Re: [mdk-re] Re: [mdk-re] ï ÐÏÞÔÅ É Ô.Ð.

Re: [mdk-re] Re: [mdk-re] ï ÐÏÞÔÅ É Ô.Ð.

[Roman S]

Цитирую Maksim Otstavnov <maksim@otstavnov.com>:
> у провайдера. Так что на ЦУП в любом случае 
> требовалась разборка
> сплошных потоков по протоколам и сеансам.
> Тривиальная, впрочем.

Это я ёрничаю.
Многие ведь свято верят, что их почта приватна...

А защита - одна. Работать через туннель до зарубежья 
(SSH-туннель и т.п). Но это непрактично и накладно 
(около 100$ в год), к тому же за рубежом где тихой 
сапой, где иначе внедряются свои СОРМЫ.

Rgds!
Roman Savelyev

Re: [mdk-re] Re: [mdk-re] О почте и т.п.

[Aleksey Novodvorsky]

Roman S wrote:

> Цитирую Maksim Otstavnov <maksim@otstavnov.com>:
> > у провайдера. Так что на ЦУП в любом случае
> > требовалась разборка
> > сплошных потоков по протоколам и сеансам.
> > Тривиальная, впрочем.
>
> Это я ёрничаю.
> Многие ведь свято верят, что их почта приватна...
>
> А защита - одна. Работать через туннель до зарубежья
> (SSH-туннель и т.п). Но это непрактично и накладно
> (около 100$ в год), к тому же за рубежом где тихой
> сапой, где иначе внедряются свои СОРМЫ.
>

А чем ssh с точки зрения нашего законодательства лучше, чем PGP?

Rgrds, AEN

[mdk-re] Re: [mdk-re] Re: [mdk-re] О почте и т.п.

[Salavat D. Samigoullin]

> А чем ssh с точки зрения нашего законодательства лучше, чем PGP?

нет

Salavat D. Samigoullin
SPF Inversion
System Administrator

[mdk-re] Re: [mdk-re] Re: [mdk-re] О почте и т.п.

[Salavat D. Samigoullin]

> А чем ssh с точки зрения нашего законодательства лучше, чем PGP?

в смысле ничем. он также нелегален как и pgp

Salavat D. Samigoullin
SPF Inversion
System Administrator

[mdk-re] Re[2]: [mdk-re] Re: [mdk-re] О почте и т.п.

[Maksim Otstavnov]

Hello Aleksey,

Friday, December 29, 2000, 6:22:30 PM, you wrote:

AN> Roman S wrote:

>> Цитирую Maksim Otstavnov <maksim@otstavnov.com>:
>> > у провайдера. Так что на ЦУП в любом случае
>> > требовалась разборка
>> > сплошных потоков по протоколам и сеансам.
>> > Тривиальная, впрочем.
>>
>> Это я ёрничаю.
>> Многие ведь свято верят, что их почта приватна...
>>
>> А защита - одна. Работать через туннель до зарубежья
>> (SSH-туннель и т.п). Но это непрактично и накладно
>> (около 100$ в год), к тому же за рубежом где тихой
>> сапой, где иначе внедряются свои СОРМЫ.
>>

AN> А чем ssh с точки зрения нашего законодательства лучше, чем PGP?

SSH (а также SSL, IPSec и все решения в нижних слоях TCP/IP) "лучше"
тем, что закрывают не только содержимое сообщений, но и конверт. Иначе
говоря, даже если вы шифруете всю почту PGP (или S/MIME)
злоумышленник, сидящий на канале, все же может профилировать
направления и интенсивность переписки. Это же относится и к другим
приложениям Сети - например, IPSec к доверенному прокси не помешает,
даже если используется SSL.

К законодательству это не имеет никакого отношения. Чисто технические
меры.

Hello Roman,

Friday, December 29, 2000, 5:23:19 PM, you wrote:

RS> Цитирую Aleksey Novodvorsky <aen@logic.ru>:
>> А чем ssh с точки зрения нашего законодательства 
RS> лучше, чем PGP?

RS> Для юр. лиц - ничем.

Да мифы все это. Покажите хоть одно юридическое лицо, которому мешают
что-то использовать. Я за пять лет не нашел.

