Привет, %username%!
Недавно мы вернулись с конференции EuroCrypt 2019, где познакомились с чрезвычайно умными людьми и заодно узнали новые, чрезвычайно обидные факты о ГОСТовском SBox.
Так что, это второй подход к снаряду. Исправленный и дополненный.
В этот раз не будет непонятных красно-синих слайдов, зато будут оригинальные документы из комитета ISO c объяснениями авторов Кузнечика.
И даже челлендж в конце!
Поехали.
Читать полностью »
Рубрика «гост» - 2
Про ГОСТовский шифр Кузнечик, его SBox и потерянные сиды
2019-06-13 в 6:01, admin, рубрики: Блог компании Virgil Security, Inc., гост, дохлый кузнечик, информационная безопасность, криптография, паранойя mode onМагия чисел в децимальных номерах
2019-05-26 в 17:41, admin, рубрики: CAD/CAM, IT-стандарты, гост, децимальный номер, ескд, ЕСПД, инженерные системы, КСАС
Статья написана в дополнение к предыдущей по просьбе сообщества.
В этой статье разберемся с магией чисел в децимальных номерах. И рассмотрим нумерацию не только принятую в ЕСКД (Единая система конструкторской документации), а также в ЕСПД (Единая система программной документации) и КСАС (Комплекс стандартов на автоматизированные системы), так как Харб в большей степени состоит из ИТ специалистов.
В соответствии с требованиями стандартов ЕСКД, ЕСПД и КСАС каждому изделию (программе, системе) должно быть присвоено обозначение — децимальный номер.
Обозначение присваивается в соответствии с установленными в стандартах правилами. Это придумано людьми в древние времена для унификации и упрощения идентификации изделий и документации, ведения учёта и архива.
Разберемся в простой процедуре присвоения децимального номера, чтобы она не казалось древним ритуалом, а присваиваемые номера — магическими числами.
Для каждого комплекта стандартов рассматривать порядок действий будем по отдельности.
Читать полностью »
Квалифицированная электронная подпись под macOS
2019-05-06 в 1:43, admin, рубрики: cades, certmgr, chromium-gost, cryptcp, cryptopro, csp, csptest, csptestf, DSS, ifcplugin, lkipgost.nalog.ru, lkul.nalog.ru, mac os, MacOS, nalog.ru, гост, госуслуги, Законодательство в IT, криптопро, криптопро fox, кэп, рутокен, системное администрирование, Софт, финансы в IT, электронная подпись, эцп
По данным РБК и Тензор, в 2019 году в России будет выдано 4,6 млн. сертификатов квалифицированных электронных подписей (КЭП), соответствующих требованиям 63-ФЗ. Получается, что из 8 млн. зарегистрированных ИП и ООО каждый второй предприниматель пользуется электронной подписью. Помимо КЭП для ЕГАИС и облачных КЭП для сдачи отчетности, выдаваемых банками и бухгалтерскими сервисами, особый интерес представляют универсальные КЭП на защищенных токенах. Такие сертификаты позволяют логиниться на гос.порталы и подписывать любые документы, делая их юридически значимыми.
Благодаря сертификату КЭП на USB-токене можно удаленно заключить договор с контрагентом или дистанционным сотрудником, направить документы в суд; зарегистрировать онлайн-кассу, урегулировать задолженность по налогам и подать декларацию в личном кабинете на nalog.ru; узнать о задолженностях и предстоящих проверках на Госуслугах.
Представленный ниже мануал поможет работать с КЭП под macOS – без изучения форумов КриптоПро и установки виртуальной машины с Windows.
Очередные странности в алгоритмах ГОСТ Кузнечик и Стрибог
2019-02-11 в 7:02, admin, рубрики: NOBUS, бекдор, Блог компании Virgil Security, Inc., гост, информационная безопасность, криптография, Кузнечик, Стрибог, уязвимостиПривет, %username%!
Криптографические алгоритмы в России не проходят через открытые конкурсы, их просто спускают нам свыше. И рано или поздно это сильно нам аукнется. Эта статья об очередном исследовании наших ГОСТов.
ФСБ предложила выпустить российские SIM-карты и использовать отечественную криптографию для 5G
2019-02-04 в 8:47, admin, рубрики: 5G, sim-карты, гост, информационная безопасность, криптография, сотовая связь
На декабрьском заседании рабочей группы по информационной инфраструктуре национального проекта «Цифровая экономика» прозвучало неожиданное предложение от представителя ФСБ, пишут «Ведомости» со ссылкой на анонимного участника заседания.
Офицер предложил использовать в сетях 5G собственную криптографическую инфраструктуру, то есть: 1) отечественные криптошифры согласно ГОСТ; 2) SIM-карты с поддержкой отечественных криптошифров.
Поскольку зарубежные SIM-карты не соответствуют ГОСТам по криптографии, то выпуск SIM-карт придётся наладить в России.
