Оценка криптосистемы

Тема в разделе "Lotus - Администрирование", создана пользователем Maratik, 19 мар 2008.

  1. Maratik

    Maratik Гость

    Помогите пожалуйста! В нашей конторе встал выбор между двумя фирмами, которые предоставляют криптосистемы. Оценка с рыночной точки зрения.
    Подскажите пожалуйста основные критерии, по которым надо оценивать?
    У нас стоит Lotus Domino Server.
     
  2. D!m@n

    D!m@n Гость

    Что за криптосистемы-то? И одна из них случаем не интертрастовский Locker?
     
  3. Maratik

    Maratik Гость

    Нет, это onix(www.onix.kz) и гамма технологии(www.gamma.kz). У нас хотят внедрить удостоверяющий центр, т.е. проверка электронной цифровой подписи через этот самый удостоверяющий центр. Так вот мне надо проанализировать экономическую состовляющую и работоспособность в целом продуктов этих фирм. По каким категориям это сделать и вообще есть нормальная документация по удостоверяющим центрам, как они работают, что нужно для их работы.
    Я в целом берусь, а это очень большой объем информации.
     
  4. D!m@n

    D!m@n Гость

    Ах, так дело в Казахстане...
    И, к тому же, непонятно, причем здесь Лотус. Я-то думал, речь идет о системе, являющейся прослойкой-интерфейсом между Лотусом и стандартными СКЗИ (типа КриптоПро CSP или тех, на которые Вы дали ссылки). А эти две системы к Лотусу никакого отношения не имеют, и дружить с ним без дополнительного ПО, как я понял, не будут.
    Простите, если что неправильно понял.
     
  5. collection

    collection Well-Known Member

    Регистрация:
    4 июл 2006
    Сообщения:
    472
    Симпатии:
    0
    Maratik
    А чем Вас штатные лотусовые средства не устравивают?!
     
  6. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    А вот с такой стороны взглянуть:
    на кой оно вам нужно? Чем не устраивает Доминошная защита?
    1.IMHO единственный серьезный недостаток Лотусовой криптографии - она не сертифицирована ФАПСИ (или кто там сейчас за него) для использования в гос.учреждениях. Ваши "кандидаты" сертифицированы? Сомневаюсь..
    То, что у конторы есть лицензия на разработку крипто-средств, вовсе не значит, эти средства будут потом сертифицированы. AFAIR единственной сертифицированной системой до недавнего времени была собственная (кто-б сомневался!) фапсишная разработка ("Криптон"? забыл...)
    2.Любая "накладная" система а-приори дырявая. Всегда между транспортом и криптовалкой обнаруживается файл-сервер, где валяются беззащитные файлы. Т.е. внешний канал оно защищает, но основные-то угрозы безопасности - ВНУТРИ
     
  7. Maratik

    Maratik Гость

    Как я понял система работает примерно так:
    Имеется электронная цифровая подпись на носителе USB, всяческих картах, дискетах(ключ). На компьютере ставится какой-то драйвер, который вшивается в систему и Lotus Notes. При подключении ключа, данные отправляются на удостоверяющий центр, там проверяется актуальность, корректность и прочее...

    Я с этим впервые сталкиваюсь, раньше мы обходились штатными средствами. И у нас выбора нет, либо один УЦ, либо другой. Просто хотелось бы иметь понимание этого процесса. Принцип работы удостоверяющего центра в общем. Недостатки и плюсы. Документации нормальной не могу найти. В России таких удостоверяющих центров масса и работают уже по десять лет на рынке, у вас опыта больше.
     
  8. D!m@n

    D!m@n Гость

    Не ЭЦП, а сертификат ключа подписи, т.е. открытый ключ, подписанный ЭЦП центра сертификации + еще секретный ключ.
    Электронная цифровая подпись (ЭЦП) - это хеш сообщения, зашифрованный на секретном ключе подписанта.
    Не драйвер, а криптопровайдер (Cryptographic Service Provider, CSP) - динамическая библиотека, предоставляющая приложениям услуги по шифрованию, простановке ЭЦП, хранению и экспортированию ключей шифрования, генерации случайных чисел и проч.
    Те CSP, на которые Вы дали ссылки, используют для простановки ЭЦП дополнительные алгоритмы. Например, ГОСТ Р 34.10-2001.
    О том, совместим ли без дополнительного ПО такой криптопровайдер с Lotus Notes & Domino - поинтересуйтесь у фирмы-разработчика. Но мне кажется, что такое маловероятно. Скорее всего, Вам придется делать выбор между использованием дополнительного ПО и использованием стандартных средств электронной почты (Outlook Express). А в Лотус Вы даже сертификат импортировать не сможете.
    Кстати, вот Вам совет: попросите прислать Вам тестовую версию CSP и ПО центра сертификации. И в теме разберетесь, и заодно проверите, будет оно у Вас работать так, как надо, или нет.