"Происки ФАПСИ" - обычная отмазка для лавок, которые ленятся
формулировать, раскрывать и соблюдать хоть какую-то политику
технической безопасности.

RS> Но ИМХО уходим в глубокий оффтопик. :(

Почему же, ведь ЧаВО про почту обсуждаем?

-- 
-- Maksim

Re: [mdk-re] Re[2]: [mdk-re] Re: [mdk-re] ï ÐÏÞÔÅ É Ô.Ð.

[Roman S]

On Fri, 29 Dec 2000 17:39:14 +0300
Maksim Otstavnov <maksim@otstavnov.com> wrote:
> 
> "Происки ФАПСИ" - обычная отмазка для лавок, которые ленятся
> формулировать, раскрывать и соблюдать хоть какую-то политику
> технической безопасности.
Максим! Если бы всё так просто...
Закон - есть закон. Ни один из начальников структурных подразделений крупных организаций не возьмёт на себя прямую ответственность, единственное, что они могут сделать - это опосредованно намекать непосредственным исполнителям о балансе законности и интересов клиентов и закрывать глаза, когда сии возможности реализуются в рабочем порядке.
Такова она, знаете ли, се ля ва.
Кстати, о птичках. Если пользуетесь телеуслугами банков, то посмотрите, что написано мелко-мелко в исходящих от Вас документах... А написано там - "Заверено АСП клиента".
Думаете на другой стороне провода полные идиоты сидят? Смею заверить, это не так. Некоторые из этих идиотов (ныне, насколько я знаю не находящиеся в пределах РФ) самостоятельно и в сравнимые сроки с "зарубежными коллегами" смогли доказать несостоятельность исходного применения Рабина относительно эл. подписи, у прочих же хватает умственных способностей для выявления отличий между полевыми цветами и органическими удобрениями.
Итак, что мы имеем?
1) Желание банка обеспечить всё, что хочет клиент, умноженное на на кол-во средств, которое клиент держит на счетах.
2) Нежелание банк связываться с "лишними проблемами", которое фактически является нежеланием брать на себя ответственность за нормальное с точки зрения здравого смысла, но "балансирующее на грани" законности руководителями структурных подразделений.

Результат - выписки из банка один фиг пойдут через SSL (из соображений разумной достаточности), но только в том случае, если защищённый выход наружу появится вдруг сам собой, вероятно созданный ныне уволившимися и недосягаемыми сотрудниками....

А "Происки ФАПСИ" - это уж извините, Указ есть Указ. Нарываться никто не хочет, рынок, в т.ч. свободный достаточно неплохо накрыт Указом. Пока оно действует - никто и за десять лет пальцем не пошевелит. Максимум - поставит Вербу (закрытую, по цене неподъёмную для малых клиентов, но пригодную для официального прикрытия задницы сертификатом), которая с 90% вероятностью (поскольку обратное не доказано) имеет 3-ий ключ.
Думаю, что многие сотрудники сферы обслуживания, читающие это письмо составят своё мнение, причём одно из двух - "а ну его, морочиться" или "ну, примерно так и обстоит, но связываться не буду".

Извините за резкость, офтопики и т.п, но уж очень достало...

Rgds!
Roman Savelyev

[mdk-re] Re[2]: [mdk-re] Re[2]: [mdk-re] Re: [mdk-re] О почте и т.п.

[Maksim Otstavnov]

Hello Roman,

Saturday, December 30, 2000, 12:20:15 AM, you wrote:

RS> On Fri, 29 Dec 2000 17:39:14 +0300
RS> Maksim Otstavnov <maksim@otstavnov.com> wrote:
>> 
>> "Происки ФАПСИ" - обычная отмазка для лавок, которые ленятся
>> формулировать, раскрывать и соблюдать хоть какую-то политику
>> технической безопасности.

RS> Максим! Если бы всё так просто...
RS> Закон - есть закон.

На сегодня закон а) оставляет выбор средств эмуляции собственноручной
подписи на усмотрение сторон (ст. 74 ГК), б) ничего не предписывает в
отношении использования средств обеспечения конфиденциальности.

(Б) имеет как положительные, так и отрицательные (в части обеспечения
конфиденциальности информации третьих лиц) следствия.