На иллюстрации: схема алгоритма ГОСТ 28147-89
Читать полностью »
Корневые и промежуточные сертификаты уполномоченных Удостоверяющих Центров России
2018-09-13 в 13:19, admin, рубрики: open source, SSL, x509, гост, информационная безопасностьКак и многие другие страны, Россия для официального электронного документооборота использует x509 сертификаты, выпускаемые уполномоченными Российскими Удостоверяющими Центрами (УЦ). И в отличие от многих других стран, использует свои собственные шифры.
Я давно хотел автоматизировать проверку подписей ответов органов власти (я много переписываюсь) и проверку «выгрузок» Роскомнадзора на подлинность (по роду общественной деятельности). Самой большой проблемой было достать промежуточные сертификаты из цепочки. Потому что существовал невнятный Excel-файл корневых УЦ на сайте Минсвязи и всё. А промежуточные надо было искать по сайтам соответствующих УЦ. Жизнь — боль.
Читать полностью »
Docker-образы с поддержкой ГОСТ-сертификатов в openssl, curl, php, nginx
2018-04-15 в 9:43, admin, рубрики: curl, docker, gost-engine, nginx, open source, openssl, php, SSL, TLS, гост, гост 34.10-2001, ГОСТ 34.10-2012, ГОСТ 34.11-2012В этой статье я расскажу о том, как я решал задачу об интеграции в тестовом режиме с сервисами, которые работают с использованием алгоритмов, определенных ГОСТ Р 34.10-2001 (устарел) и ГОСТ Р 34.10-2012. Приведу примеры некоторых проблем, с которыми столкнулся при решении задачи, дам ссылки на готовое решение и покажу несколько примеров их использования.
SecaaS как вид облачных услуг и другие стандарты проекта ГОСТ «Защита информации при использовании облачных технологий»
2018-03-30 в 6:41, admin, рубрики: Блог компании Cloud4Y, виртуализация, гост, Законодательство и IT-бизнес, защита информации, информационная безопасность, обеспечение безопасности в облаке, Облачные вычисления, публичное облако
В предыдущей статье «Всё по ГОСТу. Защита информации при использовании технологий виртуализации», мы упомянули про разработанный проект ГОСТ «Защита информации при использовании облачных технологий». Несмотря на то, что он уже не первый год лежит без утверждения, мы можем ориентироваться на него, как на источник информации о направлении деятельности регуляторов в сфере облачных технологий. Так же проект ценен систематизированным списком терминов, угроз и мер защиты облачных сервисов.
Начнем по порядку, как указано в проекте, ГОСТ устанавливает требования по защите информации, обрабатываемой с использованием облачных технологий. Поэтому предлагаю перейти к терминам и разобраться, что понимается в проекте под облачными технологиями и прочими терминами, встречающимися в данном документе. Заранее стоит отметить, что некоторые стандарты этого документа весьма спорные и временами противоречат сложившейся бизнес-практике.Читать полностью »
PVS-Studio и ГОСТы. Как появилось приложение КОМПАС-Эксперт для проверки чертежей
2017-12-23 в 8:17, admin, рубрики: cad, CAD/CAM, Блог компании АСКОН, гост, КОМПАС-Эксперт, проверка чертежей, сапрНедавно мы выпустили новое приложение КОМПАС-Эксперт для поиска ошибок в чертежах и моделях, разработанных в КОМПАС-3D. Идеей для него послужил анализатор кода PVS-Studio. Что общего в продуктах для программистов и инженеров и как классифицируются ошибки проектирования, рассказывает Олег Волков.
В свое время меня вдохновил Viva64 для проверки кода C++ (сейчас этот прекрасный продукт называется PVS-Studio). Он выполняет анализ кода на различные правила: логические/нелогические, конструктор/деструктор, сравнение переменных и другие. Возникла мысль применить похожую идеологию в КОМПАС-3D: на выходе проверять результат — чертеж или 3D-модель — некими правилами. Тем более, что в других САПР подобные проверки реализованы.
Читать полностью »
Не ждем, а готовимся к переходу на новые стандарты криптографической защиты информации
2017-11-02 в 8:15, admin, рубрики: digital security, digital signature, java, open source, public key, public key infrastructure, Блог компании «Альфа-Банк», гост, ГОСТ 34.10-2012, ГОСТ 34.11-2012, информационная безопасность, криптография, криптопро, криптопровайдер, электронная подпись, электронные сертификатыВ информационном мире и Digital-Банке само собой разумеется – Digital Security и Digital Signature.
Криптография позволяет нам защитить информацию от подмены и однозначно установить ее правообладателя посредством усиленной электронной подписи.
Криптография дает возможность закрыть для посторонних глаз информацию конфиденциального характера с помощью шифрования.
Как применять криптографию в соответствии с законодательством и ладу с регуляторами?
Речь пойдет о правовых аспектах и об организационно-технических мероприятиях в рамках официального перехода на национальные стандарты в области криптографической защиты информации ГОСТ Р 34.11-2012 «Функция хэширования» и ГОСТ Р 34.10-2012 «Процессы формирования и проверки электронной цифровой подписи».
Переход осуществляется в средствах электронной подписи, применяемых для информации, не содержащей сведений, составляющих государственную тайну, в случаях, подлежащих регулированию со стороны ФСБ России в соответствии с действующей нормативной правовой базой.
Читать полностью »