20 
официальная информация не согласна:
http://cvs.openssl.org/fileview?f=openssl/engines/ccgost/REA...
GOST ENGINE
This engine provides implementation of Russian cryptography standard.
This is also an example of adding new cryptoalgorithms into OpenSSL
without changing its core. If OpenSSL is compiled with dynamic engine
support, new algorithms can be added even without recompilation of
OpenSSL and applications which use it.
ALGORITHMS SUPPORTED
GOST R 34.10-94 and GOST R 34.10-2001 - digital signature algorithms.
   Also support key exchange based on public keys. See RFC 4357 for
   details of VKO key exchange algorithm. These algorithms use
   256 bit private keys. Public keys are 1024 bit for 94 and 512 bit for
   2001 (which is elliptic-curve based). Key exchange algorithms
   (VKO R 34.10) are supported on these keys too.
  
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

45. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –4 +/
Сообщение от Andrew Kolchoogin on 03-Июл-12, 21:38 
> официальная информация не согласна:

Официальная информация говорит ровно то, что я и написал в своём сообщении.

> ...If OpenSSL is compiled with dynamic engine support,

Подумайте, что будет, if not.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

50. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +3 +/
Сообщение от ананим on 03-Июл-12, 22:52 
прикольные отговорки.
а если вообще не компилить, то openssl вообще не существует в природе,да?

сырцы одни, идут одним тарболом, очевидно что не всякой Зимбабве нужны ГОСТ'овские алгоритмы.
усё остальное — исинуации.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

59. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –4 +/
Сообщение от Andrew Kolchoogin on 04-Июл-12, 04:01 
> прикольные отговорки.
> а если вообще не компилить, то openssl вообще не существует в природе,да?

Прикольное нежелание думать головой.

> сырцы одни, идут одним тарболом, очевидно что не всякой Зимбабве нужны ГОСТ'овские
> алгоритмы.
> усё остальное — исинуации.

Угу-угу.

"Идёт" -- это то, что есть _всегда_, чтобы вовне программной библиотеки не происходило. А если что-то есть в тарболле с исходниками -- то возможны варианты.
Как вариант -- соберите ваш программный продукт статически, и попробуйте что-нибудь там ГОСТом пошифровать.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

65. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Аноним (??) on 04-Июл-12, 04:48 
> Прикольное нежелание думать головой.

При том у вас. Вы облажались, но силы духа признать это у вас не хватило. Начались гнилые отмазы - "а если совсем не собирать, то вообще ни 1 алгоритма не будет поддерживаться".

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

68. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Alex_S (??) on 04-Июл-12, 04:53 

> Прикольное нежелание думать головой.

по-вашему, входит в состав == может быть статически слинковано ?

что вас натолкнуло на такой вывод ?


Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

75. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от ram_scan on 04-Июл-12, 06:23 
А какая половая разница как оно там слинковано если функционал поддерживается ?

По факту я могу "искапрпки" получить openssl с поддержкой gost. Поэтому мне странно слышать что "нету ГОСТа в том вашем openssl". УМВР. ЧЯДНТ ?

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

94. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от ананим on 04-Июл-12, 14:25 
> "Идёт" -- это то, что есть _всегда_

Сколько раз вам надо скачать тарбол с сайта, чтобы убедиться что они идут с ним всегда?
Ссылочку дать?

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

115. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от samm email(ok) on 07-Июл-12, 16:25 
Андрей, вы удивительны. Вы облажались, но вместо того, чтобы признать это - продолжаете врать и справедливо собирать минуса.

Просто пару вопросов:

1) Есть ли реализация алгоритмов гост-а в тарболе с OpenSSL?
2) Возможно ли используя self-compiled OpenSSL из упомянутого выше тарбола криптовать и декриптовать данные используя алгоритм гост? Требуются ли внешние пакеты или библиотеки?