RS> Кстати, о птичках. Если пользуетесь телеуслугами банков, то
RS> посмотрите, что написано мелко-мелко в исходящих от Вас
RS> документах... А написано там - "Заверено АСП клиента".

Здесь имеет значение не то, что написано в электронных документах, а
то, что записано в договоре.

RS> А "Происки ФАПСИ" - это уж извините, Указ есть Указ. Нарываться
RS> никто не хочет, рынок, в т.ч. свободный достаточно неплохо накрыт
RS> Указом.

Да ничто никем не закрыто. Я наблюдал несколько ситуаций (с ввозом
банкоматов с DES-овскими чипами, с установкой "Кобры" в учреждениях
МВД и ФСБ и т.п.), когда ФАПСИ пыталось вмешаться и продать свой
"сервис". Когда им четко говорили: отвалите, они отваливали.

Я сам участвовал в раработке и внедрения полудюжины решений в крупных
организаций, и никаких проблем не было. В том-то и дело, что рынок
свободен.

RS> Пока оно действует - никто и за десять лет пальцем не
RS> пошевелит. Максимум - поставит Вербу (закрытую, по цене
RS> неподъёмную для малых клиентов, но пригодную для официального
RS> прикрытия задницы сертификатом), которая с 90% вероятностью
RS> (поскольку обратное не доказано) имеет 3-ий ключ.

В принципе, предположительно гнилое решение - не проблема, как это не
странно. Просто протокол А каскадируется с доверенным протоколом Б.
Например, "вербовый" трафик пропускается через PGP. Такое я тоже
делал.

По поводу закладок в средстве А или Б я бы воздержался от суждений.
Кому интересно, могут взять дизассемблер и смотреть. Если лень или
жаль средств - значит, неинтересно. Кому интересно - берите, ломайте;
сломаете сертифицированное ФАПСИ средство - войдете в сотню ведущих
аналитиков; через некоторое время четверть миллиона годового оклада -
не проблема ;)

RS> Думаю, что многие сотрудники сферы обслуживания, читающие это
RS> письмо составят своё мнение, причём одно из двух - "а ну его,
RS> морочиться" или "ну, примерно так и обстоит, но связываться не
RS> буду".

Я, собственно, ждал отчетов о _реальных_ проблемах, а не общих
рассуждений. Я за пять лет реальных проблем не видел.

Saturday, December 30, 2000, 12:49:51 AM, you wrote:

RS> On Fri, 29 Dec 2000 18:18:50 +0300
RS> Maksim Otstavnov <maksim@otstavnov.com> wrote:

>> "используемых для защиты информации, составляющей гостайну".
RS> С одной стороны - это логично. Гостайна - она и есть гостайна.

RS> Но если не будет отверстия "о признании по обоюдному соглашению
RS> сторон" в случае сведений _НЕ_ составляющих гостайну - вся
RS> законодательная база будет филькиной грамотой. Причём "блоки"
RS> будут с вероятностью около 70%%.

В части средств контроля подлинности соответствующая норма есть. В
части конфиденциальности - вряд ли появится.

RS> Нткто в законе не учитывает, что сведения _НЕ_ составляющие гос.
RS> тайну могут быть гораздо более ценными для интересов государства.

Это дыра в законодательстве о Гостайне. Там нет процедуры
"тактического" засекречивания, которое было бы полезно, например, для
законодательной защиты информации о позиции на тендере и т.п.;
поскольку протаскивать это через засекречивание, а потом через
рассекречивание на полную катушку никак не возможно, остается "дыра".
Появляется "ведомственная тайна" и прочие незаконные штучки.

RS> Фактически закон будет построен на интересах ФАПСИ, никак иначе.

Какой закон? Тараченковский билль об ЭЦП, например, содержит
соответствующие оговорки; правда, неполно.

RS> Потери бюджета от неуплаты налогов организациями, занимающимися
RS> соотв. деятельностью и убытки от промышленного шпионажа никого не
RS> волнуют. Законодательство с вышеуказанной вероятностью будет
RS> блюсти интересы ФАПСИ/структуры её заменяющей, но никак не
RS> граждан/организаций Российской Федерации.

Законодательство будет таким, каким его напишут и примут ;)
Соответственно, нужны _конкретные_ предложения. И их с нетерпением
ждут: и в тараченковском комитете, и в Правительстве... Но бизнес
безмолвствует.

