[mdk-re] Re[2]: [mdk-re] Re[2]: [mdk-re] Re: [mdk-re] О почте и т.п.

[Maksim Otstavnov <maksim@otstavnov.com>]

Hello Roman,

Saturday, December 30, 2000, 12:20:15 AM, you wrote:

RS> On Fri, 29 Dec 2000 17:39:14 +0300
RS> Maksim Otstavnov <maksim@otstavnov.com> wrote:
>> 
>> "Происки ФАПСИ" - обычная отмазка для лавок, которые ленятся
>> формулировать, раскрывать и соблюдать хоть какую-то политику
>> технической безопасности.

RS> Максим! Если бы всё так просто...
RS> Закон - есть закон.

На сегодня закон а) оставляет выбор средств эмуляции собственноручной
подписи на усмотрение сторон (ст. 74 ГК), б) ничего не предписывает в
отношении использования средств обеспечения конфиденциальности.

(Б) имеет как положительные, так и отрицательные (в части обеспечения
конфиденциальности информации третьих лиц) следствия.

RS> Кстати, о птичках. Если пользуетесь телеуслугами банков, то
RS> посмотрите, что написано мелко-мелко в исходящих от Вас
RS> документах... А написано там - "Заверено АСП клиента".

Здесь имеет значение не то, что написано в электронных документах, а
то, что записано в договоре.

RS> А "Происки ФАПСИ" - это уж извините, Указ есть Указ. Нарываться
RS> никто не хочет, рынок, в т.ч. свободный достаточно неплохо накрыт
RS> Указом.

Да ничто никем не закрыто. Я наблюдал несколько ситуаций (с ввозом
банкоматов с DES-овскими чипами, с установкой "Кобры" в учреждениях
МВД и ФСБ и т.п.), когда ФАПСИ пыталось вмешаться и продать свой
"сервис". Когда им четко говорили: отвалите, они отваливали.

Я сам участвовал в раработке и внедрения полудюжины решений в крупных
организаций, и никаких проблем не было. В том-то и дело, что рынок
свободен.

RS> Пока оно действует - никто и за десять лет пальцем не
RS> пошевелит. Максимум - поставит Вербу (закрытую, по цене
RS> неподъёмную для малых клиентов, но пригодную для официального
RS> прикрытия задницы сертификатом), которая с 90% вероятностью
RS> (поскольку обратное не доказано) имеет 3-ий ключ.

В принципе, предположительно гнилое решение - не проблема, как это не
странно. Просто протокол А каскадируется с доверенным протоколом Б.
Например, "вербовый" трафик пропускается через PGP. Такое я тоже
делал.

По поводу закладок в средстве А или Б я бы воздержался от суждений.
Кому интересно, могут взять дизассемблер и смотреть. Если лень или
жаль средств - значит, неинтересно. Кому интересно - берите, ломайте;
сломаете сертифицированное ФАПСИ средство - войдете в сотню ведущих
аналитиков; через некоторое время четверть миллиона годового оклада -
не проблема ;)

RS> Думаю, что многие сотрудники сферы обслуживания, читающие это
RS> письмо составят своё мнение, причём одно из двух - "а ну его,
RS> морочиться" или "ну, примерно так и обстоит, но связываться не
RS> буду".

Я, собственно, ждал отчетов о _реальных_ проблемах, а не общих
рассуждений. Я за пять лет реальных проблем не видел.

Saturday, December 30, 2000, 12:49:51 AM, you wrote:

RS> On Fri, 29 Dec 2000 18:18:50 +0300
RS> Maksim Otstavnov <maksim@otstavnov.com> wrote:

>> "используемых для защиты информации, составляющей гостайну".
RS> С одной стороны - это логично. Гостайна - она и есть гостайна.

RS> Но если не будет отверстия "о признании по обоюдному соглашению
RS> сторон" в случае сведений _НЕ_ составляющих гостайну - вся
RS> законодательная база будет филькиной грамотой. Причём "блоки"
RS> будут с вероятностью около 70%%.

В части средств контроля подлинности соответствующая норма есть. В
части конфиденциальности - вряд ли появится.

RS> Нткто в законе не учитывает, что сведения _НЕ_ составляющие гос.
RS> тайну могут быть гораздо более ценными для интересов государства.

Это дыра в законодательстве о Гостайне. Там нет процедуры
"тактического" засекречивания, которое было бы полезно, например, для
законодательной защиты информации о позиции на тендере и т.п.;
поскольку протаскивать это через засекречивание, а потом через
рассекречивание на полную катушку никак не возможно, остается "дыра".
Появляется "ведомственная тайна" и прочие незаконные штучки.

RS> Фактически закон будет построен на интересах ФАПСИ, никак иначе.

Какой закон? Тараченковский билль об ЭЦП, например, содержит
соответствующие оговорки; правда, неполно.

RS> Потери бюджета от неуплаты налогов организациями, занимающимися
RS> соотв. деятельностью и убытки от промышленного шпионажа никого не
RS> волнуют. Законодательство с вышеуказанной вероятностью будет
RS> блюсти интересы ФАПСИ/структуры её заменяющей, но никак не
RS> граждан/организаций Российской Федерации.

Законодательство будет таким, каким его напишут и примут ;)
Соответственно, нужны _конкретные_ предложения. И их с нетерпением
ждут: и в тараченковском комитете, и в Правительстве... Но бизнес
безмолвствует.

RS> А тем временем популярность набирают пиропатроны для мгновенного
RS> уничтожения информации на жестких дисках, т.к. криптозащита
RS> информации не является эффективной, покуда доступен владелец
RS> информации.

Это другая проблематика. Крипто, в общем и целом, защищает от воров, а
не от бандитов.

-- 
-- Maksim