Вот вам и будет ответ - конечно, гост часть опенссл.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

22. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +2 +/
Сообщение от фывафыва on 03-Июл-12, 18:42 
А ничо что в нашем ГОСТе используются американские биты? В них точно есть закладки!
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

41. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +2 +/
Сообщение от ананим on 03-Июл-12, 20:57 
>А ничо что в нашем ГОСТе используются американские биты?

да наша лапта ещё старше их бейсбола!
http://ru.wikipedia.org/wiki/%D0%9B%D0%B...
так что в нашем госте правильные биты

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

61. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –1 +/
Сообщение от Andrew Kolchoogin on 04-Июл-12, 04:06 
> А ничо что в нашем ГОСТе используются американские биты? В них точно
> есть закладки!

Ну, это мелко. В OpenSSL GOST crypto engine (наш) не собирается, если отключено что-либо из нижеперечисленного:

1) криптография на основе эллиптических кривых;
2) Diffie-Hellman Key Exchange;
3) RSA

Всё это совершенно буржуйское. ;)

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

82. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Аноним (??) on 04-Июл-12, 10:27 
криптография на основе
эллиптических кривых изучалась не только буржуями.
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

98. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Аноним (??) on 04-Июл-12, 15:22 
> криптография на основе эллиптических кривых изучалась не только буржуями.

Sony успешно их изучила, в стиле:
int random()
{
return 4; //determined by fair dice roll - guaranteed to be random.
}

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

6. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –6 +/
Сообщение от Dron (ok) on 03-Июл-12, 17:59 
Слава богу, что нас не заставляют юзать в своих проектах OpenSSL
Хотя он в принципе способен заменить КриптоПро...

OpenSSL хорошая штука, только если внутрь не заглядывать... :)

> Выданный сертификат не охватывает всю библиотеку

Сертификаторы тоже все исходники не осилили :D

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Аноним (??) on 03-Июл-12, 18:07 
>OpenSSL хорошая штука, только если внутрь не заглядывать... :)

Вы не поверите. Внутрь заглядывать и не требуется. Если, конечно, нет желания помочь проекту написать код или провести аудит.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Dron (ok) on 03-Июл-12, 18:12 
>Вы не поверите. Внутрь заглядывать и не требуется.

Учитывая уровень документированности OpenSSL - еще как требуется...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +2 +/
Сообщение от Куяврик on 03-Июл-12, 18:20 
Кстати, а как там внутренности КриптоПРО? Они вас устраивают?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

16. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –5 +/
Сообщение от Dron (ok) on 03-Июл-12, 18:26 
> Кстати, а как там внутренности КриптоПРО? Они вас устраивают?

Я работаю не в КриптоПро, пусть это беспокоит разработчиков оттуда. :)
Мы используем КриптоПро в своих продуктах, у него есть свои тараканы. Но с гостом он справляется. :)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

27. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от ананим on 03-Июл-12, 18:51 
В openssl вы тоже не работаете, но какие однако диаметральные взгляды.
Двойные стандарты.

Зыж
> Мы используем КриптоПро в своих продуктах, у него есть свои тараканы.

Судя по комменту уже и не только свои.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

66. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –1 +/
Сообщение от Аноним (??) on 04-Июл-12, 04:50 
> Мы используем КриптоПро в своих продуктах,

Так бы сразу и сказали, что это - всего лишь маркетинговый булшит и прикрывание своей задницы. Ведь как известно свое г... не пахнет.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

73. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от SCIF email(ok) on 04-Июл-12, 05:10 
> Я работаю не в КриптоПро, пусть это беспокоит разработчиков оттуда. :)
> Мы используем КриптоПро в своих продуктах, у него есть свои тараканы. Но
> с гостом он справляется. :)

Ииии??? А таки OpenSSL с ГОСТом не справляется? Вы непоследовательны и кладёте говном то, что работает , указывая, на то, что другое тоже работает.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

93. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Клыкастый (ok) on 04-Июл-12, 13:41 
>> Кстати, а как там внутренности КриптоПРО? Они вас устраивают?
> Я работаю не в КриптоПро, пусть это беспокоит разработчиков оттуда. :)

ээээ.... я правильно понял, что выработаете в OpenSSL?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

96. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Dron (ok) on 04-Июл-12, 14:56 
>>> Кстати, а как там внутренности КриптоПРО? Они вас устраивают?
>> Я работаю не в КриптоПро, пусть это беспокоит разработчиков оттуда. :)
> ээээ.... я правильно понял, что выработаете в OpenSSL?

