From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: Maksim Otstavnov X-Mailer: The Bat! (v1.46d) Educational Organization: home office X-Priority: 3 (Normal) Message-ID: <1086699125.20001230130519@otstavnov.com> To: Roman S In-reply-To: <20001229212015.AB11A76DFE@rromas.user.lanet.ru> References: <200012291337.eBTDbkb85406@www1.mailru.com> <3A4CAC36.3E798F8A@logic.ru> <12330129370.20001229173914@otstavnov.com> <20001229212015.AB11A76DFE@rromas.user.lanet.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit Subject: [mdk-re] =?koi8-r?B?UmVbMl06IFttZGstcmVdIFJlWzJdOiBbbWRrLXJlXSBSZTogW21kay1yZV0g?= =?koi8-r?B?IO8g0M/e1MUgySDULtAu?= Sender: mandrake-russian-admin@linuxteam.iplabs.ru Errors-To: mandrake-russian-admin@linuxteam.iplabs.ru X-BeenThere: mandrake-russian@linuxteam.iplabs.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@linuxteam.iplabs.ru X-Reply-To: Maksim Otstavnov List-Help: List-Post: List-Subscribe: , List-Id: Mandrake/RE discussion list List-Unsubscribe: , List-Archive: Date: Sat Dec 30 13:40:01 2000 X-Original-Date: Sat, 30 Dec 2000 13:05:19 +0300 Archived-At: List-Archive: Hello Roman, Saturday, December 30, 2000, 12:20:15 AM, you wrote: RS> On Fri, 29 Dec 2000 17:39:14 +0300 RS> Maksim Otstavnov wrote: >> >> "Происки ФАПСИ" - обычная отмазка для лавок, которые ленятся >> формулировать, раскрывать и соблюдать хоть какую-то политику >> технической безопасности. RS> Максим! Если бы всё так просто... RS> Закон - есть закон. На сегодня закон а) оставляет выбор средств эмуляции собственноручной подписи на усмотрение сторон (ст. 74 ГК), б) ничего не предписывает в отношении использования средств обеспечения конфиденциальности. (Б) имеет как положительные, так и отрицательные (в части обеспечения конфиденциальности информации третьих лиц) следствия. RS> Кстати, о птичках. Если пользуетесь телеуслугами банков, то RS> посмотрите, что написано мелко-мелко в исходящих от Вас RS> документах... А написано там - "Заверено АСП клиента". Здесь имеет значение не то, что написано в электронных документах, а то, что записано в договоре. RS> А "Происки ФАПСИ" - это уж извините, Указ есть Указ. Нарываться RS> никто не хочет, рынок, в т.ч. свободный достаточно неплохо накрыт RS> Указом. Да ничто никем не закрыто. Я наблюдал несколько ситуаций (с ввозом банкоматов с DES-овскими чипами, с установкой "Кобры" в учреждениях МВД и ФСБ и т.п.), когда ФАПСИ пыталось вмешаться и продать свой "сервис". Когда им четко говорили: отвалите, они отваливали. Я сам участвовал в раработке и внедрения полудюжины решений в крупных организаций, и никаких проблем не было. В том-то и дело, что рынок свободен. RS> Пока оно действует - никто и за десять лет пальцем не RS> пошевелит. Максимум - поставит Вербу (закрытую, по цене RS> неподъёмную для малых клиентов, но пригодную для официального RS> прикрытия задницы сертификатом), которая с 90% вероятностью RS> (поскольку обратное не доказано) имеет 3-ий ключ. В принципе, предположительно гнилое решение - не проблема, как это не странно. Просто протокол А каскадируется с доверенным протоколом Б. Например, "вербовый" трафик пропускается через PGP. Такое я тоже делал. По поводу закладок в средстве А или Б я бы воздержался от суждений. Кому интересно, могут взять дизассемблер и смотреть. Если лень или жаль средств - значит, неинтересно. Кому интересно - берите, ломайте; сломаете сертифицированное ФАПСИ средство - войдете в сотню ведущих аналитиков; через некоторое время четверть миллиона годового оклада - не проблема ;) RS> Думаю, что многие сотрудники сферы обслуживания, читающие это RS> письмо составят своё мнение, причём одно из двух - "а ну его, RS> морочиться" или "ну, примерно так и обстоит, но связываться не RS> буду". Я, собственно, ждал отчетов о _реальных_ проблемах, а не общих рассуждений. Я за пять лет реальных проблем не видел. Saturday, December 30, 2000, 12:49:51 AM, you wrote: RS> On Fri, 29 Dec 2000 18:18:50 +0300 RS> Maksim Otstavnov wrote: >> "используемых для защиты информации, составляющей гостайну". RS> С одной стороны - это логично. Гостайна - она и есть гостайна. RS> Но если не будет отверстия "о признании по обоюдному соглашению RS> сторон" в случае сведений _НЕ_ составляющих гостайну - вся RS> законодательная база будет филькиной грамотой. Причём "блоки" RS> будут с вероятностью около 70%%. В части средств контроля подлинности соответствующая норма есть. В части конфиденциальности - вряд ли появится. RS> Нткто в законе не учитывает, что сведения _НЕ_ составляющие гос. RS> тайну могут быть гораздо более ценными для интересов государства. Это дыра в законодательстве о Гостайне. Там нет процедуры "тактического" засекречивания, которое было бы полезно, например, для законодательной защиты информации о позиции на тендере и т.п.; поскольку протаскивать это через засекречивание, а потом через рассекречивание на полную катушку никак не возможно, остается "дыра". Появляется "ведомственная тайна" и прочие незаконные штучки. RS> Фактически закон будет построен на интересах ФАПСИ, никак иначе. Какой закон? Тараченковский билль об ЭЦП, например, содержит соответствующие оговорки; правда, неполно. RS> Потери бюджета от неуплаты налогов организациями, занимающимися RS> соотв. деятельностью и убытки от промышленного шпионажа никого не RS> волнуют. Законодательство с вышеуказанной вероятностью будет RS> блюсти интересы ФАПСИ/структуры её заменяющей, но никак не RS> граждан/организаций Российской Федерации. Законодательство будет таким, каким его напишут и примут ;) Соответственно, нужны _конкретные_ предложения. И их с нетерпением ждут: и в тараченковском комитете, и в Правительстве... Но бизнес безмолвствует. RS> А тем временем популярность набирают пиропатроны для мгновенного RS> уничтожения информации на жестких дисках, т.к. криптозащита RS> информации не является эффективной, покуда доступен владелец RS> информации. Это другая проблематика. Крипто, в общем и целом, защищает от воров, а не от бандитов. -- -- Maksim