RS> А тем временем популярность набирают пиропатроны для мгновенного
RS> уничтожения информации на жестких дисках, т.к. криптозащита
RS> информации не является эффективной, покуда доступен владелец
RS> информации.

Это другая проблематика. Крипто, в общем и целом, защищает от воров, а
не от бандитов.

-- 
-- Maksim

[mdk-re] Re: [mdk-re] Re: [mdk-re] О почте и т.п.

[Dmitry A. Povarov]

On Fri, 29 Dec 2000, Roman S wrote:

> Цитирую Maksim Otstavnov <maksim@otstavnov.com>:
> > у провайдера. Так что на ЦУП в любом случае 
> > требовалась разборка
> > сплошных потоков по протоколам и сеансам.
> > Тривиальная, впрочем.
> 
> Это я ёрничаю.
> Многие ведь свято верят, что их почта приватна...
> 
> А защита - одна. Работать через туннель до зарубежья 
> (SSH-туннель и т.п). Но это непрактично и накладно 
> (около 100$ в год), к тому же за рубежом где тихой 
> сапой, где иначе внедряются свои СОРМЫ.

Это, увы, не защита - SSH-туннель до зарубежья и т.п. дает мне 
некоторую уверенность в приватности почты только в том случае, 
если все мои корреспонденты используют такие же защищенные каналы 
до тех же серверов (вроде hushmail-а). Иначе СОРМ* легко достанет 
тебя со стороны адресата - даже если расположить почтовые сервера 
с поддержкой strong crypto в некой географической зоне, находящейся 
вне юрисдикции Больших Братьев (Антарктида? ;)

-Dizzy

-------------------------------------------------------------------------
Dmitry "Dizzy" Povarov                   [ mailto:dizzy@online.ru       ]
ABS Group of Russia-On-Line ISP,         [ http://dizzy.pp.ru 		]
Golden Telecom / TeleRoss Ltd.           [ ICQ: 13146487                ]

"Macavity, Macavity, there is no one like Macavity.
 He's broken every human law, he breaks the law of gravity..." (T.Elioth)

[mdk-re] Re: [mdk-re] О почте и т.п.

[Mikhail Zabaluev]

Hello Maksim,

On Sat, Dec 30, 2000 at 13:05 +0300, Maksim Otstavnov wrote:
>
> На сегодня закон а) оставляет выбор средств эмуляции собственноручной
> подписи на усмотрение сторон (ст. 74 ГК), б) ничего не предписывает в
> отношении использования средств обеспечения конфиденциальности.

Сегодня с удивлением прочитал о том, что в правительстве всерьез 
собираются разрабатывать золотую жилу "новой экономики" (употребляют
именно эти два слова, прямо как какой-нибудь редактор Wired или
Компьютерры ;)) и принимать соответствующие законы. Вот место из
интернет-пресс-конференции Грефа:

http://www.rbc.ru/pressconf/2000/12/27/20001227203332.shtml

-- 
Stay tuned,
  MhZ                                    mailto:mookid@sigent.ru
-----------
NANCY!!  Why is everything RED?!

[mdk-re] Re: [mdk-re] Re: [mdk-re] О почте и т.п.

[Maksim Otstavnov]

Hello Mikhail,

Saturday, December 30, 2000, 11:00:15 PM, you wrote:

MZ> Сегодня с удивлением прочитал о том, что в правительстве всерьез
MZ> собираются разрабатывать золотую жилу "новой экономики" (употребляют
MZ> именно эти два слова, прямо как какой-нибудь редактор Wired или
MZ> Компьютерры ;)) и принимать соответствующие законы. Вот место из
MZ> интернет-пресс-конференции Грефа:

MZ> http://www.rbc.ru/pressconf/2000/12/27/20001227203332.shtml

> Рынок, частные инвестиции, частное перераспределение должно решить,
> какая из отраслей будет наиболее эффективной и конкурентоспособной.

Да, звучит как (плохой) перевод с английского ;)))

> Второе - это так называемая новая экономика. Потенциал в России
> огромный. Мы сейчас начали работу над несколькими направлениями в
> развитии потенциала так называемой новой экономики.

Но это все пока слова, там _нет_ реального содержания. Отрасли ничего
не говорят.

-- 
-- Maksim