Боже упаси...
По долгу службы я сильно связан с криптографическими алгоритмами, в основном с ГОСТ.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

99. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Клыкастый (ok) on 04-Июл-12, 15:42 
>> ээээ.... я правильно понял, что выработаете в OpenSSL?
> Боже упаси...

Тогда неясна разница в подходе. Внутрь OpenSSL смотреть надо, криптопро пусть сами.

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

100. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Dron (ok) on 04-Июл-12, 16:02 
>>> ээээ.... я правильно понял, что выработаете в OpenSSL?
>> Боже упаси...
> Тогда неясна разница в подходе. Внутрь OpenSSL смотреть надо, криптопро пусть сами.

Microsoft Crypto API прекрасно докумментировано на MSDN.
Кроме этого надо лишь самую малость, идентификаторы алгоритмов узнать и все.

А в OpenSSL надо искать все.
А в докумментации там вот что:
openssl(1): [STILL INCOMPLETE]
ssl(3): [STILL INCOMPLETE]
crypto(3): [STILL INCOMPLETE]
HOWTO: [STILL INCOMPLETE]

Как и для чего использовать ту или иную функцию, например d2i_PKCS7, есть такая функция.. я даже грепом найти не могу, потому, что задекларирована она так:
DECLARE_ASN1_FUNCTIONS(PKCS7)
Больше про нее не известно ничего... И так в OpenSSL куда не плюнь.

Возможно, тривиальные действия (посчитать md5 хэш) там худо-бедно описаны... а если ты хочешь что-то посерьезнее, достать из криптопрошного сертификата public key... то это без поллитры не сделаешь...

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

102. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от ананим on 04-Июл-12, 16:49 
Это большое упущение, что на мсдн нет [STILL INCOMPLETE] (обман, везде обман)
Тем более по описаниям делать выводы о содержании — тот ещё профессионализмъ.
Так же есть большие сомнения, что вы вообще ходили смотреть докуметацию openssl ранее, чем пару дней и далее, чем первая страница.
http://www.openssl.org//docs/fips/
Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

108. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –1 +/
Сообщение от arisu (ok) on 05-Июл-12, 06:32 
ну, если ты не знаешь, зачем нужна функция — так и не используй.

а вообще-то, в гугле есть много всего. а ещё есть списки рассылок, где ВНИЗАПНА! на вопросы таки отвечают. причём люди, которые библиотеку используют.

кстати: можешь взять и дополнить документацию, если что. народ благодарен будет.

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

28. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +5 +/
Сообщение от Аноним (??) on 03-Июл-12, 18:53 
> OpenSSL хорошая штука, только если внутрь не заглядывать... :)

Сделайте вид, что это проприетарный продукт, и не заглядывайте внутрь. Все будут счастливы.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

97. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Dron (ok) on 04-Июл-12, 15:02 
>> OpenSSL хорошая штука, только если внутрь не заглядывать... :)
> Сделайте вид, что это проприетарный продукт, и не заглядывайте внутрь. Все будут
> счастливы.

Есть большая разница между КриптоПро и OpenSSL
Нет, это не открытость исходников последней...

Докумментация КриптоПро тоже достаточно скудная, но ей и не нужно быть подробной, потому что КриптоПро доступен через Microsoft Crypto API.

В то время, как OpenSSL не встраивается в винду, а является самостоятельной библиотекой... Многие функции которой вообще не имеют докумментации. И без заглядывания в исходники мало что можно сделать.

Посмотрите хотя бы на количество ошибок в OpenSSL... можно сделать выводы о внутреннем качестве этой библиотеки уже на основании этого.