    Что касается самообразования, начните с Вики:
    http://ru.wikipedia.org/wiki/Криптосистема_с_открытым_ключом
    http://ru.wikipedia.org/wiki/ЭЦП
    http://ru.wikipedia.org/wiki/Удостоверяющий_центр
    http://ru.wikipedia.org/wiki/Сертификат_(криптография)

    Там, конечно, бывают ошибки и неточности, но основные понятия раскрываются неплохо.
    Потом можно почитать какую-нибудь книгу по ЗИ.
    Например, Хорев П.Б. "Методы и средства защиты информации в компьютерных системах".

    И последнее - я так понял, Вы организуете юридически значимый электронный документооборот? Если нет, то все эти дополнительные CSP Вам нах не нужны. Можно спокойно обходиться средствами Lotus. Кстати, сервер Domino может работать и как полноценный Certification Authority.
     
  9. collection

    collection Well-Known Member

    Регистрация:
    4 июл 2006
    Сообщения:
    472
    Симпатии:
    0
    Интересно, а что ВЫ понимаете под словом удостоверяющий центр. Предпалогаю что это Certificate Authority (CA) — центр сертификации, осуществляющий формирование сертификатов открытых ключей абонентов, а также списка отозванных сертификатов (CRL) на примере системы onix это onix ca, если да, то примерно это должно работать так:
    Чтобы настроить и активизировать SSL на сервере, необходимо кольцо ключей, содержащее сертификат сервера, полученный от CA, установленный в кольцо для ключе, которое содержит так же корневые сертификаты, используемые сервером для принятия решения об установленнии доверительных отношений.
    Что касается S/MIME, то, прежде чем интернет-клиенты и клиенты notes смогут использовать аутентификацию клиента или посылать подписанную почту, они должны получить клиентский интернет-сертификат. Чтобы посылать шифрованную почту, они должны иметь интернет сертификат получателя. Под всяческими картами, я так подозреваю, понимается смарт-карты, которые содержат сертификаты клиентов.
    Вообщем огласите весь список пожалуйста!
     
  10. Alex666

    Alex666 Гость

    Сабжи темы - сертифицированы - и у Оникса и у Гаммы. Абсолютно согласен с D!m@n - если не надо юридически значимого документооборота - то ничего лишнего не надо - в том числе и криптографии.

    У Оникса провайдеры интегрированы в Лотус. Интеграция проводилась совместно с Реалсофтом. Казахстанцы - поймут. У Оникса - по алгоритмам-блобам-параметрам-оидам работают "прозрачно" с Крипто-Про и Видовсовскими провайдерами.

    Еще раз согласен с D!m@n - почему автор темы не обратится напрямую к разработчикам? С вопросами, за презентациями и тестовыми установками?

    А можно узнать - что за компания - в которой работает автор темы?
     
  11. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    Вот интеграция в Лотус меня всегда напрягала. Iris/IBM свою PKI никогда не раскрывали.
    Все, что я видел, было довесками к клиенту, которые работали параллельно со встроенной защитой. Хорошо шифровали обычные поля и аттачи, а вот RTF-ы ...
    А аутентификация? Шифровать файлы Лотусе не доверяем, а аутентификацию доверяем? Двойные стандарты...
     
  12. Alex666

    Alex666 Гость

    Ну - никто не мешает IBM пойти в тоже ФАПСИ или каз КНБ и засертифицировать свою криптографию в Лотусе том же. Микрософт же открывает часть исходных кодов, почему бы ИБМу не открыть все лишь коды по криптографии?
     
  13. Maratik

    Maratik Гость

    Александр, а Вы случайно не из Реалсофта? Мы из Павлодара))) Просто этим раньше мозг не напрягали, а тут надо бы поднапрячься. Информации очень мало и обращаться без хотя бы небольшого понятия работы криптопровайдеров не хотелось бы.
     
  14. Alex666

    Alex666 Гость

    Мое имя Алексей.Я с Оникса <_< А с Павлодара - с областного акимата?
     
  15. Maratik

    Maratik Гость

    Да, с акимата. Рад знакомству! Просто есть в Реалсофте Александр Жур.(не буду писать полностью фамилию, вдруг обидется), вот я подумал, что это Александр. Встал вопрос о выборе между Гамма технологиями и Onix. Теперь приходится разбираться, хотя ранее мы работали и обходились стандартными средствами криптографии. Просят сравнительный анализ. Хотелось бы знать, что и где стабильно работает именно с Lotus Domino/Notes.

    P.S. Интернет, как и Земля - круглые)))
     
  16. Alex666

    Alex666 Гость


    Мне сложно и некорректно что то говорить - так как это будет похоже на саморекламу. В этом случае - надо обратиться в Реалсофт - с просьбой прокомментировать данную ситуацию - какая именно СКЗИ у них работает и какую они порекомендуют. Это наиболее объективный вариант.
     
  17. Maratik

    Maratik Гость

    Спасибо. Я ожидал этого ответа)))
     
Загрузка...
Похожие Темы - Оценка криптосистемы
  1. anna
    Ответов:
    4
    Просмотров:
    259
  2. Supermaximus
    Ответов:
    3
    Просмотров:
    1.902
  3. EmptyR
    Ответов:
    14
    Просмотров:
    4.402
  4. Cleric-Lviv
    Ответов:
    12
    Просмотров:
    4.275
  5. slavon-x86
    Ответов:
    8
    Просмотров:
    4.493

Поделиться этой страницей