Держспецзв’язку видала позитивний експертний висновок на Симетричний блоковий шифр AES

На виконання Плану заходів Державної служби спеціального зв’язку та захисту інформації України з виконання Програми діяльності Кабінету Міністрів України та Коаліційної Угоди щодо гармонізації стандартів, необхідних для забезпечення обміну електронними документами між Україною та державами-членами ЄС, за результатами експертних досліджень Адміністрацією Державної служби спеціального зв’язку та захисту інформації України видано позитивний експертний висновок на Симетричний блоковий шифр AES (AES-128, AES-192, AES-256), який визначений пунктом 5.1 ISO/IEC 18033-3:2010 «Information technology — Security techniques — Encryption algorithms — Part 3: Block ciphers» (№ 05/02/02-2361 від 03.06.2015).

Таким чином, згідно з вимогами пункту 2.12 Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації, затвердженого наказом Адміністрації Держспецзв’язку від 20.07.2007 № 141, зареєстрованим у Міністерстві юстиції України 30.07.2007 за № 862/14129, Симетричний блоковий шифр AES (AES-128, AES-192, AES-256) є рекомендованим та може бути використаний у засобах криптографічного захисту інформації для захисту інформації з обмеженим доступом (крім службової інформації та інформації, що становить державну таємницю) та відкритої інформації, вимога щодо захисту якої встановлена законом.

www.dsszzi.gov.ua/...​t_id=140927&cat_id=119123

Dmytro Shymkiv:

НАРЕШТІ! Симетричний блоковий шифр AES (AES-128, AES-192, AES-256) є рекомендованим та може бути використаний у засобах криптографічного захисту інформації для захисту інформації з обмеженим доступом (крім службової інформації та інформації, що становить державну таємницю) та відкритої інформації, вимога щодо захисту якої встановлена законом.

А це означає можливість використовувати сучасні технології без додаткових затрат та модифікацій із залученням «лише тільки засобів унікальної української криптографії». Це невеликий та важливий крок у побудові та використанні сучасних інформаційних систем в державних органах влади.

AES (AES-128, AES-192, AES-256) визначений пунктом 5.1 ISO/IEC 18033-3:2010 «Information technology — Security techniques — Encryption algorithms — Part 3: Block ciphers» (№ 05/02/02-2361 від 03.06.2015) — Це міжнародна стандартизація!

www.facebook.com/...​v/posts/10153262115242906

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Если мне не изменяет память, то последние лет 10 и так можно было использовать любой стандарт шифрования, если он есть в ISO для конфидента. Заявление чисто декларативное для создания позитивного имиджа.

www.dsszzi.gov.ua/...art_id=76473&cat_id=76362


Система аутентификации пользователей на основе устройств для генерации одноразовых паролей RSA Securі SІ 700 Экспертное заключение от 21.08.08 № 5/1-2416:

1. В объекте экспертизы криптографический алгоритм AES-128 реализован в соответствии с FІPS PUB 197.

2. Объект экспертизы может использоваться для аутентификации пользователей информационных ресурсов ЗАО “ОТП Банк”.

Разработчик — Общество с ограниченной ответственностью “МИР ІТ”.

Dmytro Shymkiv:

А це означає можливість використовувати сучасні технології без додаткових затрат та модифікацій із залученням “лише тільки засобів унікальної української криптографії”. Це невеликий та важливий крок у побудові та використанні сучасних інформаційних систем в державних органах влади.
Это не означает ровным счётом ничего :)

Нельзя было для госухи. Только ГОСТ, только хардкор... В итоге сами себя секли и торчали наружу голым HTTP и без VPN, т.к. поделки типа «Йожика» сотоварищи никто в железе реализовывать и не думал.
Единственный цисковский сертифицированный гостовый впн внутри представляет из себя хилую пс-шечку с местным софтом. Ни о каком перфомансе или надежности там речь не идет в принципе.

Нельзя было для госухи. Только ГОСТ, только хардкор...
Так и сейчас тоже нельзя :)
поделки типа «Йожика» сотоварищи
Так это же reference implementation, на сколько я помню у неё других применений нет.
Так и сейчас тоже нельзя :)
Насколько я его понял — кроме ДСП и ГТ вроде как можно.
Впрочем элементраный вопрос о переводе сайта с открытыми данными на HTTPS все еще продолжает висеть в воздухе по причине RSA-2048 сотоварищи. И приемку КСЗИ оно не пройдет как и раньше.
Так это же reference implementation
Ну, конкретно ежик, да. Просто сходу не вспомнил «боевых» реализаций, коих десятка полтора сертифицировано. Но толку с того больше не стало.
Насколько я его понял — кроме ДСП и ГТ вроде как можно.
Аааа.. в смысле для госпредприятий. Раньше тоже можно было использовать для госпредприятий, но никто этого не делает, потому как нет утверждённых методик тестирования (может сейчас уже есть) и обойдётся это в неслабую копеечку. Да и сейчас экспертиза — не самое дешевое мероприятие.
HTTPS все еще продолжает висеть в воздухе по причине RSA-2048 сотоварищи.
RSA должно умереть, ибо это не стандарт. В EU и в ISO есть несколько замещающих алгоритмов, но они сами видать не особо заинтересованы в популяризации этого.

“ДСТУ ISO/IEC 10118-2000 Інформаційні технології. Методи захисту. Геш функції.” Существует уже тучу времени (SHA1, SHA2), причём легально, так как это является не просто ISO стандартом, а ещё и адаптированным в ДСТУ.

Есть “ДСТУ ISO/IEC 15946-2006 Інформаційні технології. Методи захисту. Криптографічні методи, засновані на еліптичних кривих”. “ISO/IEC 18033-2:2006 Information technology — Security techniques — Encryption algorithms — Part 2: Asymmetric ciphers” Я, правда, не знаю что там внутри, т.к. отошёл от криптографии и уже не так интересна эта область, но наверняка есть замена RSA.

И если б над этим не висел ДСТУ ГОСТ 28147-89 в качестве блочника, то еще можно было бы сражаться нормальными продуктами/реализациями.
Но в любом случае грош цена самым наворочаным алгоритмам, если обычные веб-броузеры (в том числе мобильные) их не поддерживают.
И еще хуже с энтерпрайзом — весь ДСТЗИшный тюнинг немедленно сливается при первом же требовании репликации между ЦОД, даже по IP, не говоря уже про SAN.

Безусловно позитивный шаг. Однако непонятно, почему они постеснялись его распространить на служебную информацию? Хотя бы поставив нижнюю границу в 256.

Для служебной только шифр Вернама, и только на бумаге:)

Шимкив пишет: «супротив шалений».

Підписатись на коментарі