А сабж без патчей конечно гроша ломанного не стоит.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

104. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от ананим on 04-Июл-12, 21:30 
>В то время, как OpenSSL не встраивается в винду, а является самостоятельной библиотекой...

а ещё там gost в составе.
другими словами — не недо платить таким как вы за "доработки".

зыж
ха! полная дока в мсдн. полная.
а заплатите хрен-знает-кому, будет ещё полнее.

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

109. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –1 +/
Сообщение от arisu (ok) on 05-Июл-12, 06:34 
> Посмотрите хотя бы на количество ошибок в OpenSSL… можно сделать выводы о
> внутреннем качестве этой библиотеки уже на основании этого.

посмотрев на количество и качество ошибок в винде, можно сделать вывод, что для более-менее безопасной работы её могут выбрать только полные идиоты или проплаченые «казачки».

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

112. "блажен неведующий, воистину"  +/
Сообщение от DFX (ok) on 05-Июл-12, 13:56 
>> Посмотрите хотя бы на количество ошибок в OpenSSL... можно сделать выводы о внутреннем качестве этой библиотеки уже на основании этого.

ну я просто балдею от профессиональности этого подхода !

дак ведь предыдущий оратор вам уже сказал:
>> Сделайте вид, что это проприетарный продукт, и _не заглядывайте внутрь_

вот, вот: закройте глазки и УВЕРУЙТЕ ! уверуйте в мнимое превосходство одного чёрного ящика, перед другим, судя по обёртке, как вы это, похоже, любите.
какая вообще замечательная претензия: "я подглядел, и мне не понравилось, буду кушать вслепую из другого корыта" !

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

24. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +2 +/
Сообщение от Аноним (??) on 03-Июл-12, 18:46 
КриптоПро к VipNet не имеет не малейшего отношения. VipNet всю жизнь строился вокруг собственной либы DomainK - которая отдельно сертифицировалась.

А КриптоПро - к вашему сведению - поучаствовало что бы в OpenSSL появилась поддержка ГОСТ-28147 и Р-34.10 Р-34.11.

Вот такие китята...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

35. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +1 +/
Сообщение от prof_alex on 03-Июл-12, 19:27 
Вы КриптоПРО и КриптоКом, часом, не попутали?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

36. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от ананим on 03-Июл-12, 19:42 
ну для gnutls реализацию запилили cryptopro
>Internet Draft                             Grigorij Chudov, CRYPTO-PRO

http://www.digipedia.pl/usenet/thread/11843/4470/

и у cryptocom
>шифрсьюты TLS на базе российских алгоритмов в соответствии с draft-chudov-cryptopro-cptls.

http://www.cryptocom.ru/opensource/
и далее по тексту http://www.cryptocom.ru/opensource/draft-chudov-cryptopro-cp...
Intended status: Informational                                CRYPTO-PRO
Expires: June 11, 2009                                  December 8, 2008
OST 28147-89 Cipher Suites for Transport Layer Security (TLS)
                    draft-chudov-cryptopro-cptls-04

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

89. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от profalex on 04-Июл-12, 12:32 
Так я про OpenSSL и говорю, патчи были КриптоКОМовские изначально: http://www.cryptocom.ru/opensource/openssl098.html

Когда они в основное дерево исходников попали статус стал таким: http://www.cryptocom.ru/opensource/openssl100.html

Т.е., за ГОСТ в OpenSSL спасибо надо сказать КриптоКОМу?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

92. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от ананим on 04-Июл-12, 13:32 
по ходу дела да.
хотя изначально брали у chudov-cryptopro (см. выше).

т.е. трудно сказать кому конкретно спасибо.
комьюнити аднака.
может обоим? включая и разрабов openssl:D

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

2. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +1 +/
Сообщение от chemtech (ok) on 03-Июл-12, 17:25 
VipNET и КриптоПРО это разные системы, и даже несовместимые между собой
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –2 +/
Сообщение от Аноним (??) on 03-Июл-12, 18:08 
они как раз совместимы, т.к. работают в связке. КриптоПРО - функции криптования, работа с ключами; ViPNET - передача данных по защищенным каналам (читай почтовая программа).
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от chemtech (ok) on 03-Июл-12, 18:21 
> они как раз совместимы, т.к. работают в связке. КриптоПРО - функции криптования,
> работа с ключами; ViPNET - передача данных по защищенным каналам (читай
> почтовая программа).

Почитайте сначала поподробнее про данные системы, а потом пишите. Вы указали не все характеристики

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –1 +/
Сообщение от Аноним (??) on 03-Июл-12, 18:27 
> Почитайте сначала поподробнее про данные системы, а потом пишите. Вы указали не
> все характеристики

Конечно не все, но общая суть понятна. Они могут работать и работают вместе. Где несовместимость?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от chemtech (ok) on 03-Июл-12, 18:35 
>> Почитайте сначала поподробнее про данные системы, а потом пишите. Вы указали не
>> все характеристики
> Конечно не все, но общая суть понятна. Они могут работать и работают
> вместе. Где несовместимость?

Вы хоть немного в теме?
Первая ссылка в гугле:
http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=2854

Поиск по "vipnet несовместим криптопро" Результатов: примерно 48 500

Я не могу отправить отправить документ подписанный через криптопровайдер Крипто-Про чтобы мог получить человек с криптопровайдером VipNET CSP

Еще
http://www.infotecs.ru/forum/index.php?showtopic=5955
"Формат контейнера криптопровайдеров вроде как отличается."

И еще куча других ссылок

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

30. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +1 +/
Сообщение от Аноним (??) on 03-Июл-12, 18:56 

> Еще
> http://www.infotecs.ru/forum/index.php?showtopic=5955
> "Формат контейнера криптопровайдеров вроде как отличается."

молчи грусть.. о их контейнерах ключей и тп.. а то как посмотришь на код - так плакать хочется..

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Аноним (??) on 03-Июл-12, 18:46 
> они как раз совместимы, т.к. работают в связке. КриптоПРО - функции криптования,
> работа с ключами; ViPNET - передача данных по защищенным каналам (читай
> почтовая программа).

Не совместимы. читаем что такое домен-к.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

7. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от anonynous on 03-Июл-12, 18:02 
>При этом при выявлении уязвимостей или серьёзных ошибок в сертифицированном коде, пользователи не вправе применить патч с устранением проблемы, не дождавшись результатов сертификации обновлённой версии, так как это приведёт к потере сертифицированного статуса.

Ну, радует, что идиотизм в области информационной безопасности есть не только у нас.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +1 +/
Сообщение от анон on 03-Июл-12, 18:31 
Предлагаете чтобы сертифицированный код после наложения патчей оставался таковым? И как вы себе это представляете? Вы делаете потенциальную "дыру" безопасности в сертифицированной системе, преследующей прямо противоположные цели, пусть даже она по утверждению (без гарантий) разработчика закрывает реальные, при этом хотите, чтобы гарантии оставались прежними.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

29. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от anonynous on 03-Июл-12, 18:53 
>И как вы себе это представляете?

Очень просто.

>Вы делаете потенциальную "дыру" безопасности в сертифицированной системе, преследующей прямо противоположные цели, пусть даже она по утверждению (без гарантий) разработчика закрывает реальные, при этом хотите, чтобы гарантии оставались прежними.

Я предпочту "потенциальную" дыру реально существующей.

>без гарантий

Применительно к OpenSSL всегда можно текст патча посмотреть, что он там исправляет. Я своим глазам доверяю больше, чем сертификатам.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

37. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от анон on 03-Июл-12, 19:45 
Есть официальные гарантии, а есть Ваше мнение. Какое более авторитетней и вернее, удобнее или еще какое - не важно. Важно то, что там, где нужно именно официальное, пусть по факту и менее надежное с точки зрения оперативности принятия патчей, прикрывающих "дыры", Ваше мнение никому не нужно какое бы оно ни было.

> Я своим глазам доверяю больше, чем сертификатам.

Я за Вас искренне рад и частично поддерживаю, но тогда что вы делаете в ветке про "сертификат безопасности"? Смею предположить что агитируете против "сертификации". Если так, то "не нужно".

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

38. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –1 +/
Сообщение от arisu (ok) on 03-Июл-12, 19:45 
> Я своим глазам доверяю больше, чем сертификатам.

спец по криптографии пожаловал, не иначе. в бебиане тоже один такой есть.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

69. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Аноним (??) on 04-Июл-12, 04:55 
> спец по криптографии пожаловал, не иначе. в бебиане тоже один такой есть.

И тем не менее, ряд очеивдных дыр может заткнуть и дилетант. Ну вон например недавно от одной атаки защитой был запрет блочных шифров. Оставить только поточный arcfour до момента пока проблема будет решена может даже полный дилетант. При этом т.к. он не пускал свои грязные лапы в arcfour - ничего и не сломается, соответственно.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

107. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от arisu (ok) on 05-Июл-12, 06:23 
я лично не стану доверять никаким правкам дилетанта в проектах типа OpenSSL или Linux. на всякий случай: проверить у меня нет времени и квалификации, а дилетант — он на то и… «я вам тут наработаю!» (ц)
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

113. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Аноним (??) on 05-Июл-12, 16:16 
+1

ЗЫ Анон с поста№19

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

83. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –1 +/
Сообщение от Аноним (??) on 04-Июл-12, 10:33 
>> Я своим глазам доверяю больше, чем сертификатам.
> спец по криптографии пожаловал, не иначе. в бебиане тоже один такой есть.

а зачем ты каверкаешь название дистрибутива? кстати не в debian, а в openssl.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

88. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Куяврик on 04-Июл-12, 11:32 
>>И как вы себе это представляете?
> Очень просто.

Понятие "скомпрометированная система" вам не знакомо?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

48. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +1 +/
Сообщение от Аноним (??) on 03-Июл-12, 22:23 
>Предлагаете чтобы сертифицированный код после наложения патчей оставался таковым?

А что даёт сертифицированный код?
Кто будет отвечать за последствия взлома? ФСБ?
Взвешенным решением при наличии публичного эксплоита будет, пожалуй, свой надёжный тоннель, с сертифицированным тоннелем внутри.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

57. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от анон on 04-Июл-12, 00:45 
Что дает сертифицированный код лучше спросите у тех, кто его сертифицирует и кому сертифицируют. На сколько я знаю в гос. учреждениях есть ограничения на установку несертифицированного оборудования (с кодом наверное также; может я ошибаюсь - пусть поправят). Какое решение принять это полностью Ваш выбор, однако если не придираться к каждому сказанному слову с целью показаться самым умным, то можно понять, что мой пост был ответом на некий "идиотизм", который нашел автор поста повыше. Тот самый, который считает что сертифицированный код должен таким оставаться даже после применении несертифицированной заплатки и что он лучше знает каково его качество. Вы конечно с ним согласны...Или нет?! А в общем, мне все равно.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

71. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Аноним (??) on 04-Июл-12, 05:01 
> заплатки и что он лучше знает каково его качество. Вы конечно
> с ним согласны...Или нет?! А в общем, мне все равно.

В случае с ГОСТ у ряда криптографов вообще есть подозрение что там может быть бэкдор и кому надо - умеют вскрывать его сильно проще нежели афишируется. Дело в том что нигде не описывается как генерируется заполнение S-box'ов, почему оно разное для разных контор и как отличить "секурный" вариант от варианта который может приводить к ослаблению шифра.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

79. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от VoDA (ok) on 04-Июл-12, 09:44 
> В случае с ГОСТ у ряда криптографов вообще есть подозрение что там
> может быть бэкдор и кому надо - умеют вскрывать его сильно
> проще нежели афишируется. Дело в том что нигде не описывается как
> генерируется заполнение S-box'ов, почему оно разное для разных контор и как
> отличить "секурный" вариант от варианта который может приводить к ослаблению шифра.

А почему вы уверены, что для алгоритмов сертифицированных на территории США нет "бэкдоров"?

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

101. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Аноним (??) on 04-Июл-12, 16:40 
>> заплатки и что он лучше знает каково его качество. Вы конечно
>> с ним согласны...Или нет?! А в общем, мне все равно.
> В случае с ГОСТ у ряда криптографов вообще есть подозрение что там
> может быть бэкдор и кому надо - умеют вскрывать его сильно
> проще нежели афишируется. Дело в том что нигде не описывается как
> генерируется заполнение S-box'ов, почему оно разное для разных контор и как
> отличить "секурный" вариант от варианта который может приводить к ослаблению шифра.

Зато есть описание к des. Оно сильно похоже. А почему разное?... Вы гост 28147 открывали? Сдается мне что нет - тогда бы туфу не творили. Блок перестановок является долговременным ключевым элементом и обязан быть разным в разных каналах связи, и выдатся компететными органами  - гост 28147, страница 8, внизу.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

39. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Кирилл (??) on 03-Июл-12, 19:57 
Ждём сертифицированного с ГОСТом =)
Хотя, у нас ФСБ просто идиотски к этому подходят.
Занимается сертификацией один отдел, который не может сертифицировать два продукта одновременно. То есть однозадачны они...
Вообще у нас в России всё что касается сертификации ИБ направлено только на получение бабла ведомствами вроде ФСТЭК и ФСБ. При том они явно закрывают глаза на маразм и посылают на три буквы спецов, которые явно указывают на косяки. Лукацкий не раз об этом говорил. Так что, пока они ведут себя как жлобы
(Все знают что виндой у нас торгует управление при президенте Рф, а некоторые продукты купить можно только там? =)) хрен мы дождемся нормального развития ИБ...

Кстати, у наших соседей для шифрования трафика тоже используется гостовый алгоритм, а для цифровой подписи у украинцев и белорусов, к примеру, свои стандарты =) Но ДСТУ украинцев слизан с нашего ГОСТа=) вот такие дела =)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от R on 04-Июл-12, 00:55 
> =) Но ДСТУ украинцев слизан с нашего ГОСТа=) вот такие дела
> =)

Вы в этом уверены?
[quote]Краткая информация о ДСТУ 4145-2002

Алгоритм основан на эллиптических кривых над полем 2 (не суперсингулярные кривые). В стандарте используются кривые в полиномиальном базисе и кривые в оптимальном нормальном базисе. Причем последние (ОНБ) двух разных типов: второго и третьего типа. Основой для разработки даного стандарта послужил международный стандарт IEEE P1363a. Поэтому принципиальным отличием ДСТУ 4145 является только использование "своей" функции хеширования. Для хеширования используется алгоритм - межгосударственный стандарт ГОСТ 34.311-95 (ранее ГОСТ 28147-89 в режиме имитовставки).[/quote]http://infoch.info/view_lesson.php?id=33

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

77. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Кирилл (??) on 04-Июл-12, 09:02 
>[оверквотинг удален]
>> =)
> Вы в этом уверены?
> [quote]Краткая информация о ДСТУ 4145-2002
> Алгоритм основан на эллиптических кривых над полем 2 (не суперсингулярные кривые). В
> стандарте используются кривые в полиномиальном базисе и кривые в оптимальном нормальном
> базисе. Причем последние (ОНБ) двух разных типов: второго и третьего типа.
> Основой для разработки даного стандарта послужил международный стандарт IEEE P1363a. Поэтому
> принципиальным отличием ДСТУ 4145 является только использование "своей" функции хеширования.
> Для хеширования используется алгоритм - межгосударственный стандарт ГОСТ 34.311-95 (ранее
> ГОСТ 28147-89 в режиме имитовставки).[/quote]http://infoch.info/view_lesson.php?id=33

А наш 2001 ГОСТ какбэ тот же алгоритм, вы не в курсе, да?)

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

56. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Аноним (??) on 04-Июл-12, 00:03 
Ужос. Всегда обходил сертифицированную гнусь за 10 километров - сертификация ничегошеньки не даёт, зато не даёт нормально обновлять ПО. Жаль тех кому приходится использовать сертифицированное.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

70. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Alex_S (??) on 04-Июл-12, 04:58 
> Ужос. Всегда обходил сертифицированную гнусь за 10 километров - сертификация ничегошеньки
> не даёт, зато не даёт нормально обновлять ПО. Жаль тех кому
> приходится использовать сертифицированное.

чувак, вот та часть , которая сертифицирована - ее уже незачем обновлять.
если какую-нить принципиальную дыру найдут - проще будет отказаться от продукта вообще, чем фиксить

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

72. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Аноним (??) on 04-Июл-12, 05:02 
>  чувак, вот та часть , которая сертифицирована - ее уже незачем обновлять.

Да, надо наслаждаться зондами, как сертифицированными так и вновь обнаруженными :)

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

74. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от anonymous (??) on 04-Июл-12, 06:03 
Чувак, к информационной безопасности ты имеешь отношение как домохозяйка к ракетным технологиям. И у нас, и "у них" серьезные люди используют сертифицированные железо и софт. Вот только они доверяют FIPSу, а мы - ФСТЭКу. Высокая политика, понимаешь.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

76. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  –2 +/
Сообщение от Кирилл (??) on 04-Июл-12, 09:01 
Самым логичным было бы принимать совместимые стандарты, то есть переводить международные.
Но нет же, мы же гордые птицы, у нас своя система ни с чем не совместимая и безобразно сформированная.
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

80. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +1 +/
Сообщение от VoDA (ok) on 04-Июл-12, 09:47 
> Самым логичным было бы принимать совместимые стандарты, то есть переводить международные.

Для США самый "международный" крипто-алгоритм тот, к которому у них есть "ключ" для быстрого вскрытия. Для нас - крипто, для которого наши спец-службы имеют "ключ".

Какой алгоритм примем за международный? ;)

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

87. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Аноним (??) on 04-Июл-12, 11:15 
>Какой алгоритм примем за международный? ;)

Один поверх другого.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

91. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от VoDA (ok) on 04-Июл-12, 13:07 
>>Какой алгоритм примем за международный? ;)
> Один поверх другого.

Тогда ни США ни РФ не примут его за стандарт. Так что придется таки определяться ;)

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

85. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +1 +/
Сообщение от ананим on 04-Июл-12, 10:56 
Ну зашибись.
Давайте уже на дюймовую систему переходить.

Зыж
Международные (если такие применительно к сабжу есть) как раз сабжем и не затонулись.
См. последний абзац.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

105. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Alex_S (??) on 05-Июл-12, 04:47 
> Ну зашибись.
> Давайте уже на дюймовую систему переходить.
> Зыж
> Международные (если такие применительно к сабжу есть) как раз сабжем и не
> затонулись.
> См. последний абзац.

  вопрос-оффтопик тогда. вот в винде есть фипс-сертифицированый криптопровайдер, который и офис и почта может использовать. AES там, SHA всякий.  И что , запрещен ли он в российских госконторах ?


Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

114. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Maniaq (ok) on 06-Июл-12, 22:07 
>   вопрос-оффтопик тогда. вот в винде есть фипс-сертифицированый криптопровайдер, который
> и офис и почта может использовать. AES там, SHA всякий.  
> И что , запрещен ли он в российских госконторах ?

Для обработки данных, требующих сертифицированных средств защиты, например персданных, да запрещен. см. соответствующие статьи законов, о тех же персданных.

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

84. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от Анонзо on 04-Июл-12, 10:45 
Вот только ты говоришь про "серьёзных людей". У нас эту сертифицированную хохломень силком пихают в каждое госучреждение, теребя за это немерянное бабло.
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

111. "OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"  +/
Сообщение от anonym on 05-Июл-12, 12:53 
Ха, VipNET этим летом нагнул все вузы и ссузы в РФ. Рособрнадзор обязал всех подключиться к "защищенной" випнетом сети ФИС ЕГЭ: http://priem.edu.ru/  
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру